Una VPN basada en rutas crea una interfaz de túnel IPsec y enruta el tráfico a través de ella, según lo establecido en la tabla de enrutamiento de SDDC. Una VPN basada en rutas proporciona un acceso resistente y seguro a varias subredes. Cuando se utiliza una VPN basada en rutas, se agregan nuevas rutas automáticamente cuando se crean redes nuevas.

VMware Cloud on AWS utiliza la misma dirección IP pública para todas las conexiones VPN, de manera que solo se puede crear una única conexión VPN (basada en rutas, basada en directivas o L2VPN) a una dirección IP pública remota dada.

Las VPN basadas en rutas en el SDDC de VMware Cloud on AWS utilizan un protocolo IPsec para proteger el tráfico y el protocolo de puerta de enlace de borde (Border Gateway Protocol, BGP) para detectar y propagar las rutas a medida que se crean redes nuevas. Para crear una VPN basada en rutas, configure la información de BGP de los endpoints locales (SDDC) y remotos y, a continuación, especifique los parámetros de seguridad de túnel del extremo del SDDC del túnel.

Procedimiento

  1. Inicie sesión en Consola de VMC en https://vmc.vmware.com.
  2. Haga clic en Redes y seguridad > VPN > Basada en ruta.
  3. (opcional) Cambie el número de sistema autónomo (Autonomous System Number, ASN) local predeterminado.
    De forma predeterminada, todas las VPN basadas en rutas del SDDC son ASN 65000. Si el ASN remoto de cualquier conexión de VPN configurada también tiene este valor, haga clic en EDITAR ASN LOCAL, introduzca un valor nuevo en el rango de 64521 a 65535 y haga clic en APLICAR.
  4. Haga clic en AGREGAR VPN y asigne un Nombre a la nueva VPN.
  5. Seleccione una Dirección IP local del menú desplegable.
  6. En IP pública remota, introduzca la dirección IP del endpoint de VPN local.
    Se trata de la dirección del dispositivo que inicia o responde a las solicitudes de IPsec para esta VPN. Esta dirección debe cumplir los siguientes requisitos:
    • No debe estar en uso para otra VPN. VMware Cloud on AWS utiliza la misma dirección IP pública para todas las conexiones VPN, de manera que solo se puede crear una única conexión VPN (basada en rutas, basada en directivas o L2VPN) a una dirección IP pública remota dada.
    • Se debe poder acceder a ella a través de Internet si especificó una dirección IP pública en Paso 5.
    • Se debe poder acceder a ella a través de Direct Connect en una VIF privada si se especificó una dirección IP privada en Paso 5.
    Las reglas de firewall de puerta de enlace predeterminadas permiten el tráfico entrante y saliente a través de la conexión VPN, pero se deben crear otras reglas de firewall para administrar el tráfico a través del túnel VPN.
  7. En Longitud de prefijo/IP local de BGP, introduzca la dirección IP (en formato CIDR) del túnel VPN local.

    Elija una red cuyo tamaño sea /30 a partir de la subred 169.254.0.0/16. La segunda y la tercera IP en este rango se configuran como las interfaces de túnel VPN (VPN Tunnel Interface, VTI) remotas y locales. Por ejemplo, en el bloque CIDR 169.254.111.0/30 (rango de direcciones 169.254.111.0-169.254.111.3), la interfaz local (SDDC) es 169.254.111.2/30 y la interfaz remota es 169.254.111.1/30.

    Nota:
    Las siguientes redes están reservadas para uso interno. La red que especificó en Longitud de prefijo/IP local de BGP no debe superponerse a ninguna de ellas.
    • 169.254.0.2/28
    • 169.254.10.1/24
    • 169.254.11.1/24
    • 169.254.12.1/24
    • 169.254.13.1/24
    • 169.254.101.253/30
    • 100.64.0.0/10 (reservada para NAT de nivel de operador según RFC 6598)

    Si no puede utilizar una red de la subred 169.254.0.0/16 (porque exista un conflicto con una red existente), debe crear una regla de firewall que permita el tráfico desde el servicio BGP a la subred que seleccione aquí. Consulte Agregar o modificar reglas de firewall de puerta de enlace de cómputo.

  8. En IP remota de BGP, introduzca la dirección de la interfaz BGP de la puerta de enlace de VPN local.
    Esta dirección debe ser una IP de host válida en la subred definida por la longitud de prefijo e IP que proporcionó en Paso 7, y debe ser distinta de la IP local de BGP.
  9. En ASN remoto de BGP, introduzca el ASN de la puerta de enlace de VPN local.
  10. Configure los Parámetros de túnel avanzados.
    Opción Descripción
    Cifrado de túnel Seleccione un cifrado de asociación de seguridad (Security Association, SA) de fase 2 que sea compatible con la puerta de enlace de VPN local.
    Algoritmo de resumen de túnel Seleccione un algoritmo de resumen de fase 2 que sea compatible con la puerta de enlace de VPN local.
    Nota:

    Si especifica un cifrado basado en GCM en Cifrado de túnel, establezca Algoritmo de resumen de túnel en Ninguno. La función de resumen es fundamental en el cifrado de GCM.

    Confidencialidad directa total Habilite o deshabilite esta opción para que coincida con la configuración de la puerta de enlace de VPN local. Habilitar la confidencialidad directa total evita que se descifren las sesiones (anteriores) registradas si la clave privada se ve comprometida en algún momento.
    Clave compartida previamente Introduzca la cadena de clave compartida previamente.

    La longitud de clave máxima es de 128 caracteres. Esta clave debe ser idéntica en ambos extremos del túnel VPN.

    IP privada remota Deje este campo en blanco para utilizar la IP pública remota como el identificador remoto para la negociación de IKE. Si la puerta de enlace de VPN local está detrás de un dispositivo NAT o utiliza una dirección IP diferente para su identificador local, debe introducir esa dirección IP aquí.
    Cifrado de IKE Seleccione un cifrado (IKE) de fase 1 que sea compatible con la puerta de enlace de VPN local.
    Algoritmo de resumen de IKE Seleccione un algoritmo de resumen de fase 1 que sea compatible con la puerta de enlace de VPN local. La práctica recomendada consiste en utilizar el mismo algoritmo en Algoritmo de resumen de IKE y en Algoritmo de resumen de túnel.
    Nota:

    Si especifica un cifrado basado en GCM en Cifrado de IKE, establezca Algoritmo de resumen de IKE en Ninguno. La función de resumen es fundamental en el cifrado de GCM. Si usa un cifrado basado en GCM, debe usar IKE V2

    .
    Tipo de IKE
    • Especifique IKE V1 para iniciar y aceptar el protocolo IKEv1.
    • Especifique IKE V2 para iniciar y aceptar el protocolo IKEv2. Deberá usar IKEv2 si especificó un Algoritmo de resumen de IKE basado en GCM.
    • Especifique IKE FLEX para aceptar IKEv1 o IKEv2 y, a continuación, inicie con IKEv2. Si se produce un error en el inicio con IKEv2, IKE FLEX no revertirá a IKEv1.
    Diffie-Hellman Seleccione un grupo Diffie-Hellman que sea compatible con la puerta de enlace de VPN local. Este valor debe ser idéntico en ambos extremos del túnel VPN. Los números de grupo más altos ofrecen una mejor protección. Se recomienda seleccionar el grupo 14 o superior.
  11. (opcional) En Parámetros de BGP avanzados, introduzca un Secreto de BGP que coincida con el que utiliza la puerta de enlace local.
  12. (opcional) Etiquete la VPN.

    Consulte Agregar etiquetas a un objeto para obtener más información sobre el etiquetado de objetos de NSX-T.

  13. Haga clic en GUARDAR.

Resultados

El proceso de creación de la VPN puede tardar unos minutos. Cuando la VPN basada en rutas pasa a estar disponible, se muestran el estado del túnel y el estado de la sesión de BGP. Las siguientes acciones están disponibles para ayudarle a solucionar problemas y a configurar el extremo local de la VPN:
  • Haga clic en DESCARGAR CONFIGURACIÓN para descargar un archivo que contiene detalles de configuración de la VPN. Puede utilizar estos detalles para configurar el extremo local de esta VPN.
  • Haga clic en VER ESTADÍSTICAS para ver las estadísticas de tráfico de paquetes de esta VPN. Consulte Ver estadísticas y estado del túnel VPN.
  • Haga clic en VER RUTAS para abrir una pantalla de rutas anunciadas y conocidas por esta VPN.
  • Haga clic en DESCARGAR RUTAS para descargar una lista de rutas anunciadas o rutas aprendidas en formato CSV.

Qué hacer a continuación

Cree o actualice las reglas de firewall según corresponda. Para permitir el tráfico a través de la VPN basada en rutas, especifique Interfaz de túnel VPN en el campo Se aplica a. La opción Todos los vínculos superiores no incluye el túnel VPN enrutado.