也可以使用 VMware Cloud 控制台的 网络与安全选项卡执行此工作流。

SDDC 中基于路由的所有 VPN 均默认为 ASN 65000。本地 ASN 必须不同于远程 ASN。（SDDC 网络不支持要求本地和远程 ASN 相同的 iBGP。）要更改默认本地 ASN，请单击 编辑本地 ASN，输入一个 64521 到 65534（或 4200000000 到 4294967294）范围内的新值，然后单击 应用。

• 如果此 SDDC 是 SDDC 组的成员或已配置为使用 AWS Direct Connect，请选择专用 IP 地址以让 VPN 使用该连接，而不是通过 Internet 进行连接。请注意，通过 Direct Connect 或 VMware 受管传输网关 (VTGW) 的 VPN 流量仅限于 1500 字节的默认 MTU，即使链接支持更高 MTU 也是如此。请参见配置通过 Direct Connect 连接到专用虚拟接口以传输 SDDC 管理和计算网络流量。
• 如果希望 VPN 通过 Internet 进行连接，请选择公用 IP 地址。

这是对此 VPN 发起或响应 IPsec 请求的设备的地址。此地址必须满足以下要求：

• 不得已用于其他 VPN。VMware Cloud on AWS 对所有 VPN 连接使用同一个公用 IP，因此只能创建与给定远程公用 IP 的单个 VPN 连接（基于路由、基于策略或 L2VPN）。
• 如果在步骤 6 中指定了公用 IP，则必须可以通过 Internet 访问此地址。
• 如果在步骤 6 中指定了专用 IP，则必须能够通过使用 VTGW 或 Direct Connect 连接到专用 VIF 来访问此地址。

默认网关防火墙规则允许通过 VPN 连接的入站和出站流量，但您必须创建防火墙规则来管理通过 VPN 隧道的流量。

此范围中的某些块是预留块，如预留的网络地址中所述。如果无法使用 169.254.0.0/16 子网的网络（因为与现有网络存在冲突），则必须创建一个防火墙规则，以允许从 BGP 服务到在此处所选择的子网的流量。请参见添加或修改计算网关防火墙规则。

BGP 本地 IP/前缀长度同时指定了本地子网和其中的 IP 地址，因此输入的值必须是 /30 范围中的第二个或第三个地址，并包含 /30 后缀。例如，BGP 本地 IP/前缀长度 169.254.32.1/30 会创建网络 169.254.32.0，并将 169.254.32.1 分配为本地 BGP IP（也称为虚拟隧道接口或 VTI）。

例如，如果您指定的 BGP 本地 IP/前缀长度为 169.254.32.1/30，请对 BGP 远程 IP 使用 169.254.32.2。配置此 VPN 的本地部署端时，请将为 BGP 远程 IP 指定的 IP 地址作为其本地 BGP IP 或 VTI 地址。

• 对于 PSK 身份验证，输入预共享密钥字符串。最大密钥长度为 128 个字符。对于 VPN 隧道的两端，此密钥必须相同。
• 对于基于证书的身份验证，请参见为 IPSec VPN 配置基于证书的身份验证。

留空可使用 远程公用 IP 作为 IKE 协商的远程 ID。如果内部部署 VPN 网关位于 NAT 设备后面，并且/或者对其本地 ID 使用不同的 IP，则需要在此处输入该 IP。

参数	值
IKE 配置文件 > IKE 加密	选择内部部署 VPN 网关支持的阶段 1 (IKE) 密码。
IKE 配置文件 > IKE 摘要算法	选择内部部署 VPN 网关支持的阶段 1 摘要算法。最佳做法是对 IKE 摘要算法和隧道摘要算法使用相同的算法。 注： 如果为 IKE 加密指定基于 GCM 的密码，请将 IKE 摘要算法设置为无。摘要函数是 GCM 密码不可或缺的一部分。如果使用基于 GCM 的密码，则必须使用 IKE V2 .
IKE 配置文件 > IKE 版本	指定 IKE V1 可启动并接受 IKEv1 协议。 指定 IKE V2 可启动并接受 IKEv2 协议。如果指定了基于 GCM 的 IKE 摘要算法，则必须使用 IKEv2。 指定 IKE FLEX 可接受 IKEv1 或 IKEv2，然后使用 IKEv2 启动。如果 IKEv2 启动失败，IKE FLEX 不会回退到 IKEv1。
IKE 配置文件 > Diffie Hellman	选择内部部署 VPN 网关支持的 Diffie Hellman 组。对于 VPN 隧道的两端，此值必须相同。组编号越高，保护效果越好。最佳做法是选择组 14 或编号更高的组。
IPSec 配置文件 > 隧道加密	选择内部部署 VPN 网关支持的阶段 2 安全关联 (SA) 密码。
IPSec 配置文件 隧道摘要算法	选择内部部署 VPN 网关支持的阶段 2 摘要算法。 注： 如果为隧道加密指定基于 GCM 的密码，请将隧道摘要算法设置为无。摘要函数是 GCM 密码不可或缺的一部分。
IPSec 配置文件 > 完美前向保密	启用或禁用，以与内部部署 VPN 网关的设置相匹配。如果私钥遭到泄露，启用“完美前向保密”可防止已记录（过去）的会话被解密。
IPSec 配置文件 > Diffie Hellman	选择内部部署 VPN 网关支持的 Diffie Hellman 组。对于 VPN 隧道的两端，此值必须相同。组编号越高，保护效果越好。最佳做法是选择组 14 或编号更高的组。
DPD 配置文件 > DPD 探测模式	定期或按需中的一个。 对于定期 DPD 探测模式，每当达到指定的 DPD 探测间隔时间时，都会发送 DPD 探测。 对于按需 DPD 探测模式，如果在闲置期过后未从对等站点收到 IPSec 数据包，则发送 DPD 探测。DPD 探测间隔中的值确定使用的闲置期。
DPD 配置文件 > 重试计数	允许整数重试次数。范围 1 - 100 中的值有效。默认重试计数为 10。
DPD 配置文件 > DPD 探测间隔	希望 NSX IKE 守护进程在发送 DPD 探测之间等待的秒数。 对于定期 DPD 探测模式，有效值介于 3 到 360 秒之间。默认值为 60 秒。 对于按需探查模式，有效值介于 1 到 10 秒之间。默认值为 3 秒。 设置定期 DPD 探测模式后，IKE 守护进程会定期发送 DPD 探测。如果对等站点在半秒内做出响应，则在达到配置的 DPD 探测间隔时间之后发送下一个 DPD 探测。如果对等站点不响应，则等待半秒后再次发送 DPD 探测。如果远程对等站点继续不响应，IKE 守护进程将再次重新发送 DPD 探测，直到收到响应或达到重试计数。在声明对等站点不活动之前，IKE 守护进程会重新发送 DPD 探测，最多为重试计数属性中指定的最大次数。在声明对等站点不活动之后，NSX 会断开不活动对等站点的链路上的安全关联 (SA)。 设置按需 DPD 模式后，只有在达到配置的 DPD 探测间隔时间后，没有收到来自对等站点的 IPSec 流量时，才发送 DPD 探测。
DPD 配置文件 > 管理状态	要启用或禁用 DPD 配置文件，请单击管理状态开关。默认情况下，该值设置为已启用。启用 DPD 配置文件后，DPD 配置文件将用于使用 DPD 配置文件的 IPSec VPN 服务中的所有 IPSec 会话。
TCP MSS 钳制	要在 IPsec 连接期间使用 TCP MSS 限制来减少 TCP 会话的最大分段大小 (MSS) 负载，请将此选项切换为已启用，然后选择 TCP MSS 方向和 TCP MSS 值（可选）。请参见《NSX Data Center 管理指南》中的了解 TCP MSS 钳制。

有关为 NSX 对象添加标记的详细信息，请参见《NSX Data Center 管理指南》中的将标记添加到对象。