基于策略的 VPN 会创建 IPsec 隧道和指定流量如何使用该隧道的策略。如果使用基于策略的 VPN,添加新路由时,必须更新网络两端的路由表。

注:

本主题介绍如何创建连接到 SDDC 的默认公用或专用 IP 的基于策略的 VPN。如果您的 SDDC 具有其他 Tier-1 网关(请参见添加 Tier-1 网关),则可以单击打开 NSX Manager,然后添加终止于这些网关的 VPN 服务。请参见NSX Data Center 管理指南》中的“添加 VPN 服务”

VMware Cloud on AWS 中,Tier-1 网关的 VPN 服务不支持 BGP。

VMware Cloud on AWS SDDC 中的基于策略的 VPN 使用 IPsec 协议保护流量。要创建基于策略的 VPN,请配置本地 (SDDC) 端点,然后配置匹配的远程(内部部署)端点。由于每个基于策略的 VPN 必须为每个网络创建新的 IPsec 安全关联,因此在创建新的基于策略的 VPN 时,管理员必须更新内部部署和 SDDC 中的路由信息。如果 VPN 的任意一端都只有几个网络,或者您的内部部署网络硬件不支持 BGP(这是基于路由的 VPN 所必需的),则基于策略的 VPN 是一种合适的选择。

重要说明:

如果 SDDC 同时包含基于策略的 VPN 和其他连接(例如,基于路由的 VPN、DX 或 VTGW),则在这些其他连接的任何一个将默认路由 (0.0.0.0/0) 通告到 SDDC 时,通过基于策略的 VPN 进行的连接将失败。如果这些其他连接都未通告默认路由,则与 VPN 策略匹配的所有流量都将通过 VPN 进行传输,即使其他连接提供了更具体的路由也是如此。如果发生重叠,基于路由的 VPN 路由优先于基于策略的 VPN 策略匹配。

过程

  1. 登录到 VMware Cloud 控制台 (https://vmc.vmware.com)。
  2. 单击清单 > SDDC,然后选择一个 SDDC 卡视图并单击查看详细信息
  3. 单击打开 NSX MANAGER,然后使用 SDDC 设置页面上显示的 NSX Manager 管理员用户帐户登录。请参见使用 NSX Manager 的 SDDC 网络管理
    也可以使用 VMware Cloud 控制台网络与安全选项卡执行此工作流。
  4. 单击 VPN > 基于策略 > 添加 VPN,然后为新 VPN 指定名称和可选描述
  5. 从下拉菜单中选择本地 IP 地址
    • 如果此 SDDC 是 SDDC 组的成员或已配置为使用 AWS Direct Connect,请选择专用 IP 地址以让 VPN 使用该连接,而不是通过 Internet 进行连接。请注意,通过 Direct Connect 或 VMware 受管传输网关 (VTGW) 的 VPN 流量仅限于 1500 字节的默认 MTU,即使链接支持更高 MTU 也是如此。请参见配置通过 Direct Connect 连接到专用虚拟接口以传输 SDDC 管理和计算网络流量
    • 如果希望 VPN 通过 Internet 进行连接,请选择公用 IP 地址。
  6. 输入内部部署网关的远程公用 IP 地址。
    该地址不得已用于其他 VPN。 VMware Cloud on AWS 对所有 VPN 连接使用同一个公用 IP,因此只能创建与给定远程公用 IP 的单个 VPN 连接(基于路由、基于策略或 L2VPN)。如果在 步骤 5 中指定了公用 IP,则必须可通过 Internet 访问此地址。 如果指定了专用 IP,则必须可通过 Direct Connect 访问专用 VIF。默认网关防火墙规则允许通过 VPN 连接的入站和出站流量,但您必须创建防火墙规则来管理通过 VPN 隧道的流量。
  7. 指定此 VPN 可以连接到的远程网络
    此列表必须包含由内部部署 VPN 网关定义为本地的所有网络。以 CIDR 格式输入每个网络,并使用逗号分隔多个 CIDR 块。
  8. 指定此 VPN 可以连接到的本地网络
    此列表包括 SDDC 中的所有路由计算网络,以及整个管理网络和设备子网(包含 vCenter 和其他管理设备,但不包含 ESXi 主机的管理网络的子集)。它还包括 CGW DNS 网络和用于 CGW DNS 服务所转发的源请求的单个 IP 地址。
  9. 选择身份验证模式
    • 对于 PSK 身份验证,输入预共享密钥字符串。最大密钥长度为 128 个字符。对于 VPN 隧道的两端,此密钥必须相同。
    • 对于基于证书的身份验证,请参见为 IPSec VPN 配置基于证书的身份验证
  10. (可选) 如果您的内部部署网关位于 NAT 设备后面,请输入该网关地址作为远程专用 IP
    此 IP 地址必须与内部部署 VPN 网关发送的本地标识 (IKE ID) 相匹配。如果此字段为空,则 远程公用 IP 字段将用于匹配内部部署 VPN 网关的本地标识。
  11. 配置高级隧道参数
    参数
    IKE 配置文件 > IKE 加密 选择内部部署 VPN 网关支持的阶段 1 (IKE) 密码。
    IKE 配置文件 > IKE 摘要算法 选择内部部署 VPN 网关支持的阶段 1 摘要算法。最佳做法是对 IKE 摘要算法隧道摘要算法使用相同的算法。
    注:

    如果为 IKE 加密指定基于 GCM 的密码,请将 IKE 摘要算法设置为。摘要函数是 GCM 密码不可或缺的一部分。如果使用基于 GCM 的密码,则必须使用 IKE V2

    .
    IKE 配置文件 > IKE 版本
    • 指定 IKE V1 可启动并接受 IKEv1 协议。
    • 指定 IKE V2 可启动并接受 IKEv2 协议。如果指定了基于 GCM 的 IKE 摘要算法,则必须使用 IKEv2。
    • 指定 IKE FLEX 可接受 IKEv1 或 IKEv2,然后使用 IKEv2 启动。如果 IKEv2 启动失败,IKE FLEX 不会回退到 IKEv1。
    IKE 配置文件 > Diffie Hellman 选择内部部署 VPN 网关支持的 Diffie Hellman 组。对于 VPN 隧道的两端,此值必须相同。组编号越高,保护效果越好。最佳做法是选择组 14 或编号更高的组。
    IPSec 配置文件 > 隧道加密 选择内部部署 VPN 网关支持的阶段 2 安全关联 (SA) 密码。
    IPSec 配置文件 隧道摘要算法 选择内部部署 VPN 网关支持的阶段 2 摘要算法。
    注:

    如果为隧道加密指定基于 GCM 的密码,请将隧道摘要算法设置为。摘要函数是 GCM 密码不可或缺的一部分。

    IPSec 配置文件 > 完美前向保密 启用或禁用,以与内部部署 VPN 网关的设置相匹配。如果私钥遭到泄露,启用“完全向前保密”可防止已记录(过去)的会话被解密。
    IPSec 配置文件 > Diffie Hellman 选择内部部署 VPN 网关支持的 Diffie Hellman 组。对于 VPN 隧道的两端,此值必须相同。组编号越高,保护效果越好。最佳做法是选择组 14 或编号更高的组。
    DPD 配置文件 > DPD 探测模式 定期按需中的一个。

    对于定期 DPD 探测模式,每当达到指定的 DPD 探测间隔时间时,都会发送 DPD 探测。

    对于按需 DPD 探测模式,如果在闲置期过后未从对等站点收到 IPSec 数据包,则发送 DPD 探测。DPD 探测间隔中的值确定使用的闲置期。

    DPD 配置文件 > 重试计数 允许整数重试次数。范围 1 - 100 中的值有效。默认重试计数为 10。
    DPD 配置文件 > DPD 探测间隔 希望 NSX IKE 守护进程在发送 DPD 探测之间等待的秒数。

    对于定期 DPD 探测模式,有效值介于 3 到 360 秒之间。默认值为 60 秒。

    对于按需探查模式,有效值介于 1 到 10 秒之间。默认值为 3 秒。

    设置定期 DPD 探测模式后,IKE 守护进程会定期发送 DPD 探测。如果对等站点在半秒内做出响应,则在达到配置的 DPD 探测间隔时间之后发送下一个 DPD 探测。如果对等站点不响应,则等待半秒后再次发送 DPD 探测。如果远程对等站点继续不响应,IKE 守护进程将再次重新发送 DPD 探测,直到收到响应或达到重试计数。在声明对等站点不活动之前,IKE 守护进程会重新发送 DPD 探测,最多为重试计数属性中指定的最大次数。在声明对等站点不活动之后,NSX 会断开不活动对等站点的链路上的安全关联 (SA)。

    设置按需 DPD 模式后,只有在达到配置的 DPD 探测间隔时间后,没有收到来自对等站点的 IPSec 流量时,才发送 DPD 探测。

    DPD 配置文件 > 管理状态 要启用或禁用 DPD 配置文件,请单击管理状态开关。默认情况下,该值设置为已启用。启用 DPD 配置文件后,DPD 配置文件将用于使用 DPD 配置文件的 IPSec VPN 服务中的所有 IPSec 会话。
    TCP MSS 钳制 要在 IPsec 连接期间使用 TCP MSS 限制来减少 TCP 会话的最大分段大小 (MSS) 负载,请将此选项切换为已启用,然后选择 TCP MSS 方向TCP MSS 值(可选)。请参见NSX Data Center 管理指南》中的了解 TCP MSS 钳制
  12. (可选) 对 VPN 进行标记。

    有关为 NSX 对象添加标记的详细信息,请参见NSX Data Center 管理指南》中的将标记添加到对象

  13. 单击保存

结果

VPN 创建过程可能需要几分钟的时间。当基于策略的 VPN 可用时,可以使用以下操作进行故障排除和配置 VPN 的内部部署端:
  • 单击下载配置以下载包含 VPN 配置详细信息的文件。您可以使用这些详细信息配置此 VPN 的内部部署端。
  • 单击查看统计信息以查看此 VPN 的数据包流量统计信息。请参见查看 VPN 隧道状态和统计信息

下一步做什么

根据需要创建或更新防火墙规则。要允许流量通过基于策略的 VPN,请在应用对象字段中指定 Internet 接口