Una VPN basada en directivas crea un túnel IPsec y una directiva que especifica su uso por parte del tráfico. Cuando se utiliza una VPN basada en directivas, es necesario actualizar las tablas de enrutamiento en ambos extremos de la red cuando se agregan nuevas rutas.

Nota:

En este tema se explica cómo crear una VPN basada en directivas que se conecta a la IP pública o privada predeterminada del SDDC. Si tiene un SDDC con puertas de enlace de nivel 1 adicionales (consulte Agregar una puerta de enlace de nivel 1 personalizada a un SDDC de VMware Cloud on AWS), puede hacer clic en ABRIR NSX MANAGER y agregar servicios de VPN que finalicen en esas puertas de enlace. Consulte Agregar servicios VPN en la Guía de administración de NSX Data Center.

En VMware Cloud on AWS, los servicios de VPN para una puerta de enlace de nivel 1 no admiten BGP.

Las VPN basadas en directivas del SDDC de VMware Cloud on AWS utilizan un protocolo IPsec para proteger el tráfico. Para crear una VPN basada en directivas, configure el endpoint local (SDDC) y, a continuación, configure el endpoint remoto correspondiente. Dado que cada VPN basada en directivas debe crear una nueva asociación de seguridad de IPsec en cada red, cuando se cree una nueva VPN basada en directivas, los administradores deben actualizar la información de enrutamiento tanto de forma local como en el SDDC. Una VPN basada en directivas puede ser una opción adecuada cuando solo hay unas pocas redes en cada extremo de la VPN, o si el hardware de red local no es compatible con BGP (cuyo uso es obligatorio en las VPN basadas en rutas).

Importante:

Si el SDDC incluye una VPN basada en directivas y otra conexión, como una VPN basada en rutas, se producirá un error en la conectividad de DX o VTGW a través de la VPN basada en directivas si alguna de esas otras conexiones anuncia la ruta predeterminada (0.0.0.0/0) al SDDC. Si ninguna de esas otras conexiones anuncia la ruta predeterminada, todo el tráfico que cumpla la directiva de la VPN fluirá a través de la VPN, incluso si las otras conexiones proporcionan una ruta más específica. En caso de solapamiento, se prefiere una ruta de VPN basada en rutas a una coincidencia de directivas de VPN basada en directivas.

Procedimiento

  1. Inicie sesión en la Consola de VMware Cloud en https://vmc.vmware.com.
  2. Haga clic en Inventario > SDDC, seleccione una tarjeta de SDDC y haga clic en VER DETALLES.
  3. Haga clic en ABRIR NSX MANAGER e inicie sesión con la cuenta de usuario administrador de NSX Manager que se muestra en la página Configuración del SDDC. Consulte Administración de redes de SDDC con NSX Manager.
    También puede utilizar la pestaña Redes y seguridad de la Consola de VMware Cloud para este flujo de trabajo.
  4. Haga clic en VPN > Basado en directivas > AGREGAR VPN y asigne a la nueva VPN un Nombre y una Descripción.
  5. Seleccione una Dirección IP local del menú desplegable.
    • Si este SDDC es miembro de un grupo de SDDC o se configuró para usar AWS Direct Connect, seleccione la dirección IP privada para que la VPN use esa conexión en lugar de una conexión a través de Internet. Tenga en cuenta que el tráfico de VPN a través de Direct Connect o Puerta de enlace de tránsito administrada por VMware (VTGW) se limita a la MTU predeterminada de 1500 bytes, incluso si el vínculo admite una MTU superior. Consulte Configurar Direct Connect para una interfaz virtual privada para el tráfico de red de administración y de cálculo del SDDC.
    • Seleccione la dirección IP pública si desea que la VPN se conecte a través de Internet.
  6. Introduzca la IP pública remota de la puerta de enlace local.
    La dirección no debe estar en uso para otra VPN. VMware Cloud on AWS utiliza la misma dirección IP pública para todas las conexiones VPN, de manera que solo se puede crear una única conexión VPN (basada en rutas, basada en directivas o VPN de capa 2) a una dirección IP pública remota dada. A esta dirección se debe poder acceder a través de Internet si especificó una dirección IP pública en el Paso 5. Si especificó una dirección IP privada, debe poder accederse a ella mediante Direct Connect en una VIF privada. Las reglas de firewall de puerta de enlace predeterminadas permiten el tráfico entrante y saliente a través de la conexión VPN, pero se deben crear otras reglas de firewall para administrar el tráfico a través del túnel VPN.
  7. Especifique las Redes remotas a las que esta VPN se puede conectar.
    Esta lista debe incluir todas las redes definidas como locales por la puerta de enlace de VPN local. Introduzca cada red en formato CIDR, separando los distintos bloques CIDR con comas.
  8. Especifique las Redes locales a las que esta VPN se puede conectar.
    Esta lista incluye todas las redes de cálculo enrutadas en el SDDC, así como la red de administración completa y la subred del dispositivo (que es un subconjunto de la red de administración que incluye vCenter y otros dispositivos de administración, pero no los hosts ESXi). También incluye la red DNS de CGW, una dirección IP única que se utiliza para obtener las solicitudes reenviadas por el servicio DNS de CGW.
  9. Elija un Modo de autenticación.
  10. (opcional) Si la puerta de enlace local está detrás de un dispositivo NAT, introduzca la dirección de puerta de enlace como IP privada remota.
    Esta dirección IP debe coincidir con la identidad local (identificador de IKE) enviada por la puerta de enlace de VPN local. Si este campo está vacío, se usará el campo IP pública remota para que coincida con la identidad local de la puerta de enlace de VPN local.
  11. Configure los Parámetros de túnel avanzados.
    Parámetro Valor
    Perfil de IKE > Cifrado de IKE Seleccione un cifrado (IKE) de fase 1 que sea compatible con la puerta de enlace de VPN local.
    Perfil de IKE > Algoritmo de resumen de IKE Seleccione un algoritmo de resumen de fase 1 que sea compatible con la puerta de enlace de VPN local. La práctica recomendada consiste en utilizar el mismo algoritmo en Algoritmo de resumen de IKE y en Algoritmo de resumen de túnel.
    Nota:

    Si especifica un cifrado basado en GCM en Cifrado de IKE, establezca Algoritmo de resumen de IKE en Ninguno. La función de resumen es fundamental en el cifrado de GCM. Si usa un cifrado basado en GCM, debe usar IKE V2

    .
    Perfil de IKE > Versión de IKE
    • Especifique IKE V1 para iniciar y aceptar el protocolo IKEv1.
    • Especifique IKE V2 para iniciar y aceptar el protocolo IKEv2. Deberá usar IKEv2 si especificó un Algoritmo de resumen de IKE basado en GCM.
    • Especifique IKE FLEX para aceptar IKEv1 o IKEv2 y, a continuación, inicie con IKEv2. Si se produce un error en el inicio con IKEv2, IKE FLEX no revertirá a IKEv1.
    Perfil de IKE > Diffie Hellman Seleccione un grupo Diffie-Hellman que sea compatible con la puerta de enlace de VPN local. Este valor debe ser idéntico en ambos extremos del túnel VPN. Los números de grupo más altos ofrecen una mejor protección. Se recomienda seleccionar el grupo 14 o superior.
    Perfil de IPsec > Cifrado de túnel Seleccione un cifrado de asociación de seguridad (Security Association, SA) de fase 2 que sea compatible con la puerta de enlace de VPN local.
    Perfil de IPsec Algoritmo de resumen de túnel Seleccione un algoritmo de resumen de fase 2 que sea compatible con la puerta de enlace de VPN local.
    Nota:

    Si especifica un cifrado basado en GCM en Cifrado de túnel, establezca Algoritmo de resumen de túnel en Ninguno. La función de resumen es fundamental en el cifrado de GCM.

    Perfil de IPsec > Confidencialidad directa total Habilite o deshabilite esta opción para que coincida con la configuración de la puerta de enlace de VPN local. Habilitar la confidencialidad directa total evita que se descifren las sesiones (anteriores) registradas si la clave privada se ve comprometida en algún momento.
    Perfil de IPsec > Diffie Hellman Seleccione un grupo Diffie-Hellman que sea compatible con la puerta de enlace de VPN local. Este valor debe ser idéntico en ambos extremos del túnel VPN. Los números de grupo más altos ofrecen una mejor protección. Se recomienda seleccionar el grupo 14 o superior.
    Perfil de DPD > Modo de sondeo de DPD Una opción entre Periódico o A pedido.

    En un modo de sondeo de DPD periódico, se envía un sondeo de DPD cada vez que se alcanza el tiempo del intervalo de sondeo de DPD especificado.

    En un modo de sondeo de DPD a pedido, se envía un sondeo de DPD si no se recibe ningún paquete de IPsec del sitio del mismo nivel después de un periodo de inactividad. El valor de Intervalo de sondeo de DPD determina el periodo de inactividad utilizado.
    Perfil de DPD > Recuento de reintentos Número entero de reintentos permitidos. Son válidos los valores del rango 1 a 100. El recuento predeterminado de reintentos es 10.
    Perfil de DPD > Intervalo de sondeo de DPD Cantidad de segundos que desea que el daemon IKE de NSX espere entre el envío de los sondeos de DPD.

    En un modo de sondeo de DPD periódico, los valores válidos se encuentran entre 3 y 360 segundos. El valor predeterminado es 60 segundos.

    En un modo de sondeo a pedido, los valores válidos se encuentran entre 1 y 10 segundos. El valor predeterminado es 3 segundos.

    Cuando se establece el modo de sondeo de DPD periódico, el daemon IKE envía un sondeo de DPD periódicamente. Si el sitio del mismo nivel responde en medio segundo, el siguiente sondeo de DPD se envía después de alcanzar el tiempo del intervalo de sondeo de DPD configurado. Si el sitio del mismo nivel no responde, el sondeo de DPD se vuelve a enviar después de esperar medio segundo. Si el sitio remoto del mismo nivel sigue sin responder, el daemon IKE vuelve a enviar el sondeo de DPD hasta que se reciba una respuesta o hasta que se alcance el recuento de reintentos. Antes de declarar que el sitio del mismo nivel está fuera de servicio, el daemon IKE vuelve a enviar el sondeo de DPD hasta un máximo de veces especificado en la propiedad Recuento de reintentos. Después de declarar que el sitio del mismo nivel está fuera de servicio, NSX desglosa la asociación de seguridad (security association, SA) en el vínculo del sitio del mismo nivel fuera de servicio.

    Cuando se establece el modo de DPD a pedido, el sondeo de DPD se envía solo si no se recibe tráfico de IPsec desde el sitio del mismo nivel después de alcanzar el tiempo del intervalo de sondeo de DPD configurado.
    Perfil de DPD > Estado de administración Para habilitar o deshabilitar el perfil de DPD, haga clic en el botón de alternancia Estado de administración. De forma predeterminada, el valor se establece en Habilitado. Cuando el perfil de DPD está habilitado, el perfil de DPD se utiliza para todas las sesiones de IPsec en el servicio VPN de IPsec que utiliza el perfil de DPD.
    Fijación de MSS de TCP Para utilizar la Fijación de MSS de TCP para reducir la carga útil de tamaño de segmento máximo (Maximum Segment Size, MSS) de la sesión de TCP durante la conexión de IPsec, cambie esta opción a Habilitado y después seleccione Dirección de MSS de TCP y, opcionalmente, el Valor de MSS de TCP. Consulte Descripción de la fijación de MSS de TCP en la Guía de administración de NSX Data Center.
  12. (opcional) Etiquete la VPN.

    Consulte Agregar etiquetas a un objeto en la Guía de administración de NSX Data Center para obtener más información sobre cómo etiquetar objetos de NSX.

  13. Haga clic en GUARDAR.

Resultados

El proceso de creación de la VPN puede tardar unos minutos. Cuando la VPN basada en directivas pasa a estar disponible, las siguientes acciones están disponibles para ayudarle a solucionar problemas y a configurar el extremo local de la VPN:
  • Haga clic en DESCARGAR CONFIGURACIÓN para descargar un archivo que contiene detalles de configuración de la VPN. Puede utilizar estos detalles para configurar el extremo local de esta VPN.
  • Haga clic en VER ESTADÍSTICAS para ver las estadísticas de tráfico de paquetes de esta VPN. Consulte Ver estadísticas y estado del túnel VPN.

Qué hacer a continuación

Cree o actualice las reglas de firewall según corresponda. Para permitir el tráfico a través de la VPN basada en directivas, especifique Interfaz de Internet en el campo Se aplica a.