Una VPN basata su route crea un'interfaccia del tunnel IPsec ed esegue il routing del traffico attraverso di essa, come stabilito dalla tabella di routing dell'SDDC. Una VPN basata su route fornisce un accesso resiliente e sicuro a più subnet. Quando si utilizza una VPN basata su route, le nuove route vengono aggiunte automaticamente quando vengono create nuove reti.

Le VPN basate su route nell'SDDC di VMware Cloud on AWS utilizzano un protocollo IPSec per proteggere il traffico e il Border Gateway Protocol (BGP) per individuare e propagare le route durante l'aggiunta e la rimozione delle reti. Per creare una VPN basata su route, configurare le informazioni BGP per gli endpoint locali (SDDC) e remoti (in locale), quindi specificare i parametri di sicurezza del tunnel per l'estremità SDDC del tunnel.
Importante:

Se l'SDDC include sia una VPN basata su criteri che una VPN basata su route, la connettività sulla VPN basata su criteri avrà esito negativo se la VPN basata su route annuncia la route predefinita (0.0.0.0/0) all'SDDC.

Procedura

  1. Effettuare l'accesso alla Console VMC su https://vmc.vmware.com.
  2. Fare clic su Rete e sicurezza > VPN > Basata su route.
  3. (Facoltativo) Modificare l'Autonomous System Number (ASN) locale predefinito.
    Il valore predefinito di ASN per tutte le VPN basate su route nell'SDDC è 65000. L'ASN locale deve differire dall'ASN remoto. (iBGP, che richiede che gli ASN locali e remoti siano uguali, non è supportato nelle reti dell'SDDC). Per modificare l'ASN locale predefinito, fare clic su MODIFICA ASN LOCALE, immettere un nuovo valore compreso tra 64521 e 65534 (oppure 4200000000 da 4294967294) e fare clic su APPLICA.
    Nota: Le modifiche di questo valore influiscono su tutte le VPN basate su route in questo SDDC.
  4. Fare clic su AGGIUNGI VPN e assegnare alla nuova VPN un Nome e una Descrizione opzionale.
  5. Selezionare un Indirizzo IP locale dal menu a discesa.
  6. Per IP remoto pubblico, inserire l'indirizzo del tuo endpoint VPN in locale.
    Questo è l'indirizzo del dispositivo che avvia o risponde alle richieste IPsec per questa VPN. L'indirizzo deve soddisfare i seguenti requisiti:
    • Non deve essere già in uso per un'altra VPN. VMware Cloud on AWS utilizza lo stesso IP pubblico per tutte le connessioni VPN, in modo che sia possibile creare solo una singola connessione VPN (basata su route, basata su criteri o VPN L2) per un determinato IP pubblico remoto.
    • Deve essere raggiungibile su Internet se è stato specificato un IP pubblico in Passaggio 5.
    • Deve essere raggiungibile tramite VTGW o Direct Connect a una VIF privata se è stato specificato un IP privato in Passaggio 5.
    Le regole predefinite del firewall del gateway consentono il traffico in entrata e in uscita attraverso la connessione VPN; tuttavia, è necessario creare regole del firewall per gestire il traffico attraverso il tunnel VPN.
  7. Per IP/Lunghezza prefisso locale BGP, immettere un indirizzo di rete da un blocco CIDR di dimensioni pari a /30 all'interno della subnet 169.254.0.0/16.

    Alcuni blocchi di questo intervallo sono riservati, come indicato in Indirizzi di rete riservati. Se non è possibile utilizzare una rete dalla subnet 169.254.0.0/16 (a causa di un conflitto con una rete esistente), è necessario creare una regola del firewall che consenta il traffico dal servizio BGP alla subnet qui selezionata. Vedere Aggiunta o modifica delle regole del firewall del gateway di elaborazione.

    Il campo IP/Lunghezza prefisso locale BGP specifica sia una subnet locale che un indirizzo IP al suo interno, per cui il valore immesso deve essere il secondo o il terzo indirizzo in un intervallo /30, e includere il suffisso /30. Ad esempio, un valore IP/Lunghezza prefisso locale BGP di 169.254.32.1/30 crea una rete 169.254.32.0 e assegna 169.254.32.1 come IP BGP locale (noto anche come interfaccia del tunnel virtuale o VTI).

  8. Per IP remoto BGP, immettere l'indirizzo IP rimanente dell'intervallo specificato in Passaggio 7.
    Ad esempio, se si specifica un valore di IP/lunghezza prefisso locale BGP di 169.254.32.1/30, utilizzare 169.254.32.2 per l' IP remoto BGP. Quando si configura l'estremità in locale di questa VPN, utilizzare l'indirizzo IP specificato per IP remoto BGP come indirizzo IP BGP o VTI locale.
  9. In ASN adiacente BGP, inserire l'ASN del gateway VPN in locale.
  10. Immettere la stringa Chiave precondivisa.

    La lunghezza massima della chiave è 128 caratteri. Questa chiave deve essere identica per entrambe le estremità del tunnel VPN.

  11. Specificare l'IP privato remoto.
    Lasciare vuoto questo campo per utilizzare l' IP pubblico remoto come ID remoto per la negoziazione IKE. Se il gateway VPN in locale si trova dietro un dispositivo NAT, e/o utilizza un IP diverso per il relativo ID locale, è necessario immettere tale IP qui.
  12. Configurare i Parametri avanzati del tunnel.
    Parametro Valore
    Profilo IKE > Crittografia IKE Selezionare una crittografia di Fase 1 (IKE) supportata dal gateway VPN locale.
    Profilo IKE > Algoritmo digest IKE Selezionare un algoritmo digest di Fase 1 supportato dal gateway VPN locale. La procedura consigliata consiste nell'utilizzare lo stesso algoritmo sia per l'Algoritmo digest IKE che per l'Algoritmo digest tunnel.
    Nota:

    Se si specifica una crittografia basata su GCM per la crittografia IKE, impostare l'opzione Algoritmo digest IKE su Nessuno. La funzione del digest è fondamentale per la crittografia GCM. Se si utilizza una crittografia basata su GCM, è necessario utilizzare IKE V2

    .
    Profilo IKE > Versione IKE
    • Specificare IKE V1 per avviare e accettare il protocollo IKEv1.
    • Specificare IKE V2 per avviare e accettare il protocollo IKEv2. Se è stato specificato un Algoritmo digest IKE basato su GCM, è necessario utilizzare IKEv2.
    • Specificare IKE FLEX accettare IKEv1 o IKEv2, quindi avviare utilizzando IKEv2. Se l'avvio di IKEv2 ha esito negativo, IKE FLEX non torna a IKEv1.
    Profilo IKE > Diffie Hellman Selezionare un gruppo Diffie Hellman supportato dal gateway VPN locale. Questo valore deve essere identico per entrambe le estremità del tunnel VPN. I numeri dei gruppi più alti offrono una migliore protezione. La procedura consigliata consiste nel selezionare il gruppo 14 o superiore.
    Profilo IPsec > Crittografia tunnel Selezionare una crittografia con associazione di sicurezza (SA) di Fase 2 supportata dal gateway VPN locale.
    Profilo IPsec Algoritmo digest tunnel Selezionare un algoritmo digest di Fase 2 supportato dal gateway VPN locale.
    Nota:

    Se per la Crittografia tunnel si specifica una crittografia basata su GCM, impostare Algoritmo digest tunnel su Nessuno. La funzione del digest è fondamentale per la crittografia GCM.

    Profilo IPsec > Perfect Forward Secrecy Attivare o disattivare l'opzione in modo che corrisponda all'impostazione del gateway VPN locale. L'abilitazione di Perfect Forward Secrecy impedisce che le sessioni registrate (precedenti) vengano decrittografate se la chiave privata dovesse essere compromessa.
    Profilo IPsec > Diffie Hellman Selezionare un gruppo Diffie Hellman supportato dal gateway VPN locale. Questo valore deve essere identico per entrambe le estremità del tunnel VPN. I numeri dei gruppi più alti offrono una migliore protezione. La procedura consigliata consiste nel selezionare il gruppo 14 o superiore.
    Profilo DPD > Modalità probe DPD Un valore a scelta tra Periodico o Su richiesta.

    Per la modalità probe DPD periodico, viene inviato un probe DPD ogni volta che si raggiunge il tempo specificato per l'intervallo di probe DPD.

    Per la modalità probe DPD su richiesta, viene inviato un probe DPD se non si riceve alcun pacchetto IPsec dal sito peer dopo un periodo di inattività. Il valore di Intervallo probe DPD determina il periodo di inattività utilizzato.

    Profilo DPD > Numero tentativi Numero intero di tentativi consentiti. I valori compresi nell'intervallo da 1 a 100 sono validi. Il numero di tentativi predefinito è 10.
    Profilo DPD > Intervallo probe DPD Numero di secondi di attesa del daemon IKE NSX tra gli invii dei probe DPD.

    Per una modalità probe DPD periodico, i valori validi sono compresi tra 3 e 360 secondi. Il valore predefinito è 60 secondi.

    Per una modalità probe su richiesta, i valori validi sono compresi tra 1 e 10 secondi. Il valore predefinito è 3 secondi.

    Quando è impostata la modalità probe DPD periodico, il daemon IKE invia periodicamente un probe DPD. Se il sito peer risponde entro mezzo secondo, il probe DPD successivo viene inviato dopo che è stato raggiunto l'intervallo di probe DPD configurato. Se il sito peer non risponde, il probe DPD viene inviato di nuovo dopo un'attesa di mezzo secondo. Se il sito peer remoto continua a non rispondere, il daemon IKE invia nuovamente il probe DPD, finché non viene ricevuta una risposta o non viene raggiunto il numero di tentativi. Prima che il sito peer venga dichiarato inattivo, il daemon IKE rinvia il probe DPD fino al numero massimo di volte specificato nella proprietà Numero tentativi. Dopo che il sito peer viene dichiarato inattivo, NSX chiude l'associazione di sicurezza (SA) sul link del peer inattivo.

    Quando è impostata la modalità DPD su richiesta, il probe DPD viene inviato solo se non si riceve alcun traffico IPsec dal sito peer dopo aver raggiunto l'intervallo di probe DPD configurato.

    Profilo DPD > Stato amministrazione Per attivare o disattivare il profilo DPD, fare clic sull'interruttore Stato amministrazione. Per impostazione predefinita, il valore è impostato su Abilitato. Quando è abilitato, il profilo DPD viene utilizzato per tutte le sessioni IPsec nel servizio VPN IPsec che utilizza il profilo DPD.
    Clamping TCP MSS Per ridurre il payload delle dimensioni segmento massime (MSS) della sessione TCP durante la connessione IPsec, abilitare Clamping TCP MSS, selezionare il valore di direzione TCP MSS e facoltativamente impostare il Valore MSS TCP. Consultare Informazioni sul clamping MSS TCP nella Guida all'amministrazione di NSX-T Data Center.
  13. (Facoltativo) In Parametri BGP avanzati, inserire un BGP segreto corrispondente a quello utilizzato dal gateway in locale.
  14. (Facoltativo) Applicare un tag alla VPN.

    Consultare Aggiungere tag a un oggetto nella Guida all'amministrazione di NSX-T Data Center per ulteriori informazioni sull'assegnazione di tag agli oggetti NSX-T.

  15. Fare clic su SALVA.

risultati

Il processo di creazione della VPN potrebbe richiedere alcuni minuti. Quando la VPN basata su route diventa disponibile, vengono visualizzati lo stato del tunnel e quello della sessione BGP. Sono disponibili le seguenti azioni per aiutare nella risoluzione dei problemi e nella configurazione dell'estremità in locale della VPN:
  • Fare clic su SCARICA CONFIG per scaricare un file contenente i dettagli della configurazione VPN. È possibile utilizzare questi dettagli per configurare l'estremità in locale di questa VPN.
  • Fare clic su VISUALIZZA STATISTICHE per visualizzare le statistiche del traffico dei pacchetti per questa VPN. Vedere Visualizzazione dello stato e delle statistiche del tunnel VPN.
  • Fare clic su VISUALIZZA ROUTE per aprire una visualizzazione delle route annunciate e acquisite da questa VPN.
  • Fare clic su SCARICA ROUTE per scaricare un elenco di Route annunciate o Route acquisite in formato CSV.

Operazioni successive

Creare o aggiornare le regole del firewall in base alle esigenze. Per consentire il traffico attraverso la VPN basata su route, specificare Interfaccia del tunnel VPN nel campo Applicato a. L'opzione Tutti gli uplink non include il tunnel VPN instradato.