Você pode configurar a conectividade entre sites entre um edge gateway do NSX-T Data Center e sites remotos. Os sites remotos devem usar NSX-T Data Center, ter roteadores de hardware de terceiros ou gateways VPN que oferecem suporte ao IPSec.
O VMware Cloud Director oferece suporte à redistribuição automática de rotas quando você configura uma VPN IPSec em um edge gateway do NSX-T Data Center.
Pré-requisitos
Se você planeja usar a autenticação de certificado para proteger a comunicação da VPN IPSec, verifique se o
administrador do sistema carregou o certificado do servidor do edge gateway do
NSX-T Data Center local e um certificado de CA da sua organização na biblioteca de certificados do
VMware Cloud Director.
Procedimento
- Na barra de navegação superior, clique em Rede e, depois, na guia Edge gateways.
- Clique no edge gateway.
- Em Serviços, clique em VPN IPSec.
- Para configurar um túnel VPN IPSec, clique em Novo.
- Insira um nome e, opcionalmente, uma descrição para o túnel VPN IPSec.
- Para ativar o túnel após a criação, ative a opção Status.
- (Opcional) Para ativar o registro em log, ative a opção Log.
- Selecione um modo de autenticação de peer.
Opção |
Descrição |
Chave Pré-Compartilhada |
Escolha uma chave pré-compartilhada a ser inserida. A chave pré-compartilhada deve ser a mesma na outra extremidade do túnel VPN IPSec. |
Certificado |
Selecione os certificados do site e da autoridade de certificação a serem usados para autenticação. |
- Insira um dos endereços IP que estão disponíveis para o edge gateway do endpoint local.
O endereço IP deve ser o IP primário do edge gateway ou um endereço IP que é alocado separadamente a esse edge gateway a partir da rede externa.
- Insira pelo menos um endereço de sub-rede IP local na notação CIDR a ser usada para o túnel VPN IPSec.
- Insira o endereço IP do endpoint remoto.
- Insira pelo menos um endereço de sub-rede IP remoto na notação CIDR para usar para o túnel VPN IPSec.
- Insira o ID remoto do site peer.
O ID remoto deve corresponder ao SAN (Nome Alternativo da Entidade) do certificado do endpoint remoto, se disponível. Se o certificado remoto não contiver um SAN, o ID remoto deverá corresponder ao nome distinto do certificado usado para proteger o endpoint remoto, por exemplo, C=US, ST=Massachusetts, O=VMware,OU=VCD, CN=Edge1.
- Clique em Avançar.
- Revise suas configurações e clique em Concluir.
- Para verificar se o túnel está funcionando, selecione-o e clique em Exibir Estatísticas.
Se o túnel estiver funcionando,
Status do Túnel e
Status do Serviço do IKE exibem
Para cima.
Resultados
O túnel VPN IPSec recém-criado está listado na exibição
VPN IPSec. O túnel VPN IPSec é criado com um perfil de segurança padrão.
O que Fazer Depois
- Configure o endpoint remoto do túnel VPN IPSec.
- Você pode editar as configurações de túnel VPN IPSec e personalizar o perfil de segurança conforme necessário.