基于策略的 VPN 会创建 IPsec 隧道和指定流量如何使用该隧道的策略。如果使用基于策略的 VPN,添加新路由时,必须更新网络两端的路由表。

VMware Cloud on AWS SDDC 中的基于策略的 VPN 使用 IPsec 协议保护流量。要创建基于策略的 VPN,请配置本地 (SDDC) 端点,然后配置匹配的远程(内部部署)端点。由于每个基于策略的 VPN 必须为每个网络创建新的 IPsec 安全关联,因此在创建新的基于策略的 VPN 时,管理员必须更新内部部署和 SDDC 中的路由信息。如果 VPN 的任意一端都只有几个网络,或者您的内部部署网络硬件不支持 BGP(这是基于路由的 VPN 所必需的),则基于策略的 VPN 是一种合适的选择。

过程

  1. 登录到位于 https://vmc.vmware.comVMC 控制台
  2. 选择网络和安全 > VPN > 基于策略
  3. 单击添加 VPN,并为新 VPN 指定名称和可选描述
  4. 从下拉菜单中选择本地 IP 地址
  5. 输入内部部署网关的远程公用 IP 地址。
    该地址不得已用于其他 VPN。 VMware Cloud on AWS 对所有 VPN 连接使用同一个公用 IP,因此只能创建与给定远程公用 IP 的单个 VPN 连接(基于路由、基于策略或 L2VPN)。如果在 步骤 4 中指定了公用 IP,则必须可以通过 Internet 访问此地址。如果指定了专用 IP,则必须可通过 Direct Connect 访问专用 VIF。默认网关防火墙规则允许通过 VPN 连接的入站和出站流量,但您必须创建防火墙规则来管理通过 VPN 隧道的流量。
  6. (可选) 如果您的内部部署网关位于 NAT 设备后面,请输入该网关地址作为远程专用 IP
    此 IP 地址必须与内部部署 VPN 网关发送的本地标识 (IKE ID) 相匹配。如果此字段为空,则 远程公用 IP 字段将用于匹配内部部署 VPN 网关的本地标识。
  7. 指定此 VPN 可以连接到的远程网络
    此列表必须包含由内部部署 VPN 网关定义为本地的所有网络。以 CIDR 格式输入每个网络,并使用逗号分隔多个 CIDR 块。
  8. 指定此 VPN 可以连接到的本地网络
    此列表包括 SDDC 中的所有路由计算网络,以及整个管理网络和设备子网(包含 vCenter 和其他管理设备,但不包含 ESXi 主机的管理网络的子集)。它还包括 CGW DNS 网络和用于 CGW DNS 服务所转发的源请求的单个 IP 地址。
  9. 配置高级隧道参数
    选项 描述
    隧道加密 选择内部部署 VPN 网关支持的阶段 2 安全关联 (SA) 密码。
    隧道摘要算法 选择内部部署 VPN 网关支持的阶段 2 摘要算法。
    注:

    如果为隧道加密指定基于 GCM 的密码,请将隧道摘要算法设置为。摘要函数是 GCM 密码不可或缺的一部分。

    完全向前保密 启用或禁用,以与内部部署 VPN 网关的设置相匹配。如果私钥遭到泄露,启用“完全向前保密”可防止已记录(过去)的会话被解密。
    IKE 加密 选择内部部署 VPN 网关支持的阶段 1 (IKE) 密码。
    IKE 摘要算法 选择内部部署 VPN 网关支持的阶段 1 摘要算法。最佳做法是对 IKE 摘要算法隧道摘要算法使用相同的算法。
    注:

    如果为 IKE 加密指定基于 GCM 的密码,请将 IKE 摘要算法设置为。摘要函数是 GCM 密码不可或缺的一部分。如果使用基于 GCM 的密码,则必须使用 IKE V2

    .
    IKE 类型
    • 指定 IKE V1 可启动并接受 IKEv1 协议。
    • 指定 IKE V2 可启动并接受 IKEv2 协议。如果指定了基于 GCM 的 IKE 摘要算法,则必须使用 IKEv2。
    • 指定 IKE FLEX 可接受 IKEv1 或 IKEv2,然后使用 IKEv2 启动。如果 IKEv2 启动失败,IKE FLEX 不会回退到 IKEv1。
    Diffie Hellman 选择内部部署 VPN 网关支持的 Diffie Hellman 组。对于 VPN 隧道的两端,此值必须相同。组编号越高,保护效果越好。最佳做法是选择组 14 或编号更高的组。
    预共享密钥 输入隧道两端使用的预共享密钥以相互进行身份验证。

    该字符串的最大长度为 128 个字符。

    连接启动模式 连接启动模式定义了在隧道创建过程中本地端点使用的策略。可用模式如下。
    发起者
    默认值。在此模式下,本地端点将启动 VPN 隧道创建并响应来自对等网关的入站隧道设置请求。
    按需
    在此模式下,本地端点将在收到与策略规则匹配的第一个数据包后启动 VPN 隧道创建。此外,还会响应入站启动请求。
    仅响应
    在此模式下,VPN 从不启动连接。对等站点始终发起连接请求,并且本地端点将响应该连接请求。
    TCP MSS 钳制 要在 IPSec 连接期间减少 TCP 会话的最大分段大小 (MSS) 负载,请启用 TCP MSS 钳制,选择 TCP MSS 方向值,并(可选)设置 TCP MSS 值。请参见《NSX-T Data Center 管理指南》中的了解 TCP MSS 钳制
  10. (可选) 对 VPN 进行标记。

    有关为 NSX-T 对象添加标记的详细信息,请参见《NSX-T Data Center 管理指南》中的将标记添加到对象

  11. 单击保存

结果

VPN 创建过程可能需要几分钟的时间。当基于策略的 VPN 可用时,可以使用以下操作进行故障排除和配置 VPN 的内部部署端:
  • 单击下载配置以下载包含 VPN 配置详细信息的文件。您可以使用这些详细信息配置此 VPN 的内部部署端。
  • 单击查看统计信息以查看此 VPN 的数据包流量统计信息。请参见查看 VPN 通道状态和统计信息

后续步骤

根据需要创建或更新防火墙规则。要允许流量通过基于策略的 VPN,请在应用对象字段中指定 Internet 接口