Ein routenbasiertes VPN erstellt eine IPSec-Tunnelschnittstelle und leitet den Datenverkehr entsprechend der SDDC-Routing-Tabelle weiter. Ein routenbasiertes VPN bietet zuverlässigen und sicheren Zugriff auf mehrere Subnetze. Wenn Sie ein routenbasiertes VPN verwenden, werden neue Routen automatisch hinzugefügt, wenn neue Netzwerke erstellt werden.

Hinweis:

In diesem Thema wird erläutert, wie Sie ein routenbasiertes VPN erstellen, über das eine Verbindung mit der standardmäßigen öffentlichen oder privaten IP des SDDC hergestellt wird. Wenn Sie über ein SDDC mit zusätzlichen Tier-1-Gateways verfügen (siehe Hinzufügen eines benutzerdefinierten Tier-1-Gateways zu einem VMware Cloud on AWS-SDDC), können Sie auf NSX MANAGER ÖFFNEN klicken und VPN-Dienste hinzufügen, die auf diesen Gateways beendet werden. Weitere Informationen finden Sie im Administratorhandbuch für NSX Data Center unter Hinzufügen von VPN-Diensten.

In VMware Cloud on AWS bieten VPN-Dienste für ein Tier-1-Gateway keine Unterstützung für BGP.

Routenbasierte VPNs in Ihrem VMware Cloud on AWS-SDDC verwenden ein IPSec-Protokoll zur Sicherung des Datenverkehrs und das Border Gateway Protocol (BGP), um Routen zu erkennen und zu propagieren, wenn Netzwerke hinzugefügt und entfernt werden. Um ein routenbasiertes VPN zu erstellen, konfigurieren Sie die BGP-Informationen für den lokalen Endpoint (SDDC) und den Remote-Endpoint (lokal) und geben Sie dann die Tunnelsicherheitsparameter für das SDDC-Ende des Tunnels an.

Prozedur

  1. Melden Sie sich unter https://vmc.vmware.com bei VMware Cloud Services an.
  2. Klicken Sie auf Bestandsliste > SDDCs, wählen Sie dann eine SDDC-Karte aus und klicken Sie auf DETAILS ANZEIGEN.
  3. Klicken Sie auf NSX MANAGER ÖFFNEN und melden Sie sich mit dem NSX Manager-Administratorbenutzerkonto an, das auf der SDDC-Seite Einstellungen angezeigt wird. Weitere Informationen finden Sie unter SDDC-Netzwerkverwaltung mit NSX Manager.
    Für diesen Workflow können Sie auch die VMware Cloud-Konsole-Registerkarte Netzwerk und Sicherheit verwenden.
  4. (Optional) Ändern Sie die standardmäßige lokale autonome Systemnummer (ASN).
    Alle routenbasierten VPNs in der SDDC sind standardmäßig auf ASN 65000 eingestellt. Die lokale ASN muss sich von der Remote-ASN unterscheiden. (iBGP, bei dem die lokale und die Remote-ASN übereinstimmen müssen, wird in SDDC-Netzwerken nicht unterstützt.) Um die lokale Standard-ASN zu ändern, klicken Sie auf LOKALE ASN BEARBEITEN, geben Sie einen neuen Wert im Bereich von 64521 bis 65534 (oder 4200000000 bis 4294967294) ein und klicken anschließend auf ÜBERNEHMEN.
    Hinweis: Jede Änderung dieses Werts wirkt sich auf alle routenbasierten VPNs in diesem SDDC aus.
  5. Klicken Sie auf VPN > Routenbasiert > VPN HINZUFÜGEN und legen Sie für das neue VPN einen Namen und eine optionale Beschreibung fest.
  6. Wählen Sie im Dropdown-Menü Lokale IP-Adresse aus.
    • Wenn dieses SDDC Teil einer SDDC-Gruppe ist oder konfiguriert wurde, um AWS Direct Connect zu verwenden, wählen Sie die private IP-Adresse aus, damit das VPN statt einer Internetverbindung diese Verbindung verwendet. Beachten Sie, dass der VPN-Datenverkehr über Direct Connect oder VMware Managed Transit Gateway (VTGW) auf die Standard-MTU von 1.500 Byte beschränkt ist, selbst wenn der Link eine höhere MTU unterstützt. Weitere Informationen hierzu finden Sie unter Konfigurieren von Direct Connect für eine private virtuelle Schnittstelle für den Datenverkehr des SDDC-Verwaltungs- und Computing-Netzwerks.
    • Wählen Sie die öffentliche IP-Adresse aus, wenn die VPN-Verbindung über das Internet hergestellt werden soll.
  7. Geben Sie im Feld Öffentliche Remote-IP-Adresse die Adresse Ihres lokalen VPN-Endpoints ein.
    Dies ist die Adresse des Geräts, das IPSec-Anforderungen für dieses VPN initiiert oder darauf antwortet. Diese Adresse muss die folgenden Anforderungen erfüllen:
    • Sie darf nicht bereits für ein anderes VPN verwendet werden. VMware Cloud on AWS verwendet für alle VPN-Verbindungen dieselbe öffentliche IP-Adresse. Es kann also nur eine einzelne VPN-Verbindung (routenbasiert, richtlinienbasiert oder L2VPN) für eine bestimmte öffentliche Remote-IP-Adresse erstellt werden.
    • Sie muss über das Internet erreichbar sein, wenn Sie eine öffentliche IP-Adresse in Schritt 6 angegeben haben.
    • Sie muss über das VTGW oder Direct Connect zu einer privaten VIF erreichbar sein, wenn Sie in Schritt 6 eine private IP-Adresse angegeben haben.
    Standard-Gateway-Firewallregeln ermöglichen eingehenden und ausgehenden Datenverkehr über die VPN-Verbindung, aber Sie müssen Firewallregeln erstellen, um den Datenverkehr über den VPN-Tunnel zu verwalten.
  8. Geben Sie für Lokale BGP-IP/Präfixlänge eine Netzwerkadresse aus einem CIDR-Block der Größe /30 innerhalb des Subnetzes 169.254.0.0/16 ein.

    Einige Blöcke in diesem Bereich sind reserviert, wie in Reservierte Netzwerkadressenerwähnt. Wenn Sie (aufgrund eines Konflikts mit einem vorhandenen Netzwerk) kein Netzwerk aus dem Subnetz 169.254.0.0/16 verwenden können, müssen Sie eine Firewallregel erstellen, die Datenverkehr vom BGP-Dienst zu dem Subnetz zulässt, das Sie hier auswählen. Weitere Informationen hierzu finden Sie unter Hinzufügen oder Ändern von Firewallregeln für das Computing-Gateway.

    Lokale BGP-IP/Präfixlänge gibt sowohl ein lokales Subnetz als auch eine IP-Adresse an. Daher muss der von Ihnen angegebene Wert die zweite oder dritte Adresse im Bereich /30 sein und das Suffix „/30“ enthalten. Beispiel: Wenn Lokale BGP-IP/Präfixlänge 169.254.32.1/30 lautet, wird das Netzwerk 169.254.32.0 erstellt und 169.254.32.1 als lokale BGP-IP (auch bekannt als Virtual Tunnel Interface oder VTI) zugewiesen.

  9. Geben Sie für die Remote-BGP-IP die verbleibende IP-Adresse aus dem Bereich ein, den Sie in Schritt 8festgelegt haben.
    Wenn Sie beispielsweise für Lokale BGP-IP/Präfixlänge 169.254.32.1/30 angegeben haben, verwenden Sie als Remote-BGP-IP 169.254.32.2. Verwenden Sie bei der Konfiguration des lokalen Endes dieses VPN die IP-Adresse, die Sie für die Remote-BGP-IP als lokale BGP-IP- oder VTI-Adresse angeben.
  10. Geben Sie als BGP-Nachbar-ASN die ASN Ihres lokalen VPN-Gateways ein.
  11. Wählen Sie einen Authentifizierungsmodus aus.
  12. Geben Sie die Private Remote-IP-Adresse an.
    Lassen Sie dieses Feld leer, um die Öffentliche Remote-IP als Remote-ID für die IKE-Verhandlung zu verwenden. Wenn sich Ihr lokales VPN-Gateway hinter einem NAT-Gerät befindet und/oder eine andere IP-Adresse als lokale ID verwendet, müssen Sie diese IP-Adresse hier eingeben.
  13. Konfigurieren Sie unter Erweiterte Tunnelparameter die erweiterten Tunnelparameter.
    Parameter Wert
    IKE-Profil > IKE-Verschlüsselung Wählen Sie eine Verschlüsselung der Phase 1 (IKE) aus, die von Ihrem lokalen VPN-Gateway unterstützt wird.
    IKE-Profil > IKE-Digest-Algorithmus Wählen Sie einen Digest-Algorithmus der Phase 1 aus, der von Ihrem lokalen VPN-Gateway unterstützt wird. Es wird empfohlen, denselben Algorithmus sowohl für den IKE-Digest-Algorithmus als auch für den Tunnel-Digest-Algorithmus zu verwenden.
    Hinweis:

    Wenn Sie eine GCM-basierte Verschlüsselung für IKE-Verschlüsselung angeben, legen Sie IKE-Digest-Algorithmus auf Keiner fest. Die Digest-Funktion ist integraler Bestandteil der GCM-Verschlüsselung. Sie müssen IKE V2 verwenden, wenn Sie eine GCM-basierte Verschlüsselung verwenden

    .
    IKE-Profil > IKE-Version
    • Geben Sie IKE V1 an, um das IKEv1-Protokoll zu initiieren und zu akzeptieren.
    • Geben Sie IKE V2 an, um das IKEv2-Protokoll zu initiieren und zu akzeptieren. Sie müssen IKEv2 verwenden, wenn Sie einen GCM-basierten IKE-Digest-Algorithmus angegeben haben.
    • Geben Sie IKE FLEX an, um entweder IKEv1 oder IKEv2 zu akzeptieren, und initiieren Sie dann mit IKEv2. Wenn die IKEv2-Initiierung fehlschlägt, greift IKE FLEX nicht auf IKEv1 zurück.
    IKE-Profil > Diffie Hellman Wählen Sie eine Diffie-Hellman-Gruppe aus, die von Ihrem lokalen VPN-Gateway unterstützt wird. Dieser Wert muss für beide Enden des VPN-Tunnels identisch sein. Höhere Gruppennummern bieten einen besseren Schutz. Es wird empfohlen, Gruppe 14 oder höher auszuwählen.
    IPSec-Profil > Tunnel-Verschlüsselung Wählen Sie eine Sicherheitsverbindung der Phase 2 aus, die von Ihrem lokalen VPN-Gateway unterstützt wird.
    IPSec-Profil Tunnel-Digest-Algorithmus Wählen Sie einen Digest-Algorithmus der Phase 2 aus, der von Ihrem lokalen VPN-Gateway unterstützt wird.
    Hinweis:

    Wenn Sie eine GCM-basierte Verschlüsselung für Tunnelverschlüsselung angeben, legen Sie Tunnel-Digest-Algorithmus auf Keiner fest. Die Digest-Funktion ist integraler Bestandteil der GCM-Verschlüsselung.

    IPSec-Profil > Perfect Forward Secrecy Aktivieren oder deaktivieren Sie die Option entsprechend der Einstellung Ihres lokalen VPN-Gateways. Durch die Aktivierung von Perfect Forward Secrecy wird verhindert, dass aufgezeichnete (vergangene) Sitzungen entschlüsselt werden, wenn der private Schlüssel jemals gefährdet sein sollte.
    IPSec-Profil > Diffie-Hellman Wählen Sie eine Diffie-Hellman-Gruppe aus, die von Ihrem lokalen VPN-Gateway unterstützt wird. Dieser Wert muss für beide Enden des VPN-Tunnels identisch sein. Höhere Gruppennummern bieten einen besseren Schutz. Es wird empfohlen, Gruppe 14 oder höher auszuwählen.
    DPD-Profil > DPD-Prüfmodus Entweder Periodisch oder On-Demand.

    Für einen periodischen DPD-Prüfmodus wird jedes Mal ein DPD-Prüfpunkt gesendet, wenn das angegebene DPD-Prüfintervall erreicht ist.

    Bei einem bedarfsbasierten DPD-Prüfmodus wird ein DPD-Prüfpunkt gesendet, wenn nach einem Leerlauf kein IPSec-Paket von der Peer-Site empfangen wird. Der Wert in DPD-Prüfintervall bestimmt den verwendeten Leerlaufzeitpunkt.
    DPD-Profil > Anzahl der Wiederholungen Ganzzahl für die zulässige Anzahl an Wiederholungen. Werte im Bereich 1 bis 100 sind gültig. Die Standardanzahl für Wiederholungen ist 10.
    DPD-Profil > DPD-Prüfintervall Die Anzahl der Sekunden, die der NSX IKE-Daemon zwischen dem Senden der DPD-Prüfpunkte warten soll.

    Für einen periodischen DPD-Prüfmodus liegen die gültigen Werte zwischen 3 und 360 Sekunden. Die Standardeinstellung beträgt 60 Sekunden.

    Für einen On-Demand-Prüfmodus liegen die gültigen Werte zwischen 1 und 10 Sekunden. Die Standardeinstellung beträgt 3 Sekunden.

    Wenn der periodische DPD-Prüfmodus festgelegt ist, sendet der IKE-Daemon regelmäßig einen DPD-Prüfpunkt. Wenn die Peer-Site innerhalb einer halbe Sekunde antwortet, wird der nächste DPD-Prüfpunkt gesendet, nachdem das konfigurierte DPD-Prüfintervall erreicht wurde. Wenn die Peer-Site nicht antwortet, wird der DPD-Prüfpunkt nach einer halben Sekunde Wartezeit erneut gesendet. Wenn die Remote-Peer-Site weiterhin nicht antwortet, sendet der IKE-Daemon den DPD-Prüfpunkt erneut, bis eine Antwort eingeht oder die Anzahl der Wiederholungen erreicht wurde. Bevor die Peer-Site für tot erklärt wird, sendet der IKE-Daemon den DPD-Prüfpunkt maximal so oft, wie in der Eigenschaft Anzahl der Wiederholungen angegeben. Nachdem die Peer-Site für tot erklärt wurde, bricht NSX die Sicherheitsverbindung (SA) auf dem Link des toten Peers ab.

    Wenn der bedarfsbasierte DPD-Modus festgelegt ist, wird der DPD-Prüfpunkt nur gesendet, wenn kein IPSec-Datenverkehr von der Peer-Site empfangen wird, nachdem die konfigurierte Zeit für das DPD-Prüfintervall erreicht wurde.
    DPD-Profil > Admin-Status Um das DPD-Profil zu aktivieren oder zu deaktivieren, klicken Sie auf die Umschaltoption Admin-Status. Standardmäßig ist der Wert auf Aktiviert eingestellt. Wenn das DPD-Profil aktiviert ist, wird das DPD-Profil für alle IPSec-Sitzungen im IPSec-VPN-Dienst verwendet, der das DPD-Profil verwendet.
    TCP MSS-Klemmung Um TCP-MSS-Klemmung zur Reduzierung der maximalen Segmentgröße (MSS) der Nutzlast der TCP-Sitzung während der IPsec-Verbindung zu verwenden, legen Sie diese Option auf Aktiviert fest und wählen Sie dann TCP-MSS-Richtung und optional TCP-MSS-Wert aus. Weitere Informationen finden Sie unter Grundlegendes zur TCP-MSS-Anbindung im Administratorhandbuch für NSX Data Center.
  14. (Optional) Geben Sie unter Erweiterte BGP-Parameter einen BGP-Schlüssel ein, der mit dem vom lokalen Gateway verwendeten Schlüssel übereinstimmt.
  15. (Optional) Versehen Sie das VPN mit einem Tag.

    Weitere Informationen zum Taggen von NSX-Objekten finden Sie unter Hinzufügen von Tags zu einem Objekt im Administratorhandbuch für NSX Data Center.

  16. Klicken Sie auf SPEICHERN.

Ergebnisse

Der VPN-Erstellungsvorgang kann einige Minuten dauern. Wenn das routenbasierte VPN verfügbar wird, werden der Tunnelstatus und der BGP-Sitzungszustand angezeigt. Die folgenden Aktionen sind verfügbar, um Sie bei der Fehlerbehebung und der Konfiguration des lokalen Endes des VPN zu unterstützen:
  • Klicken Sie auf KONFIGURATION HERUNTERLADEN, um eine Datei herunterzuladen, die die VPN-Konfigurationsdetails enthält. Sie können diese Details verwenden, um ein lokales Ende dieses VPN zu konfigurieren.
  • Klicken Sie auf STATISTIKEN ANZEIGEN, um die Paketdatenverkehr-Statistiken für dieses VPN anzuzeigen. Weitere Informationen hierzu finden Sie unter Anzeigen von VPN-Tunnel-Statusinformationen und -Statistiken.
  • Klicken Sie auf ROUTEN ANZEIGEN, um eine Darstellung der von diesem VPN angekündigten und erlernten Routen zu öffnen.
  • Klicken Sie auf ROUTEN HERUNTERLADEN, um eine Liste der Angekündigten Routen oder Erlernten Routen im CSV-Format anzuzeigen.

Nächste Maßnahme

Erstellen oder aktualisieren Sie Firewallregeln nach Bedarf. Um Datenverkehr über das routenbasierte VPN zuzulassen, geben Sie VPN-Tunnelschnittstelle im Feld Angewendet auf an. Die Option Alle Uplinks umfasst nicht den VPN-Tunnel.