也可以使用 VMware Cloud 主控台的 網路與安全性索引標籤執行此工作流程。

SDDC 中的所有路由型 VPN 預設為 ASN 65000。本機 ASN 必須與遠端 ASN 不同。(SDDC 網路中不支援要求本機和遠端 ASN 相同的 iBGP。)若要變更預設本機 ASN，請按一下 編輯本機 ASN，輸入介於 64521 到 65534 (或 4200000000 到 4294967294) 範圍之間的新值，然後按一下 套用。

• 如果此 SDDC 是 SDDC 群組的成員或已設定為使用 AWS Direct Connect，請選取私人 IP 位址，讓 VPN 使用該連線而非透過網際網路進行連線。請注意，透過 Direct Connect 或 VMware Managed Transit Gateway (VTGW) 的 VPN 流量僅限於 1500 位元組的預設 MTU，即使該連結支援較高的 MTU 也是如此。請參閱針對 SDDC 管理和計算網路流量設定透過 Direct Connect 連線至私人虛擬介面。
• 如果希望 VPN 透過網際網路連線，請選取公用 IP 位址。

這是起始或回應此 VPN 之 IPsec 要求的裝置位址。此位址必須符合以下需求：

• 它不得用於其他 VPN。VMware Cloud on AWS 對所有 VPN 連線使用相同的公用 IP，因此只能將單一 VPN 連線 (路由型、原則型或 L2VPN) 建立到指定的遠端公用 IP。
• 如果在步驟 6 中指定了公用 IP，此位址必須可透過網際網路進行連線。
• 如果在步驟 6 中指定了私人 IP，則必須可透過 VTGW 或 Direct Connect 連線至私人 VIF。

預設閘道防火牆規則允許透過 VPN 連線的輸入和輸出流量，但您必須建立防火牆規則以管理透過 VPN 通道的流量。

此範圍中的部分區塊將會保留，如保留的網路位址中所述。如果您無法使用 169.254.0.0/16 子網路中的網路 (因為與現有網路衝突)，則必須建立防火牆規則，以允許流量從 BGP 服務流入您在此處選擇的子網路。請參閱新增或修改計算閘道防火牆規則。

BGP 本機 IP/首碼長度會同時指定本機子網路及其中的 IP 位址，因此您輸入的值必須是 /30 範圍內的第二個或第三個位址，並且包含 /30 尾碼。例如，BGP 本機 IP/首碼長度 169.254.32.1/30 會建立網路 169.254.32.0，並指派 169.254.32.1 作為本機 BGP IP (亦稱為虛擬通道介面或 VTI)。

例如，如果指定 BGP 本機 IP/首碼長度為 169.254.32.1/30，則針對 BGP 遠端 IP 使用 169.254.32.2。設定此 VPN 的內部部署端時，請使用為 BGP 遠端 IP 指定的 IP 位址作為其本機 BGP IP 或 VTI 位址。

• 對於 PSK 驗證，輸入預先共用金鑰字串。金鑰的長度上限為 128 個字元。對於 VPN 通道的兩端，此金鑰必須相同。
• 對於以憑證為基礎的驗證，請參閱為 IPSec VPN 設定以憑證為基礎的驗證。

將此保留空白，以將 遠端公用 IP 用作 IKE 交涉的遠端 ID。如果您的內部部署 VPN 閘道位於 NAT 裝置後方，且/或針對其本機識別碼使用不同的 IP，則您需要在此處輸入該 IP。

參數	值
IKE 設定檔 > IKE 加密	選取內部部署 VPN 閘道所支援的階段 1 (IKE) 加密。
IKE 設定檔 > IKE 摘要演算法	選取內部部署 VPN 閘道所支援的階段 1 摘要演算法。最佳做法是針對 IKE 摘要演算法和通道摘要演算法使用相同的演算法。 備註： 如果為 IKE 加密指定 GCM 型加密時，請將 IKE 摘要演算法設為無。摘要功能對於 GCM 加密非常重要。如果您使用 GCM 型加密，則必須使用 IKE V2 。
IKE 設定檔 > IKE 版本	指定 IKE V1，起始並接受 IKEv1 通訊協定。 指定 IKE V2，起始並接受 IKEv2 通訊協定。如果您指定了 GCM 型 IKE 摘要演算法，則必須使用 IKEv2。 指定 IKE FLEX 接受 IKEv1 或 IKEv2，然後使用 IKEv2 起始。如果 IKEv2 初始化失敗，IKE FLEX 將不會回復為 IKEv1。
IKE 設定檔 > Diffie Hellman	選取內部部署 VPN 閘道所支援的 Diffie Hellman 群組。對於 VPN 通道的兩端，此值必須相同。群組編號越高，提供的保護越好。最佳做法是選取群組 14 或更高。
IPSec 設定檔 > 通道加密	選取內部部署 VPN 閘道所支援的階段 2 安全性關聯 (SA) 加密。
IPSec 設定檔通道摘要演算法	選取內部部署 VPN 閘道所支援的階段 2 摘要演算法。 備註： 如果為通道加密指定 GCM 型加密時，請將通道摘要演算法設為無。摘要功能對於 GCM 加密非常重要。
IPSec 設定檔 > 完全正向加密	啟用或停用以符合您的內部部署 VPN 閘道設定。如果曾破解私密金鑰，啟用完全正向加密可防止記錄 (過去) 的工作階段被解密。
IPSec 設定檔 > Diffie Hellman	選取內部部署 VPN 閘道所支援的 Diffie Hellman 群組。對於 VPN 通道的兩端，此值必須相同。群組編號越高，提供的保護越好。最佳做法是選取群組 14 或更高。
DPD 設定檔 > DPD 探查模式	定期或按需的其中之一。 對於定期 DPD 探查模式，每次達到指定的 DPD 探查時間間隔時，都會傳送 DPD 探查。 對於按需 DPD 探查模式，如果在閒置期過後未從對等站台接收任何 IPSec 封包，則會傳送 DPD 探查。DPD 探查時間間隔中的值確定了使用的閒置期間。
DPD 設定檔 > 重試計數	允許的重試次數為整數。1 - 100 範圍內的值有效。預設重試計數為 10。
DPD 設定檔 > DPD 探查時間間隔	您希望 NSX IKE 精靈在傳送 DPD 探查時的等待間隔秒數。 對於定期 DPD 探查模式，有效值介於 3 到 360 秒之間。預設值為 60 秒。 對於隨選探查模式，有效值介於 1 到 10 秒之間。預設值為 3 秒。 設定定期 DPD 探查模式後，IKE 精靈會定期傳送 DPD 探查。如果對等站台在半秒內回應，則會在達到所設定的 DPD 探查間隔時間之後傳送下一個 DPD 探查。如果對等站台未回應，則等待半秒後再次傳送 DPD 探查。如果遠端對等站台持續沒有回應，IKE 精靈會再次重新傳送 DPD 探查，直到收到回應或達到重試計數上限。將對等站台宣告為無作用之前，IKE 精靈重新傳送 DPD 探查的次數最多為重試計數內容中指定的次數上限。將對等站台宣告為無作用之後，NSX 會中斷無作用對等連結上的安全性關聯 (SA)。 設定按需 DPD 模式後，僅在達到所設定 DPD 探查間隔時間後未從對等站台接收任何 IPSec 流量時，才會傳送 DPD 探查。
DPD 設定檔 > 管理狀態	若要啟用或停用 DPD 設定檔，請按一下管理狀態切換按鈕。依預設，此值設為已啟用。當 DPD 設定檔啟用後，將針對使用 DPD 設定檔之 IPSec VPN 服務中的所有 IPSec 工作階段使用此 DPD 設定檔。
TCP MSS 鉗制	若要在 IPsec 連線期間使用 TCP MSS 限制減少 TCP 工作階段的最大區段大小 (MSS) 裝載，請將此選項切換為已啟用，然後選取 TCP MSS 方向和 TCP MSS 值 (可選)。請參閱《NSX Data Center 管理指南》中的〈瞭解 TCP MSS 鉗制〉。

如需有關標記 NSX 物件的詳細資訊，請參閱《NSX Data Center 管理指南》中的〈將標籤新增至物件〉。