Un VPN basé sur les routes crée une interface de tunnel IPSec et achemine le trafic via celui-ci, comme indiqué par la table de routage du SDDC. Un VPN basé sur les routes fournit un accès sécurisé et fiable à plusieurs sous-réseaux. Si vous utilisez un VPN basé sur les routes, de nouvelles routes sont ajoutées automatiquement lors de la création de nouveaux réseaux.

Note :

Cette rubrique explique comment créer un VPN basé sur les routes qui se connecte à l'adresse IP publique ou privée par défaut du SDDC. Si vous disposez d'un SDDC avec des passerelles de niveau 1 supplémentaires (reportez-vous à la section Ajouter une passerelle de niveau 1 personnalisée à un SDDC VMware Cloud on AWS), vous pouvez cliquer sur OUVRIR NSX MANAGER et ajouter des services VPN qui se terminent sur ces passerelles. Reportez-vous à la section Ajout de services VPN du Guide d'administration de NSX Data Center.

Dans VMware Cloud on AWS, les services VPN vers une passerelle de niveau 1 ne prennent pas en charge BGP.

Les VPN basés sur les routes dans votre SDDC VMware Cloud on AWS utilisent un protocole IPSec pour sécuriser le trafic et le protocole BGP (Border Gateway Protocol) pour détecter et propager les routes lors de la création ou la suppression de réseaux. Pour créer un VPN basé sur les routes, vous configurez les informations BGP pour les points de terminaison locaux (SDDC) et distants (sur site), puis vous spécifiez les paramètres de sécurité de tunnel pour l'extrémité SDDC du tunnel.

Procédure

  1. Connectez-vous à VMware Cloud Services à l'adresse https://vmc.vmware.com.
  2. Cliquez sur Inventaire > SDDC, puis choisissez une carte SDDC et cliquez sur AFFICHER LES DÉTAILS.
  3. Cliquez sur OUVRIR NSX MANAGER et connectez-vous avec le Compte d'utilisateur Admin NSX Manager affiché sur la page Paramètres du SDDC. Reportez-vous à la section Administration du réseau SDDC avec NSX Manager.
    Vous pouvez également utiliser l'onglet Mise en réseau et sécurité de la Console VMware Cloud pour ce workflow.
  4. (Facultatif) Modifiez le numéro de système autonome (ASN) local par défaut.
    Tous les VPN basés sur les routes dans le SDDC sont définis sur l'ASN 65000 par défaut. L'ASN local doit être différent de l'ASN distant. (iBGP, qui requiert que l'ASN local et l'ASN distant soient identiques, n'est pas pris en charge dans les réseaux SDDC.) Pour modifier l'ASN local par défaut, cliquez sur MODIFIER LE NUMÉRO ASN LOCAL, entrez une nouvelle valeur comprise entre 64521 et 65534 (ou 4200000000 et 4294967294), puis cliquez sur APPLIQUER.
    Note : Toute modification de cette valeur affecte tous les VPN basés sur les routes dans ce SDDC.
  5. Cliquez sur VPN > Basé sur les routes > AJOUTER UN VPN, puis donnez un Nom et une Description (facultative) au nouveau VPN.
  6. Sélectionnez une adresse IP locale dans le menu déroulant.
    • Si ce SDDC est membre d'un groupe de SDDC ou a été configuré pour utiliser AWS Direct Connect, sélectionnez l'adresse IP privée pour que le VPN utilise cette connexion plutôt qu'une connexion sur Internet. Notez que le trafic VPN sur Direct Connect ou Passerelle de transit gérée par VMware(VTGW) est limité au MTU par défaut de 1 500 octets, même si le lien prend en charge un MTU supérieur. Reportez-vous à la section Configurer Direct Connect sur une interface virtuelle privée pour un trafic réseau de gestion et de calcul SDDC.
    • Sélectionnez une adresse IP publique si vous souhaitez que le VPN se connecte via Internet.
  7. Pour Adresse IP publique distante, entrez l'adresse de votre point de terminaison VPN sur site.
    Il s'agit de l'adresse du périphérique qui initie ou répond aux demandes IPsec de ce VPN. Cette adresse doit répondre à la configuration requise suivante :
    • Elle ne doit pas être utilisée pour un autre VPN. VMware Cloud on AWS utilise la même adresse IP publique pour toutes les connexions VPN, il n'est donc possible de créer qu'une seule connexion VPN (basée sur les routes, basée sur les stratégies ou L2VPN) sur une adresse IP publique distante donnée.
    • Elle doit être accessible via Internet si vous avez spécifié une adresse IP publique dans Étape 6.
    • Elle doit être accessible via VTGW ou Direct Connect vers un VIF privé si vous avez spécifié une adresse IP privée dans Étape 6.
    Les règles de pare-feu de passerelle par défaut autorisent le trafic entrant et sortant sur la connexion VPN, mais vous devez créer des règles de pare-feu pour gérer le trafic sur le tunnel VPN.
  8. Pour Longueur de préfixe/adresse IP locale BGP, entrez une adresse réseau à partir d'un bloc CIDR d'une taille de /30 dans le sous-réseau 169.254.0.0/16.

    Certains blocs de cette plage sont réservés, comme indiqué dans Adresses réseau réservées. Si vous ne pouvez pas utiliser un réseau depuis le sous-réseau 169.254.0.0/16 (en raison d'un conflit avec un réseau existant), vous devez créer une règle de pare-feu qui autorise le trafic depuis le service BGP vers le sous-réseau que vous choisissez ici. Reportez-vous à la section Ajouter ou modifier des règles de pare-feu de passerelle de calcul.

    L'option Longueur de préfixe/adresse IP locale BGP spécifie un sous-réseau local et une adresse IP, de sorte que la valeur que vous entrez doit être la deuxième ou la troisième adresse dans une plage de /30 et inclure le suffixe /30. Par exemple, une valeur de Longueur de préfixe/adresse IP locale BGP de 169.254.32.1/30 crée un réseau 169.254.32.0 et attribue 169.254.32.1 en tant qu'adresse IP BGP locale (également appelée Interface de tunnel virtuel, ou VTI).

  9. Pour Adresse IP distante BGP, entrez l'adresse IP restante dans la plage que vous avez spécifiée dans Étape 8.
    Par exemple, si vous avez spécifié une Longueur de préfixe/adresse IP locale BGP de 169.254.32.1/30, utilisez 169.254.32.2 pour l' adresse IP distante BGP. Lors de la configuration de l'extrémité sur site de ce VPN, utilisez l'adresse IP indiquée pour l' adresse IP distante BGP comme adresse IP locale BGP ou VTI.
  10. Pour ASN du voisin BGP, entrez le numéro ASN de votre passerelle VPN sur site.
  11. Choisissez un mode d'authentification.
  12. Spécifiez l'Adresse IP privée distante.
    Laissez ce champ vide pour utiliser l' Adresse IP publique distante comme ID distant pour la négociation IKE. Si votre passerelle VPN sur site se trouve derrière un périphérique NAT et/ou utilise une adresse IP différente pour son ID local, vous devez entrer cette adresse IP ici.
  13. Configurez les Paramètres de tunnel avancés.
    Paramètre Valeur
    Profil IKE > Chiffrement IKE Sélectionnez un chiffrement de phase 1 (IKE) pris en charge par votre passerelle VPN sur site.
    Profil IKE > Algorithme Digest IKE Sélectionnez un algorithme de chiffrement de phase 1 qui est pris en charge par votre passerelle VPN sur site. La meilleure pratique consiste à utiliser le même algorithme pour l'algorithme de chiffrement IKE et l'algorithme de chiffrement de tunnel.
    Note :

    Si vous spécifiez un chiffrement basé sur GCM pour Chiffrement IKE, définissez l'algorithme de chiffrement IKE sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM. Vous devez utiliser IKE V2 si vous utilisez un chiffrement basé sur GCM

    .
    Profil IKE > Version d'IKE
    • Spécifiez IKE V1 pour lancer et accepter le protocole IKEv1.
    • Spécifiez IKE V2 pour lancer et accepter le protocole IKEv2. Vous devez utiliser IKEv2 si vous avez spécifié un Algorithme de chiffrement IKE basé sur GCM.
    • Spécifiez IKE FLEX pour accepter IKEv1 ou IKEv2, puis procédez au lancement à l'aide de IKEv2. En cas d'échec du lancement de IKEv2, IKE FLEX ne revient pas à IKEv1.
    Profil IKE > Diffie Hellman Sélectionnez un groupe Diffie Hellman pris en charge par votre passerelle VPN sur site. Cette valeur doit être identique pour les deux extrémités du tunnel VPN. Les nombres de groupes plus élevés offrent une meilleure protection. La meilleure pratique consiste à sélectionner le groupe 14 ou une valeur supérieure.
    Profil IPSec > Chiffrement du tunnel Sélectionnez un chiffrement d'association de sécurité de phase 2 (SA) qui est pris en charge par votre passerelle VPN sur site.
    Profil IPSec Algorithme de chiffrement de tunnel Sélectionnez un algorithme de chiffrement de phase 2 qui est pris en charge par votre passerelle VPN sur site.
    Note :

    Si vous spécifiez un chiffrement basé sur GCM pour le chiffrement du tunnel, définissez Algorithme de chiffrement de tunnel sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM.

    Profil IPSec > PFS (Perfect Forward Secrecy) Activez ou désactivez cette option pour qu'elle corresponde au paramètre de votre passerelle VPN sur site. L'activation de PFS (Perfect Forward Secrecy) empêche le déchiffrement des sessions enregistrées (anciennes) si la clé privée est compromise.
    Profil IPSec > Diffie Hellman Sélectionnez un groupe Diffie Hellman pris en charge par votre passerelle VPN sur site. Cette valeur doit être identique pour les deux extrémités du tunnel VPN. Les nombres de groupes plus élevés offrent une meilleure protection. La meilleure pratique consiste à sélectionner le groupe 14 ou une valeur supérieure.
    Profil DPD > Mode de sonde DPD Choisir Périodique ou À la demande.

    Pour un mode de sonde DPD périodique, une sonde DPD est envoyée chaque fois que l'intervalle de sonde DPD est atteint.

    Pour un mode de sonde DPD à la demande, une sonde DPD est envoyée si aucun paquet IPSec n'est reçu du site homologue après une période d'inactivité. La valeur dans Intervalle de sonde DPD détermine la période d'inactivité utilisée.
    Profil DPD > Nombre de tentatives Nombre total de tentatives autorisées. Les valeurs de la plage 1 à 100 sont valides. Le nombre de tentatives par défaut est de 10.
    Profil DPD > Intervalle de sonde DPD Nombre de secondes pendant lesquelles le démon IKE NSX doit attendre entre l'envoi des sondes DPD.

    Pour un mode de sonde DPD périodique, les valeurs valides sont comprises entre 3 et 360 secondes. La valeur par défaut est 60 secondes.

    Pour un mode de sonde à la demande, les valeurs valides sont entre 1 et 10 secondes. La valeur par défaut est 3 secondes.

    Lorsque le mode de sonde DPD périodique est choisi, le démon IKE envoie une sonde DPD périodiquement. Si le site homologue répond en moins d'une demi-seconde, la sonde DPD suivante est envoyée après l'intervalle de sonde DPD configuré. Si le site homologue ne répond pas, la sonde DPD est renvoyée après une attente d'une demi-seconde. Si le site homologue distant ne répond toujours pas, le démon IKE renvoie la sonde DPD jusqu'à ce qu'une réponse soit reçue ou que le nombre de tentatives ait été atteint. Avant que le site homologue ne soit déclaré mort, le démon IKE renvoie la sonde DPD jusqu'à un maximum de tentatives spécifié dans la propriété Nombre de tentatives. Une fois que le site homologue est déclaré mort, NSX rompt l'association de sécurité (SA) sur le lien de l'homologue mort.

    Lorsque le mode DPD à la demande est actif, la sonde DPD est envoyée uniquement si aucun trafic IPSec n'est reçu du site homologue après que l'intervalle de sonde DPD configuré a été atteint.
    Profil DPD > État de l'administrateur Pour activer ou désactiver le profil DPD, cliquez sur le bouton bascule État de l'administrateur. Par défaut, la valeur est définie sur Activé. Lorsque le profil DPD est activé, le profil DPD est utilisé pour toutes les sessions IPSec dans le service VPN IPSec qui utilise le profil DPD.
    Verrouillage MSS TCP Pour utiliser la méthode de Verrouillage MSS TCP afin de réduire la charge utile de la taille de segment maximale (MSS) de la session TCP lors de la connexion IPsec, basculez cette option sur Activé, puis sélectionnez la Direction MSS TCP et éventuellement la Valeur MSS TCP. Consultez Présentation du verrouillage MSS TCP dans le Guide d'administration de Data Center de NSX.
  14. (Facultatif) Sous Paramètres BGP avancés , entrez un code secret BGP qui correspond à celui utilisé par la passerelle sur site.
  15. (Facultatif) Marquez le VPN.

    Consultez Ajouter des balises à un objet dans le Guide d'administration du Data Center de NSX pour plus d'informations sur le balisage d'objets NSX.

  16. Cliquez sur ENREGISTRER.

Résultats

Le processus de création de VPN peut prendre quelques minutes. Lorsque le VPN basé sur des routes devient disponible, l'état du tunnel et l'état de la session BGP sont affichés. Les actions suivantes sont disponibles pour vous aider à dépanner et à configurer l'extrémité sur site du VPN:
  • Cliquez sur TÉLÉCHARGER LA CONFIGURATION pour télécharger un fichier contenant les détails de la configuration du VPN. Vous pouvez utiliser ces détails pour configurer l'extrémité sur site de ce VPN.
  • Cliquez sur AFFICHER LES STATISTIQUES pour afficher les statistiques du trafic des paquets pour ce VPN. Reportez-vous à la section Afficher l'état et les statistiques du tunnel VPN.
  • Cliquez sur AFFICHER LES ROUTES pour ouvrir un affichage des routes annoncées et apprises par ce VPN.
  • Cliquez sur TÉLÉCHARGER LES ROUTES pour télécharger une liste de Routes annoncées ou de Routes apprises au format CSV.

Que faire ensuite

Créez ou mettez à jour les règles de pare-feu si nécessaire. Pour autoriser le trafic sur le VPN basé sur les routes, spécifiez Interface de tunnel VPN dans le champ Appliqué à. L'option Toutes les liaisons montantes n'inclut pas le tunnel VPN routé.