如果要將 VPN 連線到第 1 層閘道,必須在閘道上建立 IPsec 服務並建立合適的 NAT 規則,以支援透過閘道的網際網路介面傳輸的 IPsec VPN 流量。

在 SDDC 版本 1.18 及更新版本中,可以選擇在自訂第 1 層閘道上建立終止的 VPN。當您需要為特定承租人或工作群組提供專用 VPN 存取時,此組態特別有用。

如需詳細資訊,請參閱 VMware 技術區文章〈瞭解將 VPN 連線到 VMC on AWS 中客戶建立的 NSX T1〉

必要條件

建立透過 NAT 進行轉換的或路由的第 1 層閘道。請參閱將自訂第 1 層閘道新增至 VMware Cloud on AWS SDDC

程序

  1. 登入 VMware Cloud Services,網址為 https://vmc.vmware.com
  2. 按一下詳細目錄 > SDDC,然後挑選一個 SDDC 卡並按一下檢視詳細資料
  3. 按一下開啟 NSX Manager,然後使用 SDDC 設定頁面上顯示的 NSX Manager 管理員使用者帳戶登入。
  4. (選擇性) 請求 VPN 端點的公用 IP 位址。
    在要從網際網路連線至此 VPN 的一般情況下,其本機端點必須為公用 IP 位址。請參閱 要求或釋放公用 IP 位址。對於本範例,我們將使用 93.184.216.34 作為該位址。 如果要透過 DX 或 VMware Transit Connect 連線至此 VPN,可以使用 SDDC 計算網路中的任何可用 IP 位址。
    備註: 無法使用管理 CIDR 的任何子網路作為本機端點。
  5. 將 VPN 服務新增至第 1 層閘道。
    按一下 網路 > VPN。開啟 第 1 層索引標籤,然後按一下 VPN 服務 > 新增服務 > IPSec。為 IPsec 服務提供 名稱,然後從下拉式功能表中選取 第 1 層閘道。按一下 儲存以建立服務。
  6. 建立本機端點。
    開啟 本機端點索引標籤,然後按一下 新增本機端點。為新的本機端點提供 名稱和可選 說明。對於 VPN 服務,使用在步驟 5 中建立的 IPsec 服務的名稱。對於 IP 位址,使用在 步驟 4 中請求的公用 IP 位址或 SDDC 計算網路中的任何可用位址。按一下 儲存以建立本機端點。
  7. 設定 VPN。
    開啟 IPSec 工作階段索引標籤,然後在 新增 IPSEC 工作階段下拉式清單中選取 路由型原則型
    1. 對於 VPN 服務,使用在步驟 5 中建立的 IPsec 服務的名稱。對於本機端點,使用在步驟 6 中建立的本機端點。
    2. 對於遠端 IP,請輸入內部部署 VPN 端點的位址。
    3. 輸入預先共用的金鑰字串。

      金鑰的長度上限為 128 個字元。對於 VPN 通道的兩端,此金鑰必須相同。

  8. 指定遠端識別碼
    將此保留空白,以將 遠端 IP 用作 IKE 交涉的遠端 ID。如果您的內部部署 VPN 閘道位於 NAT 裝置後方,且/或針對其本機識別碼使用不同的 IP,則您需要在此處輸入該 IP。
  9. 設定進階通道參數
    參數
    IKE 設定檔 > IKE 加密 選取內部部署 VPN 閘道所支援的階段 1 (IKE) 加密。
    IKE 設定檔 > IKE 摘要演算法 選取內部部署 VPN 閘道所支援的階段 1 摘要演算法。最佳做法是針對 IKE 摘要演算法通道摘要演算法使用相同的演算法。
    備註:

    如果為 IKE 加密指定 GCM 型加密時,請將 IKE 摘要演算法設為。摘要功能對於 GCM 加密非常重要。如果您使用 GCM 型加密,則必須使用 IKE V2

    IKE 設定檔 > IKE 版本
    • 指定 IKE V1,起始並接受 IKEv1 通訊協定。
    • 指定 IKE V2,起始並接受 IKEv2 通訊協定。如果您指定了 GCM 型 IKE 摘要演算法,則必須使用 IKEv2。
    • 指定 IKE FLEX 接受 IKEv1 或 IKEv2,然後使用 IKEv2 起始。如果 IKEv2 初始化失敗,IKE FLEX 將不會回復為 IKEv1。
    IKE 設定檔 > Diffie Hellman 選取內部部署 VPN 閘道所支援的 Diffie Hellman 群組。對於 VPN 通道的兩端,此值必須相同。群組編號越高,提供的保護越好。最佳做法是選取群組 14 或更高。
    IPSec 設定檔 > 通道加密 選取內部部署 VPN 閘道所支援的階段 2 安全性關聯 (SA) 加密。
    IPSec 設定檔通道摘要演算法 選取內部部署 VPN 閘道所支援的階段 2 摘要演算法。
    備註:

    如果為通道加密指定 GCM 型加密時,請將通道摘要演算法設為。摘要功能對於 GCM 加密非常重要。

    IPSec 設定檔 > 完全正向加密 啟用或停用以符合您的內部部署 VPN 閘道設定。如果曾破解私密金鑰,啟用完全正向加密可防止記錄 (過去) 的工作階段被解密。
    IPSec 設定檔 > Diffie Hellman 選取內部部署 VPN 閘道所支援的 Diffie Hellman 群組。對於 VPN 通道的兩端,此值必須相同。群組編號越高,提供的保護越好。最佳做法是選取群組 14 或更高。
    DPD 設定檔 > DPD 探查模式 定期按需的其中之一。

    對於定期 DPD 探查模式,每次達到指定的 DPD 探查時間間隔時,都會傳送 DPD 探查。

    對於按需 DPD 探查模式,如果在閒置期過後未從對等站台接收任何 IPSec 封包,則會傳送 DPD 探查。DPD 探查時間間隔中的值確定了使用的閒置期間。
    DPD 設定檔 > 重試計數 允許的重試次數為整數。1 - 100 範圍內的值有效。預設重試計數為 10。
    DPD 設定檔 > DPD 探查時間間隔 您希望 NSX IKE 精靈在傳送 DPD 探查時的等待間隔秒數。

    對於定期 DPD 探查模式,有效值介於 3 到 360 秒之間。預設值為 60 秒。

    對於隨選探查模式,有效值介於 1 到 10 秒之間。預設值為 3 秒。

    設定定期 DPD 探查模式後,IKE 精靈會定期傳送 DPD 探查。如果對等站台在半秒內回應,則會在達到所設定的 DPD 探查間隔時間之後傳送下一個 DPD 探查。如果對等站台未回應,則等待半秒後再次傳送 DPD 探查。如果遠端對等站台持續沒有回應,IKE 精靈會再次重新傳送 DPD 探查,直到收到回應或達到重試計數上限。將對等站台宣告為無作用之前,IKE 精靈重新傳送 DPD 探查的次數最多為重試計數內容中指定的次數上限。將對等站台宣告為無作用之後,NSX 會中斷無作用對等連結上的安全性關聯 (SA)。

    設定按需 DPD 模式後,僅在達到所設定 DPD 探查間隔時間後未從對等站台接收任何 IPSec 流量時,才會傳送 DPD 探查。
    DPD 設定檔 > 管理狀態 若要啟用或停用 DPD 設定檔,請按一下管理狀態切換按鈕。依預設,此值設為已啟用。當 DPD 設定檔啟用後,將針對使用 DPD 設定檔之 IPSec VPN 服務中的所有 IPSec 工作階段使用此 DPD 設定檔。
    TCP MSS 鉗制 若要在 IPsec 連線期間使用 TCP MSS 限制減少 TCP 工作階段的最大區段大小 (MSS) 裝載,請將此選項切換為已啟用,然後選取 TCP MSS 方向TCP MSS 值 (可選)。請參閱NSX Data Center 管理指南》中的〈瞭解 TCP MSS 鉗制〉
  10. (選擇性) 標記 VPN。

    如需有關標記 NSX 物件的詳細資訊,請參閱NSX Data Center 管理指南》中的〈將標籤新增至物件〉

  11. 按一下儲存以建立 VPN。
  12. 新增允許 IPsec VPN 流量通過 CGW 的網際網路介面的計算閘道防火牆規則。
    開啟 閘道防火牆索引標籤,然後按一下 計算閘道。像這樣的規則將可行,但其可能比要用於生產用途的規則更寬鬆。考慮將 來源限制為您信任或控制的 CIDR 區塊。在本範例中,我們使用在 步驟 4 中取得的公用 IP 位址 (93.184.216.34) 作為 目的地位址。
    名稱 來源 目的地 服務 套用至 動作
    VPN 存取 任何 93.184.216.34 必須包括 IKE (NAT 周遊)IKE (金鑰交換)IPSec VPN ESP 網際網路介面 允許
  13. 建立 NAT 規則以使 VPN 的公用 IP 位址可從外部存取。
    導覽至 網路 > NAT > 網際網路。按一下 新增 NAT 規則,然後建立類似如下內容的 NAT 規則。
    名稱 公用 IP 服務 公用連接埠 內部 IP 防火牆
    VPN 存取 93.184.216.34 所有流量 任何 93.184.216.34 符合外部位址
    該規則必須對 公用 IP內部 IP 使用相同的位址 (在本範例中為 步驟 4 中請求的公用 IP 位址)。檢查傳入封包時,防火牆必須與外部位址相符。