Os edge gateways do NSX Data Center for vSphere em um ambiente do VMware Cloud Director oferecem suporte à Segurança de Protocolo IP (IPsec) site a site para proteger os túneis VPN entre as redes de centros de dados virtuais da organização ou entre uma rede de centros de dados virtuais da organização e um endereço IP externo. É possível configurar o serviço VPN IPsec num edge gateway.

A configuração de uma conexão VPN IPsec a partir de uma rede remota para o seu datacenter virtual da organização é o cenário mais comum. O software NSX fornece recursos de VPN IPsec de edge gateway, incluindo suporte para autenticação de certificado, modo de chave pré-compartilhada e tráfego unicast de IP entre si e roteadores VPN remotos. Você também pode configurar várias sub-redes para se conectar por meio de túneis IPsec à rede interna atrás de um edge gateway. Quando você configura várias sub-redes para se conectar por meio de túneis IPsec à rede interna, essas sub-redes e a rede interna atrás do edge gateway não devem ter intervalos de endereços que se sobrepõem.

Observação: Se o peer local e remoto em um túnel IPsec tiver endereços IP sobrepostos, o encaminhamento de tráfego pelo túnel pode não ser consistente, dependendo se as rotas conectadas localmente e se as rotas de conexão automática existem.

Os seguintes algoritmos de VPN IPsec são compatíveis:

  • AES (AES128-CBC)
  • AES256 (AES256-CBC)
  • DES triplo (3DES192-CBC)
  • AES-GCM (AES128-GCM)
  • DH-2 (Grupo Diffie-Hellman 2)
  • DH-5 (Grupo Diffie-Hellman 5)
  • DH-14 (Grupo Diffie-Hellman 14)
Observação: Os protocolos de roteamento dinâmico não são compatíveis com VPN IPsec. Quando você configura um túnel VPN IPsec entre um edge gateway do datacenter virtual da organização e um VPN de gateway físico num local remoto, não é possível configurar o roteamento dinâmico para essa conexão. O endereço IP desse site remoto não pode ser aprendido pelo roteamento dinâmico no uplink do edge gateway.

Conforme descrito no tópico Visão geral de VPN IPSec no Guia de administração do NSX, o número máximo de túneis suportados em um edge gateway é determinado pelo tamanho configurado: compacto, grande, muito grande e quádruplo.

Para exibir o tamanho da configuração do seu edge gateway, navegue até o edge gateway e clique em seu nome.

A configuração do VPN IPsec num edge gateway é um processo de várias etapas.

Observação: Se um firewall estiver entre os endpoints do túnel, depois que você configurar o serviço VPN IPsec, atualize as regras de firewall para permitir os seguintes protocolos IP e portas UDP:
  • ID do protocolo IP 50 (ESP)
  • ID do protocolo IP 51 (AH)
  • Porta UDP 500 (IKE)
  • Porta UDP 4500