基于路由的 VPN 会创建 IPsec 隧道接口,并按照 SDDC 路由表的指示将流量路由通过该接口。通过基于路由的 VPN,可以有弹性地安全访问多个子网。使用基于路由的 VPN 时,在创建新网络时会自动添加新的路由。

VMware Cloud on AWS SDDC 中基于路由的 VPN 使用 IPsec 协议保护流量,使用边界网关协议 (BGP) 在添加和移除网络时发现和传播路由。要创建基于路由的 VPN,请为本地 (SDDC) 和远程(内部部署)端点配置 BGP 信息,然后为隧道的 SDDC 端指定隧道安全参数。

过程

  1. 登录到位于 https://vmc.vmware.comVMC 控制台
  2. 单击网络与安全 > VPN > 基于路由
  3. (可选) 更改默认的本地自治系统编号 (ASN)。
    SDDC 中基于路由的所有 VPN 均默认为 ASN 65000。如果任何已配置 VPN 连接的远程 ASN 也具有此值,则单击 编辑本地 ASN,输入一个介于 64521 到 65535 之间的新值,然后单击 应用
    注: 此值中的任何更改都会影响此 SDDC 中的所有基于路由的 VPN。
  4. 单击添加 VPN,并为新 VPN 指定名称和可选描述
  5. 从下拉菜单中选择本地 IP 地址
  6. 对于远程公用 IP,请输入内部部署 VPN 端点的地址。
    这是对此 VPN 发起或响应 IPsec 请求的设备的地址。此地址必须满足以下要求:
    • 不得已用于其他 VPN。VMware Cloud on AWS 对所有 VPN 连接使用同一个公用 IP,因此只能创建与给定远程公用 IP 的单个 VPN 连接(基于路由、基于策略或 L2VPN)。
    • 如果在步骤 5 中指定了公用 IP,则必须可以通过 Internet 访问此地址。
    • 如果在步骤 5 中指定了专用 IP,则必须能够通过使用 Direct Connect 连接到专用 VIF 来访问此地址。
    默认网关防火墙规则允许通过 VPN 连接的入站和出站流量,但您必须创建防火墙规则来管理通过 VPN 隧道的流量。
  7. 对于 BGP 本地 IP/前缀长度,请以 CIDR 格式输入本地 VPN 隧道的 IP 地址。
    注:

    BGP 本地 IP/前缀长度指定的网络不得与预留的网络地址中列出的任何 CIDR 块重叠。

    从 169.254.0.0/16 子网中选择大小为 /30 的网络。此范围内的第二个和第三个 IP 地址配置为远程和本地 VTI(VPN 隧道接口)。例如,在 CIDR 块 169.254.111.0/30(地址范围 169.254.111.0-169.254.111.3)中,本地 (SDDC) 接口为 169.254.111.2/30,远程(内部部署)接口为 169.254.111.1/30。

    如果无法使用 169.254.0.0/16 子网的网络(因为与现有网络存在冲突),则必须创建一个防火墙规则,以允许从 BGP 服务到在此处所选择的子网的流量。请参见添加或修改计算网关防火墙规则

  8. 对于 BGP 远程 IP,输入内部部署 VPN 网关的 BGP 接口地址。
    此地址必须是您在 步骤 7 中提供的 IP 和前缀长度所定义的子网上的有效主机 IP,并且不得与 BGP 本地 IP 相同。
  9. 对于 BGP 远程 ASN,请输入内部部署 VPN 网关的 ASN。
  10. 对于 BGP 邻居 ASN,输入一个 ASN 以用作此 VPN 的出站流量的下一跃点值。
  11. 配置高级隧道参数
    选项 描述
    隧道加密 选择内部部署 VPN 网关支持的阶段 2 安全关联 (SA) 密码。
    隧道摘要算法 选择内部部署 VPN 网关支持的阶段 2 摘要算法。
    注:

    如果为隧道加密指定基于 GCM 的密码,请将隧道摘要算法设置为。摘要函数是 GCM 密码不可或缺的一部分。

    完全向前保密 启用或禁用,以与内部部署 VPN 网关的设置相匹配。如果私钥遭到泄露,启用“完全向前保密”可防止已记录(过去)的会话被解密。
    预共享密钥 输入预共享密钥字符串。

    最大密钥长度为 128 个字符。对于 VPN 隧道的两端,此密钥必须相同。

    远程专用 IP 留空可使用远程公用 IP 作为 IKE 协商的远程 ID。如果内部部署 VPN 网关位于 NAT 设备后面,并且/或者对其本地 ID 使用不同的 IP,则需要在此处输入该 IP。
    IKE 加密 选择内部部署 VPN 网关支持的阶段 1 (IKE) 密码。
    IKE 摘要算法 选择内部部署 VPN 网关支持的阶段 1 摘要算法。最佳做法是对 IKE 摘要算法隧道摘要算法使用相同的算法。
    注:

    如果为 IKE 加密指定基于 GCM 的密码,请将 IKE 摘要算法设置为。摘要函数是 GCM 密码不可或缺的一部分。如果使用基于 GCM 的密码,则必须使用 IKE V2

    .
    IKE 类型
    • 指定 IKE V1 可启动并接受 IKEv1 协议。
    • 指定 IKE V2 可启动并接受 IKEv2 协议。如果指定了基于 GCM 的 IKE 摘要算法,则必须使用 IKEv2。
    • 指定 IKE FLEX 可接受 IKEv1 或 IKEv2,然后使用 IKEv2 启动。如果 IKEv2 启动失败,IKE FLEX 不会回退到 IKEv1。
    Diffie Hellman 选择内部部署 VPN 网关支持的 Diffie Hellman 组。对于 VPN 隧道的两端,此值必须相同。组编号越高,保护效果越好。最佳做法是选择组 14 或编号更高的组。
    连接启动模式 连接启动模式定义了在隧道创建过程中本地端点使用的策略。可用模式如下。
    发起者
    默认值。在此模式下,本地端点将启动 VPN 隧道创建并响应来自对等网关的入站隧道设置请求。
    按需
    不适用于基于路由的 VPN。
    仅响应
    在此模式下,VPN 从不启动连接。对等站点始终发起连接请求,并且本地端点将响应该连接请求。
    TCP MSS 钳制 要在 IPSec 连接期间减少 TCP 会话的最大分段大小 (MSS) 负载,请启用 TCP MSS 钳制,选择 TCP MSS 方向值,并(可选)设置 TCP MSS 值。请参见《NSX-T Data Center 管理指南》中的了解 TCP MSS 钳制
  12. (可选) 高级 BGP 参数下,输入与内部部署网关所使用的密钥匹配的 BGP 密钥
  13. (可选) 对 VPN 进行标记。

    有关为 NSX-T 对象添加标记的详细信息,请参见《NSX-T Data Center 管理指南》中的将标记添加到对象

  14. 单击保存

结果

VPN 创建过程可能需要几分钟的时间。当基于路由的 VPN 可用时,将显示隧道状态和 BGP 会话状态。可以使用以下操作进行故障排除和配置 VPN 的内部部署端:
  • 单击下载配置以下载包含 VPN 配置详细信息的文件。您可以使用这些详细信息配置此 VPN 的内部部署端。
  • 单击查看统计信息以查看此 VPN 的数据包流量统计信息。请参见查看 VPN 通道状态和统计信息
  • 单击查看路由以打开此 VPN 通告和发现的路由视图。
  • 单击下载路由以下载 CSV 格式的通告的路由发现的路由列表。

后续步骤

根据需要创建或更新防火墙规则。要允许流量通过基于路由的 VPN,请在应用对象字段中指定 VPN 隧道接口所有上行链路选项不包含路由 VPN 隧道。