Una VPN basada en directivas crea un túnel IPsec y una directiva que especifica su uso por parte del tráfico. Cuando se utiliza una VPN basada en directivas, es necesario actualizar las tablas de enrutamiento en ambos extremos de la red cuando se agregan nuevas rutas.

Las VPN basadas en directivas del SDDC de VMware Cloud on AWS utilizan un protocolo IPsec para proteger el tráfico. Para crear una VPN basada en directivas, configure el endpoint local (SDDC) y, a continuación, configure el endpoint remoto correspondiente. Dado que cada VPN basada en directivas debe crear una nueva asociación de seguridad de IPsec en cada red, cuando se cree una nueva VPN basada en directivas, los administradores deben actualizar la información de enrutamiento tanto de forma local como en el SDDC. Una VPN basada en directivas puede ser una opción adecuada cuando solo hay unas pocas redes en cada extremo de la VPN, o si el hardware de red local no es compatible con BGP (cuyo uso es obligatorio en las VPN basadas en rutas).

Procedimiento

  1. Inicie sesión en Consola de VMC en https://vmc.vmware.com.
  2. Seleccione Redes y seguridad > VPN > Basada en directiva.
  3. Haga clic en AGREGAR VPN y asigne a la nueva VPN un nombre y una descripción opcional en los campos Nombre y Descripción.
  4. Seleccione una Dirección IP local del menú desplegable.
  5. Introduzca la IP pública remota de la puerta de enlace local.
    La dirección no debe estar en uso para otra VPN. VMware Cloud on AWS utiliza la misma dirección IP pública para todas las conexiones VPN, de manera que solo se puede crear una única conexión VPN (basada en rutas, basada en directivas o L2VPN) a una dirección IP pública remota dada. A esta dirección se debe poder acceder a través de Internet si especificó una dirección IP pública en Paso 4. Si especificó una dirección IP privada, debe poder accederse a ella mediante Direct Connect en una VIF privada. Las reglas de firewall de puerta de enlace predeterminadas permiten el tráfico entrante y saliente a través de la conexión VPN, pero se deben crear otras reglas de firewall para administrar el tráfico a través del túnel VPN.
  6. (opcional) Si la puerta de enlace local está detrás de un dispositivo NAT, introduzca la dirección de puerta de enlace como IP privada remota.
    Esta dirección IP debe coincidir con la identidad local (identificador de IKE) enviada por la puerta de enlace de VPN local. Si este campo está vacío, se usará el campo IP pública remota para que coincida con la identidad local de la puerta de enlace de VPN local.
  7. Especifique las Redes remotas a las que esta VPN se puede conectar.
    Esta lista debe incluir todas las redes definidas como locales por la puerta de enlace de VPN local. Introduzca cada red en formato CIDR, separando los distintos bloques CIDR con comas.
  8. Especifique las Redes locales a las que esta VPN se puede conectar.
    Esta lista incluye todas las redes de cálculo enrutadas en el SDDC, así como la red de administración completa y la subred del dispositivo (que es un subconjunto de la red de administración que incluye vCenter y otros dispositivos de administración, pero no los hosts ESXi). También incluye la red DNS de CGW, una dirección IP única que se utiliza para obtener las solicitudes reenviadas por el servicio DNS de CGW.
  9. Configure los Parámetros de túnel avanzados.
    Opción Descripción
    Cifrado de túnel Seleccione un cifrado de asociación de seguridad (Security Association, SA) de fase 2 que sea compatible con la puerta de enlace de VPN local.
    Algoritmo de resumen de túnel Seleccione un algoritmo de resumen de fase 2 que sea compatible con la puerta de enlace de VPN local.
    Nota:

    Si especifica un cifrado basado en GCM en Cifrado de túnel, establezca Algoritmo de resumen de túnel en Ninguno. La función de resumen es fundamental en el cifrado de GCM.

    Confidencialidad directa total Habilite o deshabilite esta opción para que coincida con la configuración de la puerta de enlace de VPN local. Habilitar la confidencialidad directa total evita que se descifren las sesiones (anteriores) registradas si la clave privada se ve comprometida en algún momento.
    Cifrado de IKE Seleccione un cifrado (IKE) de fase 1 que sea compatible con la puerta de enlace de VPN local.
    Algoritmo de resumen de IKE Seleccione un algoritmo de resumen de fase 1 que sea compatible con la puerta de enlace de VPN local. La práctica recomendada consiste en utilizar el mismo algoritmo en Algoritmo de resumen de IKE y en Algoritmo de resumen de túnel.
    Nota:

    Si especifica un cifrado basado en GCM en Cifrado de IKE, establezca Algoritmo de resumen de IKE en Ninguno. La función de resumen es fundamental en el cifrado de GCM. Si usa un cifrado basado en GCM, debe usar IKE V2

    .
    Tipo de IKE
    • Especifique IKE V1 para iniciar y aceptar el protocolo IKEv1.
    • Especifique IKE V2 para iniciar y aceptar el protocolo IKEv2. Deberá usar IKEv2 si especificó un Algoritmo de resumen de IKE basado en GCM.
    • Especifique IKE FLEX para aceptar IKEv1 o IKEv2 y, a continuación, inicie con IKEv2. Si se produce un error en el inicio con IKEv2, IKE FLEX no revertirá a IKEv1.
    Diffie-Hellman Seleccione un grupo Diffie-Hellman que sea compatible con la puerta de enlace de VPN local. Este valor debe ser idéntico en ambos extremos del túnel VPN. Los números de grupo más altos ofrecen una mejor protección. Se recomienda seleccionar el grupo 14 o superior.
    Clave compartida previamente Introduzca una clave previamente compartida que usen ambos extremos del túnel para autenticarse entre sí.

    Esta cadena tiene una longitud máxima de 128 caracteres.

    Modo de inicio de conexión El modo de inicio de conexión define la directiva que utiliza el endpoint local en el proceso de creación del túnel. Están disponibles los siguientes modos.
    Iniciador
    El valor predeterminado. En este modo, el endpoint local inicia la creación del túnel VPN y responde a solicitudes de configuración entrantes del túnel desde la puerta de enlace del mismo nivel.
    A petición
    En este modo, el endpoint local inicia la creación del túnel VPN después de recibir el primer paquete que coincide con la regla de la directiva. También responde a la solicitud de inicio entrante.
    Solo responder
    En este modo, la VPN nunca inicia una conexión. El sitio del mismo nivel siempre inicia la solicitud de conexión y el endpoint local responde a esa solicitud de conexión.
    Fijación de MSS de TCP Para reducir la carga útil del tamaño de segmento máximo (MSS) de la sesión de TCP durante la conexión de IPSec, habilite Fijación de MSS de TCP, seleccione el valor de dirección de MSS de TCP y, opcionalmente, establezca el valor de MSS TCP. Consulte Descripción de la fijación de MSS de TCP en la Guía de administración de NSX-T Data Center.
  10. (opcional) Etiquete la VPN.

    Consulte Agregar etiquetas a un objeto en la Guía de administración de NSX-T Data Center para obtener más información sobre cómo etiquetar objetos de NSX-T.

  11. Haga clic en GUARDAR.

Resultados

El proceso de creación de la VPN puede tardar unos minutos. Cuando la VPN basada en directivas pasa a estar disponible, las siguientes acciones están disponibles para ayudarle a solucionar problemas y a configurar el extremo local de la VPN:
  • Haga clic en DESCARGAR CONFIGURACIÓN para descargar un archivo que contiene detalles de configuración de la VPN. Puede utilizar estos detalles para configurar el extremo local de esta VPN.
  • Haga clic en VER ESTADÍSTICAS para ver las estadísticas de tráfico de paquetes de esta VPN. Consulte Ver estadísticas y estado del túnel VPN.

Qué hacer a continuación

Cree o actualice las reglas de firewall según corresponda. Para permitir el tráfico a través de la VPN basada en directivas, especifique Interfaz de Internet en el campo Se aplica a.