Una VPN basata su criteri crea un tunnel IPSec e un criterio che specifica il modo in cui viene utilizzato dal traffico. Quando si utilizza una VPN basata su criteri, è necessario aggiornare le tabelle di routing in entrambe le estremità della rete quando si aggiungono nuove route.

Le VPN basate su criteri nell'SDDC di VMware Cloud on AWS utilizzano un protocollo IPSec per proteggere il traffico. Per creare una VPN basata su criteri, configurare l'endpoint locale (SDDC), quindi configurare un endpoint locale (in locale) corrispondente. Poiché ogni VPN basato su criteri deve creare una nuova associazione di sicurezza IPsec per ogni rete, un amministratore deve aggiornare le informazioni di routing in locale e nell'SDDC ogni volta che viene creata una nuova VPN basata su criteri. Una VPN basata su criteri può essere un'opzione appropriata quando sono presenti solo alcune reti in una delle estremità della VPN, o se l'hardware di rete in locale non supporta BGP (necessario per le VPN basate su route).

Importante:

Se l'SDDC include sia una VPN basata su criteri che una VPN basata su route, la connettività sulla VPN basata su criteri avrà esito negativo se la VPN basata su route annuncia la route predefinita (0.0.0.0/0) all'SDDC.

Procedura

  1. Effettuare l'accesso alla Console VMC su https://vmc.vmware.com.
  2. Selezionare Rete e sicurezza > VPN > Basata su criteri.
  3. Fare clic su AGGIUNGI VPN e assegnare alla nuova VPN un Nome e una Descrizione facoltativa.
  4. Selezionare un Indirizzo IP locale dal menu a discesa.
  5. Immettere l'indirizzo IP pubblico remoto del gateway in locale.
    L'indirizzo non deve essere già in uso per un'altra VPN. VMware Cloud on AWS utilizza lo stesso IP pubblico per tutte le connessioni VPN, in modo che sia possibile creare solo una singola connessione VPN (basata su route, basata su criteri o VPN L2) per un determinato IP pubblico remoto. Se in Passaggio 4 è stato specificato un IP pubblico, il suddetto deve essere raggiungibile su Internet. Se è stato specificato un IP privato, il suddetto deve essere raggiungibile tramite Direct Connect a una VIF privata. Le regole predefinite del firewall del gateway consentono il traffico in entrata e in uscita attraverso la connessione VPN; tuttavia, è necessario creare regole del firewall per gestire il traffico attraverso il tunnel VPN.
  6. Specificare le Reti remote a cui questa VPN può connettersi.
    Questo elenco deve includere tutte le reti definite come locali dal gateway VPN locale.Immettere ogni rete in formato CIDR, separando più blocchi CIDR con virgole.
  7. Specificare le Reti locali a cui questa VPN può connettersi.
    L'elenco include tutte le reti di elaborazione instradate nel SDDC, nonché l'intera rete di Gestione e la subnet dell'appliance (un sottoinsieme della rete di gestione che include vCenter e altre appliances di gestione, ma non gli host ESXi). Include inoltre la rete DNS CGW, un singolo indirizzo IP utilizzato per richieste di origine inoltrate dal servizio DNS CGW.
  8. Immettere la stringa Chiave precondivisa.

    La lunghezza massima della chiave è 128 caratteri. Questa chiave deve essere identica per entrambe le estremità del tunnel VPN.

  9. (Facoltativo) Se il gateway in locale si trova dietro un dispositivo NAT, immettere l'indirizzo del gateway come IP privato remoto.
    Questo indirizzo IP deve corrispondere all'identità locale (ID IKE) inviata dal gateway VPN in locale. Se questo campo è vuoto, il campo IP pubblico remoto viene utilizzato per corrispondere all'identità locale del gateway VPN in locale.
  10. Configurare i Parametri avanzati del tunnel.
    Parametro Valore
    Profilo IKE > Crittografia IKE Selezionare una crittografia di Fase 1 (IKE) supportata dal gateway VPN locale.
    Profilo IKE > Algoritmo digest IKE Selezionare un algoritmo digest di Fase 1 supportato dal gateway VPN locale. La procedura consigliata consiste nell'utilizzare lo stesso algoritmo sia per l'Algoritmo digest IKE che per l'Algoritmo digest tunnel.
    Nota:

    Se si specifica una crittografia basata su GCM per la crittografia IKE, impostare l'opzione Algoritmo digest IKE su Nessuno. La funzione del digest è fondamentale per la crittografia GCM. Se si utilizza una crittografia basata su GCM, è necessario utilizzare IKE V2

    .
    Profilo IKE > Versione IKE
    • Specificare IKE V1 per avviare e accettare il protocollo IKEv1.
    • Specificare IKE V2 per avviare e accettare il protocollo IKEv2. Se è stato specificato un Algoritmo digest IKE basato su GCM, è necessario utilizzare IKEv2.
    • Specificare IKE FLEX accettare IKEv1 o IKEv2, quindi avviare utilizzando IKEv2. Se l'avvio di IKEv2 ha esito negativo, IKE FLEX non torna a IKEv1.
    Profilo IKE > Diffie Hellman Selezionare un gruppo Diffie Hellman supportato dal gateway VPN locale. Questo valore deve essere identico per entrambe le estremità del tunnel VPN. I numeri dei gruppi più alti offrono una migliore protezione. La procedura consigliata consiste nel selezionare il gruppo 14 o superiore.
    Profilo IPsec > Crittografia tunnel Selezionare una crittografia con associazione di sicurezza (SA) di Fase 2 supportata dal gateway VPN locale.
    Profilo IPsec Algoritmo digest tunnel Selezionare un algoritmo digest di Fase 2 supportato dal gateway VPN locale.
    Nota:

    Se per la Crittografia tunnel si specifica una crittografia basata su GCM, impostare Algoritmo digest tunnel su Nessuno. La funzione del digest è fondamentale per la crittografia GCM.

    Profilo IPsec > Perfect Forward Secrecy Attivare o disattivare l'opzione in modo che corrisponda all'impostazione del gateway VPN locale. L'abilitazione di Perfect Forward Secrecy impedisce che le sessioni registrate (precedenti) vengano decrittografate se la chiave privata dovesse essere compromessa.
    Profilo IPsec > Diffie Hellman Selezionare un gruppo Diffie Hellman supportato dal gateway VPN locale. Questo valore deve essere identico per entrambe le estremità del tunnel VPN. I numeri dei gruppi più alti offrono una migliore protezione. La procedura consigliata consiste nel selezionare il gruppo 14 o superiore.
    Profilo DPD > Modalità probe DPD Un valore a scelta tra Periodico o Su richiesta.

    Per la modalità probe DPD periodico, viene inviato un probe DPD ogni volta che si raggiunge il tempo specificato per l'intervallo di probe DPD.

    Per la modalità probe DPD su richiesta, viene inviato un probe DPD se non si riceve alcun pacchetto IPsec dal sito peer dopo un periodo di inattività. Il valore di Intervallo probe DPD determina il periodo di inattività utilizzato.

    Profilo DPD > Numero tentativi Numero intero di tentativi consentiti. I valori compresi nell'intervallo da 1 a 100 sono validi. Il numero di tentativi predefinito è 10.
    Profilo DPD > Intervallo probe DPD Numero di secondi di attesa del daemon IKE NSX tra gli invii dei probe DPD.

    Per una modalità probe DPD periodico, i valori validi sono compresi tra 3 e 360 secondi. Il valore predefinito è 60 secondi.

    Per una modalità probe su richiesta, i valori validi sono compresi tra 1 e 10 secondi. Il valore predefinito è 3 secondi.

    Quando è impostata la modalità probe DPD periodico, il daemon IKE invia periodicamente un probe DPD. Se il sito peer risponde entro mezzo secondo, il probe DPD successivo viene inviato dopo che è stato raggiunto l'intervallo di probe DPD configurato. Se il sito peer non risponde, il probe DPD viene inviato di nuovo dopo un'attesa di mezzo secondo. Se il sito peer remoto continua a non rispondere, il daemon IKE invia nuovamente il probe DPD, finché non viene ricevuta una risposta o non viene raggiunto il numero di tentativi. Prima che il sito peer venga dichiarato inattivo, il daemon IKE rinvia il probe DPD fino al numero massimo di volte specificato nella proprietà Numero tentativi. Dopo che il sito peer viene dichiarato inattivo, NSX chiude l'associazione di sicurezza (SA) sul link del peer inattivo.

    Quando è impostata la modalità DPD su richiesta, il probe DPD viene inviato solo se non si riceve alcun traffico IPsec dal sito peer dopo aver raggiunto l'intervallo di probe DPD configurato.

    Profilo DPD > Stato amministrazione Per attivare o disattivare il profilo DPD, fare clic sull'interruttore Stato amministrazione. Per impostazione predefinita, il valore è impostato su Abilitato. Quando è abilitato, il profilo DPD viene utilizzato per tutte le sessioni IPsec nel servizio VPN IPsec che utilizza il profilo DPD.
    Clamping TCP MSS Per ridurre il payload delle dimensioni segmento massime (MSS) della sessione TCP durante la connessione IPsec, abilitare Clamping TCP MSS, selezionare il valore di direzione TCP MSS e facoltativamente impostare il Valore MSS TCP. Consultare Informazioni sul clamping MSS TCP nella Guida all'amministrazione di NSX-T Data Center.
  11. (Facoltativo) Applicare un tag alla VPN.

    Consultare Aggiungere tag a un oggetto nella Guida all'amministrazione di NSX-T Data Center per ulteriori informazioni sull'assegnazione di tag agli oggetti NSX-T.

  12. Fare clic su SALVA.

risultati

Il processo di creazione della VPN potrebbe richiedere alcuni minuti. Quando la VPN basata su criteri diventa disponibile, sono disponibili le seguenti azioni per aiutare nella risoluzione dei problemi e nella configurazione dell'estremità in locale della VPN:
  • Fare clic su SCARICA CONFIG per scaricare un file contenente i dettagli della configurazione VPN. È possibile utilizzare questi dettagli per configurare l'estremità in locale di questa VPN.
  • Fare clic su VISUALIZZA STATISTICHE per visualizzare le statistiche del traffico dei pacchetti per questa VPN. Vedere Visualizzazione dello stato e delle statistiche del tunnel VPN.

Operazioni successive

Creare o aggiornare le regole del firewall in base alle esigenze. Per consentire il traffico attraverso la VPN basata su criteri, specificare Interfaccia Internet nel campo Applicato a.