Ein richtlinienbasiertes VPN erstellt einen IPSec-Tunnel und eine Richtlinie, die festlegt, wie der Datenverkehr ihn verwendet. Wenn Sie ein richtlinienbasiertes VPN verwenden, müssen Sie die Routing-Tabellen an beiden Enden des Netzwerks aktualisieren, wenn neue Routen hinzugefügt werden.

1. Melden Sie sich bei der VMC Console unter https://vmc.vmware.com an.
2. Wählen Sie Netzwerk und Sicherheit > VPN > Richtlinienbasiert.
3. Klicken Sie auf VPN HINZUFÜGEN und geben Sie dem neuen VPN einen Namen und eine optionale Beschreibung.
4. Wählen Sie im Dropdown-Menü Lokale IP-Adresse aus.
   • Wenn Sie AWS Direct Connect für dieses SDDC konfiguriert haben und möchten, dass es vom VPN verwendet wird, wählen Sie die private IP-Adresse aus. Siehe Konfigurieren von Direct Connect für eine private virtuelle Schnittstelle für den Datenverkehr des SDDC-Verwaltungs- und Computing-Netzwerks. Beachten Sie, dass der VPN-Datenverkehr über Direct Connect auf die Standard-MTU von 1500 Byte beschränkt ist, selbst wenn der Link eine höhere MTU unterstützt.
   • Wählen Sie eine öffentliche IP-Adresse aus, wenn die VPN-Verbindung über das Internet hergestellt werden soll.
5. Geben Sie die Öffentliche Remote-IP-Adresse Ihres lokalen Gateways ein.
   Die Adresse darf nicht bereits für ein anderes VPN verwendet werden. VMware Cloud on AWS verwendet für alle VPN-Verbindungen dieselbe öffentliche IP-Adresse. Es kann also nur eine einzelne VPN-Verbindung (routenbasiert, richtlinienbasiert oder L2VPN) für eine bestimmte öffentliche Remote-IP-Adresse erstellt werden. Diese Adresse muss über das Internet erreichbar sein, wenn Sie eine öffentliche IP-Adresse in Schritt 4 angegeben haben. Wenn Sie eine private IP-Adresse angegeben haben, muss diese über Direct Connect an einer privaten VIF erreichbar sein. Standard-Gateway-Firewallregeln ermöglichen eingehenden und ausgehenden Datenverkehr über die VPN-Verbindung, aber Sie müssen Firewallregeln erstellen, um den Datenverkehr über den VPN-Tunnel zu verwalten.
6. (Optional) Wenn sich Ihr lokales Gateway hinter einem NAT-Gerät befindet, geben Sie die Gateway-Adresse als Private Remote-IP-Adresse ein.
   Diese IP-Adresse muss mit der lokalen Identität (IKE-ID) übereinstimmen, die vom lokalen VPN-Gateway gesendet wird. Wenn dieses Feld leer ist, wird das Feld Öffentliche Remote-IP-Adresse verwendet, um die lokale Identität des lokalen VPN-Gateways abzugleichen.
7. Geben Sie die Remotenetzwerke an, mit denen dieses VPN eine Verbindung herstellen kann.
   Diese Liste muss alle Netzwerke enthalten, die vom lokalen VPN-Gateway als lokal definiert sind.Geben Sie jedes Netzwerk im CIDR-Format ein, wobei mehrere CIDR-Blöcke durch Kommas getrennt werden.
8. Geben Sie unter Lokale Netzwerke die lokalen Netzwerke an, mit denen dieses VPN eine Verbindung herstellen kann.
   Diese Liste enthält alle gerouteten Computing-Netzwerke im SDDC sowie das gesamte Verwaltungsnetzwerk und das Appliance-Subnetz (eine Teilmenge des Verwaltungsnetzwerks, das vCenter und andere Verwaltungs-Appliances enthält, aber nicht die ESXi-Hosts). Sie enthält auch das CGW-DNS-Netzwerk, eine einzelne IP-Adresse, die für Quellanforderungen verwendet wird, die vom CGW-DNS-Dienst weitergeleitet werden.
9. Konfigurieren Sie Erweiterte Tunnelparameter.

   Option	Beschreibung
   Tunnelverschlüsselung	Wählen Sie eine Sicherheitsverbindung der Phase 2 aus, die von Ihrem lokalen VPN-Gateway unterstützt wird.
   Tunnel-Digest-Algorithmus	Wählen Sie einen Digest-Algorithmus der Phase 2 aus, der von Ihrem lokalen VPN-Gateway unterstützt wird. Hinweis: Wenn Sie eine GCM-basierte Verschlüsselung für Tunnelverschlüsselung angeben, legen Sie Tunnel-Digest-Algorithmus auf Keiner fest. Die Digest-Funktion ist integraler Bestandteil der GCM-Verschlüsselung.
   Perfect Forward Secrecy	Aktivieren oder deaktivieren Sie die Option entsprechend der Einstellung Ihres lokalen VPN-Gateways. Durch die Aktivierung von Perfect Forward Secrecy wird verhindert, dass aufgezeichnete (vergangene) Sitzungen entschlüsselt werden, wenn der private Schlüssel jemals gefährdet sein sollte.
   IKE-Verschlüsselung	Wählen Sie eine Verschlüsselung der Phase 1 (IKE) aus, die von Ihrem lokalen VPN-Gateway unterstützt wird.
   IKE-Digest-Algorithmus	Wählen Sie einen Digest-Algorithmus der Phase 1 aus, der von Ihrem lokalen VPN-Gateway unterstützt wird. Es wird empfohlen, denselben Algorithmus sowohl für den IKE-Digest-Algorithmus als auch für den Tunnel-Digest-Algorithmus zu verwenden. Hinweis: Wenn Sie eine GCM-basierte Verschlüsselung für IKE-Verschlüsselung angeben, legen Sie IKE-Digest-Algorithmus auf Keiner fest. Die Digest-Funktion ist integraler Bestandteil der GCM-Verschlüsselung. Sie müssen IKE V2 verwenden, wenn Sie eine GCM-basierte Verschlüsselung verwenden .
   IKE-Typ	Geben Sie IKE V1 an, um das IKEv1-Protokoll zu initiieren und zu akzeptieren. Geben Sie IKE V2 an, um das IKEv2-Protokoll zu initiieren und zu akzeptieren. Sie müssen IKEv2 verwenden, wenn Sie einen GCM-basierten IKE-Digest-Algorithmus angegeben haben. Geben Sie IKE FLEX an, um entweder IKEv1 oder IKEv2 zu akzeptieren, und initiieren Sie dann mit IKEv2. Wenn die IKEv2-Initiierung fehlschlägt, greift IKE FLEX nicht auf IKEv1 zurück.
   Diffie-Hellman	Wählen Sie eine Diffie-Hellman-Gruppe aus, die von Ihrem lokalen VPN-Gateway unterstützt wird. Dieser Wert muss für beide Enden des VPN-Tunnels identisch sein. Höhere Gruppennummern bieten einen besseren Schutz. Es wird empfohlen, Gruppe 14 oder höher auszuwählen.
   Pre-Shared Key	Geben Sie einen vorinstallierten Schlüssel ein, der von beiden Enden des Tunnels verwendet wird, um sich gegenseitig zu authentifizieren. Die Zeichenfolge hat eine maximale Länge von 128 Zeichen.
   Initiierungsmodus für Verbindungen	Der Initiierungsmodus für Verbindungen definiert die Richtlinie, die der lokale Endpoint bei der Tunnelerstellung verwendet. Die folgenden Modi sind verfügbar: Initiator Der Standardwert. In diesem Modus initiiert der lokale Endpoint die Erstellung des VPN-Tunnels und reagiert auf eingehende Tunneleinrichtungsanforderungen vom Peer-Gateway. On Demand In diesem Modus initiiert der lokale Endpoint die Erstellung des VPN-Tunnels, nachdem das erste Paket, das mit der Richtlinienregel übereinstimmt, empfangen wurde. Er reagiert auch auf die eingehende Initiierungsanforderung. Nur Reaktion In diesem Modus initiiert das VPN nie eine Verbindung. Die Peer-Site initiiert immer die Verbindungsanforderung, und der lokale Endpoint reagiert auf diese Verbindungsanforderung.
   TCP-MSS-Anbindung	Um die Nutzlast der maximale Segmentgröße (MSS) in der TCP-Sitzung während der IPSec-Verbindung zu reduzieren, aktivieren Sie TCP-MSS-Anbindung, wählen den Wert für die TCP-MSS-Richtung und legen optional den TCP-MSS-Wert fest. Weitere Informationen finden Sie unter Grundlegendes zur TCP-MSS-Anbindung im NSX-T Data Center-Administrationsleitfaden.

10. (Optional) Versehen Sie das VPN mit einem Tag.

    Weitere Informationen zum Taggen von NSX-T-Objekten finden Sie unter Hinzufügen von Tags zu einem Objekt im Administratorhandbuch für NSX-T Data Center.

11. Klicken Sie auf SPEICHERN.