VMware Cloud Director admite una VPN de IPSec basada en directivas de sitio a sitio y basada en rutas entre una instancia de puerta de enlace Edge de NSX y un sitio remoto.

La VPN de IPSec ofrece conectividad de sitio a sitio entre una puerta de enlace Edge y sitios remotos que también utilizan NSX o tienen enrutadores de hardware o puertas de enlace VPN de terceros compatibles con IPSec.

La VPN de IPSec basada en directivas requiere la aplicación de una directiva de VPN a los paquetes para determinar qué tráfico debe protegerse mediante IPSec antes de pasar a través de un túnel VPN. Este tipo de VPN se considera estática debido a que, cuando se cambian la configuración y la topología de una red local, la configuración de directiva VPN también debe actualizarse para reflejar los cambios.

Las puertas de enlace Edge de NSX admiten la configuración de túnel dividida, con prioridad de enrutamiento para el tráfico IPSec.

VMware Cloud Director admite la redistribución automática de rutas cuando se usa VPN de IPSec en una puerta de enlace Edge de NSX.

A partir de la versión 10.6, puede configurar una VPN de IPSec basada en rutas de sitio a sitio. Para la VPN de IPSec basada en rutas para puertas de enlace Edge de NSX, VMware Cloud Director solo admite rutas estáticas. La VPN de IPSec basada en rutas utiliza protocolos de enrutamiento estándar y proporciona una mejor escalabilidad. Es más adecuado para redes más grandes y complejas.

Configurar una VPN de IPSec de NSX en VMware Cloud Director Service Provider Admin Portal

Si lo considera conveniente, puede configurar la conectividad de sitio a sitio entre los sitios remotos y una puerta de enlace Edge de NSX. Los sitios remotos deben utilizar NSX y tener enrutadores de hardware de terceros o puertas de enlace VPN compatibles con IPSec.

VMware Cloud Director admite la redistribución automática de rutas cuando se configura VPN de IPSec en una puerta de enlace Edge de NSX.

Requisitos previos

  • Si desea configurar un túnel de VPN de IPSec de NSX basada en rutas, configure el enrutamiento estático. Consulte la Configurar el enrutamiento estático en una puerta de enlace Edge de NSX en el VMware Cloud Director Service Provider Admin Portal.
  • Si tiene pensado utilizar la autenticación de certificado para proteger la comunicación de VPN de IPSec, compruebe que el administrador del sistema haya cargado el certificado de servidor para la puerta de enlace Edge de NSX local y un certificado de CA para su organización en la biblioteca de certificados de VMware Cloud Director.
  • Si desea restringir el número de perfiles de seguridad disponibles para sus tenants, puede utilizar el subcomando manage-config de la herramienta de administración de celdas (Cell Management Tool, CMT) de VMware Cloud Director. Por ejemplo, si desea restringir la lista a FIPS y Foundation, ejecute el siguiente comando de CMT. 
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n networking.gatewayIpSecVpnTunnelSecurityTypeDisallowList -v PROVIDER_PREFERRED,FIPS,FOUNDATION

Procedimiento

  1. En el panel de navegación principal de la izquierda, seleccione Recursos y, en la barra de navegación superior de la página, seleccione Recursos de nube.
  2. En el panel secundario de la izquierda, seleccione Puertas de enlace Edge y, a continuación, haga clic en el nombre de la puerta de enlace Edge de destino.
  3. En Servicios, haga clic en VPN de IPSec y, a continuación, en Nueva.
  4. Introduzca un nombre y, si lo desea, una descripción del túnel VPN de IPSec.
  5. Seleccione el tipo de túnel de VPN de IPSec.
    A partir de la versión 10.6, VMware Cloud Director admite la VPN de IPSec basada en rutas para rutas estáticas.
  6. Seleccione un perfil de seguridad para proteger los datos transmitidos.
  7. Para habilitar el túnel tras su creación, active el botón de alternancia Estado.
  8. Active el botón de alternancia Registro para habilitar esta función.
  9. Haga clic en Siguiente.
  10. Seleccione un modo de autenticación del mismo nivel.
    Opción Descripción
    Clave compartida previamente Elija una clave compartida previamente que se debe introducir. Debe utilizarse la misma clave compartida previamente en el otro extremo del túnel VPN de IPSec.
    Certificado Seleccione el sitio y los certificados de CA que se utilizarán para la autenticación.
  11. En el menú desplegable, seleccione una de las direcciones IP disponibles para la puerta de enlace Edge del endpoint local.
    La dirección IP debe ser la dirección IP principal de la puerta de enlace Edge o una dirección IP asignada de forma independiente a la puerta de enlace Edge.
  12. Si está configurando una VPN de IPSec basada en directivas, introduzca al menos una dirección de subred IP local con la notación de CIDR para utilizarla en el túnel de VPN de IPSec.
  13. Introduzca la dirección IP del endpoint remoto.
  14. Si está configurando una VPN de IPSec basada en directivas, introduzca al menos una dirección de subred IP remota con la notación de CIDR para utilizarla en el túnel de VPN de IPSec.
  15. Introduzca el identificador para el sitio del mismo nivel.
    El identificador remoto debe coincidir con el nombre alternativo del firmante (Subject Alternative Name, SAN) del certificado de endpoint remoto, si está disponible. Si el certificado remoto no contiene un SAN, el identificador remoto debe coincidir con el nombre distintivo del certificado que se utiliza para proteger el endpoint remoto, por ejemplo, C = US, ST = Massachusetts, O = VMware, OU = VCD, CN = Edge1.
  16. Si está configurando una VPN de IPSec basada en rutas, para la Interfaz de túnel virtual (Virtual Tunnel Interface, VTI), introduzca un CIDR de IPv4 o un CIDR de IPv6 válidos, o bien uno de cada uno separados por comas.

    La Interfaz de túnel virtual (Virtual Tunnel Interface, VTI) representa el endpoint de un túnel de IPSec en un dispositivo de red.

  17. Haga clic en Siguiente.
  18. Revise la configuración y haga clic en Finalizar.

Resultados

El túnel VPN de IPSec recién creado aparece en la vista VPN de IPSec

Qué hacer a continuación

  • Para comprobar que el túnel funciona, selecciónelo y haga clic en Ver estadísticas.

    Si un túnel funciona, en Estado del túnel y Estado del servicio IKE aparece Accesible.

  • Configure el endpoint remoto del túnel VPN de IPSec.
  • Puede editar la configuración del túnel VPN de IPSec y personalizar su perfil de seguridad como guste.

Personalizar el perfil de seguridad de un túnel VPN de IPSec en el VMware Cloud Director Service Provider Admin Portal

Si decide no utilizar el perfil de seguridad que genera el sistema y se asignó al túnel VPN de IPSec cuando se creó, puede personalizarlo.

Procedimiento

  1. En el panel de navegación principal de la izquierda, seleccione Recursos y, en la barra de navegación superior de la página, seleccione Recursos de nube.
  2. En el panel secundario de la izquierda, seleccione Puertas de enlace Edge y, a continuación, haga clic en el nombre de la puerta de enlace Edge de destino.
  3. En Servicios, haga clic en VPN de IPSec.
  4. Seleccione el túnel VPN de IPSec y haga clic en Personalización del perfil de seguridad.
  5. Configure los perfiles IKE.
    Los perfiles de intercambio de claves por red (Internet Key Exchange, IKE) ofrecen información sobre los algoritmos que se utilizan para autenticar, cifrar y establecer un secreto compartido entre los sitios de red cuando se establece un túnel IKE.
    1. Seleccione una versión del protocolo IKE para configurar una asociación de seguridad (Security Association, SA) en el conjunto de protocolos IPSec.
      Opción Descripción
      IKEv1 Cuando se selecciona esta opción, se inicia VPN de IPSec y responde únicamente al protocolo IKEv1.
      IKEv2 La opción predeterminada. Cuando se selecciona esta versión, se inicia VPN de IPSec y responde únicamente al protocolo IKEv2.
      IKE-Flex Cuando se selecciona esta opción, si se produce un error al establecer el túnel con el protocolo IKEv2, el sitio de origen no retrocede e inicia una conexión con el protocolo IKEv1. Si el sitio remoto inicia una conexión con el protocolo IKEv1, se acepta la conexión.
    2. Seleccione un algoritmo de cifrado compatible para utilizarlo durante la negociación de intercambio de claves por red (Internet Key Exchange, IKE).
    3. En el menú desplegable Resumen, seleccione un algoritmo de hash seguro para utilizarlo durante la negociación de IKE.
    4. En el menú desplegable Grupo Diffie-Hellman, seleccione un esquema de criptografía que permita establecer un secreto compartido al sitio de mismo nivel y a la puerta de enlace Edge a través de un canal de comunicaciones no seguro.
    5. (opcional) En el cuadro de texto Duración de la asociación, modifique el número predeterminado de segundos que deben transcurrir antes de que se restablezca el túnel de IPSec.
  6. Configure el túnel VPN de IPSec.
    1. Para habilitar la confidencialidad directa total, active la opción correspondiente.
    2. Seleccione una política de desfragmentación.
      La política de desfragmentación ayuda a procesar los bits de desfragmentación presentes en el paquete interno.
      Opción Descripción
      Copiar Copia el bit de desfragmentación del paquete IP interno en el paquete externo.
      Borrar Ignora el bit de desfragmentación presente en el paquete interno.
    3. Seleccione un algoritmo de cifrado compatible para utilizarlo durante la negociación de intercambio de claves por red (Internet Key Exchange, IKE).
    4. En el menú desplegable Resumen, seleccione un algoritmo de hash seguro para utilizarlo durante la negociación de IKE.
    5. En el menú desplegable Grupo Diffie-Hellman, seleccione un esquema de criptografía que permita establecer un secreto compartido al sitio de mismo nivel y a la puerta de enlace Edge a través de un canal de comunicaciones no seguro.
    6. (opcional) En el cuadro de texto Duración de la asociación, modifique el número predeterminado de segundos que deben transcurrir antes de que se restablezca el túnel de IPSec.
  7. (opcional) En el cuadro de texto Intervalo de sondeo, modifique el número predeterminado de segundos dedicados a la detección de elementos del mismo nivel desactivados.
  8. Haga clic en Guardar.

Resultados

En la vista VPN de IPSec, el perfil de seguridad del túnel VPN de IPSec se muestra como Definido por el usuario.