Una VPN basata su criteri crea un tunnel IPSec e un criterio che specifica il modo in cui viene utilizzato dal traffico. Quando si utilizza una VPN basata su criteri, è necessario aggiornare le tabelle di routing in entrambe le estremità della rete quando si aggiungono nuove route.

Nota:

Questo argomento illustra come creare una VPN basata su criteri che si connette all'IP pubblico o privato predefinito dell'SDDC. Se si dispone di un SDDC con gateway di livello 1 aggiuntivi (vedere Aggiunta di un gateway di livello 1 personalizzato a un SDDC VMware Cloud on AWS), è possibile fare clic su APRI NSX Manager e aggiungere i servizi VPN che terminano su questi gateway. Vedere Aggiunta di servizi VPN nella Guida all'amministrazione di NSX Data Center.

In VMware Cloud on AWS, i servizi VPN a un gateway di livello 1 non supportano BGP.

Le VPN basate su criteri nell'SDDC di VMware Cloud on AWS utilizzano un protocollo IPSec per proteggere il traffico. Per creare una VPN basata su criteri, configurare l'endpoint locale (SDDC), quindi configurare un endpoint locale (in locale) corrispondente. Poiché ogni VPN basato su criteri deve creare una nuova associazione di sicurezza IPsec per ogni rete, un amministratore deve aggiornare le informazioni di routing in locale e nell'SDDC ogni volta che viene creata una nuova VPN basata su criteri. Una VPN basata su criteri può essere un'opzione appropriata quando sono presenti solo alcune reti in una delle estremità della VPN, o se l'hardware di rete in locale non supporta BGP (necessario per le VPN basate su route).

Importante:

Se l'SDDC include sia una VPN basata su criteri che un'altra connessione, come una VPN basata su route, la connettività DX o VTGW sulla VPN basata su criteri non riuscirà se la VPN basata su route annuncia la route predefinita (0.0.0.0/0) all'SDDC. Se nessuna di queste altre connessioni annuncia la route predefinita, tutto il traffico che corrisponde al criterio della VPN passerà attraverso la VPN anche se le altre connessioni forniscono una route più specifica. In caso di sovrapposizione, una route VPN basata su route è preferibile rispetto a una corrispondenza con un criterio VPN basato su criteri.

Procedura

  1. Accedere a Console di VMware Cloud all'indirizzo https://vmc.vmware.com.
  2. Fare clic su Inventario > SDDC, quindi scegliere una scheda SDDC e fare clic su VISUALIZZA DETTAGLI.
  3. Fare clic su APRI NSX MANAGER e accedere con l'Account utente amministratore di NSX Manager visualizzato nella pagina Impostazioni dell'SDDC. Vedere Amministrazione della rete dell'SDDC con NSX Manager.
    Per questo workflow, è inoltre possibile utilizzare la scheda Rete e sicurezza della Console di VMware Cloud.
  4. Fare clic su VPN > Basato su criteri > AGGIUNGI VPN e assegnare alla nuova VPN un Nome e una Descrizione facoltativa.
  5. Selezionare un Indirizzo IP locale dal menu a discesa.
    • Se questo SDDC fa parte di un gruppo di SDDC o è stato configurato per l'utilizzo di AWS Direct Connect, selezionare l'indirizzo IP privato in modo che la VPN utilizzi tale connessione anziché una connessione su Internet. Si noti che il traffico VPN su Direct Connect o VMware Managed Transit Gateway (VTGW) è limitato alla MTU predefinita di 1500 byte anche se il link supporta una MTU più alta. Vedere Configurazione di Direct Connect in un'interfaccia virtuale privata per il traffico di rete di gestione ed elaborazione SDDC.
    • Selezionare l'indirizzo IP pubblico se si desidera che la VPN sia connessa su Internet.
  6. Immettere l'indirizzo IP pubblico remoto del gateway in locale.
    L'indirizzo non deve essere già in uso per un'altra VPN. VMware Cloud on AWS utilizza lo stesso IP pubblico per tutte le connessioni VPN, in modo che sia possibile creare solo una singola connessione VPN (basata su route, basata su criteri o VPN L2) per un determinato IP pubblico remoto. Se nel Passaggio 5 è stato specificato un IP pubblico, quest'ultimo deve essere raggiungibile su Internet. Se è stato specificato un IP privato, deve essere raggiungibile tramite Direct Connect a una VIF privata. Le regole predefinite del firewall del gateway consentono il traffico in entrata e in uscita attraverso la connessione VPN; tuttavia, è necessario creare regole del firewall per gestire il traffico attraverso il tunnel VPN.
  7. Specificare le Reti remote a cui questa VPN può connettersi.
    Questo elenco deve includere tutte le reti definite come locali dal gateway VPN locale.Immettere ogni rete in formato CIDR, separando più blocchi CIDR con virgole.
  8. Specificare le Reti locali a cui questa VPN può connettersi.
    L'elenco include tutte le reti di elaborazione instradate nel SDDC, nonché l'intera rete di Gestione e la subnet dell'appliance (un sottoinsieme della rete di gestione che include vCenter e altre appliances di gestione, ma non gli host ESXi). Include inoltre la rete DNS CGW, un singolo indirizzo IP utilizzato per richieste di origine inoltrate dal servizio DNS CGW.
  9. Scegliere una modalità di autenticazione.
  10. (Facoltativo) Se il gateway in locale si trova dietro un dispositivo NAT, immettere l'indirizzo del gateway come IP privato remoto.
    Questo indirizzo IP deve corrispondere all'identità locale (ID IKE) inviata dal gateway VPN in locale. Se questo campo è vuoto, il campo IP pubblico remoto viene utilizzato per corrispondere all'identità locale del gateway VPN in locale.
  11. Configurare i Parametri avanzati del tunnel.
    Parametro Valore
    Profilo IKE > Crittografia IKE Selezionare una crittografia di Fase 1 (IKE) supportata dal gateway VPN locale.
    Profilo IKE > Algoritmo digest IKE Selezionare un algoritmo digest di Fase 1 supportato dal gateway VPN locale. La procedura consigliata consiste nell'utilizzare lo stesso algoritmo sia per l'Algoritmo digest IKE che per l'Algoritmo digest tunnel.
    Nota:

    Se si specifica una crittografia basata su GCM per la crittografia IKE, impostare l'opzione Algoritmo digest IKE su Nessuno. La funzione del digest è fondamentale per la crittografia GCM. Se si utilizza una crittografia basata su GCM, è necessario utilizzare IKE V2

    .
    Profilo IKE > Versione IKE
    • Specificare IKE V1 per avviare e accettare il protocollo IKEv1.
    • Specificare IKE V2 per avviare e accettare il protocollo IKEv2. Se è stato specificato un Algoritmo digest IKE basato su GCM, è necessario utilizzare IKEv2.
    • Specificare IKE FLEX accettare IKEv1 o IKEv2, quindi avviare utilizzando IKEv2. Se l'avvio di IKEv2 ha esito negativo, IKE FLEX non torna a IKEv1.
    Profilo IKE > Diffie Hellman Selezionare un gruppo Diffie Hellman supportato dal gateway VPN locale. Questo valore deve essere identico per entrambe le estremità del tunnel VPN. I numeri dei gruppi più alti offrono una migliore protezione. La procedura consigliata consiste nel selezionare il gruppo 14 o superiore.
    Profilo IPsec > Crittografia tunnel Selezionare una crittografia con associazione di sicurezza (SA) di Fase 2 supportata dal gateway VPN locale.
    Profilo IPsec Algoritmo digest tunnel Selezionare un algoritmo digest di Fase 2 supportato dal gateway VPN locale.
    Nota:

    Se per la Crittografia tunnel si specifica una crittografia basata su GCM, impostare Algoritmo digest tunnel su Nessuno. La funzione del digest è fondamentale per la crittografia GCM.

    Profilo IPsec > Perfect Forward Secrecy Attivare o disattivare l'opzione in modo che corrisponda all'impostazione del gateway VPN locale. L'abilitazione di Perfect Forward Secrecy impedisce che le sessioni registrate (precedenti) vengano decrittografate se la chiave privata dovesse essere compromessa.
    Profilo IPsec > Diffie Hellman Selezionare un gruppo Diffie Hellman supportato dal gateway VPN locale. Questo valore deve essere identico per entrambe le estremità del tunnel VPN. I numeri dei gruppi più alti offrono una migliore protezione. La procedura consigliata consiste nel selezionare il gruppo 14 o superiore.
    Profilo DPD > Modalità probe DPD Un valore a scelta tra Periodico o Su richiesta.

    Per la modalità probe DPD periodico, viene inviato un probe DPD ogni volta che si raggiunge il tempo specificato per l'intervallo di probe DPD.

    Per la modalità probe DPD su richiesta, viene inviato un probe DPD se non si riceve alcun pacchetto IPsec dal sito peer dopo un periodo di inattività. Il valore di Intervallo probe DPD determina il periodo di inattività utilizzato.

    Profilo DPD > Numero tentativi Numero intero di tentativi consentiti. I valori compresi nell'intervallo da 1 a 100 sono validi. Il numero di tentativi predefinito è 10.
    Profilo DPD > Intervallo probe DPD Numero di secondi che si desidera che il daemon IKE NSX attenda tra l'invio di un probe DPD e un altro.

    Per una modalità probe DPD periodico, i valori validi sono compresi tra 3 e 360 secondi. Il valore predefinito è 60 secondi.

    Per una modalità probe su richiesta, i valori validi sono compresi tra 1 e 10 secondi. Il valore predefinito è 3 secondi.

    Quando è impostata la modalità probe DPD periodico, il daemon IKE invia periodicamente un probe DPD. Se il sito peer risponde entro mezzo secondo, il probe DPD successivo viene inviato dopo che è stato raggiunto l'intervallo di probe DPD configurato. Se il sito peer non risponde, il probe DPD viene inviato di nuovo dopo un'attesa di mezzo secondo. Se il sito peer remoto continua a non rispondere, il daemon IKE invia nuovamente il probe DPD, finché non viene ricevuta una risposta o non viene raggiunto il numero di tentativi. Prima che il sito peer venga dichiarato inattivo, il daemon IKE rinvia il probe DPD fino al numero massimo di volte specificato nella proprietà Numero tentativi. Dopo che il sito peer viene dichiarato inattivo, NSX elimina l'associazione di sicurezza (SA) nel link del peer inattivo.

    Quando è impostata la modalità DPD su richiesta, il probe DPD viene inviato solo se non si riceve alcun traffico IPsec dal sito peer dopo aver raggiunto l'intervallo di probe DPD configurato.

    Profilo DPD > Stato amministrazione Per attivare o disattivare il profilo DPD, fare clic sull'interruttore Stato amministrazione. Per impostazione predefinita, il valore è impostato su Abilitato. Quando è abilitato, il profilo DPD viene utilizzato per tutte le sessioni IPsec nel servizio VPN IPsec che utilizza il profilo DPD.
    Clamping TCP MSS Per utilizzare il Clapping TCP MSS per ridurre il payload MSS (Maximum Segment Size) della sessione TCP durante la connessione IPsec, impostare questa opzione su Abilitata, quindi selezionare la Direzione TCP MSS e, facoltativamente, il Valore TCP MSS. Vedere Informazioni sul clamping MSS TCP nella Guida all'amministrazione di NSX Data Center.
  12. (Facoltativo) Applicare un tag alla VPN.

    Vedere Aggiunta di tag a un oggetto nella Guida all'amministrazione di NSX Data Center per ulteriori informazioni sull'assegnazione di tag agli oggetti di NSX.

  13. Fare clic su SALVA.

risultati

Il processo di creazione della VPN potrebbe richiedere alcuni minuti. Quando la VPN basata su criteri diventa disponibile, sono disponibili le seguenti azioni per aiutare nella risoluzione dei problemi e nella configurazione dell'estremità in locale della VPN:
  • Fare clic su SCARICA CONFIG per scaricare un file contenente i dettagli della configurazione VPN. È possibile utilizzare questi dettagli per configurare l'estremità in locale di questa VPN.
  • Fare clic su VISUALIZZA STATISTICHE per visualizzare le statistiche del traffico dei pacchetti per questa VPN. Vedere Visualizzazione dello stato e delle statistiche del tunnel VPN.

Operazioni successive

Creare o aggiornare le regole del firewall in base alle esigenze. Per consentire il traffico attraverso la VPN basata su criteri, specificare Interfaccia Internet nel campo Applicato a.