Una VPN basata su route crea un'interfaccia del tunnel IPsec ed esegue il routing del traffico attraverso di essa, come stabilito dalla tabella di routing dell'SDDC. Una VPN basata su route fornisce un accesso resiliente e sicuro a più subnet. Quando si utilizza una VPN basata su route, le nuove route vengono aggiunte automaticamente quando vengono create nuove reti.

Nota:

Questo argomento illustra come creare una VPN basata su route che si connette all'IP pubblico o privato predefinito dell'SDDC. Se si dispone di un SDDC con gateway di livello 1 aggiuntivi (vedere Aggiunta di un gateway di livello 1 personalizzato a un SDDC VMware Cloud on AWS), è possibile fare clic su APRI NSX Manager e aggiungere i servizi VPN che terminano su questi gateway. Vedere Aggiunta di servizi VPN nella Guida all'amministrazione di NSX Data Center.

In VMware Cloud on AWS, i servizi VPN a un gateway di livello 1 non supportano BGP.

Le VPN basate su route nell'SDDC di VMware Cloud on AWS utilizzano un protocollo IPSec per proteggere il traffico e il Border Gateway Protocol (BGP) per individuare e propagare le route durante l'aggiunta e la rimozione delle reti. Per creare una VPN basata su route, configurare le informazioni BGP per gli endpoint locali (SDDC) e remoti (in locale), quindi specificare i parametri di sicurezza del tunnel per l'estremità SDDC del tunnel.

Procedura

  1. Accedere a VMware Cloud Services all'indirizzo https://vmc.vmware.com.
  2. Fare clic su Inventario > SDDC, quindi scegliere una scheda SDDC e fare clic su VISUALIZZA DETTAGLI.
  3. Fare clic su APRI NSX MANAGER e accedere con l'Account utente amministratore di NSX Manager visualizzato nella pagina Impostazioni dell'SDDC. Vedere Amministrazione della rete dell'SDDC con NSX Manager.
    Per questo workflow, è inoltre possibile utilizzare la scheda Rete e sicurezza della Console di VMware Cloud.
  4. (Facoltativo) Modificare l'Autonomous System Number (ASN) locale predefinito.
    Il valore predefinito di ASN per tutte le VPN basate su route nell'SDDC è 65000. L'ASN locale deve differire dall'ASN remoto. (iBGP, che richiede che gli ASN locali e remoti siano uguali, non è supportato nelle reti dell'SDDC). Per modificare l'ASN locale predefinito, fare clic su MODIFICA ASN LOCALE, immettere un nuovo valore compreso tra 64521 e 65534 (oppure 4200000000 da 4294967294) e fare clic su APPLICA.
    Nota: Le modifiche di questo valore influiscono su tutte le VPN basate su route in questo SDDC.
  5. Fare clic su VPN > Basato su route > AGGIUNGI VPN e assegnare alla nuova VPN un Nome e una Descrizione facoltativa.
  6. Selezionare un Indirizzo IP locale dal menu a discesa.
    • Se questo SDDC fa parte di un gruppo di SDDC o è stato configurato per l'utilizzo di AWS Direct Connect, selezionare l'indirizzo IP privato in modo che la VPN utilizzi tale connessione anziché una connessione su Internet. Si noti che il traffico VPN su Direct Connect o VMware Managed Transit Gateway (VTGW) è limitato alla MTU predefinita di 1500 byte anche se il link supporta una MTU più alta. Vedere Configurazione di Direct Connect in un'interfaccia virtuale privata per il traffico di rete di gestione ed elaborazione SDDC.
    • Selezionare l'indirizzo IP pubblico se si desidera che la VPN sia connessa su Internet.
  7. Per IP remoto pubblico, inserire l'indirizzo del tuo endpoint VPN in locale.
    Questo è l'indirizzo del dispositivo che avvia o risponde alle richieste IPsec per questa VPN. L'indirizzo deve soddisfare i seguenti requisiti:
    • Non deve essere già in uso per un'altra VPN. VMware Cloud on AWS utilizza lo stesso IP pubblico per tutte le connessioni VPN, in modo che sia possibile creare solo una singola connessione VPN (basata su route, basata su criteri o VPN L2) per un determinato IP pubblico remoto.
    • Deve essere raggiungibile su Internet se è stato specificato un IP pubblico in Passaggio 6.
    • Deve essere raggiungibile tramite VTGW o Direct Connect a una VIF privata se è stato specificato un IP privato in Passaggio 6.
    Le regole predefinite del firewall del gateway consentono il traffico in entrata e in uscita attraverso la connessione VPN; tuttavia, è necessario creare regole del firewall per gestire il traffico attraverso il tunnel VPN.
  8. Per IP/Lunghezza prefisso locale BGP, immettere un indirizzo di rete da un blocco CIDR di dimensioni pari a /30 all'interno della subnet 169.254.0.0/16.

    Alcuni blocchi di questo intervallo sono riservati, come indicato in Indirizzi di rete riservati. Se non è possibile utilizzare una rete dalla subnet 169.254.0.0/16 (a causa di un conflitto con una rete esistente), è necessario creare una regola del firewall che consenta il traffico dal servizio BGP alla subnet qui selezionata. Vedere Aggiunta o modifica delle regole del firewall del gateway di elaborazione.

    Il campo IP/Lunghezza prefisso locale BGP specifica sia una subnet locale che un indirizzo IP al suo interno, per cui il valore immesso deve essere il secondo o il terzo indirizzo in un intervallo /30, e includere il suffisso /30. Ad esempio, un valore IP/Lunghezza prefisso locale BGP di 169.254.32.1/30 crea una rete 169.254.32.0 e assegna 169.254.32.1 come IP BGP locale (noto anche come interfaccia del tunnel virtuale o VTI).

  9. Per IP remoto BGP, immettere l'indirizzo IP rimanente dell'intervallo specificato in Passaggio 8.
    Ad esempio, se si specifica un valore di IP/lunghezza prefisso locale BGP di 169.254.32.1/30, utilizzare 169.254.32.2 per l' IP remoto BGP. Quando si configura l'estremità in locale di questa VPN, utilizzare l'indirizzo IP specificato per IP remoto BGP come indirizzo IP BGP o VTI locale.
  10. In ASN adiacente BGP, inserire l'ASN del gateway VPN in locale.
  11. Scegliere una modalità di autenticazione.
  12. Specificare l'IP privato remoto.
    Lasciare vuoto questo campo per utilizzare l' IP pubblico remoto come ID remoto per la negoziazione IKE. Se il gateway VPN in locale si trova dietro un dispositivo NAT, e/o utilizza un IP diverso per il relativo ID locale, è necessario immettere tale IP qui.
  13. Configurare i Parametri avanzati del tunnel.
    Parametro Valore
    Profilo IKE > Crittografia IKE Selezionare una crittografia di Fase 1 (IKE) supportata dal gateway VPN locale.
    Profilo IKE > Algoritmo digest IKE Selezionare un algoritmo digest di Fase 1 supportato dal gateway VPN locale. La procedura consigliata consiste nell'utilizzare lo stesso algoritmo sia per l'Algoritmo digest IKE che per l'Algoritmo digest tunnel.
    Nota:

    Se si specifica una crittografia basata su GCM per la crittografia IKE, impostare l'opzione Algoritmo digest IKE su Nessuno. La funzione del digest è fondamentale per la crittografia GCM. Se si utilizza una crittografia basata su GCM, è necessario utilizzare IKE V2

    .
    Profilo IKE > Versione IKE
    • Specificare IKE V1 per avviare e accettare il protocollo IKEv1.
    • Specificare IKE V2 per avviare e accettare il protocollo IKEv2. Se è stato specificato un Algoritmo digest IKE basato su GCM, è necessario utilizzare IKEv2.
    • Specificare IKE FLEX accettare IKEv1 o IKEv2, quindi avviare utilizzando IKEv2. Se l'avvio di IKEv2 ha esito negativo, IKE FLEX non torna a IKEv1.
    Profilo IKE > Diffie Hellman Selezionare un gruppo Diffie Hellman supportato dal gateway VPN locale. Questo valore deve essere identico per entrambe le estremità del tunnel VPN. I numeri dei gruppi più alti offrono una migliore protezione. La procedura consigliata consiste nel selezionare il gruppo 14 o superiore.
    Profilo IPsec > Crittografia tunnel Selezionare una crittografia con associazione di sicurezza (SA) di Fase 2 supportata dal gateway VPN locale.
    Profilo IPsec Algoritmo digest tunnel Selezionare un algoritmo digest di Fase 2 supportato dal gateway VPN locale.
    Nota:

    Se per la Crittografia tunnel si specifica una crittografia basata su GCM, impostare Algoritmo digest tunnel su Nessuno. La funzione del digest è fondamentale per la crittografia GCM.

    Profilo IPsec > Perfect Forward Secrecy Attivare o disattivare l'opzione in modo che corrisponda all'impostazione del gateway VPN locale. L'abilitazione di Perfect Forward Secrecy impedisce che le sessioni registrate (precedenti) vengano decrittografate se la chiave privata dovesse essere compromessa.
    Profilo IPsec > Diffie Hellman Selezionare un gruppo Diffie Hellman supportato dal gateway VPN locale. Questo valore deve essere identico per entrambe le estremità del tunnel VPN. I numeri dei gruppi più alti offrono una migliore protezione. La procedura consigliata consiste nel selezionare il gruppo 14 o superiore.
    Profilo DPD > Modalità probe DPD Un valore a scelta tra Periodico o Su richiesta.

    Per la modalità probe DPD periodico, viene inviato un probe DPD ogni volta che si raggiunge il tempo specificato per l'intervallo di probe DPD.

    Per la modalità probe DPD su richiesta, viene inviato un probe DPD se non si riceve alcun pacchetto IPsec dal sito peer dopo un periodo di inattività. Il valore di Intervallo probe DPD determina il periodo di inattività utilizzato.

    Profilo DPD > Numero tentativi Numero intero di tentativi consentiti. I valori compresi nell'intervallo da 1 a 100 sono validi. Il numero di tentativi predefinito è 10.
    Profilo DPD > Intervallo probe DPD Numero di secondi che si desidera che il daemon IKE NSX attenda tra l'invio di un probe DPD e un altro.

    Per una modalità probe DPD periodico, i valori validi sono compresi tra 3 e 360 secondi. Il valore predefinito è 60 secondi.

    Per una modalità probe su richiesta, i valori validi sono compresi tra 1 e 10 secondi. Il valore predefinito è 3 secondi.

    Quando è impostata la modalità probe DPD periodico, il daemon IKE invia periodicamente un probe DPD. Se il sito peer risponde entro mezzo secondo, il probe DPD successivo viene inviato dopo che è stato raggiunto l'intervallo di probe DPD configurato. Se il sito peer non risponde, il probe DPD viene inviato di nuovo dopo un'attesa di mezzo secondo. Se il sito peer remoto continua a non rispondere, il daemon IKE invia nuovamente il probe DPD, finché non viene ricevuta una risposta o non viene raggiunto il numero di tentativi. Prima che il sito peer venga dichiarato inattivo, il daemon IKE rinvia il probe DPD fino al numero massimo di volte specificato nella proprietà Numero tentativi. Dopo che il sito peer viene dichiarato inattivo, NSX elimina l'associazione di sicurezza (SA) nel link del peer inattivo.

    Quando è impostata la modalità DPD su richiesta, il probe DPD viene inviato solo se non si riceve alcun traffico IPsec dal sito peer dopo aver raggiunto l'intervallo di probe DPD configurato.

    Profilo DPD > Stato amministrazione Per attivare o disattivare il profilo DPD, fare clic sull'interruttore Stato amministrazione. Per impostazione predefinita, il valore è impostato su Abilitato. Quando è abilitato, il profilo DPD viene utilizzato per tutte le sessioni IPsec nel servizio VPN IPsec che utilizza il profilo DPD.
    Clamping TCP MSS Per utilizzare il Clapping TCP MSS per ridurre il payload MSS (Maximum Segment Size) della sessione TCP durante la connessione IPsec, impostare questa opzione su Abilitata, quindi selezionare la Direzione TCP MSS e, facoltativamente, il Valore TCP MSS. Vedere Informazioni sul clamping MSS TCP nella Guida all'amministrazione di NSX Data Center.
  14. (Facoltativo) In Parametri BGP avanzati, inserire un BGP segreto corrispondente a quello utilizzato dal gateway in locale.
  15. (Facoltativo) Applicare un tag alla VPN.

    Vedere Aggiunta di tag a un oggetto nella Guida all'amministrazione di NSX Data Center per ulteriori informazioni sull'assegnazione di tag agli oggetti di NSX.

  16. Fare clic su SALVA.

risultati

Il processo di creazione della VPN potrebbe richiedere alcuni minuti. Quando la VPN basata su route diventa disponibile, vengono visualizzati lo stato del tunnel e quello della sessione BGP. Sono disponibili le seguenti azioni per aiutare nella risoluzione dei problemi e nella configurazione dell'estremità in locale della VPN:
  • Fare clic su SCARICA CONFIG per scaricare un file contenente i dettagli della configurazione VPN. È possibile utilizzare questi dettagli per configurare l'estremità in locale di questa VPN.
  • Fare clic su VISUALIZZA STATISTICHE per visualizzare le statistiche del traffico dei pacchetti per questa VPN. Vedere Visualizzazione dello stato e delle statistiche del tunnel VPN.
  • Fare clic su VISUALIZZA ROUTE per aprire una visualizzazione delle route annunciate e acquisite da questa VPN.
  • Fare clic su SCARICA ROUTE per scaricare un elenco di Route annunciate o Route acquisite in formato CSV.

Operazioni successive

Creare o aggiornare le regole del firewall in base alle esigenze. Per consentire il traffico attraverso la VPN basata su route, specificare Interfaccia del tunnel VPN nel campo Applicato a. L'opzione Tutti gli uplink non include il tunnel VPN instradato.