如果要将 VPN 连接到 Tier-1 网关,必须在网关上创建 IPsec 服务,并创建合适的 NAT 规则,以支持通过网关的 Internet 接口传输的 IPsec VPN 流量。

在 SDDC 版本 1.18 及更高版本中,可以选择创建在自定义 Tier-1 网关上终止的 VPN。当您需要为特定租户或工作组提供专用 VPN 访问时,此配置特别有用。

有关详细信息,请参见 VMware 技术区文章了解将 VPN 连接到 VMC on AWS 中客户创建的 NSX T1

前提条件

创建 NAT 或路由 Tier-1 网关。请参见将自定义 Tier-1 网关添加到 VMware Cloud on AWS SDDC

过程

  1. 登录到 VMware Cloud Services (https://vmc.vmware.com)。
  2. 单击清单 > SDDC,然后选择一个 SDDC 卡视图并单击查看详细信息
  3. 单击打开 NSX MANAGER,然后使用 SDDC 设置页面上显示的 NSX Manager 管理员用户帐户登录。
  4. (可选) 请求 VPN 端点的公用 IP 地址。
    在要从 Internet 访问此 VPN 的典型情况下,其本地端点必须是公用 IP 地址。请参见 请求或释放公用 IP 地址。对于本示例,我们将使用 93.184.216.34 作为该地址。 如果要通过 DX 或 VMware Transit Connect 访问此 VPN,可以使用 SDDC 计算网络中的任何可用 IP 地址。
    注: 无法使用管理 CIDR 的任何子网作为本地端点。
  5. 将 VPN 服务添加到 Tier-1 网关。
    单击 网络 > VPN。打开 Tier-1 选项卡,然后单击 VPN 服务 > 添加服务 > IPSec。为 IPsec 服务提供 名称,然后从下拉菜单中选择一个 Tier-1 网关。单击 保存以创建服务。
  6. 创建本地端点。
    打开 本地端点选项卡,然后单击 添加本地端点。为新的本地端点提供 名称和可选 描述。对于 VPN 服务,使用在步骤 5 中创建的 IPsec 服务的名称。对于 IP 地址,使用在 步骤 4 中请求的公用 IP 地址或 SDDC 计算网络中的任何可用地址。单击 保存以创建本地端点。
  7. 配置 VPN。
    打开 IPSec 会话选项卡,然后在 添加 IPSEC 会话下拉列表中选择 基于路由基于策略
    1. 对于 VPN 服务,使用在步骤 5 中创建的 IPsec 服务的名称。对于本地端点,使用在步骤 6 中创建的本地端点。
    2. 对于远程 IP,输入内部部署 VPN 端点的地址。
    3. 输入预共享密钥字符串。

      最大密钥长度为 128 个字符。对于 VPN 隧道的两端,此密钥必须相同。

  8. 指定远程 ID
    留空可使用 远程 IP 作为 IKE 协商的远程 ID。如果内部部署 VPN 网关位于 NAT 设备后面,并且/或者对其本地 ID 使用不同的 IP,则需要在此处输入该 IP。
  9. 配置高级隧道参数
    参数
    IKE 配置文件 > IKE 加密 选择内部部署 VPN 网关支持的阶段 1 (IKE) 密码。
    IKE 配置文件 > IKE 摘要算法 选择内部部署 VPN 网关支持的阶段 1 摘要算法。最佳做法是对 IKE 摘要算法隧道摘要算法使用相同的算法。
    注:

    如果为 IKE 加密指定基于 GCM 的密码,请将 IKE 摘要算法设置为。摘要函数是 GCM 密码不可或缺的一部分。如果使用基于 GCM 的密码,则必须使用 IKE V2

    .
    IKE 配置文件 > IKE 版本
    • 指定 IKE V1 可启动并接受 IKEv1 协议。
    • 指定 IKE V2 可启动并接受 IKEv2 协议。如果指定了基于 GCM 的 IKE 摘要算法,则必须使用 IKEv2。
    • 指定 IKE FLEX 可接受 IKEv1 或 IKEv2,然后使用 IKEv2 启动。如果 IKEv2 启动失败,IKE FLEX 不会回退到 IKEv1。
    IKE 配置文件 > Diffie Hellman 选择内部部署 VPN 网关支持的 Diffie Hellman 组。对于 VPN 隧道的两端,此值必须相同。组编号越高,保护效果越好。最佳做法是选择组 14 或编号更高的组。
    IPSec 配置文件 > 隧道加密 选择内部部署 VPN 网关支持的阶段 2 安全关联 (SA) 密码。
    IPSec 配置文件 隧道摘要算法 选择内部部署 VPN 网关支持的阶段 2 摘要算法。
    注:

    如果为隧道加密指定基于 GCM 的密码,请将隧道摘要算法设置为。摘要函数是 GCM 密码不可或缺的一部分。

    IPSec 配置文件 > 完美前向保密 启用或禁用,以与内部部署 VPN 网关的设置相匹配。如果私钥遭到泄露,启用“完美前向保密”可防止已记录(过去)的会话被解密。
    IPSec 配置文件 > Diffie Hellman 选择内部部署 VPN 网关支持的 Diffie Hellman 组。对于 VPN 隧道的两端,此值必须相同。组编号越高,保护效果越好。最佳做法是选择组 14 或编号更高的组。
    DPD 配置文件 > DPD 探测模式 定期按需中的一个。

    对于定期 DPD 探测模式,每当达到指定的 DPD 探测间隔时间时,都会发送 DPD 探测。

    对于按需 DPD 探测模式,如果在闲置期过后未从对等站点收到 IPSec 数据包,则发送 DPD 探测。DPD 探测间隔中的值确定使用的闲置期。

    DPD 配置文件 > 重试计数 允许整数重试次数。范围 1 - 100 中的值有效。默认重试计数为 10。
    DPD 配置文件 > DPD 探测间隔 希望 NSX IKE 守护进程在发送 DPD 探测之间等待的秒数。

    对于定期 DPD 探测模式,有效值介于 3 到 360 秒之间。默认值为 60 秒。

    对于按需探查模式,有效值介于 1 到 10 秒之间。默认值为 3 秒。

    设置定期 DPD 探测模式后,IKE 守护进程会定期发送 DPD 探测。如果对等站点在半秒内做出响应,则在达到配置的 DPD 探测间隔时间之后发送下一个 DPD 探测。如果对等站点不响应,则等待半秒后再次发送 DPD 探测。如果远程对等站点继续不响应,IKE 守护进程将再次重新发送 DPD 探测,直到收到响应或达到重试计数。在声明对等站点不活动之前,IKE 守护进程会重新发送 DPD 探测,最多为重试计数属性中指定的最大次数。在声明对等站点不活动之后,NSX 会断开不活动对等站点的链路上的安全关联 (SA)。

    设置按需 DPD 模式后,只有在达到配置的 DPD 探测间隔时间后,没有收到来自对等站点的 IPSec 流量时,才发送 DPD 探测。

    DPD 配置文件 > 管理状态 要启用或禁用 DPD 配置文件,请单击管理状态开关。默认情况下,该值设置为已启用。启用 DPD 配置文件后,DPD 配置文件将用于使用 DPD 配置文件的 IPSec VPN 服务中的所有 IPSec 会话。
    TCP MSS 钳制 要在 IPsec 连接期间使用 TCP MSS 限制来减少 TCP 会话的最大分段大小 (MSS) 负载,请将此选项切换为已启用,然后选择 TCP MSS 方向TCP MSS 值(可选)。请参见NSX Data Center 管理指南》中的了解 TCP MSS 钳制
  10. (可选) 对 VPN 进行标记。

    有关为 NSX 对象添加标记的详细信息,请参见NSX Data Center 管理指南》中的将标记添加到对象

  11. 单击保存以创建 VPN。
  12. 添加允许 IPsec VPN 流量通过 CGW 的 Internet 接口的计算网关防火墙规则。
    打开 网关防火墙选项卡,然后单击 计算网关。像这样的规则将可行,但其限制性可能比要用于生产用途的规则弱。考虑将 限制为您信任或控制的 CIDR 块。在本示例中,我们使用在 步骤 4 中获得的公用 IP 地址 (93.184.216.34) 作为 目标地址。
    名称 目标 服务 已应用于 操作
    VPN Access 任意 93.184.216.34 必须包括 IKE(NAT 遍历)IKE(密钥交换)IPSec VPN ESP Internet 接口 允许
  13. 创建 NAT 规则以使 VPN 的公共 IP 地址可从外部访问。
    导航到 网络 > NAT > Internet。单击 添加 NAT 规则,然后创建类似如下内容的 NAT 规则。
    名称 公用 IP 服务 公用端口 内部 IP 防火墙
    VPN Access 93.184.216.34 所有流量 任意 93.184.216.34 匹配外部地址
    该规则必须对 公用 IP 内部 IP 使用相同的地址(在本示例中为在 步骤 4 中请求的公用 IP 地址)。检查入站数据包时,防火墙必须与外部地址匹配。