Un VPN basé sur les stratégies crée un tunnel IPSec et une stratégie qui spécifie la manière dont le trafic l'utilise. Lorsque vous utilisez un VPN basé sur les stratégies, vous devez mettre à jour les tables de routage des deux extrémités du réseau si de nouvelles routes sont ajoutées.

Note :

Cette rubrique explique comment créer un VPN basé sur les stratégies qui se connecte à l'adresse IP publique ou privée par défaut du SDDC. Si vous disposez d'un SDDC avec des passerelles de niveau 1 supplémentaires (reportez-vous à la section Ajouter une passerelle de niveau 1 personnalisée à un SDDC VMware Cloud on AWS), vous pouvez cliquer sur OUVRIR NSX MANAGER et ajouter des services VPN qui se terminent sur ces passerelles. Reportez-vous à la section Ajout de services VPN du Guide d'administration de NSX Data Center.

Dans VMware Cloud on AWS, les services VPN vers une passerelle de niveau 1 ne prennent pas en charge BGP.

Les VPN basés sur les stratégies dans votre SDDC VMware Cloud on AWS utilisent un protocole IPSec pour sécuriser le trafic. Pour créer un VPN basé sur des stratégies, vous configurez le point de terminaison local (SDDC), puis vous configurez un point de terminaison distant (sur site) correspondant. Étant donné que chaque VPN basé sur les stratégies doit créer une nouvelle association de sécurité IPSec pour chaque réseau, un administrateur doit mettre à jour les informations de routage sur site et dans le SDDC chaque fois qu'un nouveau VPN basé sur les stratégies est créé. Un VPN basé sur les stratégies peut être un choix approprié lorsque vous ne disposez que d'un petit nombre de réseaux sur l'une des extrémités du VPN ou si votre matériel réseau sur site ne prend pas en charge BGP (qui est requis pour les VPN basés sur les routes).

Important :

Si votre SDDC inclut à la fois un VPN basé sur les stratégies et une autre connexion, telle qu'un VPN basé sur une route, DX ou VTGW, la connectivité sur le VPN basé sur les stratégies échouera si l'une de ces autres connexions annonce la route par défaut (0.0.0.0/0) au SDDC. Si aucune de ces autres connexions n'annonce la route par défaut, tout le trafic correspondant à la stratégie du VPN circule sur le VPN, même si les autres connexions fournissent une route plus spécifique. En cas de chevauchement, une route de VPN basé sur les routes est préférée à une correspondance de stratégie de VPN basé sur les stratégies.

Procédure

  1. Connectez-vous à la Console VMware Cloud à l'adresse https://vmc.vmware.com.
  2. Cliquez sur Inventaire > SDDC, puis choisissez une carte SDDC et cliquez sur AFFICHER LES DÉTAILS.
  3. Cliquez sur OUVRIR NSX MANAGER et connectez-vous avec le Compte d'utilisateur Admin NSX Manager affiché sur la page Paramètres du SDDC. Reportez-vous à la section Administration du réseau SDDC avec NSX Manager.
    Vous pouvez également utiliser l'onglet Mise en réseau et sécurité de la Console VMware Cloud pour ce workflow.
  4. Cliquez sur VPN > Basé sur les stratégies > AJOUTER UN VPN, puis donnez un Nom et une Description (facultative) au nouveau VPN.
  5. Sélectionnez une adresse IP locale dans le menu déroulant.
    • Si ce SDDC est membre d'un groupe de SDDC ou a été configuré pour utiliser AWS Direct Connect, sélectionnez l'adresse IP privée pour que le VPN utilise cette connexion plutôt qu'une connexion sur Internet. Notez que le trafic VPN sur Direct Connect ou Passerelle de transit gérée par VMware (VTGW) est limité au MTU par défaut de 1 500 octets, même si le lien prend en charge un MTU supérieur. Reportez-vous à la section Configurer Direct Connect sur une interface virtuelle privée pour un trafic réseau de gestion et de calcul SDDC.
    • Sélectionnez une adresse IP publique si vous souhaitez que le VPN se connecte via Internet.
  6. Entrez l'adresse IP publique distante de votre passerelle sur site.
    L'adresse ne doit pas être utilisée pour un autre VPN. VMware Cloud on AWS utilise la même adresse IP publique pour toutes les connexions VPN, il n'est donc possible de créer qu'une seule connexion VPN (basée sur les routes, basée sur les stratégies ou L2VPN) sur une adresse IP publique distante donnée. Cette adresse doit être accessible via Internet si vous avez spécifié une adresse IP publique à l' Étape 5. Si vous avez spécifié une adresse IP privée, elle doit être accessible via Direct Connect sur un VIF privé. Les règles de pare-feu de passerelle par défaut autorisent le trafic entrant et sortant sur la connexion VPN, mais vous devez créer des règles de pare-feu pour gérer le trafic sur le tunnel VPN.
  7. Spécifiez les Réseaux distants auxquels ce VPN peut se connecter.
    Cette liste doit inclure tous les réseaux définis comme locaux par la passerelle VPN sur site.Entrez chaque réseau au format CIDR, en séparant les différents blocs CIDR par des virgules.
  8. Spécifiez les Réseaux locaux auxquels ce VPN peut se connecter.
    Cette liste inclut tous les réseaux de calcul routés dans le SDDC, ainsi que l'intégralité du réseau de gestion et le sous-réseau du dispositif (un sous-ensemble du réseau de gestion qui inclut vCenter et d'autres dispositifs de gestion, mais pas les hôtes ESXi). Il inclut également le réseau DNS CGW, une adresse IP unique utilisée pour rechercher des demandes transmises par le service DNS CGW.
  9. Choisissez un mode d'authentification.
  10. (Facultatif) Si votre passerelle sur site se trouve derrière un périphérique NAT, entrez l'adresse de la passerelle en tant que Adresse IP privée distante.
    Cette adresse IP doit correspondre à l'identité locale (ID IKE) envoyée par la passerelle VPN sur site. Si ce champ est vide, le champ Adresse IP publique distante est utilisé pour correspondre à l'identité locale de la passerelle VPN sur site.
  11. Configurez les Paramètres de tunnel avancés.
    Paramètre Valeur
    Profil IKE > Chiffrement IKE Sélectionnez un chiffrement de phase 1 (IKE) pris en charge par votre passerelle VPN sur site.
    Profil IKE > Algorithme Digest IKE Sélectionnez un algorithme de chiffrement de phase 1 qui est pris en charge par votre passerelle VPN sur site. La meilleure pratique consiste à utiliser le même algorithme pour l'algorithme de chiffrement IKE et l'algorithme de chiffrement de tunnel.
    Note :

    Si vous spécifiez un chiffrement basé sur GCM pour Chiffrement IKE, définissez l'algorithme de chiffrement IKE sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM. Vous devez utiliser IKE V2 si vous utilisez un chiffrement basé sur GCM

    .
    Profil IKE > Version d'IKE
    • Spécifiez IKE V1 pour lancer et accepter le protocole IKEv1.
    • Spécifiez IKE V2 pour lancer et accepter le protocole IKEv2. Vous devez utiliser IKEv2 si vous avez spécifié un Algorithme de chiffrement IKE basé sur GCM.
    • Spécifiez IKE FLEX pour accepter IKEv1 ou IKEv2, puis procédez au lancement à l'aide de IKEv2. En cas d'échec du lancement de IKEv2, IKE FLEX ne revient pas à IKEv1.
    Profil IKE > Diffie Hellman Sélectionnez un groupe Diffie Hellman pris en charge par votre passerelle VPN sur site. Cette valeur doit être identique pour les deux extrémités du tunnel VPN. Les nombres de groupes plus élevés offrent une meilleure protection. La meilleure pratique consiste à sélectionner le groupe 14 ou une valeur supérieure.
    Profil IPSec > Chiffrement du tunnel Sélectionnez un chiffrement d'association de sécurité de phase 2 (SA) qui est pris en charge par votre passerelle VPN sur site.
    Profil IPSec Algorithme de chiffrement de tunnel Sélectionnez un algorithme de chiffrement de phase 2 qui est pris en charge par votre passerelle VPN sur site.
    Note :

    Si vous spécifiez un chiffrement basé sur GCM pour le chiffrement du tunnel, définissez Algorithme de chiffrement de tunnel sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM.

    Profil IPSec > PFS (Perfect Forward Secrecy) Activez ou désactivez cette option pour qu'elle corresponde au paramètre de votre passerelle VPN sur site. L'activation de PFS (Perfect Forward Secrecy) empêche le déchiffrement des sessions enregistrées (anciennes) si la clé privée est compromise.
    Profil IPSec > Diffie Hellman Sélectionnez un groupe Diffie Hellman pris en charge par votre passerelle VPN sur site. Cette valeur doit être identique pour les deux extrémités du tunnel VPN. Les nombres de groupes plus élevés offrent une meilleure protection. La meilleure pratique consiste à sélectionner le groupe 14 ou une valeur supérieure.
    Profil DPD > Mode de sonde DPD Choisir Périodique ou À la demande.

    Pour un mode de sonde DPD périodique, une sonde DPD est envoyée chaque fois que l'intervalle de sonde DPD est atteint.

    Pour un mode de sonde DPD à la demande, une sonde DPD est envoyée si aucun paquet IPSec n'est reçu du site homologue après une période d'inactivité. La valeur dans Intervalle de sonde DPD détermine la période d'inactivité utilisée.
    Profil DPD > Nombre de tentatives Nombre total de tentatives autorisées. Les valeurs de la plage 1 à 100 sont valides. Le nombre de tentatives par défaut est de 10.
    Profil DPD > Intervalle de sonde DPD Nombre de secondes pendant lesquelles le démon IKE NSX doit attendre entre l'envoi des sondes DPD.

    Pour un mode de sonde DPD périodique, les valeurs valides sont comprises entre 3 et 360 secondes. La valeur par défaut est 60 secondes.

    Pour un mode de sonde à la demande, les valeurs valides sont entre 1 et 10 secondes. La valeur par défaut est 3 secondes.

    Lorsque le mode de sonde DPD périodique est choisi, le démon IKE envoie une sonde DPD périodiquement. Si le site homologue répond en moins d'une demi-seconde, la sonde DPD suivante est envoyée après l'intervalle de sonde DPD configuré. Si le site homologue ne répond pas, la sonde DPD est renvoyée après une attente d'une demi-seconde. Si le site homologue distant ne répond toujours pas, le démon IKE renvoie la sonde DPD jusqu'à ce qu'une réponse soit reçue ou que le nombre de tentatives ait été atteint. Avant que le site homologue ne soit déclaré mort, le démon IKE renvoie la sonde DPD jusqu'à un maximum de tentatives spécifié dans la propriété Nombre de tentatives. Une fois que le site homologue est déclaré mort, NSX rompt l'association de sécurité (SA) sur le lien de l'homologue mort.

    Lorsque le mode DPD à la demande est actif, la sonde DPD est envoyée uniquement si aucun trafic IPSec n'est reçu du site homologue après que l'intervalle de sonde DPD configuré a été atteint.
    Profil DPD > État de l'administrateur Pour activer ou désactiver le profil DPD, cliquez sur le bouton bascule État de l'administrateur. Par défaut, la valeur est définie sur Activé. Lorsque le profil DPD est activé, le profil DPD est utilisé pour toutes les sessions IPSec dans le service VPN IPSec qui utilise le profil DPD.
    Verrouillage MSS TCP Pour utiliser la méthode de Verrouillage MSS TCP afin de réduire la charge utile de la taille de segment maximale (MSS) de la session TCP lors de la connexion IPsec, basculez cette option sur Activé, puis sélectionnez la Direction MSS TCP et éventuellement la Valeur MSS TCP. Consultez Présentation du verrouillage MSS TCP dans le Guide d'administration de Data Center de NSX.
  12. (Facultatif) Marquez le VPN.

    Consultez Ajouter des balises à un objet dans le Guide d'administration du Data Center de NSX pour plus d'informations sur le balisage d'objets NSX.

  13. Cliquez sur ENREGISTRER.

Résultats

Le processus de création de VPN peut prendre quelques minutes. Lorsque le VPN basé sur les stratégies devient disponible, les actions suivantes sont disponibles pour vous aider à dépanner et à configurer l'extrémité sur site du VPN :
  • Cliquez sur TÉLÉCHARGER LA CONFIGURATION pour télécharger un fichier contenant les détails de la configuration du VPN. Vous pouvez utiliser ces détails pour configurer l'extrémité sur site de ce VPN.
  • Cliquez sur AFFICHER LES STATISTIQUES pour afficher les statistiques du trafic des paquets pour ce VPN. Reportez-vous à la section Afficher l'état et les statistiques du tunnel VPN.

Que faire ensuite

Créez ou mettez à jour les règles de pare-feu si nécessaire. Pour autoriser le trafic sur le VPN basé sur les stratégies, spécifiez Interface Internet dans le champ Appliqué à.