路由型 VPN 會建立 IPsec 通道介面,並透過該介面路由流量,如 SDDC 路由表所述。路由型 VPN 提供對多個子網路的彈性且安全的存取權。使用路由型 VPN 時,會在建立新網路時自動新增路由。

VMware Cloud on AWS SDDC 中的路由型 VPN 使用 IPsec 通訊協定來保護流量,並使用邊界閘道通訊協定 (BGP) 在新增和移除網路時探索和散佈路由。若要建立路由型 VPN,請設定本機 (SDDC) 和遠端 (內部部署) 端點的 BGP 資訊,然後為通道的 SDDC 端指定通道安全性參數。
重要:

當您的 SDDC 同時包括原則型 VPN 和路由型 VPN 時,如果路由型 VPN 向 SDDC 通告預設路由 (0.0.0.0/0),則透過原則型 VPN 進行連線將會失敗。

程序

  1. 登入 VMC 主控台,網址為 https://vmc.vmware.com
  2. 按一下網路與安全性 > VPN > 路由型
  3. (選擇性) 變更預設的本機自發系統編號 (ASN)。
    SDDC 中的所有路由型 VPN 預設為 ASN 65000。本機 ASN 必須與遠端 ASN 不同。(SDDC 網路中不支援要求本機和遠端 ASN 相同的 iBGP。)若要變更預設本機 ASN,請按一下 編輯本機 ASN,輸入介於 64521 到 65535 (或 4200000000 到 4294967294) 範圍之間的新值,然後按一下 套用
    備註: 此值的任何變更都會影響此 SDDC 中的所有路由型 VPN。
  4. 按一下新增 VPN,並為新 VPN 提供名稱和選擇性說明
  5. 從下拉式功能表中,選取本機 IP 位址
    • 如果此 SDDC 是 SDDC 群組的成員,或已將其設定為使用 AWS Direct Connect,則選取私人 IP 位址,讓 VPN 使用該連線而非透過網際網路進行連線。請注意,透過 Direct Connect 或 VMware Managed Transit Gateway (VTGW) 的 VPN 流量限制為 1500 個位元組的預設 MTU,即使該連結支援較高的 MTU 也是如此。請參閱針對 SDDC 管理和計算網路流量設定透過 Direct Connect 連線至私人虛擬介面
    • 如果希望 VPN 透過網際網路連線,請選取公用 IP 位址。
  6. 對於遠端公用 IP,輸入內部部署 VPN 端點的位址。
    這是起始或回應此 VPN 之 IPsec 要求的裝置位址。此位址必須符合以下需求:
    • 它不得用於其他 VPN。VMware Cloud on AWS 對所有 VPN 連線使用相同的公用 IP,因此只能將單一 VPN 連線 (路由型、原則型或 L2VPN) 建立到指定的遠端公用 IP。
    • 如果在步驟 5 中指定了公用 IP,此位址必須可透過網際網路進行連線。
    • 如果在步驟 5 中指定了私人 IP,則必須可透過 VTGW 或 Direct Connect 連線至私人 VIF。
    預設閘道防火牆規則允許透過 VPN 連線的輸入和輸出流量,但您必須建立防火牆規則以管理透過 VPN 通道的流量。
  7. 對於 BGP 本機 IP/首碼長度,請輸入 169.254.0.0/16 子網路內大小為 /30 的 CIDR 區塊中的網路位址。

    此範圍中的部分區塊將會保留,如保留的網路位址中所述。如果您無法使用 169.254.0.0/16 子網路中的網路 (因為與現有網路衝突),則必須建立防火牆規則,以允許流量從 BGP 服務流入您在此處選擇的子網路。請參閱新增或修改計算閘道防火牆規則

    BGP 本機 IP/首碼長度會同時指定本機子網路及其中的 IP 位址,因此您輸入的值必須是 /30 範圍內的第二個或第三個位址,並且包含 /30 尾碼。例如,BGP 本機 IP/首碼長度 169.254.32.1/30 會建立網路 169.254.32.0,並指派 169.254.32.1 作為本機 BGP IP (亦稱為虛擬通道介面或 VTI)。

  8. 對於 BGP 遠端 IP,請輸入步驟 7 中所指定範圍內的其餘 IP 位址。
    例如,如果指定 BGP 本機 IP/首碼長度為 169.254.32.1/30,則針對 BGP 遠端 IP 使用 169.254.32.2。設定此 VPN 的內部部署端時,請使用為 BGP 遠端 IP 指定的 IP 位址作為其本機 BGP IP 或 VTI 位址。
  9. 對於 BGP 芳鄰 ASN,輸入內部部署 VPN 閘道的 ASN。
  10. 設定進階通道參數
    選項 說明
    通道加密 選取內部部署 VPN 閘道所支援的階段 2 安全性關聯 (SA) 加密。
    通道摘要演算法 選取內部部署 VPN 閘道所支援的階段 2 摘要演算法。
    備註:

    如果為通道加密指定 GCM 型加密時,請將通道摘要演算法設為。摘要功能對於 GCM 加密非常重要。

    完整轉寄密碼 啟用或停用以符合您的內部部署 VPN 閘道設定。如果曾破解私密金鑰,啟用完整轉寄密碼可防止記錄 (過去) 的工作階段被解密。
    預先共用的金鑰 輸入預先共用的金鑰字串。

    金鑰的長度上限為 128 個字元。對於 VPN 通道的兩端,此金鑰必須相同。

    遠端私人 IP 將此保留空白,以將遠端公用 IP 用作 IKE 交涉的遠端 ID。如果您的內部部署 VPN 閘道位於 NAT 裝置後方,且/或針對其本機識別碼使用不同的 IP,則您需要在此處輸入該 IP。
    IKE 加密 選取內部部署 VPN 閘道所支援的階段 1 (IKE) 加密。
    IKE 摘要演算法 選取內部部署 VPN 閘道所支援的階段 1 摘要演算法。最佳做法是針對 IKE 摘要演算法通道摘要演算法使用相同的演算法。
    備註:

    如果為 IKE 加密指定 GCM 型加密時,請將 IKE 摘要演算法設為。摘要功能對於 GCM 加密非常重要。如果您使用 GCM 型加密,則必須使用 IKE V2

    IKE 類型
    • 指定 IKE V1,起始並接受 IKEv1 通訊協定。
    • 指定 IKE V2,起始並接受 IKEv2 通訊協定。如果您指定了 GCM 型 IKE 摘要演算法,則必須使用 IKEv2。
    • 指定 IKE FLEX 接受 IKEv1 或 IKEv2,然後使用 IKEv2 起始。如果 IKEv2 初始化失敗,IKE FLEX 將不會回復為 IKEv1。
    Diffie Hellman 選取內部部署 VPN 閘道所支援的 Diffie Hellman 群組。對於 VPN 通道的兩端,此值必須相同。群組編號越高,提供的保護越好。最佳做法是選取群組 14 或更高。
    連線起始模式 連線起始模式會定義在通道建立過程中本機端點所使用的原則。可用模式如下。
    啟動器
    預設值。在此模式下,本機端點會起始 VPN 通道建立,並回應來自對等閘道的傳入通道設定請求。
    隨選
    不適用於路由型 VPN。
    僅回應
    在此模式下,VPN 絕不會起始連線。對等站台將始終起始連線請求,而本機端點會回應該連線請求。
    TCP MSS 鉗制 若要在 IPSec 連線期間減少 TCP 工作階段的最大區段大小 (MSS) 裝載,請啟用 TCP MSS 鉗制,選取 TCP MSS 方向值,並選擇性地設定 TCP MSS 值。請參閱《NSX-T Data Center 管理指南》中的〈瞭解 TCP MSS 鉗制〉
  11. (選擇性) 進階 BGP 參數下,輸入與內部部署閘道使用的密碼相符的 BGP 密碼
  12. (選擇性) 標記 VPN。

    如需有關標記 NSX-T 物件的詳細資訊,請參閱《NSX-T Data Center 管理指南》中的〈將標籤新增至物件〉

  13. 按一下儲存

結果

VPN 建立程序可能需要幾分鐘的時間。當路由型 VPN 變為可用時,會顯示通道狀態和 BGP 工作階段狀態。下列動作可協助您疑難排解及設定 VPN 的內部部署端:
  • 按一下下載組態下載包含 VPN 組態詳細資料的檔案。您可以使用這些詳細資料設定此 VPN 的內部部署端。
  • 按一下檢視統計資料檢視此 VPN 的封包流量統計資料。請參閱檢視 VPN 通道狀態和統計資料
  • 按一下檢視路由開啟此 VPN 通告和學習之路由的顯示。
  • 按一下下載路由下載 CSV 格式的已通告路由已學習路由清單。

後續步驟

視需要建立或更新防火牆規則。若要允許流量通過路由型 VPN,請在套用至欄位中指定 VPN 通道介面所有上行選項不包含路由的 VPN 通道。