Você pode configurar a conectividade entre sites entre um edge gateway do NSX-T Data Center e sites remotos. Os sites remotos devem usar NSX-T Data Center, ter roteadores de hardware de terceiros ou gateways VPN que oferecem suporte ao IPSec.

O VMware Cloud Director oferece suporte à redistribuição automática de rotas quando você configura uma VPN IPSec em um edge gateway do NSX-T Data Center.

Pré-requisitos

Se você planeja usar a autenticação de certificado para proteger a comunicação da VPN IPSec, verifique se o administrador do sistema carregou o certificado do servidor do edge gateway do NSX-T Data Center local e um certificado de CA da sua organização na biblioteca de certificados do VMware Cloud Director.

Procedimento

  1. Na barra de navegação superior, clique em Rede e, depois, na guia Edge gateways.
  2. Clique no edge gateway.
  3. Em Serviços, clique em VPN IPSec.
  4. Para configurar um túnel VPN IPSec, clique em Novo.
  5. Insira um nome e, opcionalmente, uma descrição para o túnel VPN IPSec.
  6. Para ativar o túnel após a criação, ative a opção Status.
  7. (Opcional) Para ativar o registro em log, ative a opção Log.
  8. Selecione um modo de autenticação de peer.
    Opção Descrição
    Chave Pré-Compartilhada Escolha uma chave pré-compartilhada a ser inserida. A chave pré-compartilhada deve ser a mesma na outra extremidade do túnel VPN IPSec.
    Certificado Selecione os certificados do site e da autoridade de certificação a serem usados para autenticação.
  9. Insira um dos endereços IP que estão disponíveis para o edge gateway do endpoint local.
    O endereço IP deve ser o IP primário do edge gateway ou um endereço IP que é alocado separadamente a esse edge gateway a partir da rede externa.
  10. Insira pelo menos um endereço de sub-rede IP local na notação CIDR a ser usada para o túnel VPN IPSec.
  11. Insira o endereço IP do endpoint remoto.
  12. Insira pelo menos um endereço de sub-rede IP remoto na notação CIDR para usar para o túnel VPN IPSec.
  13. Insira o ID remoto do site peer.
    O ID remoto deve corresponder ao SAN (Nome Alternativo da Entidade) do certificado do endpoint remoto, se disponível. Se o certificado remoto não contiver um SAN, o ID remoto deverá corresponder ao nome distinto do certificado usado para proteger o endpoint remoto, por exemplo, C=US, ST=Massachusetts, O=VMware,OU=VCD, CN=Edge1.
  14. Clique em Avançar.
  15. Revise suas configurações e clique em Concluir.
  16. Para verificar se o túnel está funcionando, selecione-o e clique em Exibir Estatísticas.
    Se o túnel estiver funcionando, Status do Túnel e Status do Serviço do IKE exibem Para cima.

Resultados

O túnel VPN IPSec recém-criado está listado na exibição VPN IPSec. O túnel VPN IPSec é criado com um perfil de segurança padrão.

O que Fazer Depois

  • Configure o endpoint remoto do túnel VPN IPSec.
  • Você pode editar as configurações de túnel VPN IPSec e personalizar o perfil de segurança conforme necessário.