Ein routenbasiertes VPN erstellt eine IPSec-Tunnelschnittstelle und leitet den Datenverkehr entsprechend der SDDC-Routing-Tabelle weiter. Ein routenbasiertes VPN bietet zuverlässigen und sicheren Zugriff auf mehrere Subnetze. Wenn Sie ein routenbasiertes VPN verwenden, werden neue Routen automatisch hinzugefügt, wenn neue Netzwerke erstellt werden.

VMware Cloud on AWS verwendet für alle VPN-Verbindungen dieselbe öffentliche IP-Adresse. Es kann also nur eine einzelne VPN-Verbindung (routenbasiert, richtlinienbasiert oder L2VPN) für eine bestimmte öffentliche Remote-IP-Adresse erstellt werden.

Routenbasierte VPNs in Ihrem VMware Cloud on AWS-SDDC verwenden ein IPSec-Protokoll zur Sicherung des Datenverkehrs und das Border Gateway Protocol (BGP), um Routen zu erkennen und zu propagieren, wenn neue Netzwerke erstellt werden. Um ein routenbasiertes VPN zu erstellen, konfigurieren Sie die BGP-Informationen für den lokalen Endpoint (SDDC) und den Remote-Endpoint (lokal) und geben Sie dann die Tunnelsicherheitsparameter für das SDDC-Ende des Tunnels an.

Prozedur

  1. Melden Sie sich bei der VMC Console unter https://vmc.vmware.com an.
  2. Klicken Sie auf Netzwerk und Sicherheit > VPN > Routenbasiert.
  3. (Optional) Ändern Sie die standardmäßige lokale autonome Systemnummer (ASN).
    Alle routenbasierten VPNs in der SDDC sind standardmäßig auf ASN 65000 eingestellt. Wenn die Remote-ASN für eine konfigurierte VPN-Verbindung ebenfalls diesen Wert aufweist, klicken Sie auf LOKALE ASN BEARBEITEN, geben Sie einen neuen Wert im Bereich 64521 bis 65535 ein und klicken Sie auf ÜBERNEHMEN.
  4. Klicken Sie auf VPN HINZUFÜGEN und geben Sie dem neuen VPN einen Namen.
  5. Wählen Sie im Dropdown-Menü Lokale IP-Adresse aus.
  6. Geben Sie im Feld Öffentliche Remote-IP-Adresse die Adresse Ihres lokalen VPN-Endpoints ein.
    Dies ist die Adresse des Geräts, das IPSec-Anforderungen für dieses VPN initiiert oder darauf antwortet. Diese Adresse muss die folgenden Anforderungen erfüllen:
    • Sie darf nicht bereits für ein anderes VPN verwendet werden. VMware Cloud on AWS verwendet für alle VPN-Verbindungen dieselbe öffentliche IP-Adresse. Es kann also nur eine einzelne VPN-Verbindung (routenbasiert, richtlinienbasiert oder L2VPN) für eine bestimmte öffentliche Remote-IP-Adresse erstellt werden.
    • Sie muss über das Internet erreichbar sein, wenn Sie eine öffentliche IP-Adresse in Schritt 5 angegeben haben.
    • Sie muss über Direct Connect zu einem privaten VIF erreichbar sein, wenn Sie in Schritt 5 eine private IP-Adresse angegeben haben.
    Standard-Gateway-Firewallregeln ermöglichen eingehenden und ausgehenden Datenverkehr über die VPN-Verbindung, aber Sie müssen Firewallregeln erstellen, um den Datenverkehr über den VPN-Tunnel zu verwalten.
  7. Geben Sie für Lokale BGP-IP/Präfixlänge die IP-Adresse im CIDR-Format des lokalen VPN-Tunnels ein.

    Wählen Sie aus dem Subnetz 169.254.0.0/16 ein Netzwerk mit der Größe von /30 aus. Die zweite und die dritte IP-Adresse in diesem Bereich sind als die Remote- und die lokale VTI (VPN-Tunnelschnittstelle) konfiguriert. Beispiel: Im CIDR-Block 169.254.111.0/30 (Adressbereich 169.254.111.0–169.254.111.3) ist die lokale Schnittstelle (SDDC) 169.254.111.2/30 und die Remote-Schnittstelle (lokal) 169.254.111.1/30.

    Hinweis:
    Die folgenden Netzwerke sind für die interne Verwendung reserviert. Das Netzwerk, das Sie für Lokale BGP-IP/Präfixlänge angeben, darf sich nicht mit ihnen überlappen.
    • 169.254.0.2/28
    • 169.254.10.1/24
    • 169.254.11.1/24
    • 169.254.12.1/24
    • 169.254.13.1/24
    • 169.254.101.253/30
    • 100.64.0.0/10 (reserviert für Carrier-Grade-NAT gemäß RFC 6598.)

    Wenn Sie (aufgrund eines Konflikts mit einem vorhandenen Netzwerk) kein Netzwerk aus dem Subnetz 169.254.0.0/16 verwenden können, müssen Sie eine Firewallregel erstellen, die Datenverkehr vom BGP-Dienst zu dem Subnetz zulässt, das Sie hier auswählen. Weitere Informationen hierzu finden Sie unter Hinzufügen oder Ändern von Firewallregeln für das Computing-Gateway.

  8. Geben Sie als Remote-BGP-IP die BGP-Schnittstellenadresse Ihres lokalen VPN-Gateways ein.
    Diese Adresse muss eine gültige Host-IP-Adresse auf dem Subnetz sein, das durch die in Schritt 7 angegebene IP- und Präfixlänge definiert wurde, und darf nicht mit der lokalen BGP-IP-Adresse identisch sein.
  9. Geben Sie als Remote-BGP-ASN die ASN Ihres lokalen VPN-Gateways ein.
  10. Konfigurieren Sie Erweiterte Tunnelparameter.
    Option Beschreibung
    Tunnelverschlüsselung Wählen Sie eine Sicherheitsverbindung der Phase 2 aus, die von Ihrem lokalen VPN-Gateway unterstützt wird.
    Tunnel-Digest-Algorithmus Wählen Sie einen Digest-Algorithmus der Phase 2 aus, der von Ihrem lokalen VPN-Gateway unterstützt wird.
    Hinweis:

    Wenn Sie eine GCM-basierte Verschlüsselung für Tunnelverschlüsselung angeben, legen Sie Tunnel-Digest-Algorithmus auf Keiner fest. Die Digest-Funktion ist integraler Bestandteil der GCM-Verschlüsselung.

    Perfect Forward Secrecy Aktivieren oder deaktivieren Sie die Option entsprechend der Einstellung Ihres lokalen VPN-Gateways. Durch die Aktivierung von Perfect Forward Secrecy wird verhindert, dass aufgezeichnete (vergangene) Sitzungen entschlüsselt werden, wenn der private Schlüssel jemals gefährdet sein sollte.
    Pre-Shared Key Geben Sie die Zeichenfolge für den Pre-Shared Key ein.

    Die maximale Schlüssellänge beträgt 128 Zeichen. Dieser Schlüssel muss für beide Enden des VPN-Tunnels identisch sein.

    Private Remote-IP-Adresse Lassen Sie dieses Feld leer, um die Öffentliche Remote-IP als Remote-ID für die IKE-Verhandlung zu verwenden. Wenn sich Ihr lokales VPN-Gateway hinter einem NAT-Gerät befindet und/oder eine andere IP-Adresse als lokale ID verwendet, müssen Sie diese IP-Adresse hier eingeben.
    IKE-Verschlüsselung Wählen Sie eine Verschlüsselung der Phase 1 (IKE) aus, die von Ihrem lokalen VPN-Gateway unterstützt wird.
    IKE-Digest-Algorithmus Wählen Sie einen Digest-Algorithmus der Phase 1 aus, der von Ihrem lokalen VPN-Gateway unterstützt wird. Es wird empfohlen, denselben Algorithmus sowohl für den IKE-Digest-Algorithmus als auch für den Tunnel-Digest-Algorithmus zu verwenden.
    Hinweis:

    Wenn Sie eine GCM-basierte Verschlüsselung für IKE-Verschlüsselung angeben, legen Sie IKE-Digest-Algorithmus auf Keiner fest. Die Digest-Funktion ist integraler Bestandteil der GCM-Verschlüsselung. Sie müssen IKE V2 verwenden, wenn Sie eine GCM-basierte Verschlüsselung verwenden

    .
    IKE-Typ
    • Geben Sie IKE V1 an, um das IKEv1-Protokoll zu initiieren und zu akzeptieren.
    • Geben Sie IKE V2 an, um das IKEv2-Protokoll zu initiieren und zu akzeptieren. Sie müssen IKEv2 verwenden, wenn Sie einen GCM-basierten IKE-Digest-Algorithmus angegeben haben.
    • Geben Sie IKE FLEX an, um entweder IKEv1 oder IKEv2 zu akzeptieren, und initiieren Sie dann mit IKEv2. Wenn die IKEv2-Initiierung fehlschlägt, greift IKE FLEX nicht auf IKEv1 zurück.
    Diffie-Hellman Wählen Sie eine Diffie-Hellman-Gruppe aus, die von Ihrem lokalen VPN-Gateway unterstützt wird. Dieser Wert muss für beide Enden des VPN-Tunnels identisch sein. Höhere Gruppennummern bieten einen besseren Schutz. Es wird empfohlen, Gruppe 14 oder höher auszuwählen.
  11. (Optional) Geben Sie unter Erweiterte BGP-Parameter einen BGP-Schlüssel ein, der mit dem vom lokalen Gateway verwendeten Schlüssel übereinstimmt.
  12. (Optional) Versehen Sie das VPN mit einem Tag.

    Weitere Informationen zum Taggen von NSX-T-Objekten finden Sie unter Hinzufügen von Tags zu einem Objekt.

  13. Klicken Sie auf SPEICHERN.

Ergebnisse

Der VPN-Erstellungsvorgang kann einige Minuten dauern. Wenn das routenbasierte VPN verfügbar wird, werden der Tunnelstatus und der BGP-Sitzungszustand angezeigt. Die folgenden Aktionen sind verfügbar, um Sie bei der Fehlerbehebung und der Konfiguration des lokalen Endes des VPN zu unterstützen:
  • Klicken Sie auf KONFIGURATION HERUNTERLADEN, um eine Datei herunterzuladen, die die VPN-Konfigurationsdetails enthält. Sie können diese Details verwenden, um ein lokales Ende dieses VPN zu konfigurieren.
  • Klicken Sie auf STATISTIKEN ANZEIGEN, um die Paketdatenverkehr-Statistiken für dieses VPN anzuzeigen. Weitere Informationen hierzu finden Sie unter Anzeigen von VPN-Tunnel-Statusinformationen und -Statistiken.
  • Klicken Sie auf ROUTEN ANZEIGEN, um eine Darstellung der von diesem VPN angekündigten und erlernten Routen zu öffnen.
  • Klicken Sie auf ROUTEN HERUNTERLADEN, um eine Liste der Angekündigten Routen oder Erlernten Routen im CSV-Format anzuzeigen.

Nächste Maßnahme

Erstellen oder aktualisieren Sie Firewallregeln nach Bedarf. Um Datenverkehr über das routenbasierte VPN zuzulassen, geben Sie VPN-Tunnelschnittstelle im Feld Angewendet auf an. Die Option Alle Uplinks umfasst nicht den VPN-Tunnel.