Un VPN basé sur les routes crée une interface de tunnel IPSec et achemine le trafic via celui-ci, comme indiqué par la table de routage du SDDC. Un VPN basé sur les routes fournit un accès sécurisé et fiable à plusieurs sous-réseaux. Si vous utilisez un VPN basé sur les routes, de nouvelles routes sont ajoutées automatiquement lors de la création de nouveaux réseaux.

Les VPN basés sur les routes dans votre SDDC VMware Cloud on AWS utilisent un protocole IPSec pour sécuriser le trafic et le protocole BGP (Border Gateway Protocol) pour détecter et propager les routes lors de la création ou la suppression de réseaux. Pour créer un VPN basé sur les routes, vous configurez les informations BGP pour les points de terminaison locaux (SDDC) et distants (sur site), puis vous spécifiez les paramètres de sécurité de tunnel pour l'extrémité SDDC du tunnel.
Important :

Si votre SDDC inclut un VPN basé sur stratégie et un VPN basé sur route, la connectivité sur le VPN basé sur stratégie échouera si le VPN basé sur route annonce la route par défaut (0.0.0.0/0) au SDDC.

Procédure

  1. Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
  2. Cliquez sur Mise en réseau et sécurité > VPN > Basé sur les routes.
  3. (Facultatif) Modifiez le numéro de système autonome (ASN) local par défaut.
    Tous les VPN basés sur les routes dans le SDDC sont définis sur l'ASN 65000 par défaut. L'ASN local doit être différent de l'ASN distant. (iBGP, qui requiert que l'ASN local et l'ASN distant soient identiques, n'est pas pris en charge dans les réseaux SDDC.) Pour modifier l'ASN local par défaut, cliquez sur MODIFIER LE NUMÉRO ASN LOCAL, entrez une nouvelle valeur comprise entre 6 4521 et 65 535, puis cliquez sur APPLIQUER.
    Note : Toute modification de cette valeur affecte tous les VPN basés sur les routes dans ce SDDC.
  4. Cliquez sur AJOUTER UN VPN et donnez un Nom et une Description (facultative) au nouveau VPN.
  5. Sélectionnez une adresse IP locale dans le menu déroulant.
    • Si ce SDDC est membre d'un groupe de SDDC ou a été configuré pour utiliser AWS Direct Connect, sélectionnez l'adresse IP privée pour que le VPN utilise cette connexion plutôt qu'une connexion sur Internet. Notez que le trafic VPN sur Direct Connect ou Passerelle de transit gérée par VMware (VTGW) est limité au MTU par défaut de 1 500 octets, même si le lien prend en charge un MTU supérieur. Reportez-vous à la section Configurer Direct Connect sur une interface virtuelle privée pour un trafic réseau de gestion et de calcul SDDC.
    • Sélectionnez une adresse IP publique si vous souhaitez que le VPN se connecte via Internet.
  6. Pour Adresse IP publique distante, entrez l'adresse de votre point de terminaison VPN sur site.
    Il s'agit de l'adresse du périphérique qui initie ou répond aux demandes IPsec de ce VPN. Cette adresse doit répondre à la configuration requise suivante :
    • Elle ne doit pas être utilisée pour un autre VPN. VMware Cloud on AWS utilise la même adresse IP publique pour toutes les connexions VPN, il n'est donc possible de créer qu'une seule connexion VPN (basée sur les routes, basée sur les stratégies ou L2VPN) sur une adresse IP publique distante donnée.
    • Elle doit être accessible via Internet si vous avez spécifié une adresse IP publique dans Étape 5.
    • Elle doit être accessible via VTGW ou Direct Connect vers un VIF privé si vous avez spécifié une adresse IP privée dans Étape 5.
    Les règles de pare-feu de passerelle par défaut autorisent le trafic entrant et sortant sur la connexion VPN, mais vous devez créer des règles de pare-feu pour gérer le trafic sur le tunnel VPN.
  7. Pour Longueur de préfixe/adresse IP locale BGP, entrez une adresse réseau à partir d'un bloc CIDR d'une taille de /30 dans le sous-réseau 169.254.0.0/16.

    Certains blocs de cette plage sont réservés, comme indiqué dans Adresses réseau réservées. Si vous ne pouvez pas utiliser un réseau depuis le sous-réseau 169.254.0.0/16 (en raison d'un conflit avec un réseau existant), vous devez créer une règle de pare-feu qui autorise le trafic depuis le service BGP vers le sous-réseau que vous choisissez ici. Reportez-vous à la section Ajouter ou modifier des règles de pare-feu de passerelle de calcul.

    L'option Longueur de préfixe/adresse IP locale BGP spécifie un sous-réseau local et une adresse IP, de sorte que la valeur que vous entrez doit être la deuxième ou la troisième adresse dans une plage de /30 et inclure le suffixe /30. Par exemple, une valeur de Longueur de préfixe/adresse IP locale BGP de 169.254.32.1/30 crée un réseau 169.254.32.0 et attribue 169.254.32.1 en tant qu'adresse IP BGP locale (également appelée Interface de tunnel virtuel, ou VTI).

  8. Pour Adresse IP distante BGP, entrez l'adresse IP restante dans la plage que vous avez spécifiée dans Étape 7.
    Par exemple, si vous avez spécifié une Longueur de préfixe/adresse IP locale BGP de 169.254.32.1/30, utilisez 169.254.32.2 pour l' adresse IP distante BGP. Lors de la configuration de l'extrémité sur site de ce VPN, utilisez l'adresse IP indiquée pour l' adresse IP distante BGP comme adresse IP locale BGP ou VTI.
  9. Pour ASN du voisin BGP, entrez le numéro ASN de votre passerelle VPN sur site.
  10. Configurez Paramètres de tunnel avancés.
    Option Description
    Chiffrement du tunnel Sélectionnez un chiffrement d'association de sécurité de phase 2 (SA) qui est pris en charge par votre passerelle VPN sur site.
    Algorithme de chiffrement de tunnel Sélectionnez un algorithme de chiffrement de phase 2 qui est pris en charge par votre passerelle VPN sur site.
    Note :

    Si vous spécifiez un chiffrement basé sur GCM pour le chiffrement du tunnel, définissez Algorithme de chiffrement de tunnel sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM.

    PFS (Perfect Forward Secrecy) Activez ou désactivez cette option pour qu'elle corresponde au paramètre de votre passerelle VPN sur site. L'activation de PFS (Perfect Forward Secrecy) empêche le déchiffrement des sessions enregistrées (anciennes) si la clé privée est compromise.
    Clé pré-partagée Entrez la chaîne de clé pré-partagée.

    La longueur de clé maximale est de 128 caractères. Cette clé doit être identique pour les deux extrémités du tunnel VPN.

    Adresse IP privée distante Laissez ce champ vide pour utiliser l'Adresse IP publique distante comme ID distant pour la négociation IKE. Si votre passerelle VPN sur site se trouve derrière un périphérique NAT et/ou utilise une adresse IP différente pour son ID local, vous devez entrer cette adresse IP ici.
    Chiffrement IKE Sélectionnez un chiffrement de phase 1 (IKE) pris en charge par votre passerelle VPN sur site.
    Algorithme Digest IKE Sélectionnez un algorithme de chiffrement de phase 1 qui est pris en charge par votre passerelle VPN sur site. La meilleure pratique consiste à utiliser le même algorithme pour l'algorithme de chiffrement IKE et l'algorithme de chiffrement de tunnel.
    Note :

    Si vous spécifiez un chiffrement basé sur GCM pour Chiffrement IKE, définissez l'algorithme de chiffrement IKE sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM. Vous devez utiliser IKE V2 si vous utilisez un chiffrement basé sur GCM

    .
    Type d'IKE
    • Spécifiez IKE V1 pour lancer et accepter le protocole IKEv1.
    • Spécifiez IKE V2 pour lancer et accepter le protocole IKEv2. Vous devez utiliser IKEv2 si vous avez spécifié un Algorithme de chiffrement IKE basé sur GCM.
    • Spécifiez IKE FLEX pour accepter IKEv1 ou IKEv2, puis procédez au lancement à l'aide de IKEv2. En cas d'échec du lancement de IKEv2, IKE FLEX ne revient pas à IKEv1.
    Diffie Hellman Sélectionnez un groupe Diffie Hellman pris en charge par votre passerelle VPN sur site. Cette valeur doit être identique pour les deux extrémités du tunnel VPN. Les nombres de groupes plus élevés offrent une meilleure protection. La meilleure pratique consiste à sélectionner le groupe 14 ou une valeur supérieure.
    Mode d'initialisation de la connexion Le mode d'initialisation de la connexion définit la stratégie utilisée par le point de terminaison local au cours de la création du tunnel. Les modes suivants sont disponibles.
    Initiateur
    La valeur par défaut. Dans ce mode, le point de terminaison local initie la création du tunnel VPN et répond aux demandes de configuration de tunnel entrantes de la passerelle homologue.
    À la demande
    S/O pour un VPN basé sur les routes.
    Répondre uniquement
    Dans ce mode, le VPN ne lance jamais de connexion. Le site homologue lance toujours la demande de connexion et le point de terminaison local répond à cette demande de connexion.
    Verrouillage MSS TCP Pour réduire la charge utile de la taille maximale de segment (MSS, Maximum Segment Size) de la session TCP pendant la connexion IPSec, activez le Verrouillage MSS TCP, sélectionnez la valeur de direction MSS TCP et définissez éventuellement la Valeur MSS TCP. Reportez-vous à la section Présentation du verrouillage MSS TCP dans le Guide d'administration de NSX-T Data Center.
  11. (Facultatif) Sous Paramètres BGP avancés , entrez un code secret BGP qui correspond à celui utilisé par la passerelle sur site.
  12. (Facultatif) Marquez le VPN.

    Pour plus d'informations sur le balisage d'objets NSX-T, reportez-vous à la section Ajouter des balises à un objet dans le Guide d'administration de NSX-T Data Center.

  13. Cliquez sur ENREGISTRER.

Résultats

Le processus de création de VPN peut prendre quelques minutes. Lorsque le VPN basé sur des routes devient disponible, l'état du tunnel et l'état de la session BGP sont affichés. Les actions suivantes sont disponibles pour vous aider à dépanner et à configurer l'extrémité sur site du VPN:
  • Cliquez sur TÉLÉCHARGER LA CONFIGURATION pour télécharger un fichier contenant les détails de la configuration du VPN. Vous pouvez utiliser ces détails pour configurer l'extrémité sur site de ce VPN.
  • Cliquez sur AFFICHER LES STATISTIQUES pour afficher les statistiques du trafic des paquets pour ce VPN. Reportez-vous à la section Afficher l'état et les statistiques du tunnel VPN.
  • Cliquez sur AFFICHER LES ROUTES pour ouvrir un affichage des routes annoncées et apprises par ce VPN.
  • Cliquez sur TÉLÉCHARGER LES ROUTES pour télécharger une liste de Routes annoncées ou de Routes apprises au format CSV.

Que faire ensuite

Créez ou mettez à jour les règles de pare-feu si nécessaire. Pour autoriser le trafic sur le VPN basé sur les routes, spécifiez Interface de tunnel VPN dans le champ Appliqué à. L'option Toutes les liaisons montantes n'inclut pas le tunnel VPN routé.