Las puertas de enlace Edge de NSX Data Center for vSphere en un entorno de VMware Cloud Director son compatibles con el protocolo de seguridad de Internet (Internet Protocol Security, IPsec) de sitio a sitio para proteger los túneles VPN entre las redes de centros de datos virtuales de organización o entre una red de centros de datos virtuales de organización y una dirección IP externa. Es posible configurar el servicio VPN de IPsec en una puerta de enlace Edge.

El escenario más común implica configurar una conexión de VPN de IPsec desde una red remota hasta el centro de datos virtual de organización. El software NSX proporciona capacidades de VPN de IPsec para una puerta de enlace Edge, incluida la compatibilidad con la autenticación de certificados, el modo de clave compartida previamente, y el tráfico de unidifusión de IP entre este mismo elemento y los enrutadores VPN remotos. También puede configurar varias subredes para establecer conexiones a través de túneles de IPsec a la red interna detrás de una puerta de enlace Edge. Al configurar varias subredes para conectarse a la red interna a través de túneles de IPsec, dichas subredes y la red interna detrás de la puerta de enlace Edge no deben tener rangos de direcciones que se superpongan.

Nota: Si los elementos remotos y locales de mismo nivel en un túnel IPsec tienen direcciones IP superpuestas, es posible que el reenvío de tráfico a través del túnel no sea uniforme en función de si hay rutas conectadas locales y rutas asociadas automáticamente.

Se admiten los siguientes algoritmos de VPN de IPsec:

  • AES (AES128-CBC)
  • AES256 (AES256-CBC)
  • Triple DES (3DES192-CBC)
  • AES-GCM (AES128-GCM)
  • DH-2 (Grupo Diffie-Hellman 2)
  • DH-5 (Grupo Diffie-Hellman 5)
  • DH-14 (Grupo Diffie-Hellman 14)
Nota: No se admiten protocolos de enrutamiento dinámico con VPN de IPsec. Al configurar un túnel de VPN de IPsec entre una puerta de enlace Edge del centro de datos virtual de organización y una red VPN de puerta de enlace física en un sitio remoto, no se puede configurar el enrutamiento dinámico para esa conexión. El enrutamiento dinámico en el vínculo superior de puerta de enlace Edge no puede obtener la dirección IP de ese sitio remoto.

Como se describe en el tema correspondiente a la información general de VPN de IPSec en la guía de administración de NSX, la cantidad máxima de túneles admitidos en una puerta de enlace Edge se determina mediante el tamaño configurado: compacta, grande, extragrande y cuádruple.

Para ver la configuración del tamaño de la puerta de enlace Edge, desplácese hasta la puerta de enlace Edge y haga clic en el nombre de la puerta de enlace Edge.

La configuración de VPN de IPsec en una puerta de enlace Edge es un proceso de varios pasos.

Nota: Si hay un firewall entre los endpoints del túnel, después de configurar el servicio VPN de IPsec, actualice las reglas de firewall para permitir los siguientes protocolos IP y puertos UDP:
  • Protocolo IP ID 50 (ESP)
  • Protocolo IP ID 51 (AH)
  • Puerto UDP 500 (IKE)
  • Puerto UDP 4500

Desplazarse hasta la pantalla VPN de IPsec en una puerta de enlace Edge de NSX Data Center for vSphere en el VMware Cloud Director Service Provider Admin Portal

En la pantalla VPN de IPsec, puede comenzar a configurar el servicio de VPN de IPsec para una puerta de enlace Edge de NSX Data Center for vSphere.

Procedimiento

  1. Abra los servicios de puerta de enlace Edge.
    1. En el panel de navegación principal de la izquierda, seleccione Recursos y, en la barra de navegación superior de la página, seleccione la pestaña Recursos de nube.
    2. En el panel secundario de la izquierda, seleccione Puertas de enlace Edge.
    3. Haga clic en el botón de radio junto al nombre de la puerta de enlace Edge de destino y haga clic en Servicios.
  2. Desplácese hasta VPN > VPN de IPsec.

Qué hacer a continuación

Utilice la pantalla Sitios de VPN de IPsec para configurar una conexión de VPN de IPsec. Para poder habilitar el servicio VPN de IPsec en la puerta de enlace Edge, se debe configurar al menos una conexión. Consulte Configurar conexiones de sitio de VPN de IPsec para la puerta de enlace Edge de NSX Data Center for vSphere en el VMware Cloud Director Service Provider Admin Portal.

Configurar conexiones de sitio de VPN de IPsec para la puerta de enlace Edge de NSX Data Center for vSphere en el VMware Cloud Director Service Provider Admin Portal

Utilice la pantalla Sitios de VPN de IPsec del portal para tenants de VMware Cloud Director con el fin de configurar los ajustes necesarios para crear una conexión de VPN de IPsec entre el centro de datos virtual de organización y otro sitio mediante las capacidades de VPN de IPsec de la puerta de enlace Edge.

Cuando configure una conexión de VPN de IPsec entre sitios, la conexión se configura desde el punto de vista de la ubicación actual. Para configurar la conexión de VPN correctamente, es necesario comprender los conceptos en el contexto del entorno de VMware Cloud Director.

  • Las subredes locales y del mismo nivel especifican las redes a las que se conecta la VPN. Cuando se especifican dichas subredes en las configuraciones de sitios de VPN de IPsec, indique un rango de redes en lugar de una dirección IP específica. Utilice el formato CIDR (por ejemplo, 192.168.99.0/24).
  • El identificador del mismo nivel es un identificador que identifica de manera exclusiva el dispositivo remoto que finaliza la conexión de VPN (por lo general, su dirección IP pública). Para elementos del mismo nivel con autenticación de certificados, este identificador debe ser el nombre distintivo que se ha definido en el certificado del elemento del mismo nivel. Para elementos del mismo nivel de PSK, este identificador puede ser cualquier cadena. Una práctica recomendada en NSX es utilizar la dirección IP pública del dispositivo remoto o el FQDN como el identificador del mismo nivel. Si la dirección IP del mismo nivel es de otra red de centros de datos virtuales de organización, introduzca la dirección IP nativa del mismo nivel. Si NAT está configurada para el elemento del mismo nivel, debe escribir la dirección IP privada del elemento del mismo nivel.
  • El endpoint del mismo nivel especifica la dirección IP pública del dispositivo remoto al que se va a conectar. El endpoint del mismo nivel puede ser una dirección diferente del identificador del mismo nivel si no se puede acceder directamente a la puerta de enlace del elemento del mismo nivel desde Internet, sino que se conecta a través de otro dispositivo. Si NAT está configurada para el elemento del mismo nivel, debe escribir la dirección IP pública que utilizan los dispositivos para NAT.
  • El identificador local especifica la dirección IP pública de la puerta de enlace Edge del centro de datos virtual de organización. Puede introducir una dirección IP o un nombre de host junto con el firewall de la puerta de enlace Edge.
  • El endpoint local especifica la red en el centro de datos virtual de organización en la que transmite la puerta de enlace Edge. Por lo general, la red externa de la puerta de enlace Edge es el endpoint local.

Requisitos previos

Procedimiento

  1. En la pestaña VPN de IPsec, haga clic en Sitios de VPN de IPsec.
  2. Haga clic en el botón Agregar (botón Crear).
  3. Configure los ajustes de la conexión de VPN de IPsec.
    Opción Acción
    Habilitado Habilite esta conexión entre los dos endpoints de VPN.
    Habilitar confidencialidad directa total (PFS) Habilite esta opción para que el sistema genere claves públicas exclusivas para todas las sesiones de VPN de IPsec que inician los usuarios.

    La habilitación de PFS garantiza que el sistema no cree un vínculo entre la clave privada de la puerta de enlace Edge y cada clave de sesión.

    El compromiso de una clave de sesión solo afectará a los datos que se intercambian en la sesión específica protegida por dicha clave. No se puede utilizar el compromiso de la clave privada del servidor para descifrar las sesiones archivadas o las futuras.

    Cuando se habilita PFS, las conexiones de VPN de IPsec a esta puerta de enlace Edge experimentan una ligera sobrecarga de procesamiento.

    Importante: No deben utilizarse las claves de sesión exclusivas para obtener claves adicionales. Asimismo, ambos lados del túnel VPN de IPsec deben admitir PFS para que funcione.
    Nombre (Opcional) Escriba un nombre para la conexión.
    ID local Introduzca la dirección IP externa de la instancia de puerta de enlace Edge, la cual es la dirección IP pública de la puerta de enlace Edge.

    La dirección IP es la que se utiliza para el identificador del mismo nivel en la configuración de VPN de IPsec en el sitio remoto.

    Endpoint local Introduzca la red que es el endpoint local para esta conexión.

    El endpoint local especifica la red en el centro de datos virtual de organización en la que transmite la puerta de enlace Edge. Por lo general, la red externa es el endpoint local.

    Si agrega un túnel de IP a IP con una clave compartida previamente, el identificador local y la IP de endpoint local pueden ser iguales.

    Subredes locales Introduzca las redes que se compartirán entre los sitios y separe las subredes con comas si desea especificar varias.

    Introduzca un rango de redes (no una dirección IP específica). Para ello, escriba la dirección IP con el formato CIDR. Por ejemplo, 192.168.99.0/24.

    ID del mismo nivel Introduzca un identificador del mismo nivel para identificar de manera exclusiva el sitio del mismo nivel.

    El identificador del mismo nivel es un identificador que identifica de manera exclusiva el dispositivo remoto que finaliza la conexión de VPN (por lo general, su dirección IP pública).

    Para elementos del mismo nivel con autenticación de certificados, el identificador debe ser el nombre distintivo en el certificado del elemento del mismo nivel. Para elementos del mismo nivel de PSK, este identificador puede ser cualquier cadena. Una práctica recomendada en NSX consiste en utilizar la dirección IP pública o el FQDN del dispositivo remoto como el identificador del mismo nivel.

    Si la dirección IP del mismo nivel es de otra red de centros de datos virtuales de organización, introduzca la dirección IP nativa del mismo nivel. Si NAT está configurada para el elemento del mismo nivel, debe escribir la dirección IP privada del elemento del mismo nivel.

    Endpoint del mismo nivel Introduzca la dirección IP o el FQDN del sitio del mismo nivel, que es la dirección de acceso público del dispositivo remoto al que se va a conectar.
    Nota: Cuando NAT está configurada para el elemento del mismo nivel, escriba la dirección IP pública que el dispositivo utiliza para NAT.
    Subredes del mismo nivel Introduzca la red remota a la que se conecta la VPN y separe las subredes con comas si desea especificar varias.

    Introduzca un rango de redes (no una dirección IP específica). Para ello, escriba la dirección IP con el formato CIDR. Por ejemplo, 192.168.99.0/24.

    Algoritmo de cifrado Seleccione el tipo de algoritmo de cifrado del menú desplegable.
    Nota: El tipo de cifrado que seleccione debe coincidir con el tipo de cifrado que se ha configurado en el dispositivo VPN del sitio remoto.
    Autenticación Seleccione una autenticación. Las opciones son las siguientes:
    • PSK

      La clave compartida previamente (Pre Shared Key, PSK) especifica que la clave secreta compartida entre la puerta de enlace Edge y el sitio del mismo nivel se utilizará para la autenticación.

    • Certificado

      La autenticación de certificados especifica que el certificado definido en el nivel global se utilizará para la autenticación. Esta opción no está disponible a menos que se haya configurado el certificado global en la pantalla Configuración global de la pestaña VPN de IPsec.

    Cambiar clave compartida (Opcional) Al actualizar la configuración de una conexión existente, puede activar esta opción para que el campo Clave compartida previamente esté disponible, de modo que pueda actualizar la clave compartida.
    Clave compartida previamente Si ha seleccionado PSK como el tipo de autenticación, escriba una cadena secreta alfanumérica, la cual puede ser una cadena con una longitud máxima de 128 bytes.
    Nota: La clave compartida debe coincidir con la clave que está configurada en el dispositivo VPN del sitio remoto. Una práctica recomendada consiste en configurar una clave compartida si algún sitio anónimo se va a conectar con el servicio VPN.
    Mostrar clave compartida (Opcional) Habilite esta opción para que la clave compartida se muestre en la pantalla.
    Grupo Diffie-Hellman Seleccione el esquema de criptografía que permite al sitio del mismo nivel y a esta puerta de enlace Edge establecer un secreto compartido en un canal de comunicaciones no seguro.
    Nota: El grupo Diffie-Hellman debe coincidir con la configuración del dispositivo VPN del sitio remoto.
    Extensión (Opcional) Escriba una de las siguientes opciones:
    • securelocaltrafficbyip=IPAddress: permite redirigir el tráfico local de la puerta de enlace Edge a través del túnel VPN de IPsec.

      Este el valor predeterminado.

    • passthroughSubnets=PeerSubnetIPAddress: permite admitir la superposición de subredes.
  4. Haga clic en Conservar.
  5. Haga clic en Guardar cambios.

Qué hacer a continuación

Configure la conexión para el sitio remoto. Debe configurar la conexión de VPN de IPsec en ambos lados de la conexión: el centro de datos virtual de organización y el sitio del mismo nivel.

Habilite el servicio VPN de IPsec en esta puerta de enlace Edge. Cuando haya configurado al menos una conexión de VPN de IPsec, podrá habilitar el servicio. Consulte Habilitar el servicio VPN de IPsec en una puerta de enlace Edge de NSX Data Center for vSphere en el VMware Cloud Director Service Provider Admin Portal.

Habilitar el servicio VPN de IPsec en una puerta de enlace Edge de NSX Data Center for vSphere en el VMware Cloud Director Service Provider Admin Portal

Cuando se configura al menos una conexión VPN de IPsec, se puede habilitar el servicio VPN de IPsec en la puerta de enlace Edge.

Requisitos previos

Procedimiento

  1. En la pestaña VPN de IPsec, haga clic en Estado de activación.
  2. Haga clic en el Estado del servicio VPN de IPsec para habilitar el servicio VPN de IPsec.
  3. Haga clic en Guardar cambios.

Resultados

El servicio VPN de IPsec de la puerta de enlace Edge está activo.

Especificar la configuración global de VPN de IPsec en una puerta de enlace Edge de NSX en el VMware Cloud Director Service Provider Admin Portal

Utilice la pantalla Configuración global para configurar la autenticación de VPN de IPsec en el nivel de puerta de enlace Edge. En esta pantalla, puede establecer una clave compartida previamente global y habilitar la autenticación de certificados.

Una clave compartida previamente global se utiliza para los sitios cuyo endpoint del mismo nivel se establece como cualquiera.

Requisitos previos

Procedimiento

  1. Abra los servicios de puerta de enlace Edge.
    1. En el panel de navegación principal de la izquierda, seleccione Recursos y, en la barra de navegación superior de la página, seleccione la pestaña Recursos de nube.
    2. En el panel secundario de la izquierda, seleccione Puertas de enlace Edge.
    3. Haga clic en el botón de radio junto al nombre de la puerta de enlace Edge de destino y haga clic en Servicios.
  2. En la pestaña VPN de IPsec, haga clic en Configuración global.
  3. (opcional) Establezca una clave compartida previamente global:
    1. Habilite la opción Cambiar clave compartida.
    2. Introduzca una clave compartida previamente.
      La clave compartida previamente (PSK) global la comparten todos los sitios cuyo endpoint del mismo nivel se haya establecido como any (cualquiera). Si ya se ha establecido una PSK global, cambiarla a un valor vacío y guardarla no tendrá ningún efecto en la configuración existente.
    3. (opcional) Opcionalmente, habilite Mostrar clave compartida para que la clave compartida previamente sea visible.
    4. Haga clic en Guardar cambios.
  4. Configure la autenticación de certificados:
    1. Active Habilitar autenticación de certificado.
    2. Seleccione los certificados de servicio, las CRL y los certificados de CA adecuados.
    3. Haga clic en Guardar cambios.

Qué hacer a continuación

Opcionalmente, puede habilitar el registro para el servicio VPN de IPsec de la puerta de enlace Edge. Consulte Estadísticas y logs de una puerta de enlace Edge de NSX Data Center for vSphere en VMware Cloud Director Service Provider Admin Portal.