Una VPN basada en rutas crea una interfaz de túnel IPsec y enruta el tráfico a través de ella, según lo establecido en la tabla de enrutamiento de SDDC. Una VPN basada en rutas proporciona un acceso resistente y seguro a varias subredes. Cuando se utiliza una VPN basada en rutas, se agregan nuevas rutas automáticamente cuando se crean redes nuevas.

Las VPN basadas en rutas en el SDDC de VMware Cloud on AWS utilizan un protocolo IPsec para proteger el tráfico y el protocolo de puerta de enlace de borde (Border Gateway Protocol, BGP) para detectar y propagar las rutas a medida que se agregan y eliminan redes. Para crear una VPN basada en rutas, configure la información de BGP de los endpoints locales (SDDC) y remotos y, a continuación, especifique los parámetros de seguridad de túnel del extremo del SDDC del túnel.
Importante:

Si el SDDC incluye una VPN basada en directivas y una VPN basada en rutas, se producirá un error en la conectividad a través de la VPN basada en directivas si la VPN basada en rutas anuncia la ruta predeterminada (0.0.0.0/0) al SDDC.

Procedimiento

  1. Inicie sesión en Consola de VMC en https://vmc.vmware.com.
  2. Haga clic en Redes y seguridad > VPN > Basada en ruta.
  3. (opcional) Cambie el número de sistema autónomo (Autonomous System Number, ASN) local predeterminado.
    De forma predeterminada, todas las VPN basadas en rutas del SDDC son ASN 65000. El ASN local debe ser diferente del remoto. (iBGP, que requiere que los ASN locales y remotos sean iguales, no se admite en las redes de SDDC). Para cambiar el ASN local, haga clic en EDITAR ASN LOCAL, introduzca un nuevo valor en el rango de 64521 a 65535 (o de 4200000000 a 4294967294) y haga clic en APLICAR.
    Nota: Cualquier cambio en este valor afecta a todas las VPN basadas en rutas en este SDDC.
  4. Haga clic en AGREGAR VPN y asigne a la nueva VPN un nombre y una descripción opcional en los campos Nombre y Descripción.
  5. Seleccione una Dirección IP local del menú desplegable.
    • Si este SDDC es miembro de un grupo de SDDC o se configuró para usar AWS Direct Connect, seleccione la dirección IP privada para que la VPN use esa conexión en lugar de una conexión a través de Internet. Tenga en cuenta que el tráfico de VPN a través de Direct Connect o Puerta de enlace de tránsito administrada por VMware (VTGW) se limita a la MTU predeterminada de 1500 bytes, incluso si el vínculo admite una MTU superior. Consulte Configurar Direct Connect para una interfaz virtual privada para el tráfico de red de administración y de cálculo del SDDC.
    • Seleccione la dirección IP pública si desea que la VPN se conecte a través de Internet.
  6. En IP pública remota, introduzca la dirección IP del endpoint de VPN local.
    Se trata de la dirección del dispositivo que inicia o responde a las solicitudes de IPsec para esta VPN. Esta dirección debe cumplir los siguientes requisitos:
    • No debe estar en uso para otra VPN. VMware Cloud on AWS utiliza la misma dirección IP pública para todas las conexiones VPN, de manera que solo se puede crear una única conexión VPN (basada en rutas, basada en directivas o VPN de capa 2) a una dirección IP pública remota dada.
    • Se debe poder acceder a ella a través de Internet si especificó una dirección IP pública en Paso 5.
    • Se debe poder acceder a ella a través de VTGW o Direct Connect a una VIF privada si se especificó una dirección IP privada en Paso 5.
    Las reglas de firewall de puerta de enlace predeterminadas permiten el tráfico entrante y saliente a través de la conexión VPN, pero se deben crear otras reglas de firewall para administrar el tráfico a través del túnel VPN.
  7. Para BGP Local IP/Prefix Length, introduzca una dirección de red de un bloque CIDR de tamaño /30 en la subred 169.254.0.0/16.

    Algunos bloques de este rango están reservados, como se indica en Direcciones de red reservadas. Si no puede utilizar una red de la subred 169.254.0.0/16 (porque exista un conflicto con una red existente), debe crear una regla de firewall que permita el tráfico desde el servicio BGP a la subred que seleccione aquí. Consulte Agregar o modificar reglas de firewall de puerta de enlace de cómputo.

    Longitud de prefijo/IP local de BGP especifica una subred local y una dirección IP, por lo que el valor que introduzca debe ser la segunda o tercera dirección en un rango de /30 e incluir el sufijo /30. Por ejemplo, un Longitud de prefijo/IP local de BGP de 169.254.32.1/30 crea la red 169.254.32.0 y asigna 169.254.32.1 como la IP de BGP local (también conocida como interfaz de túnel virtual o VTI).

  8. Para BGP Remote IP, ingrese la dirección IP restante del rango que especificó en Paso 7.
    Por ejemplo, si especificó una Longitud de prefijo/IP local de BGP de 169.254.32.1/30, use 169.254.32.2 para IP remota de BGP. Al configurar el extremo local de esta VPN, utilice la dirección IP que especifique para IP remota de BGP como su dirección IP o VTI BGP local.
  9. En ASN vecino BGP, introduzca el ASN de la puerta de enlace de la VPN local.
  10. Configure los Parámetros de túnel avanzados.
    Opción Descripción
    Cifrado de túnel Seleccione un cifrado de asociación de seguridad (Security Association, SA) de fase 2 que sea compatible con la puerta de enlace de VPN local.
    Algoritmo de resumen de túnel Seleccione un algoritmo de resumen de fase 2 que sea compatible con la puerta de enlace de VPN local.
    Nota:

    Si especifica un cifrado basado en GCM en Cifrado de túnel, establezca Algoritmo de resumen de túnel en Ninguno. La función de resumen es fundamental en el cifrado de GCM.

    Confidencialidad directa total Habilite o deshabilite esta opción para que coincida con la configuración de la puerta de enlace de VPN local. Habilitar la confidencialidad directa total evita que se descifren las sesiones (anteriores) registradas si la clave privada se ve comprometida en algún momento.
    Clave compartida previamente Introduzca la cadena de clave compartida previamente.

    La longitud de clave máxima es de 128 caracteres. Esta clave debe ser idéntica en ambos extremos del túnel VPN.

    IP privada remota Deje este campo en blanco para utilizar la IP pública remota como el identificador remoto para la negociación de IKE. Si la puerta de enlace de VPN local está detrás de un dispositivo NAT o utiliza una dirección IP diferente para su identificador local, debe introducir esa dirección IP aquí.
    Cifrado de IKE Seleccione un cifrado (IKE) de fase 1 que sea compatible con la puerta de enlace de VPN local.
    Algoritmo de resumen de IKE Seleccione un algoritmo de resumen de fase 1 que sea compatible con la puerta de enlace de VPN local. La práctica recomendada consiste en utilizar el mismo algoritmo en Algoritmo de resumen de IKE y en Algoritmo de resumen de túnel.
    Nota:

    Si especifica un cifrado basado en GCM en Cifrado de IKE, establezca Algoritmo de resumen de IKE en Ninguno. La función de resumen es fundamental en el cifrado de GCM. Si usa un cifrado basado en GCM, debe usar IKE V2

    .
    Tipo de IKE
    • Especifique IKE V1 para iniciar y aceptar el protocolo IKEv1.
    • Especifique IKE V2 para iniciar y aceptar el protocolo IKEv2. Deberá usar IKEv2 si especificó un Algoritmo de resumen de IKE basado en GCM.
    • Especifique IKE FLEX para aceptar IKEv1 o IKEv2 y, a continuación, inicie con IKEv2. Si se produce un error en el inicio con IKEv2, IKE FLEX no revertirá a IKEv1.
    Diffie-Hellman Seleccione un grupo Diffie-Hellman que sea compatible con la puerta de enlace de VPN local. Este valor debe ser idéntico en ambos extremos del túnel VPN. Los números de grupo más altos ofrecen una mejor protección. Se recomienda seleccionar el grupo 14 o superior.
    Modo de inicio de conexión El modo de inicio de conexión define la directiva que utiliza el endpoint local en el proceso de creación del túnel. Están disponibles los siguientes modos.
    Iniciador
    El valor predeterminado. En este modo, el endpoint local inicia la creación del túnel VPN y responde a solicitudes de configuración entrantes del túnel desde la puerta de enlace del mismo nivel.
    A petición
    N/D para VPN basada en rutas.
    Solo responder
    En este modo, la VPN nunca inicia una conexión. El sitio del mismo nivel siempre inicia la solicitud de conexión y el endpoint local responde a esa solicitud de conexión.
    Fijación de MSS de TCP Para reducir la carga útil del tamaño de segmento máximo (MSS) de la sesión de TCP durante la conexión de IPsec, habilite Fijación de MSS de TCP, seleccione el valor de dirección de MSS de TCP y, opcionalmente, establezca el valor de MSS TCP. Consulte Descripción de la fijación de MSS de TCP en la Guía de administración de NSX-T Data Center.
  11. (opcional) En Parámetros de BGP avanzados, introduzca un Secreto de BGP que coincida con el que utiliza la puerta de enlace local.
  12. (opcional) Etiquete la VPN.

    Consulte Agregar etiquetas a un objeto en la Guía de administración de NSX-T Data Center para obtener más información sobre cómo etiquetar objetos de NSX-T.

  13. Haga clic en GUARDAR.

Resultados

El proceso de creación de la VPN puede tardar unos minutos. Cuando la VPN basada en rutas pasa a estar disponible, se muestran el estado del túnel y el estado de la sesión de BGP. Las siguientes acciones están disponibles para ayudarle a solucionar problemas y a configurar el extremo local de la VPN:
  • Haga clic en DESCARGAR CONFIGURACIÓN para descargar un archivo que contiene detalles de configuración de la VPN. Puede utilizar estos detalles para configurar el extremo local de esta VPN.
  • Haga clic en VER ESTADÍSTICAS para ver las estadísticas de tráfico de paquetes de esta VPN. Consulte Ver estadísticas y estado del túnel VPN.
  • Haga clic en VER RUTAS para abrir una pantalla de rutas anunciadas y conocidas por esta VPN.
  • Haga clic en DESCARGAR RUTAS para descargar una lista de rutas anunciadas o rutas aprendidas en formato CSV.

Qué hacer a continuación

Cree o actualice las reglas de firewall según corresponda. Para permitir el tráfico a través de la VPN basada en rutas, especifique Interfaz de túnel VPN en el campo Se aplica a. La opción Todos los vínculos superiores no incluye el túnel VPN enrutado.