Crear una VPN basada en rutas

Una VPN basada en rutas crea una interfaz de túnel IPsec y enruta el tráfico a través de ella, según lo establecido en la tabla de enrutamiento de SDDC. Una VPN basada en rutas proporciona un acceso resistente y seguro a varias subredes. Cuando se utiliza una VPN basada en rutas, se agregan nuevas rutas automáticamente cuando se crean redes nuevas.

Nota:

En este tema se explica cómo crear una VPN basada en rutas que se conecte a la IP pública o privada predeterminada del SDDC. Si tiene un SDDC con puertas de enlace de nivel 1 adicionales (consulte Agregar una puerta de enlace de nivel 1 personalizada a un SDDC de VMware Cloud on AWS), puede hacer clic en ABRIR NSX MANAGER y agregar servicios de VPN que finalicen en esas puertas de enlace. Consulte Agregar servicios VPN en la Guía de administración de NSX Data Center.

En VMware Cloud on AWS, los servicios de VPN para una puerta de enlace de nivel 1 no admiten BGP.

Las VPN basadas en rutas en el SDDC de VMware Cloud on AWS utilizan un protocolo IPsec para proteger el tráfico y el protocolo de puerta de enlace de borde (Border Gateway Protocol, BGP) para detectar y propagar las rutas a medida que se agregan y eliminan redes. Para crear una VPN basada en rutas, configure la información de BGP de los endpoints locales (SDDC) y remotos y, a continuación, especifique los parámetros de seguridad de túnel del extremo del SDDC del túnel.

Procedimiento

Inicie sesión en VMware Cloud Services en https://vmc.vmware.com.
Haga clic en Inventario > SDDC, seleccione una tarjeta de SDDC y haga clic en VER DETALLES.
Haga clic en ABRIR NSX MANAGER e inicie sesión con la cuenta de usuario administrador de NSX Manager que se muestra en la página Configuración del SDDC. Consulte Administración de redes de SDDC con NSX Manager.
También puede utilizar la pestaña Redes y seguridad de la Consola de VMware Cloud para este flujo de trabajo.
(opcional) Cambie el número de sistema autónomo (Autonomous System Number, ASN) local predeterminado.
De forma predeterminada, todas las VPN basadas en rutas del SDDC son ASN 65000. El ASN local debe ser diferente del remoto. (iBGP, que requiere que los ASN locales y remotos sean iguales, no se admite en las redes de SDDC). Para cambiar el ASN local, haga clic en EDITAR ASN LOCAL, introduzca un nuevo valor en el rango de 64521 a 65534 (o de 4200000000 a 4294967294) y haga clic en APLICAR.
Nota: Cualquier cambio en este valor afecta a todas las VPN basadas en rutas en este SDDC.
Haga clic en VPN > Basado en ruta > AGREGAR VPN y asigne a la nueva VPN un Nombre y una Descripción.
Seleccione una Dirección IP local del menú desplegable.
- Si este SDDC es miembro de un grupo de SDDC o se configuró para usar AWS Direct Connect, seleccione la dirección IP privada para que la VPN use esa conexión en lugar de una conexión a través de Internet. Tenga en cuenta que el tráfico de VPN a través de Direct Connect o Puerta de enlace de tránsito administrada por VMware (VTGW) se limita a la MTU predeterminada de 1500 bytes, incluso si el vínculo admite una MTU superior. Consulte Configurar Direct Connect para una interfaz virtual privada para el tráfico de red de administración y de cálculo del SDDC.
- Seleccione la dirección IP pública si desea que la VPN se conecte a través de Internet.
En IP pública remota, introduzca la dirección IP del endpoint de VPN local.
Se trata de la dirección del dispositivo que inicia o responde a las solicitudes de IPsec para esta VPN. Esta dirección debe cumplir los siguientes requisitos:
- No debe estar en uso para otra VPN. VMware Cloud on AWS utiliza la misma dirección IP pública para todas las conexiones VPN, de manera que solo se puede crear una única conexión VPN (basada en rutas, basada en directivas o VPN de capa 2) a una dirección IP pública remota dada.
- Se debe poder acceder a ella a través de Internet si especificó una dirección IP pública en Paso 6.
- Se debe poder acceder a ella a través de VTGW o Direct Connect a una VIF privada si se especificó una dirección IP privada en Paso 6.
Las reglas de firewall de puerta de enlace predeterminadas permiten el tráfico entrante y saliente a través de la conexión VPN, pero se deben crear otras reglas de firewall para administrar el tráfico a través del túnel VPN.
Para BGP Local IP/Prefix Length, introduzca una dirección de red de un bloque CIDR de tamaño /30 en la subred 169.254.0.0/16.

Algunos bloques de este rango están reservados, como se indica en Direcciones de red reservadas. Si no puede utilizar una red de la subred 169.254.0.0/16 (porque exista un conflicto con una red existente), debe crear una regla de firewall que permita el tráfico desde el servicio BGP a la subred que seleccione aquí. Consulte Agregar o modificar reglas de firewall de puerta de enlace de cómputo.

Longitud de prefijo/IP local de BGP especifica una subred local y una dirección IP, por lo que el valor que introduzca debe ser la segunda o tercera dirección en un rango de /30 e incluir el sufijo /30. Por ejemplo, un Longitud de prefijo/IP local de BGP de 169.254.32.1/30 crea la red 169.254.32.0 y asigna 169.254.32.1 como la IP de BGP local (también conocida como interfaz de túnel virtual o VTI).
Para BGP Remote IP, ingrese la dirección IP restante del rango que especificó en Paso 8.
Por ejemplo, si especificó una Longitud de prefijo/IP local de BGP de 169.254.32.1/30, use 169.254.32.2 para IP remota de BGP. Al configurar el extremo local de esta VPN, utilice la dirección IP que especifique para IP remota de BGP como su dirección IP o VTI BGP local.
En ASN vecino BGP, introduzca el ASN de la puerta de enlace de la VPN local.
Elija un Modo de autenticación.
- Para la autenticación PSK, introduzca la cadena de Clave compartida previamente. La longitud de clave máxima es de 128 caracteres. Esta clave debe ser idéntica en ambos extremos del túnel VPN.
- Para la autenticación basada en certificados, consulte Configurar la autenticación basada en certificados para una VPN de IPSec.
Especifique la IP privada remota.
Deje este campo en blanco para utilizar la IP pública remota como el identificador remoto para la negociación de IKE. Si la puerta de enlace de VPN local está detrás de un dispositivo NAT o utiliza una dirección IP diferente para su identificador local, debe introducir esa dirección IP aquí.

Configure los Parámetros de túnel avanzados.

Parámetro	Valor
Perfil de IKE > Cifrado de IKE	Seleccione un cifrado (IKE) de fase 1 que sea compatible con la puerta de enlace de VPN local.
Perfil de IKE > Algoritmo de resumen de IKE	Seleccione un algoritmo de resumen de fase 1 que sea compatible con la puerta de enlace de VPN local. La práctica recomendada consiste en utilizar el mismo algoritmo en Algoritmo de resumen de IKE y en Algoritmo de resumen de túnel. Nota: Si especifica un cifrado basado en GCM en Cifrado de IKE, establezca Algoritmo de resumen de IKE en Ninguno. La función de resumen es fundamental en el cifrado de GCM. Si usa un cifrado basado en GCM, debe usar IKE V2 .
Perfil de IKE > Versión de IKE	Especifique IKE V1 para iniciar y aceptar el protocolo IKEv1. Especifique IKE V2 para iniciar y aceptar el protocolo IKEv2. Deberá usar IKEv2 si especificó un Algoritmo de resumen de IKE basado en GCM. Especifique IKE FLEX para aceptar IKEv1 o IKEv2 y, a continuación, inicie con IKEv2. Si se produce un error en el inicio con IKEv2, IKE FLEX no revertirá a IKEv1.
Perfil de IKE > Diffie Hellman	Seleccione un grupo Diffie-Hellman que sea compatible con la puerta de enlace de VPN local. Este valor debe ser idéntico en ambos extremos del túnel VPN. Los números de grupo más altos ofrecen una mejor protección. Se recomienda seleccionar el grupo 14 o superior.
Perfil de IPsec > Cifrado de túnel	Seleccione un cifrado de asociación de seguridad (Security Association, SA) de fase 2 que sea compatible con la puerta de enlace de VPN local.
Perfil de IPsec Algoritmo de resumen de túnel	Seleccione un algoritmo de resumen de fase 2 que sea compatible con la puerta de enlace de VPN local. Nota: Si especifica un cifrado basado en GCM en Cifrado de túnel, establezca Algoritmo de resumen de túnel en Ninguno. La función de resumen es fundamental en el cifrado de GCM.
Perfil de IPsec > Confidencialidad directa total	Habilite o deshabilite esta opción para que coincida con la configuración de la puerta de enlace de VPN local. Habilitar la confidencialidad directa total evita que se descifren las sesiones (anteriores) registradas si la clave privada se ve comprometida en algún momento.
Perfil de IPsec > Diffie Hellman	Seleccione un grupo Diffie-Hellman que sea compatible con la puerta de enlace de VPN local. Este valor debe ser idéntico en ambos extremos del túnel VPN. Los números de grupo más altos ofrecen una mejor protección. Se recomienda seleccionar el grupo 14 o superior.
Perfil de DPD > Modo de sondeo de DPD	Una opción entre Periódico o A pedido. En un modo de sondeo de DPD periódico, se envía un sondeo de DPD cada vez que se alcanza el tiempo del intervalo de sondeo de DPD especificado. En un modo de sondeo de DPD a pedido, se envía un sondeo de DPD si no se recibe ningún paquete de IPsec del sitio del mismo nivel después de un periodo de inactividad. El valor de Intervalo de sondeo de DPD determina el periodo de inactividad utilizado.
Perfil de DPD > Recuento de reintentos	Número entero de reintentos permitidos. Son válidos los valores del rango 1 a 100. El recuento predeterminado de reintentos es 10.
Perfil de DPD > Intervalo de sondeo de DPD	Cantidad de segundos que desea que el daemon IKE de NSX espere entre el envío de los sondeos de DPD. En un modo de sondeo de DPD periódico, los valores válidos se encuentran entre 3 y 360 segundos. El valor predeterminado es 60 segundos. En un modo de sondeo a pedido, los valores válidos se encuentran entre 1 y 10 segundos. El valor predeterminado es 3 segundos. Cuando se establece el modo de sondeo de DPD periódico, el daemon IKE envía un sondeo de DPD periódicamente. Si el sitio del mismo nivel responde en medio segundo, el siguiente sondeo de DPD se envía después de alcanzar el tiempo del intervalo de sondeo de DPD configurado. Si el sitio del mismo nivel no responde, el sondeo de DPD se vuelve a enviar después de esperar medio segundo. Si el sitio remoto del mismo nivel sigue sin responder, el daemon IKE vuelve a enviar el sondeo de DPD hasta que se reciba una respuesta o hasta que se alcance el recuento de reintentos. Antes de declarar que el sitio del mismo nivel está fuera de servicio, el daemon IKE vuelve a enviar el sondeo de DPD hasta un máximo de veces especificado en la propiedad Recuento de reintentos. Después de declarar que el sitio del mismo nivel está fuera de servicio, NSX desglosa la asociación de seguridad (security association, SA) en el vínculo del sitio del mismo nivel fuera de servicio. Cuando se establece el modo de DPD a pedido, el sondeo de DPD se envía solo si no se recibe tráfico de IPsec desde el sitio del mismo nivel después de alcanzar el tiempo del intervalo de sondeo de DPD configurado.
Perfil de DPD > Estado de administración	Para habilitar o deshabilitar el perfil de DPD, haga clic en el botón de alternancia Estado de administración. De forma predeterminada, el valor se establece en Habilitado. Cuando el perfil de DPD está habilitado, el perfil de DPD se utiliza para todas las sesiones de IPsec en el servicio VPN de IPsec que utiliza el perfil de DPD.
Fijación de MSS de TCP	Para utilizar la Fijación de MSS de TCP para reducir la carga útil de tamaño de segmento máximo (Maximum Segment Size, MSS) de la sesión de TCP durante la conexión de IPsec, cambie esta opción a Habilitado y después seleccione Dirección de MSS de TCP y, opcionalmente, el Valor de MSS de TCP. Consulte Descripción de la fijación de MSS de TCP en la Guía de administración de NSX Data Center.

(opcional) En Parámetros de BGP avanzados, introduzca un Secreto de BGP que coincida con el que utiliza la puerta de enlace local.
(opcional) Etiquete la VPN.

Consulte Agregar etiquetas a un objeto en la Guía de administración de NSX Data Center para obtener más información sobre cómo etiquetar objetos de NSX.
Haga clic en GUARDAR.

Resultados

El proceso de creación de la VPN puede tardar unos minutos. Cuando la VPN basada en rutas pasa a estar disponible, se muestran el estado del túnel y el estado de la sesión de BGP. Las siguientes acciones están disponibles para ayudarle a solucionar problemas y a configurar el extremo local de la VPN:

Haga clic en DESCARGAR CONFIGURACIÓN para descargar un archivo que contiene detalles de configuración de la VPN. Puede utilizar estos detalles para configurar el extremo local de esta VPN.
Haga clic en VER ESTADÍSTICAS para ver las estadísticas de tráfico de paquetes de esta VPN. Consulte Ver estadísticas y estado del túnel VPN.
Haga clic en VER RUTAS para abrir una pantalla de rutas anunciadas y conocidas por esta VPN.
Haga clic en DESCARGAR RUTAS para descargar una lista de rutas anunciadas o rutas aprendidas en formato CSV.

Qué hacer a continuación

Cree o actualice las reglas de firewall según corresponda. Para permitir el tráfico a través de la VPN basada en rutas, especifique Interfaz de túnel VPN en el campo Se aplica a. La opción Todos los vínculos superiores no incluye el túnel VPN enrutado.