原則型 VPN 建立 IPsec 通道以及指定流量如何使用該通道的原則。當您使用原則型 VPN 時,您必須在新增路由時更新網路兩端的路由表。

VMware Cloud on AWS SDDC 中的原則型 VPN 使用 IPsec 通訊協定來保護流量。若要建立原則型 VPN,您可以設定本機 (SDDC) 端點,然後設定相符的遠端 (內部部署) 端點。由於每個原則型 VPN 必須為各個網路建立新的 IPsec 安全性關聯,因此,管理員必須在每次建立新的原則型 VPN 時更新內部部署和 SDDC 中的路由資訊。當 VPN 的任意一端僅有幾個網路時,或如果您的內部部署網路硬體不支援路由型 VPN 所需的 BGP,則原則型 VPN 是一個適當的選擇。

重要:

當您的 SDDC 同時包括原則型 VPN 和路由型 VPN 時,如果路由型 VPN 向 SDDC 通告預設路由 (0.0.0.0/0),則透過原則型 VPN 進行連線將會失敗。

程序

  1. 登入 VMC 主控台,網址為 https://vmc.vmware.com
  2. 選取網路與安全性 > VPN > 以原則為基礎.
  3. 按一下新增 VPN,並為新 VPN 提供名稱和選擇性說明
  4. 從下拉式功能表中,選取本機 IP 位址
    • 如果此 SDDC 是 SDDC 群組的成員,或已將其設定為使用 AWS Direct Connect,則選取私人 IP 位址,讓 VPN 使用該連線而非透過網際網路進行連線。請注意,透過 Direct Connect 或 VMware Managed Transit Gateway (VTGW) 的 VPN 流量限制為 1500 個位元組的預設 MTU,即使該連結支援較高的 MTU 也是如此。請參閱針對 SDDC 管理和計算網路流量設定透過 Direct Connect 連線至私人虛擬介面
    • 如果希望 VPN 透過網際網路連線,請選取公用 IP 位址。
  5. 輸入內部部署閘道的遠端公用 IP 位址。
    該位址不得用於其他 VPN。 VMware Cloud on AWS 對所有 VPN 連線使用相同的公用 IP,因此只能將單一 VPN 連線 (路由型、原則型或 L2VPN) 建立到指定的遠端公用 IP。如果在 步驟 4中指定了公用 IP,此位址必須可透過網際網路進行連線。如果您指定了私人 IP,它必須可透過 Direct Connect 連線至私人 VIF。預設閘道防火牆規則允許透過 VPN 連線的輸入和輸出流量,但您必須建立防火牆規則以管理透過 VPN 通道的流量。
  6. (選擇性) 如果您的內部部署閘道在 NAT 裝置後方,則輸入閘道位址為遠端私人 IP
    此 IP 位址必須與內部部署 VPN 閘道傳送的本機身分識別 (IKE 識別碼) 相符。如果此欄位為空白,將使用 遠端公用 IP 欄位與內部部署 VPN 閘道的本機識別相符。
  7. 指定此 VPN 可連線的遠端網路
    此清單必須包含內部部署 VPN 閘道定義為本機的所有網路。以 CIDR 格式輸入每個網路,並以逗號分隔多個 CIDR 區塊。
  8. 指定此 VPN 可連線的本機網路
    此清單包含 SDDC 中的所有路由計算網路,以及整個管理網路和應用裝置子網路 (包含 vCenter 和其他管理應用裝置 (但不包括 ESXi 主機) 的管理網路的子集)。它還包含 CGW DNS 網路,用於獲取 CGW DNS 服務轉送的來源要求的單一 IP 位址。
  9. 設定進階通道參數
    選項 說明
    通道加密 選取內部部署 VPN 閘道所支援的階段 2 安全性關聯 (SA) 加密。
    通道摘要演算法 選取內部部署 VPN 閘道所支援的階段 2 摘要演算法。
    備註:

    如果為通道加密指定 GCM 型加密時,請將通道摘要演算法設為。摘要功能對於 GCM 加密非常重要。

    完整轉寄密碼 啟用或停用以符合您的內部部署 VPN 閘道設定。如果曾破解私密金鑰,啟用完整轉寄密碼可防止記錄 (過去) 的工作階段被解密。
    IKE 加密 選取內部部署 VPN 閘道所支援的階段 1 (IKE) 加密。
    IKE 摘要演算法 選取內部部署 VPN 閘道所支援的階段 1 摘要演算法。最佳做法是針對 IKE 摘要演算法通道摘要演算法使用相同的演算法。
    備註:

    如果為 IKE 加密指定 GCM 型加密時,請將 IKE 摘要演算法設為。摘要功能對於 GCM 加密非常重要。如果您使用 GCM 型加密,則必須使用 IKE V2

    IKE 類型
    • 指定 IKE V1,起始並接受 IKEv1 通訊協定。
    • 指定 IKE V2,起始並接受 IKEv2 通訊協定。如果您指定了 GCM 型 IKE 摘要演算法,則必須使用 IKEv2。
    • 指定 IKE FLEX 接受 IKEv1 或 IKEv2,然後使用 IKEv2 起始。如果 IKEv2 初始化失敗,IKE FLEX 將不會回復為 IKEv1。
    Diffie Hellman 選取內部部署 VPN 閘道所支援的 Diffie Hellman 群組。對於 VPN 通道的兩端,此值必須相同。群組編號越高,提供的保護越好。最佳做法是選取群組 14 或更高。
    預先共用的金鑰 輸入通道兩端用來相互驗證的預先共用金鑰。

    字串長度上限為 128 個字元。

    連線起始模式 連線起始模式會定義在通道建立過程中本機端點所使用的原則。可用模式如下。
    啟動器
    預設值。在此模式下,本機端點會起始 VPN 通道建立,並回應來自對等閘道的傳入通道設定請求。
    隨選
    在此模式下,本機端點會在收到第一個與原則規則相符的封包後起始 VPN 通道建立。同時,還將回應傳入的起始請求。
    僅回應
    在此模式下,VPN 絕不會起始連線。對等站台將始終起始連線請求,而本機端點會回應該連線請求。
    TCP MSS 鉗制 若要在 IPSec 連線期間減少 TCP 工作階段的最大區段大小 (MSS) 裝載,請啟用 TCP MSS 鉗制,選取 TCP MSS 方向值,並選擇性地設定 TCP MSS 值。請參閱《NSX-T Data Center 管理指南》中的〈瞭解 TCP MSS 鉗制〉
  10. (選擇性) 標記 VPN。

    如需有關標記 NSX-T 物件的詳細資訊,請參閱《NSX-T Data Center 管理指南》中的〈將標籤新增至物件〉

  11. 按一下儲存

結果

VPN 建立程序可能需要幾分鐘的時間。當原則型 VPN 變得可用時,下列動作可協助您疑難排解及設定 VPN 的內部部署端:
  • 按一下下載組態下載包含 VPN 組態詳細資料的檔案。您可以使用這些詳細資料設定此 VPN 的內部部署端。
  • 按一下檢視統計資料檢視此 VPN 的封包流量統計資料。請參閱檢視 VPN 通道狀態和統計資料

後續步驟

視需要建立或更新防火牆規則。若要允許流量通過原則型 VPN,請在套用至欄位中指定網際網路介面