原則型 VPN 建立 IPsec 通道以及指定流量如何使用該通道的原則。當您使用原則型 VPN 時,您必須在新增路由時更新網路兩端的路由表。

備註:

本主題介紹如何建立連線到 SDDC 的預設公用或私人 IP 的原則型 VPN。如果您的 SDDC 具有其他第 1 層閘道 (請參閱將自訂第 1 層閘道新增至 VMware Cloud on AWS SDDC),則可以按一下開啟 NSX Manager,然後新增在這些閘道上終止的 VPN 服務。請參閱NSX Data Center 管理指南》中的〈新增 VPN 服務〉

VMware Cloud on AWS 中,第 1 層閘道的 VPN 服務不支援 BGP。

VMware Cloud on AWS SDDC 中的原則型 VPN 使用 IPsec 通訊協定來保護流量。若要建立原則型 VPN,您可以設定本機 (SDDC) 端點,然後設定相符的遠端 (內部部署) 端點。由於每個原則型 VPN 必須為各個網路建立新的 IPsec 安全性關聯,因此,管理員必須在每次建立新的原則型 VPN 時更新內部部署和 SDDC 中的路由資訊。當 VPN 的任意一端僅有幾個網路時,或如果您的內部部署網路硬體不支援路由型 VPN 所需的 BGP,則原則型 VPN 是一個適當的選擇。

重要:

如果 SDDC 同時包含原則型 VPN 和其他連線 (例如,路由型 VPN、DX 或 VTGW),則在這些其他連線的任何一個將預設路由 (0.0.0.0/0) 通告到 SDDC 時,透過原則型 VPN 進行的連線將失敗。如果這些其他連線均未通告預設路由,則與 VPN 原則相符的所有流量都將透過 VPN 進行傳輸,即使其他連線提供了更具體的路由也是如此。如果發生重疊,路由型 VPN 路由優先於原則型 VPN 原則比對。

程序

  1. 登入 VMware Cloud 主控台,網址為 https://vmc.vmware.com
  2. 按一下詳細目錄 > SDDC,然後挑選一個 SDDC 卡並按一下檢視詳細資料
  3. 按一下開啟 NSX Manager,然後使用 SDDC 設定頁面上顯示的 NSX Manager 管理員使用者帳戶登入。請參閱使用 NSX Manager 的 SDDC 網路管理
    也可以使用 VMware Cloud 主控台網路與安全性索引標籤執行此工作流程。
  4. 按一下 VPN > 原則型 > 新增 VPN,然後為新 VPN 指定名稱和可選說明
  5. 從下拉式功能表中,選取本機 IP 位址
    • 如果此 SDDC 是 SDDC 群組的成員或已設定為使用 AWS Direct Connect,請選取私人 IP 位址,讓 VPN 使用該連線而非透過網際網路進行連線。請注意,透過 Direct Connect 或 VMware Managed Transit Gateway (VTGW)的 VPN 流量僅限於 1500 位元組的預設 MTU,即使該連結支援較高的 MTU 也是如此。請參閱針對 SDDC 管理和計算網路流量設定透過 Direct Connect 連線至私人虛擬介面
    • 如果希望 VPN 透過網際網路連線,請選取公用 IP 位址。
  6. 輸入內部部署閘道的遠端公用 IP 位址。
    該位址不得用於其他 VPN。 VMware Cloud on AWS 對所有 VPN 連線使用相同的公用 IP,因此只能將單一 VPN 連線 (路由型、原則型或 L2VPN) 建立到指定的遠端公用 IP。如果在 步驟 5 中指定了公用 IP,此位址必須可透過網際網路進行連線。 如果您指定了私人 IP,它必須可透過 Direct Connect 連線至私人 VIF。預設閘道防火牆規則允許透過 VPN 連線的輸入和輸出流量,但您必須建立防火牆規則以管理透過 VPN 通道的流量。
  7. 指定此 VPN 可連線的遠端網路
    此清單必須包含內部部署 VPN 閘道定義為本機的所有網路。以 CIDR 格式輸入每個網路,並以逗號分隔多個 CIDR 區塊。
  8. 指定此 VPN 可連線的本機網路
    此清單包含 SDDC 中的所有路由計算網路,以及整個管理網路和應用裝置子網路 (包含 vCenter 和其他管理應用裝置 (但不包括 ESXi 主機) 的管理網路的子集)。它還包含 CGW DNS 網路,用於獲取 CGW DNS 服務轉送的來源要求的單一 IP 位址。
  9. 選擇驗證模式
    • 對於 PSK 驗證,輸入預先共用金鑰字串。金鑰的長度上限為 128 個字元。對於 VPN 通道的兩端,此金鑰必須相同。
    • 對於以憑證為基礎的驗證,請參閱為 IPSec VPN 設定以憑證為基礎的驗證
  10. (選擇性) 如果您的內部部署閘道在 NAT 裝置後方,則輸入閘道位址為遠端私人 IP
    此 IP 位址必須與內部部署 VPN 閘道傳送的本機身分識別 (IKE 識別碼) 相符。如果此欄位為空白,將使用 遠端公用 IP 欄位與內部部署 VPN 閘道的本機識別相符。
  11. 設定進階通道參數
    參數
    IKE 設定檔 > IKE 加密 選取內部部署 VPN 閘道所支援的階段 1 (IKE) 加密。
    IKE 設定檔 > IKE 摘要演算法 選取內部部署 VPN 閘道所支援的階段 1 摘要演算法。最佳做法是針對 IKE 摘要演算法通道摘要演算法使用相同的演算法。
    備註:

    如果為 IKE 加密指定 GCM 型加密時,請將 IKE 摘要演算法設為。摘要功能對於 GCM 加密非常重要。如果您使用 GCM 型加密,則必須使用 IKE V2

    IKE 設定檔 > IKE 版本
    • 指定 IKE V1,起始並接受 IKEv1 通訊協定。
    • 指定 IKE V2,起始並接受 IKEv2 通訊協定。如果您指定了 GCM 型 IKE 摘要演算法,則必須使用 IKEv2。
    • 指定 IKE FLEX 接受 IKEv1 或 IKEv2,然後使用 IKEv2 起始。如果 IKEv2 初始化失敗,IKE FLEX 將不會回復為 IKEv1。
    IKE 設定檔 > Diffie Hellman 選取內部部署 VPN 閘道所支援的 Diffie Hellman 群組。對於 VPN 通道的兩端,此值必須相同。群組編號越高,提供的保護越好。最佳做法是選取群組 14 或更高。
    IPSec 設定檔 > 通道加密 選取內部部署 VPN 閘道所支援的階段 2 安全性關聯 (SA) 加密。
    IPSec 設定檔通道摘要演算法 選取內部部署 VPN 閘道所支援的階段 2 摘要演算法。
    備註:

    如果為通道加密指定 GCM 型加密時,請將通道摘要演算法設為。摘要功能對於 GCM 加密非常重要。

    IPSec 設定檔 > 完全正向加密 啟用或停用以符合您的內部部署 VPN 閘道設定。如果曾破解私密金鑰,啟用完全正向加密可防止記錄 (過去) 的工作階段被解密。
    IPSec 設定檔 > Diffie Hellman 選取內部部署 VPN 閘道所支援的 Diffie Hellman 群組。對於 VPN 通道的兩端,此值必須相同。群組編號越高,提供的保護越好。最佳做法是選取群組 14 或更高。
    DPD 設定檔 > DPD 探查模式 定期按需的其中之一。

    對於定期 DPD 探查模式,每次達到指定的 DPD 探查時間間隔時,都會傳送 DPD 探查。

    對於按需 DPD 探查模式,如果在閒置期過後未從對等站台接收任何 IPSec 封包,則會傳送 DPD 探查。DPD 探查時間間隔中的值確定了使用的閒置期間。
    DPD 設定檔 > 重試計數 允許的重試次數為整數。1 - 100 範圍內的值有效。預設重試計數為 10。
    DPD 設定檔 > DPD 探查時間間隔 您希望 NSX IKE 精靈在傳送 DPD 探查時的等待間隔秒數。

    對於定期 DPD 探查模式,有效值介於 3 到 360 秒之間。預設值為 60 秒。

    對於隨選探查模式,有效值介於 1 到 10 秒之間。預設值為 3 秒。

    設定定期 DPD 探查模式後,IKE 精靈會定期傳送 DPD 探查。如果對等站台在半秒內回應,則會在達到所設定的 DPD 探查間隔時間之後傳送下一個 DPD 探查。如果對等站台未回應,則等待半秒後再次傳送 DPD 探查。如果遠端對等站台持續沒有回應,IKE 精靈會再次重新傳送 DPD 探查,直到收到回應或達到重試計數上限。將對等站台宣告為無作用之前,IKE 精靈重新傳送 DPD 探查的次數最多為重試計數內容中指定的次數上限。將對等站台宣告為無作用之後,NSX 會中斷無作用對等連結上的安全性關聯 (SA)。

    設定按需 DPD 模式後,僅在達到所設定 DPD 探查間隔時間後未從對等站台接收任何 IPSec 流量時,才會傳送 DPD 探查。
    DPD 設定檔 > 管理狀態 若要啟用或停用 DPD 設定檔,請按一下管理狀態切換按鈕。依預設,此值設為已啟用。當 DPD 設定檔啟用後,將針對使用 DPD 設定檔之 IPSec VPN 服務中的所有 IPSec 工作階段使用此 DPD 設定檔。
    TCP MSS 鉗制 若要在 IPsec 連線期間使用 TCP MSS 限制減少 TCP 工作階段的最大區段大小 (MSS) 裝載,請將此選項切換為已啟用,然後選取 TCP MSS 方向TCP MSS 值 (可選)。請參閱NSX Data Center 管理指南》中的〈瞭解 TCP MSS 鉗制〉
  12. (選擇性) 標記 VPN。

    如需有關標記 NSX 物件的詳細資訊,請參閱NSX Data Center 管理指南》中的〈將標籤新增至物件〉

  13. 按一下儲存

結果

VPN 建立程序可能需要幾分鐘的時間。當原則型 VPN 變得可用時,下列動作可協助您疑難排解及設定 VPN 的內部部署端:
  • 按一下下載組態下載包含 VPN 組態詳細資料的檔案。您可以使用這些詳細資料設定此 VPN 的內部部署端。
  • 按一下檢視統計資料檢視此 VPN 的封包流量統計資料。請參閱檢視 VPN 通道狀態和統計資料

下一步

視需要建立或更新防火牆規則。若要允許流量通過原則型 VPN,請在套用至欄位中指定網際網路介面