Un VPN basé sur les routes crée une interface de tunnel IPSec et achemine le trafic via celui-ci, comme indiqué par la table de routage du SDDC. Un VPN basé sur les routes fournit un accès sécurisé et fiable à plusieurs sous-réseaux. Si vous utilisez un VPN basé sur les routes, de nouvelles routes sont ajoutées automatiquement lors de la création de nouveaux réseaux.

VMware Cloud on AWS utilise la même adresse IP publique pour toutes les connexions VPN, il n'est donc possible de créer qu'une seule connexion VPN (basée sur les routes, basée sur les stratégies ou L2VPN) sur une adresse IP publique distante donnée.

Les VPN basés sur les routes dans votre SDDC VMware Cloud on AWS utilisent un protocole IPSec pour sécuriser le trafic et le protocole BGP (Border Gateway Protocol) pour détecter et propager les routes lors de la création de nouveaux réseaux. Pour créer un VPN basé sur les routes, vous configurez les informations BGP pour les points de terminaison locaux (SDDC) et distants (sur site), puis vous spécifiez les paramètres de sécurité de tunnel pour l'extrémité SDDC du tunnel.

Procédure

  1. Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
  2. Cliquez sur Mise en réseau et sécurité > VPN > Basé sur les routes.
  3. (Facultatif) Modifiez le numéro de système autonome (ASN) local par défaut.
    Tous les VPN basés sur les routes dans le SDDC sont définis sur l'ASN 65000 par défaut. Si l'ASN distant pour une connexion VPN configurée a également cette valeur, cliquez sur MODIFIER L'ASN LOCAL, entrez une nouvelle valeur comprise entre 64521 et 65535, puis cliquez sur Appliquer.
  4. Cliquez sur AJOUTER UN VPN et donnez un nom au nouveau VPN.
  5. Sélectionnez une adresse IP locale dans le menu déroulant.
    • Si vous avez configuré AWS Direct Connect pour ce SDDC et que vous souhaitez que le VPN l'utilise, sélectionnez l'adresse IP privée. Voir Créer une interface virtuelle privée pour un trafic réseau de gestion et de calcul SDDC. Notez que le trafic VPN sur Direct Connect est limité au MTU par défaut de 1 500 octets, même si le lien prend en charge un MTU supérieur.
    • Sélectionnez une adresse IP publique si vous souhaitez que le VPN se connecte via Internet.
  6. Pour Adresse IP publique distante, entrez l'adresse de votre point de terminaison VPN sur site.
    Il s'agit de l'adresse du périphérique qui initie ou répond aux demandes IPsec de ce VPN. Cette adresse doit répondre à la configuration requise suivante :
    • Elle ne doit pas être utilisée pour un autre VPN. VMware Cloud on AWS utilise la même adresse IP publique pour toutes les connexions VPN, il n'est donc possible de créer qu'une seule connexion VPN (basée sur les routes, basée sur les stratégies ou L2VPN) sur une adresse IP publique distante donnée.
    • Elle doit être accessible via Internet si vous avez spécifié une adresse IP publique dans Étape 5.
    • Elle doit être accessible via Direct Connect sur un VIF privé si vous avez spécifié une adresse IP privée dans Étape 5.
    Les règles de pare-feu de passerelle par défaut autorisent le trafic entrant et sortant sur la connexion VPN, mais vous devez créer des règles de pare-feu pour gérer le trafic sur le tunnel VPN.
  7. Pour Longueur de préfixe/adresse IP locale BGP , entrez l'adresse IP, au format CIDR, du tunnel VPN local.

    Choisissez un réseau de taille /30 dans le sous-réseau 169.254.0.0/16. Les deuxième et troisième adresses IP de cette plage sont configurées en tant que VTI locale et distante (VPN Tunnel interfaces, interfaces de tunnel VPN). Par exemple, dans le bloc CIDR 169.254.111.0/30 (plage d'adresses 169.254.111.0-169.254.111.3), l'interface (SDDC) locale est 169.254.111.2/30 et l'interface distante (sur site) est 169.254.111.1/30.

    Note :
    Les réseaux suivants sont réservés pour une utilisation interne. Le réseau que vous spécifiez pour Longueur de préfixe/adresse IP locale BGP ne doit en chevaucher aucun.
    • 169.254.0.2/28
    • 169.254.10.1/24
    • 169.254.11.1/24
    • 169.254.12.1/24
    • 169.254.13.1/24
    • 169.254.101.253/30
    • 100.64.0.0/10 (réservé pour la NAT de niveau carrier par RFC 6598.)

    Si vous ne pouvez pas utiliser un réseau depuis le sous-réseau 169.254.0.0/16 (en raison d'un conflit avec un réseau existant), vous devez créer une règle de pare-feu qui autorise le trafic depuis le service BGP vers le sous-réseau que vous choisissez ici. Reportez-vous à la section Ajouter ou modifier des règles de pare-feu de passerelle de calcul.

  8. Pour Adresse IP publique BGP, entrez l'adresse de l'interface BGP de votre passerelle VPN sur site.
    Cette adresse doit être une adresse IP d'hôte valide sur le sous-réseau défini par l'adresse IP et la longueur de préfixe que vous avez fournies dans Étape 7. Elle ne doit pas identique à l' Adresse IP locale BGP.
  9. Pour ASN distant BGP, entrez le numéro ASN de votre passerelle VPN sur site.
  10. Configurez Paramètres de tunnel avancés.
    Option Description
    Chiffrement du tunnel Sélectionnez un chiffrement d'association de sécurité de phase 2 (SA) qui est pris en charge par votre passerelle VPN sur site.
    Algorithme de chiffrement de tunnel Sélectionnez un algorithme de chiffrement de phase 2 qui est pris en charge par votre passerelle VPN sur site.
    Note :

    Si vous spécifiez un chiffrement basé sur GCM pour le chiffrement du tunnel, définissez Algorithme de chiffrement de tunnel sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM.

    PFS (Perfect Forward Secrecy) Activez ou désactivez cette option pour qu'elle corresponde au paramètre de votre passerelle VPN sur site. L'activation de PFS (Perfect Forward Secrecy) empêche le déchiffrement des sessions enregistrées (anciennes) si la clé privée est compromise.
    Clé pré-partagée Entrez la chaîne de clé pré-partagée.

    La longueur de clé maximale est de 128 caractères. Cette clé doit être identique pour les deux extrémités du tunnel VPN.

    Adresse IP privée distante Laissez ce champ vide pour utiliser l'Adresse IP publique distante comme ID distant pour la négociation IKE. Si votre passerelle VPN sur site se trouve derrière un périphérique NAT et/ou utilise une adresse IP différente pour son ID local, vous devez entrer cette adresse IP ici.
    Chiffrement IKE Sélectionnez un chiffrement de phase 1 (IKE) pris en charge par votre passerelle VPN sur site.
    Algorithme Digest IKE Sélectionnez un algorithme de chiffrement de phase 1 qui est pris en charge par votre passerelle VPN sur site. La meilleure pratique consiste à utiliser le même algorithme pour l'algorithme de chiffrement IKE et l'algorithme de chiffrement de tunnel.
    Note :

    Si vous spécifiez un chiffrement basé sur GCM pour Chiffrement IKE, définissez l'algorithme de chiffrement IKE sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM. Vous devez utiliser IKE V2 si vous utilisez un chiffrement basé sur GCM

    .
    Type d'IKE
    • Spécifiez IKE V1 pour lancer et accepter le protocole IKEv1.
    • Spécifiez IKE V2 pour lancer et accepter le protocole IKEv2. Vous devez utiliser IKEv2 si vous avez spécifié un Algorithme de chiffrement IKE basé sur GCM.
    • Spécifiez IKE FLEX pour accepter IKEv1 ou IKEv2, puis procédez au lancement à l'aide de IKEv2. En cas d'échec du lancement de IKEv2, IKE FLEX ne revient pas à IKEv1.
    Diffie Hellman Sélectionnez un groupe Diffie Hellman pris en charge par votre passerelle VPN sur site. Cette valeur doit être identique pour les deux extrémités du tunnel VPN. Les nombres de groupes plus élevés offrent une meilleure protection. La meilleure pratique consiste à sélectionner le groupe 14 ou une valeur supérieure.
  11. (Facultatif) Sous Paramètres BGP avancés , entrez un code secret BGP qui correspond à celui utilisé par la passerelle sur site.
  12. (Facultatif) Marquez le VPN.

    Reportez-vous à Ajouter des balises à un objet pour plus d'informations sur le balisage d'objets NSX-T.

  13. Cliquez sur ENREGISTRER.

Résultats

Le processus de création de VPN peut prendre quelques minutes. Lorsque le VPN basé sur des routes devient disponible, l'état du tunnel et l'état de la session BGP sont affichés. Les actions suivantes sont disponibles pour vous aider à dépanner et à configurer l'extrémité sur site du VPN:
  • Cliquez sur TÉLÉCHARGER LA CONFIGURATION pour télécharger un fichier contenant les détails de la configuration du VPN. Vous pouvez utiliser ces détails pour configurer l'extrémité sur site de ce VPN.
  • Cliquez sur AFFICHER LES STATISTIQUES pour afficher les statistiques du trafic des paquets pour ce VPN. Reportez-vous à la section Afficher l'état et les statistiques du tunnel VPN.
  • Cliquez sur AFFICHER LES ROUTES pour ouvrir un affichage des routes annoncées et apprises par ce VPN.
  • Cliquez sur TÉLÉCHARGER LES ROUTES pour télécharger une liste de Routes annoncées ou de Routes apprises au format CSV.

Que faire ensuite

Créez ou mettez à jour les règles de pare-feu si nécessaire. Pour autoriser le trafic sur le VPN basé sur les routes, spécifiez Interface de tunnel VPN dans le champ Appliqué à. L'option Toutes les liaisons montantes n'inclut pas le tunnel VPN routé.