O VMware Cloud Director oferece suporte a uma VPN IPSec baseada em política de site a site e de rota entre uma instância de edge gateway do NSX e um site remoto.

A VPN IPSec oferece conectividade site a site entre um edge gateway e sites remotos que também usam o NSX ou que têm roteadores de hardware de terceiros ou gateways de VPN que oferecem suporte ao IPSec.

A VPN IPSec baseada em política exige que uma política de VPN seja aplicada aos pacotes para determinar qual tráfego deve ser protegido pelo IPSec antes de passar por um túnel VPN. Esse tipo de VPN é considerado estático porque, quando uma topologia de rede local e uma configuração mudam, as configurações de política de VPN também devem ser atualizadas para acomodar as alterações.

Os edge gateways do NSX oferecem suporte à configuração de túnel dividido, com o tráfego IPSec que realiza a precedência de roteamento.

O VMware Cloud Director oferece suporte à redistribuição automática de rotas quando você usa uma VPN IPSec em um edge gateway do NSX.

Na versão 10.6, você pode configurar a VPN IPSec baseada em rota de site a site. Para a VPN IPSec baseada em rota para edge gateways do NSX, o VMware Cloud Director oferece suporte apenas a rotas estáticas. A VPN IPSec baseada em rota usa protocolos de roteamento padrão e fornece melhor dimensionamento. É mais adequada para redes maiores e mais complexas.

Configurar VPN IPSec do NSX no VMware Cloud Director Service Provider Admin Portal

Você pode configurar a conectividade entre sites entre um edge gateway do NSX e sites remotos. Os sites remotos devem usar NSX, ter roteadores de hardware de terceiros ou gateways VPN que oferecem suporte ao IPSec.

O VMware Cloud Director oferece suporte à redistribuição automática de rotas quando você configura uma VPN IPSec em um edge gateway do NSX.

Pré-requisitos

  • Se você quiser configurar um túnel de VPN IPSec baseada em rota do NSX, configure o roteamento estático. Consulte Configurar o roteamento estático em um Edge Gateway do NSX no VMware Cloud Director Service Provider Admin Portal.
  • Se você planeja usar a autenticação de certificado para proteger a comunicação da VPN IPSec, verifique se o administrador do sistema carregou o certificado do servidor do edge gateway do NSX local e um certificado de CA da sua organização na biblioteca de certificados do VMware Cloud Director.
  • Se quiser restringir o número de perfis de segurança disponíveis para seus tenants, você poderá usar o subcomando manage-config da ferramenta de gerenciamento de células (CMT) do VMware Cloud Director. Por exemplo, se você quiser restringir a lista para FIPS e Foundation, execute o seguinte comando da CMT. 
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n networking.gatewayIpSecVpnTunnelSecurityTypeDisallowList -v PROVIDER_PREFERRED,FIPS,FOUNDATION

Procedimento

  1. No painel de navegação esquerdo primário, selecione Recursos e, na barra de navegação superior da página, selecione Recursos de Nuvem.
  2. No painel esquerdo secundário, selecione Edge Gateways e clique no nome do edge gateway de destino.
  3. Em Serviços, clique em VPN IPSec e clique em Novo.
  4. Insira um nome e, opcionalmente, uma descrição para o túnel VPN IPSec.
  5. Selecione o tipo de túnel de VPN IPSec.
    Na versão 10.6, o VMware Cloud Director oferece suporte à VPN IPSec baseada em rota para rotas estáticas.
  6. Selecione um perfil de segurança para proteger os dados transmitidos.
  7. Para ativar o túnel após a criação, ative a opção Status.
  8. Para ativar o registro em log, ative a opção Log.
  9. Clique em Avançar.
  10. Selecione um modo de autenticação de peer.
    Opção Descrição
    Chave Pré-Compartilhada Escolha uma chave pré-compartilhada a ser inserida. A chave pré-compartilhada deve ser a mesma na outra extremidade do túnel VPN IPSec.
    Certificado Selecione os certificados do site e da autoridade de certificação a serem usados para autenticação.
  11. No menu suspenso, selecione um dos endereços IP que estão disponíveis para o edge gateway do endpoint local.
    O endereço IP deve ser o IP primário do edge gateway ou um endereço IP que seja alocado separadamente ao edge gateway.
  12. Se você estiver configurando a VPN IPSec baseada em política, digite pelo menos um endereço de sub-rede IP local na notação CIDR a ser usada para o túnel de VPN IPSec.
  13. Insira o endereço IP do endpoint remoto.
  14. Se você estiver configurando a VPN IPSec baseada em política, digite pelo menos um endereço de sub-rede IP remoto na notação CIDR a ser usada para o túnel de VPN IPSec.
  15. Insira o ID remoto do site peer.
    O ID remoto deve corresponder ao SAN (Nome Alternativo da Entidade) do certificado do endpoint remoto, se disponível. Se o certificado remoto não contiver um SAN, o ID remoto deverá corresponder ao nome distinto do certificado usado para proteger o endpoint remoto, por exemplo, C=US, ST=Massachusetts, O=VMware,OU=VCD, CN=Edge1.
  16. Se você estiver configurando a VPN IPSec baseada em rota, para a Interface de Túnel Virtual (VTI), digite um CIDR IPv4, um CIDR IPv6 ou um de cada, separando-os com uma vírgula.

    A Interface de Túnel Virtual (VTI) representa o endpoint de um túnel de IPSec em um dispositivo de rede.

  17. Clique em Avançar.
  18. Revise suas configurações e clique em Concluir.

Resultados

O túnel de VPN IPSec recém-criado está listado na exibição VPN IPSec.

O que Fazer Depois

  • Para verificar se o túnel está funcionando, selecione-o e clique em Exibir Estatísticas.

    Se o túnel estiver funcionando, Status do Túnel e Status do Serviço do IKE exibem Para cima.

  • Configure o endpoint remoto do túnel VPN IPSec.
  • Você pode editar as configurações de túnel VPN IPSec e personalizar o perfil de segurança conforme necessário.

Personalizar o perfil de segurança de um túnel VPN IPSec no VMware Cloud Director Service Provider Admin Portal

Se você decidir não usar o perfil de segurança gerado pelo sistema que foi atribuído ao seu túnel VPN IPSec após a criação, poderá personalizá-lo.

Procedimento

  1. No painel de navegação esquerdo primário, selecione Recursos e, na barra de navegação superior da página, selecione Recursos de Nuvem.
  2. No painel esquerdo secundário, selecione Edge Gateways e clique no nome do edge gateway de destino.
  3. Em Serviços, clique em VPN IPSec.
  4. Selecione o túnel VPN IPSec e clique em Personalização do Perfil de Segurança.
  5. Configure os perfis IKE.
    Os perfis Internet Key Exchange (IKE) fornecem informações sobre os algoritmos que são usados para autenticar, criptografar e estabelecer um segredo compartilhado entre os sites de rede quando você estabelece um túnel IKE.
    1. Selecione uma versão do protocolo IKE para configurar uma associação de segurança (SA) no conjunto de protocolos IPSec.
      Opção Descrição
      IKEv1 Quando você seleciona essa opção, a VPN IPSec inicia e responde somente ao protocolo IKEv1.
      IKEv2 A opção padrão. Quando você seleciona esta versão, a VPN IPSec é iniciada e responde somente ao protocolo IKEv2.
      IKE-Flex Quando você seleciona essa opção, se o estabelecimento do túnel falhar com o protocolo IKEv2, o site de origem não retornará e iniciará uma conexão com o protocolo IKEv1. Em vez disso, se o site remoto iniciar uma conexão com o protocolo IKEv1, a conexão será aceita.
    2. Selecione um algoritmo de criptografia com suporte a ser usado durante a negociação de Internet Key Exchange (IKE).
    3. No menu suspenso Resumo, selecione um algoritmo de hashing seguro para usar durante a negociação IKE.
    4. No menu suspenso Grupo Diffie-Hellman, selecione um dos esquemas de criptografia que permite que o site de mesmo nível e o edge gateway estabeleçam um segredo compartilhado em um canal de comunicação não seguro.
    5. (Opcional) Na caixa de texto Vida Útil da Associação, modifique o número padrão de segundos antes que o túnel IPSec precise restabelecer.
  6. Configure o túnel VPN IPSec.
    1. Para ativar o Perfect Forward Secrecy, ative a opção.
    2. Selecione uma política de desfragmentação.
      A política de desfragmentação ajuda a lidar com bits de desfragmentação presentes no pacote interno.
      Opção Descrição
      Copiar Copia o bit de desfragmentação do pacote IP interno para o pacote externo.
      Limpar Ignora o bit de desfragmentação presente no pacote interno.
    3. Selecione um algoritmo de criptografia com suporte a ser usado durante a negociação de Internet Key Exchange (IKE).
    4. No menu suspenso Resumo, selecione um algoritmo de hashing seguro para usar durante a negociação IKE.
    5. No menu suspenso Grupo Diffie-Hellman, selecione um dos esquemas de criptografia que permite que o site de mesmo nível e o edge gateway estabeleçam um segredo compartilhado em um canal de comunicação não seguro.
    6. (Opcional) Na caixa de texto Vida Útil da Associação, modifique o número padrão de segundos antes que o túnel IPSec precise restabelecer.
  7. (Opcional) Na caixa de texto Intervalo de Teste, modifique o número padrão de segundos para a detecção de pares inativos.
  8. Clique em Salvar.

Resultados

No modo de exibição VPN IPSec, o perfil de segurança do túnel VPN IPSec é exibido como Definido pelo Usuário.