本節提供簡要的概觀和詳細程序,來說明如何設定透過 Edge 的 NSD 到 VMware Cloud on AWS 閘道的路由型通道連接。

透過 Edge 的 NSD 到 VMware Cloud on AWS 閘道的路由型通道連接概觀

下圖說明 VMware SD-WAN 與 VMware Cloud on AWS 的整合,該整合在 VMware SD-WAN Edge 與 VMware Cloud 閘道之間使用 IPSec 連線。

程序

本節提供如何在 SDWAN Edge 與 VMware Cloud 閘道之間取得連線的逐步程序。
  1. 根據 SDDC 組織的 URL (VMware Cloud Services 登入頁面),登入 VMware Cloud 主控台。在雲端服務平台上,選取 VMware Cloud on AWS。
  2. 按一下 [網路與安全性 (Networking and Security)] 索引標籤,尋找用於 VPN 連線的公用 IP。VPN 公用 IP 會顯示在 [概觀 (Overview)] 窗格下方。

  3. 判斷流量加密選取項目 (感興趣的流量) 的網路/子網路,並記下這些網路/子網路。這些應源自 VMware Cloud 中的網路/安全性區段。按一下 [網路 (Network)] 下的 [區段 (Segments)],找出此項。
  4. 登入 SD-WAN Orchestrator,並確認 SD-WAN Edge 存在,且其旁顯示綠色狀態圖示。

  5. 移至 [設定 (Configure)] 索引標籤,按一下網路服務 (Network Services),然後在 [透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destination via Edge)] 下,按一下新增 (New) 按鈕。

  6. 提供透過 Edge 的非 SD-WAN 目的地的名稱,選取類型,在本例中為 [一般 IKEv2 路由器 (路由型 VPN) (Generic IKEv2 Router (Route Based VPN))],然後按下一步 (Next)

  7. 按一下 [進階 (Advanced)] 按鈕,並提供以下詳細資料。
    1. 輸入在步驟 2 中取得的 VMC 的公用 IP。
    2. 確保將加密設定為 AES 128。
    3. 將 DH 群組變更為 2。
    4. 將 PFS 啟用為 2。
    5. 將 [驗證演算法 (Auth Algorithm)] 設定為 SHA 1。
    6. 將透過 BGP 學習子網路 (如果未設定 BGP,則新增您在步驟 3 中所擷取的站台子網路,例如:靜態路由)。
    7. 按一下儲存變更 (Save Changes)

  8. 在左側面板中,按一下設定 (Configure) > Edge

  9. 移至將與其中之 NSD 相關聯的 Edge 的裝置設定頁面。
  10. 在 Edge 的裝置設定中,完成下列動作。
    1. 在 [雲端 VPN (Cloud VPN)] 和 [分支到透過 Edge 的非 SD-WAN 目的地 (Branch to Non SD-WAN Destination via Edge)] 下,按一下啟用 (Enable) 旁的核取方塊。
    2. 在下拉式功能表中,選取透過 Edge 的 NSD。

  11. 按一下新增 (Add) 按鈕,並更新以下欄位 (請見下圖)。
    1. 選取要從中建立 NSD 通道的 Edge WAN 連結。
    2. 本機識別碼類型 - IP 位址。
    3. 本機識別碼將是 WAN 連結的公用 IP。
    4. 輸入 PSK。
    5. 目的地主要公用 IP - VMC 閘道公用 IP。

  12. 為 Edge 啟用 BGP 設定,如下圖中所示。

  13. 按一下編輯 (Edit) 按鈕,然後更新 NSD 芳鄰的 BGP 參數。
    1. 選取已設定的 NSD 名稱。
    2. 與其中的 NSD 相關聯的 Edge WAN 連結。
    3. 設定本機 ASN 65001。
    4. 芳鄰 IP - 169.254.32.2。
    5. 對等 ASN - 65000 (VMC 預設 ASN 為 65000)。
    6. 本機 IP - 169.254.32.1。附註:建議使用 169.254.0.0/16 子網路中的 /30 CIDR,但以下 VMC 保留位址除外 - 169.254.0.0-169.254.31.255、169.254.101.0-169.254.101.3

  14. 通道在 SD-WAN Orchestrator 上應已就緒,並使用透過 IPSec 的 BGP。
  15. 登入 VMware Cloud 主控台。
  16. 移至 [網路與安全性 (Networking and Security)],然後按一下 [VPN] 索引標籤。在 VPN 區域中,選取路由型 VPN (Route Based VPN),然後按一下新增 VPN (Add VPN)

  17. 提供 [路由型 VPN (Route Based VPN)] 的名稱,並設定以下內容。
    1. 選擇名稱。(選擇開頭為「To_SDWAN_EDGE」的名稱,以便在疑難排解和未來支援期間可以輕鬆識別 VPN)。
    2. 選取公用 IP。
    3. 輸入遠端公用 IP。(Edge WAN 連結公用 IP)。
    4. 輸入遠端私人 IP - 應與第 11c 節相同。
    5. 指定 BGP 本機 IP。
    6. 指定 BGP 遠端 IP。
    7. 在 [通道加密 (Tunnel Encryption)] 下,選取 AES 128。
    8. 在 [通道摘要演算法 (Tunnel Digest Algorithm)] 下,選取 SHA1。
    9. 請確定 [完全正向加密 (Perfect Forward Secrecy)] 設定為 [啟用 (Enabled)]。
    10. 輸入 PSK,以符合步驟 12d。
    11. 在 [IKE 加密 (IKE Encryption)] 下,選取 AES 128。
    12. 在 [IKE 摘要演算法 (IKE Digest Algorithm)] 下,選取 SHA 1。
    13. 在 [IKE 類型 (IKE Type)] 下,選取 IKEv2。
    14. 在 Diffie Hellman 下,選取 [群組 2 (Group 2)]。
    15. 按一下儲存 (Save)

  18. 組態完成後,通道會自動啟動,並將繼續與對等 (即 SD-WAN EDGE) 交涉 IKE 階段 1 和階段 2 參數。

  19. 在通道顯示 (綠色) 後,確認 SD-WAN Orchestrator 中透過 Edge 的 NSD 通道/BGP 狀態 (移至 [監控 (Monitor)] > [網路服務 (Network Services)])。

  20. 啟動從每一端連線的用戶端指向反向用戶端的 Ping,然後確認 Ping 可連線性。通道組態已完成並經過驗證。