Un VPN basé sur les stratégies crée un tunnel IPSec et une stratégie qui spécifie la manière dont le trafic l'utilise. Lorsque vous utilisez un VPN basé sur les stratégies, vous devez mettre à jour les tables de routage des deux extrémités du réseau si de nouvelles routes sont ajoutées.

Les VPN basés sur les stratégies dans votre SDDC VMware Cloud on AWS utilisent un protocole IPSec pour sécuriser le trafic. Pour créer un VPN basé sur des stratégies, vous configurez le point de terminaison local (SDDC), puis vous configurez un point de terminaison distant (sur site) correspondant. Étant donné que chaque VPN basé sur les stratégies doit créer une nouvelle association de sécurité IPSec pour chaque réseau, un administrateur doit mettre à jour les informations de routage sur site et dans le SDDC chaque fois qu'un nouveau VPN basé sur les stratégies est créé. Un VPN basé sur les stratégies peut être un choix approprié lorsque vous ne disposez que d'un petit nombre de réseaux sur l'une des extrémités du VPN ou si votre matériel réseau sur site ne prend pas en charge BGP (qui est requis pour les VPN basés sur les routes).

Procédure

  1. Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
  2. Sélectionnez Mise en réseau et sécurité > VPN > Basé sur les stratégies.
  3. Cliquez sur AJOUTER UN VPN et donnez un Nom et une Description (facultative) au nouveau VPN.
  4. Sélectionnez une adresse IP locale dans le menu déroulant.
  5. Entrez l'adresse IP publique distante de votre passerelle sur site.
    L'adresse ne doit pas être utilisée pour un autre VPN. VMware Cloud on AWS utilise la même adresse IP publique pour toutes les connexions VPN, il n'est donc possible de créer qu'une seule connexion VPN (basée sur les routes, basée sur les stratégies ou L2VPN) sur une adresse IP publique distante donnée. Cette adresse doit être accessible via Internet si vous avez spécifié une adresse IP publique dans Étape 4. Si vous avez spécifié une adresse IP privée, elle doit être accessible via Direct Connect sur un VIF privé. Les règles de pare-feu de passerelle par défaut autorisent le trafic entrant et sortant sur la connexion VPN, mais vous devez créer des règles de pare-feu pour gérer le trafic sur le tunnel VPN.
  6. (Facultatif) Si votre passerelle sur site se trouve derrière un périphérique NAT, entrez l'adresse de la passerelle en tant que Adresse IP privée distante.
    Cette adresse IP doit correspondre à l'identité locale (ID IKE) envoyée par la passerelle VPN sur site. Si ce champ est vide, le champ Adresse IP publique distante est utilisé pour correspondre à l'identité locale de la passerelle VPN sur site.
  7. Spécifiez les Réseaux distants auxquels ce VPN peut se connecter.
    Cette liste doit inclure tous les réseaux définis comme locaux par la passerelle VPN sur site.Entrez chaque réseau au format CIDR, en séparant les différents blocs CIDR par des virgules.
  8. Spécifiez les Réseaux locaux auxquels ce VPN peut se connecter.
    Cette liste inclut tous les réseaux de calcul routés dans le SDDC, ainsi que l'intégralité du réseau de gestion et le sous-réseau du dispositif (un sous-ensemble du réseau de gestion qui inclut vCenter et d'autres dispositifs de gestion, mais pas les hôtes ESXi). Il inclut également le réseau DNS CGW, une adresse IP unique utilisée pour rechercher des demandes transmises par le service DNS CGW.
  9. Configurez Paramètres de tunnel avancés.
    Option Description
    Chiffrement du tunnel Sélectionnez un chiffrement d'association de sécurité de phase 2 (SA) qui est pris en charge par votre passerelle VPN sur site.
    Algorithme de chiffrement de tunnel Sélectionnez un algorithme de chiffrement de phase 2 qui est pris en charge par votre passerelle VPN sur site.
    Note :

    Si vous spécifiez un chiffrement basé sur GCM pour le chiffrement du tunnel, définissez Algorithme de chiffrement de tunnel sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM.

    PFS (Perfect Forward Secrecy) Activez ou désactivez cette option pour qu'elle corresponde au paramètre de votre passerelle VPN sur site. L'activation de PFS (Perfect Forward Secrecy) empêche le déchiffrement des sessions enregistrées (anciennes) si la clé privée est compromise.
    Chiffrement IKE Sélectionnez un chiffrement de phase 1 (IKE) pris en charge par votre passerelle VPN sur site.
    Algorithme Digest IKE Sélectionnez un algorithme de chiffrement de phase 1 qui est pris en charge par votre passerelle VPN sur site. La meilleure pratique consiste à utiliser le même algorithme pour l'algorithme de chiffrement IKE et l'algorithme de chiffrement de tunnel.
    Note :

    Si vous spécifiez un chiffrement basé sur GCM pour Chiffrement IKE, définissez l'algorithme de chiffrement IKE sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM. Vous devez utiliser IKE V2 si vous utilisez un chiffrement basé sur GCM

    .
    Type d'IKE
    • Spécifiez IKE V1 pour lancer et accepter le protocole IKEv1.
    • Spécifiez IKE V2 pour lancer et accepter le protocole IKEv2. Vous devez utiliser IKEv2 si vous avez spécifié un Algorithme de chiffrement IKE basé sur GCM.
    • Spécifiez IKE FLEX pour accepter IKEv1 ou IKEv2, puis procédez au lancement à l'aide de IKEv2. En cas d'échec du lancement de IKEv2, IKE FLEX ne revient pas à IKEv1.
    Diffie Hellman Sélectionnez un groupe Diffie Hellman pris en charge par votre passerelle VPN sur site. Cette valeur doit être identique pour les deux extrémités du tunnel VPN. Les nombres de groupes plus élevés offrent une meilleure protection. La meilleure pratique consiste à sélectionner le groupe 14 ou une valeur supérieure.
    Clé pré-partagée Entrez une clé pré-partagée utilisée par les deux extrémités du tunnel pour vous authentifier sur chacune d'elles.

    La chaîne a une longueur maximale de 128 caractères.

    Mode d'initialisation de la connexion Le mode d'initialisation de la connexion définit la stratégie utilisée par le point de terminaison local au cours de la création du tunnel. Les modes suivants sont disponibles.
    Initiateur
    La valeur par défaut. Dans ce mode, le point de terminaison local initie la création du tunnel VPN et répond aux demandes de configuration de tunnel entrantes de la passerelle homologue.
    À la demande
    Dans ce mode, le point de terminaison local initie la création du tunnel VPN après la réception du premier paquet correspondant à la règle de stratégie. Il répond également à la demande d'initiation entrante.
    Répondre uniquement
    Dans ce mode, le VPN ne lance jamais de connexion. Le site homologue lance toujours la demande de connexion et le point de terminaison local répond à cette demande de connexion.
    Verrouillage MSS TCP Pour réduire la charge utile de la taille maximale de segment (MSS, Maximum Segment Size) de la session TCP pendant la connexion IPSec, activez le Verrouillage MSS TCP, sélectionnez la valeur de direction MSS TCP et définissez éventuellement la Valeur MSS TCP. Reportez-vous à la section Présentation du verrouillage MSS TCP dans le Guide d'administration de NSX-T Data Center.
  10. (Facultatif) Marquez le VPN.

    Pour plus d'informations sur le balisage d'objets NSX-T, reportez-vous à la section Ajouter des balises à un objet dans le Guide d'administration de NSX-T Data Center.

  11. Cliquez sur ENREGISTRER.

Résultats

Le processus de création de VPN peut prendre quelques minutes. Lorsque le VPN basé sur les stratégies devient disponible, les actions suivantes sont disponibles pour vous aider à dépanner et à configurer l'extrémité sur site du VPN :
  • Cliquez sur TÉLÉCHARGER LA CONFIGURATION pour télécharger un fichier contenant les détails de la configuration du VPN. Vous pouvez utiliser ces détails pour configurer l'extrémité sur site de ce VPN.
  • Cliquez sur AFFICHER LES STATISTIQUES pour afficher les statistiques du trafic des paquets pour ce VPN. Reportez-vous à la section Afficher l'état et les statistiques du tunnel VPN.

Que faire ensuite

Créez ou mettez à jour les règles de pare-feu si nécessaire. Pour autoriser le trafic sur le VPN basé sur les stratégies, spécifiez Interface Internet dans le champ Appliqué à.