基于路由的 VPN 会创建 IPsec 隧道接口,并按照 SDDC 路由表的指示将流量路由通过该接口。通过基于路由的 VPN,可以有弹性地安全访问多个子网。使用基于路由的 VPN 时,在创建新网络时会自动添加新的路由。

注:

本主题介绍如何创建连接到 SDDC 的默认公用或专用 IP 的基于路由的 VPN。如果您的 SDDC 具有其他 Tier-1 网关(请参见将自定义 Tier-1 网关添加到 VMware Cloud on AWS SDDC),则可以单击打开 NSX Manager,然后添加终止于这些网关的 VPN 服务。请参见NSX Data Center 管理指南》中的“添加 VPN 服务”

VMware Cloud on AWS 中,Tier-1 网关的 VPN 服务不支持 BGP。

VMware Cloud on AWS SDDC 中基于路由的 VPN 使用 IPsec 协议保护流量,使用边界网关协议 (BGP) 在添加和移除网络时发现和传播路由。要创建基于路由的 VPN,请为本地 (SDDC) 和远程(内部部署)端点配置 BGP 信息,然后为隧道的 SDDC 端指定隧道安全参数。

过程

  1. 登录到 VMware Cloud Services (https://vmc.vmware.com)。
  2. 单击清单 > SDDC,然后选择一个 SDDC 卡视图并单击查看详细信息
  3. 单击打开 NSX MANAGER,然后使用 SDDC 设置页面上显示的 NSX Manager 管理员用户帐户登录。请参见使用 NSX Manager 的 SDDC 网络管理
    也可以使用 VMware Cloud 控制台网络与安全选项卡执行此工作流。
  4. (可选) 更改默认的本地自治系统编号 (ASN)。
    SDDC 中基于路由的所有 VPN 均默认为 ASN 65000。本地 ASN 必须不同于远程 ASN。(SDDC 网络不支持要求本地和远程 ASN 相同的 iBGP。)要更改默认本地 ASN,请单击 编辑本地 ASN,输入一个 64521 到 65534(或 4200000000 到 4294967294)范围内的新值,然后单击 应用
    注: 此值中的任何更改都会影响此 SDDC 中的所有基于路由的 VPN。
  5. 单击 VPN > 基于路由 > 添加 VPN,然后为新 VPN 指定名称和可选描述
  6. 从下拉菜单中选择本地 IP 地址
    • 如果此 SDDC 是 SDDC 组的成员或已配置为使用 AWS Direct Connect,请选择专用 IP 地址以让 VPN 使用该连接,而不是通过 Internet 进行连接。请注意,通过 Direct Connect 或 VMware 受管传输网关 (VTGW) 的 VPN 流量仅限于 1500 字节的默认 MTU,即使链接支持更高 MTU 也是如此。请参见配置通过 Direct Connect 连接到专用虚拟接口以传输 SDDC 管理和计算网络流量
    • 如果希望 VPN 通过 Internet 进行连接,请选择公用 IP 地址。
  7. 对于远程公用 IP,请输入内部部署 VPN 端点的地址。
    这是对此 VPN 发起或响应 IPsec 请求的设备的地址。此地址必须满足以下要求:
    • 不得已用于其他 VPN。VMware Cloud on AWS 对所有 VPN 连接使用同一个公用 IP,因此只能创建与给定远程公用 IP 的单个 VPN 连接(基于路由、基于策略或 L2VPN)。
    • 如果在步骤 6 中指定了公用 IP,则必须可以通过 Internet 访问此地址。
    • 如果在步骤 6 中指定了专用 IP,则必须能够通过使用 VTGW 或 Direct Connect 连接到专用 VIF 来访问此地址。
    默认网关防火墙规则允许通过 VPN 连接的入站和出站流量,但您必须创建防火墙规则来管理通过 VPN 隧道的流量。
  8. 对于 BGP 本地 IP/前缀长度,请输入 169.254.0.0/16 子网中大小为 /30 的 CIDR 块中的网络地址。

    此范围中的某些块是预留块,如预留的网络地址中所述。如果无法使用 169.254.0.0/16 子网的网络(因为与现有网络存在冲突),则必须创建一个防火墙规则,以允许从 BGP 服务到在此处所选择的子网的流量。请参见添加或修改计算网关防火墙规则

    BGP 本地 IP/前缀长度同时指定了本地子网和其中的 IP 地址,因此输入的值必须是 /30 范围中的第二个或第三个地址,并包含 /30 后缀。例如,BGP 本地 IP/前缀长度 169.254.32.1/30 会创建网络 169.254.32.0,并将 169.254.32.1 分配为本地 BGP IP(也称为虚拟隧道接口或 VTI)。

  9. 对于 BGP 远程 IP,请输入在步骤 8 指定的范围内的剩余 IP 地址。
    例如,如果您指定的 BGP 本地 IP/前缀长度为 169.254.32.1/30,请对 BGP 远程 IP 使用 169.254.32.2。配置此 VPN 的本地部署端时,请将为 BGP 远程 IP 指定的 IP 地址作为其本地 BGP IP 或 VTI 地址。
  10. 对于 BGP 邻居 ASN,请输入内部部署 VPN 网关的 ASN。
  11. 选择身份验证模式
    • 对于 PSK 身份验证,输入预共享密钥字符串。最大密钥长度为 128 个字符。对于 VPN 隧道的两端,此密钥必须相同。
    • 对于基于证书的身份验证,请参见为 IPSec VPN 配置基于证书的身份验证
  12. 指定远程专用 IP
    留空可使用 远程公用 IP 作为 IKE 协商的远程 ID。如果内部部署 VPN 网关位于 NAT 设备后面,并且/或者对其本地 ID 使用不同的 IP,则需要在此处输入该 IP。
  13. 配置高级隧道参数
    参数
    IKE 配置文件 > IKE 加密 选择内部部署 VPN 网关支持的阶段 1 (IKE) 密码。
    IKE 配置文件 > IKE 摘要算法 选择内部部署 VPN 网关支持的阶段 1 摘要算法。最佳做法是对 IKE 摘要算法隧道摘要算法使用相同的算法。
    注:

    如果为 IKE 加密指定基于 GCM 的密码,请将 IKE 摘要算法设置为。摘要函数是 GCM 密码不可或缺的一部分。如果使用基于 GCM 的密码,则必须使用 IKE V2

    .
    IKE 配置文件 > IKE 版本
    • 指定 IKE V1 可启动并接受 IKEv1 协议。
    • 指定 IKE V2 可启动并接受 IKEv2 协议。如果指定了基于 GCM 的 IKE 摘要算法,则必须使用 IKEv2。
    • 指定 IKE FLEX 可接受 IKEv1 或 IKEv2,然后使用 IKEv2 启动。如果 IKEv2 启动失败,IKE FLEX 不会回退到 IKEv1。
    IKE 配置文件 > Diffie Hellman 选择内部部署 VPN 网关支持的 Diffie Hellman 组。对于 VPN 隧道的两端,此值必须相同。组编号越高,保护效果越好。最佳做法是选择组 14 或编号更高的组。
    IPSec 配置文件 > 隧道加密 选择内部部署 VPN 网关支持的阶段 2 安全关联 (SA) 密码。
    IPSec 配置文件 隧道摘要算法 选择内部部署 VPN 网关支持的阶段 2 摘要算法。
    注:

    如果为隧道加密指定基于 GCM 的密码,请将隧道摘要算法设置为。摘要函数是 GCM 密码不可或缺的一部分。

    IPSec 配置文件 > 完美前向保密 启用或禁用,以与内部部署 VPN 网关的设置相匹配。如果私钥遭到泄露,启用“完美前向保密”可防止已记录(过去)的会话被解密。
    IPSec 配置文件 > Diffie Hellman 选择内部部署 VPN 网关支持的 Diffie Hellman 组。对于 VPN 隧道的两端,此值必须相同。组编号越高,保护效果越好。最佳做法是选择组 14 或编号更高的组。
    DPD 配置文件 > DPD 探测模式 定期按需中的一个。

    对于定期 DPD 探测模式,每当达到指定的 DPD 探测间隔时间时,都会发送 DPD 探测。

    对于按需 DPD 探测模式,如果在闲置期过后未从对等站点收到 IPSec 数据包,则发送 DPD 探测。DPD 探测间隔中的值确定使用的闲置期。

    DPD 配置文件 > 重试计数 允许整数重试次数。范围 1 - 100 中的值有效。默认重试计数为 10。
    DPD 配置文件 > DPD 探测间隔 希望 NSX IKE 守护进程在发送 DPD 探测之间等待的秒数。

    对于定期 DPD 探测模式,有效值介于 3 到 360 秒之间。默认值为 60 秒。

    对于按需探查模式,有效值介于 1 到 10 秒之间。默认值为 3 秒。

    设置定期 DPD 探测模式后,IKE 守护进程会定期发送 DPD 探测。如果对等站点在半秒内做出响应,则在达到配置的 DPD 探测间隔时间之后发送下一个 DPD 探测。如果对等站点不响应,则等待半秒后再次发送 DPD 探测。如果远程对等站点继续不响应,IKE 守护进程将再次重新发送 DPD 探测,直到收到响应或达到重试计数。在声明对等站点不活动之前,IKE 守护进程会重新发送 DPD 探测,最多为重试计数属性中指定的最大次数。在声明对等站点不活动之后,NSX 会断开不活动对等站点的链路上的安全关联 (SA)。

    设置按需 DPD 模式后,只有在达到配置的 DPD 探测间隔时间后,没有收到来自对等站点的 IPSec 流量时,才发送 DPD 探测。

    DPD 配置文件 > 管理状态 要启用或禁用 DPD 配置文件,请单击管理状态开关。默认情况下,该值设置为已启用。启用 DPD 配置文件后,DPD 配置文件将用于使用 DPD 配置文件的 IPSec VPN 服务中的所有 IPSec 会话。
    TCP MSS 钳制 要在 IPsec 连接期间使用 TCP MSS 限制来减少 TCP 会话的最大分段大小 (MSS) 负载,请将此选项切换为已启用,然后选择 TCP MSS 方向TCP MSS 值(可选)。请参见NSX Data Center 管理指南》中的了解 TCP MSS 钳制
  14. (可选) 高级 BGP 参数下,输入与内部部署网关所使用的密钥匹配的 BGP 密钥
  15. (可选) 对 VPN 进行标记。

    有关为 NSX 对象添加标记的详细信息,请参见NSX Data Center 管理指南》中的将标记添加到对象

  16. 单击保存

结果

VPN 创建过程可能需要几分钟的时间。当基于路由的 VPN 可用时,将显示隧道状态和 BGP 会话状态。可以使用以下操作进行故障排除和配置 VPN 的内部部署端:
  • 单击下载配置以下载包含 VPN 配置详细信息的文件。您可以使用这些详细信息配置此 VPN 的内部部署端。
  • 单击查看统计信息以查看此 VPN 的数据包流量统计信息。请参见查看 VPN 隧道状态和统计信息
  • 单击查看路由以打开此 VPN 通告和发现的路由视图。
  • 单击下载路由以下载 CSV 格式的通告的路由发现的路由列表。

下一步做什么

根据需要创建或更新防火墙规则。要允许流量通过基于路由的 VPN,请在应用对象字段中指定 VPN 隧道接口所有上行链路选项不包含路由 VPN 隧道。