Si lo considera conveniente, puede configurar la conectividad de sitio a sitio entre los sitios remotos y una puerta de enlace Edge de NSX. Los sitios remotos deben utilizar NSX y tener enrutadores de hardware de terceros o puertas de enlace VPN compatibles con IPSec.

VMware Cloud Director admite la redistribución automática de rutas cuando se configura VPN de IPSec en una puerta de enlace Edge de NSX.

Requisitos previos

Si tiene pensado utilizar la autenticación de certificado para proteger la comunicación de VPN de IPSec, compruebe que el administrador del sistema haya cargado el certificado de servidor para la puerta de enlace Edge de NSX local y un certificado de CA para su organización en la biblioteca de certificados de VMware Cloud Director.

Procedimiento

  1. En la barra de navegación superior, seleccione Recursos y haga clic en Recursos de nube.
  2. En el panel izquierdo, haga clic en Puertas de enlace Edge y, a continuación, haga clic en el nombre de la puerta de enlace Edge de destino.
  3. En Servicios, haga clic en VPN de IPSec.
  4. Para configurar un túnel VPN de IPSec, haga clic en Nuevo.
  5. Introduzca un nombre y, si lo desea, una descripción del túnel VPN de IPSec.
  6. Para habilitar el túnel tras su creación, active la opción Estado.
  7. (opcional) Active la opción Registro para habilitar esta función.
  8. Seleccione un modo de autenticación del mismo nivel.
    Opción Descripción
    Clave compartida previamente Elija una clave compartida previamente que se debe introducir. Debe utilizarse la misma clave compartida previamente en el otro extremo del túnel VPN de IPSec.
    Certificado Seleccione el sitio y los certificados de CA que se utilizarán para la autenticación.
  9. En el menú desplegable, seleccione una de las direcciones IP disponibles para la puerta de enlace Edge del endpoint local.
    La dirección IP debe ser la dirección IP principal de la puerta de enlace Edge o una dirección IP asignada de forma independiente a la puerta de enlace Edge.
  10. Introduzca al menos una dirección de subred IP local con la notación de CIDR para utilizarla en el túnel VPN de IPSec.
  11. Introduzca la dirección IP del endpoint remoto.
  12. Introduzca al menos una dirección de subred IP remota con la notación de CIDR para utilizarla en el túnel VPN de IPSec.
  13. Introduzca el identificador para el sitio del mismo nivel.
    El identificador remoto debe coincidir con el nombre alternativo del firmante (Subject Alternative Name, SAN) del certificado de endpoint remoto, si está disponible. Si el certificado remoto no contiene un SAN, el identificador remoto debe coincidir con el nombre distintivo del certificado que se utiliza para proteger el endpoint remoto, por ejemplo, C = US, ST = Massachusetts, O = VMware, OU = VCD, CN = Edge1.
  14. Haga clic en Siguiente.
  15. Revise la configuración y haga clic en Finalizar.
  16. Para comprobar que el túnel funciona, selecciónelo y haga clic en Ver estadísticas.
    Si un túnel funciona, en Estado del túnel y Estado del servicio IKE aparece Accesible.

Resultados

El túnel VPN de IPSec recién creado aparece en la vista VPN de IPSec y se genera con un perfil de seguridad predeterminado.

Qué hacer a continuación

  • Configure el endpoint remoto del túnel VPN de IPSec.
  • Puede editar la configuración del túnel VPN de IPSec y personalizar su perfil de seguridad como guste.