本節提供如何在 SD-WAN 閘道與 VMware Cloud 閘道之間取得連線的逐步程序。

概觀

下圖說明 VMware SD-WAN 與 VMware Cloud on AWS 的整合,會使用 VMware SD-WAN 閘道和 VMware Cloud 之間的 IPSec 連線至路由器。

程序

  1. 根據 SDDC 組織的 URL (VMware Cloud Services 登入頁面),登入 VMware Cloud 主控台。

    在雲端服務平台上,選取 VMware Cloud on AWS

  2. 按一下網路與安全性 (Networking and Security) 索引標籤,尋找用於 VPN 連線的公用 IP。VPN 公用 IP 會顯示在概觀 (Overview) 窗格下方。

  3. 判斷流量加密選取項目 (感興趣的流量) 的網路/子網路,並記下這些網路/子網路。這些應源自 VMware Cloud 中的網路/安全性區段。(按一下網路 (Network) 下的區段 (Segments),找到此項目。
  4. 登入 SD-WAN Orchestrator,並確認 SD-WAN Edge 存在,且旁邊會顯示綠色狀態圖示。

  5. 前往設定 (Configure) 索引標籤,然後按一下網路服務 (Network Services),然後在非 VeloCloud 站台 (Non-VeloCloud Sites) 下,按一下新增 (New) 按鈕。

  6. 提供 [非 VeloCloud 站台 (Non-VeloCloud Sites)] 的名稱,選取類型,在此情況下為 [一般防火牆 (原則型 VPN) (Generic Firewall (Policy Based VPN))],然後輸入在步驟 2 中所取得 VMC 中的公用 IP,然後按下一步 (Next)

  7. 按一下進階 (Advanced) 按鈕,然後在主要 VPN 閘道下:
    1. 變更為所需的 PSK。
    2. 確保將加密設定為 AES 256。
    3. DH 群組變更為 5。
    4. PFS 啟用為 5。
    5. 輸入在步驟 3 中擷取的站台子網路。
    6. 按一下此核取方塊,以啟用通道 (Enable Tunnels)
    7. 按一下儲存變更 (Save Changes)

  8. 按一下檢視 IKE/IPSec 範本 (View IKE/IPSec Template),將資訊複製到文字檔案中,然後關閉視窗。

  9. 在左側面板中,按一下設定 (Configure) > 設定檔 (Profiles)

  10. 移至相關聯 SD-WAN Edge 的設定檔,然後按一下適當的設定檔。
  11. 在正確的設定檔下:
    1. 移至裝置 (Device) 索引標籤,在雲端 VPN (Cloud VPN)分支到非 VeloCloud 站台 (Branch to Non-VeloCloud Site) 下,按一下啟用 (Enable) 旁的核取方塊。
    2. 在下拉式功能表中,選取已建立的 NVS 網路服務 (從步驟 5 開始)。
    3. 按一下畫面頂端的儲存變更 (Save Changes) 按鈕。

  12. 通道在 SD-WAN Orchestrator 上應就緒。
  13. 登入 VMware Cloud 主控台。
  14. 前往網路與安全性 (Networking and Security),然後按一下 VPN 索引標籤。在 VPN 區域中,選取原則型 VPN (Policy Based VPN),然後按一下新增 VPN (Add VPN)

  15. 提供 [原則型 VPN (Policy Based VPN)] 的名稱,並設定下列內容:
    1. 選擇名稱。(選擇開頭為「To_SDWAN_Gateway」的名稱,以便在疑難排解和未來支援期間可以輕鬆識別 VPN)。
    2. 選取公用 IP。
    3. 輸入遠端公用 IP。
    4. 輸入遠端私人 IP。附註:這需要呼叫 GSS 支援,請參閱以下知識庫文章,並在聯絡支援時提及知識庫識別碼。https://ikb.vmware.com/s/article/78196。
    5. 指定位於 SD-WAN Orchestrator 上的遠端網路。
    6. 選取本機網路。
    7. 通道加密 (Tunnel Encryption) 下,選取 AES 256。
    8. 通道摘要演算法 (Tunnel Digest Algorithm) 下,選取 SHA1。
    9. 請確保完全正向加密 (Perfect Forward Secrecy) 設定為啟用 (Enabled)
    10. 輸入 PSK,以符合步驟 7A。
    11. IKE 加密 (IKE Encryption) 下,選取 AES 256。
    12. IKE 摘要演算法 (IKE Digest Algorithm) 下,選取 SHA 1。
    13. IKE 類型 (IKE Type) 下,選取 IKEv2。
    14. Diffie Hellman 下,選取群組 5。
    15. 按一下儲存 (Save)

  16. 組態完成後,通道會自動啟動,並將繼續與對等 (即 SD-WAN 閘道) 交涉 IKE 階段 1 和階段 2 參數。

  17. 通道顯示 (綠色) 後,請確認通道在 SD-WAN Orchestrator 中顯示綠色 (移至監控 (Monitor) > 網路服務 (Network Services))。

  18. 啟動從每一端連線的用戶端指向反向用戶端的 Ping,然後確認 Ping 可連線性。

    通道組態已完成並經過驗證。