Es necesario configurar al menos una dirección IP externa en NSX Edge para ofrecer el servicio de IPsec VPN.

Procedimiento

  1. Inicie sesión en vSphere Web Client.
  2. Haga clic en Redes y seguridad (Networking & Security) > NSX Edge.
  3. Haga doble clic en un dispositivo NSX Edge.
  4. Haga clic en Administrar (Manage) > VPN (VPN) > VPN IPSec (IPSec VPN).
  5. Haga clic en Agregar (Add).
  6. Introduzca un nombre para el sitio VPN IPSec.
  7. Configure los parámetros de endpoint del sitio VPN IPsec.
    1. Introduzca el identificador local para identificar la instancia local de NSX Edge. Este identificador local es el identificador del sitio remoto de mismo nivel.
      El identificador local puede ser cualquier cadena. Se prefiere el uso de la dirección IP pública de la VPN o un nombre de dominio completo (FQDN) para el servicio VPN como identificador local.
    2. Introduzca una dirección IP o un FQDN para el endpoint local.
      Si desea agregar un túnel IP a IP con una clave precompartida, el identificador local y la dirección IP del endpoint local pueden ser iguales.
    3. Introduzca las subredes que comparten los sitios de IPSec VPN en formato CIDR. Utilice la coma como separador para especificar varias subredes.
    4. Introduzca el identificador del mismo nivel (Peer ID) para identificar el sitio del mismo nivel.
      • Para los elementos del mismo nivel con autenticación de certificado, este identificador debe ser el nombre distintivo (Distinguished Name, DN) indicado en el certificado del elemento del mismo nivel. Introduzca el DN del certificado como una cadena de valores separados por coma en el orden que se indica a continuación y sin espacios: C=xxx,ST=xxx,L=xxx,O=xxx,OU=xxx,CN=xxx,E=xxx.
      • Para los elementos del mismo nivel con PSK, este identificador puede ser cualquier cadena. Se prefiere el uso de la dirección IP pública de la red VPN o un nombre FQDN para el servicio VPN como identificador del mismo nivel.
      Nota: Si Edge tiene más de una interfaz de vínculo superior que puede alcanzar el IPSec remoto del mismo nivel, el enrutamiento debe realizarse de tal forma que el tráfico de IPSec salga de la interfaz de Edge, que está configurada con una IP local del mismo nivel.
    5. Introduzca una dirección IP o un FQDN del endpoint del mismo nivel. El valor predeterminado es any. Si conserva el valor predeterminado, debe configurar PSK global.
    6. Introduzca en formato CIDR la dirección IP interna de la subred del mismo nivel. Utilice la coma como separador para especificar varias subredes.
  8. Configure los parámetros de túnel.
    1. (opcional) Seleccione un paquete de conformidad de seguridad para configurar el perfil de seguridad del sitio VPN IPSec con valores predefinidos establecidos por ese paquete.
      El valor seleccionado de forma predeterminada es Ninguno (None), lo que significa que debe especificar manualmente la configuración del método de autenticación, el perfil de IKE y el perfil de túnel. Si selecciona un paquete de conformidad, los valores predefinidos en el paquete de conformidad estándar se asignan automáticamente y no podrá editarlos. Para obtener más información sobre los paquetes de conformidad, consulte Paquetes de conformidad compatibles.
      Nota:
      • El paquete de conformidad se admite en NSX Data Center 6.4.5 o versiones posteriores.
      • Si el modo FIPS está habilitado en la instancia de Edge, no puede especificar un paquete de conformidad.
    2. Seleccione uno de los siguientes protocolos IKE (intercambio de claves de Internet) para configurar una asociación de seguridad (SA) en el conjunto de protocolos IPSec.
      Opción Descripción
      IKEv1 Si selecciona esta opción, la VPN con IPSec se inicia y responde solo al protocolo IKEv1.
      IKEv2 Si selecciona esta opción, la VPN con IPSec se inicia y responde solo al protocolo IKEv2.
      IKE Flex Si se selecciona esta opción y falla el establecimiento de túnel con el protocolo IKEv2, el sitio de origen no retrocede e inicia una conexión con el protocolo IKEv1. En lugar de eso, si el sitio remoto inicia una conexión con el protocolo IKEv1, la conexión se aceptará.
      Importante: Si configura varios sitios con los mismos endpoints locales y remotos, asegúrese de seleccionar la misma versión de IKE y PSK en todos los sitios VPN IPSec.
    3. En el menú desplegable Algoritmo de resumen (Digest Algorithm), seleccione uno de los siguientes algoritmos hash seguros:
      • SHA1
      • SHA_256
    4. En el menú desplegable Algoritmo de cifrado (Encryption Algorithm), seleccione uno de los siguientes algoritmos de cifrado admitidos:
      • AES (AES128-CBC)
      • AES256 (AES256-CBC)
      • Triple DES (3DES192-CBC)
      • AES-GCM (AES128-GCM)
      Nota:
      • El algoritmo de cifrado AES-GCM no es compatible con FIPS.
      • Desde la versión 6.4.5 de NSX, el algoritmo de cifrado Triple DES pasa a estar obsoleto en el servicio VPN IPSec.

      La siguiente tabla explica la configuración de cifrado que se usa en la puerta de enlace VPN al mismo nivel para la configuración de cifrado que selección en el NSX Edge local.

      Tabla 1. Configuración de cifrado
      Configuración de cifrado en NSX Edge Configuración IKE en la puerta de enlace VPN al mismo nivel Configuración IPSec en la puerta de enlace VPN al mismo nivel
      AES-256 AES-256 AES-256
      AES-128 AES-128 AES-128
      3DES 3DES 3DES
      AES-GCM, IKEv1 AES-128 AES-GCM
      AES-GCM, IKEv2 AES-128 o AES-GCM AES-GCM
    5. En Método de autenticación (Authentication Method), seleccione una de las siguientes opciones:
      Opción Descripción
      PSK (Pre Shared Key) (Clave precompartida [PSK]) Se indica que se utilizará la clave secreta compartida entre NSX Edge y el sitio del mismo nivel para la autenticación. La clave secreta puede ser una cadena con un máximo de 128 bytes de longitud.

      En el modo FIPS está deshabilitada la autenticación PSK.

      Certificado (Certificate) Se indica que se utilizará el certificado definido en el nivel global para la autenticación.
    6. (opcional) Introduzca la clave previamente compartida del sitio VPN IPSec del mismo nivel.
    7. Para mostrar la clave del sitio del mismo nivel, haga clic en el icono Mostrar clave previamente compartida (Show Pre-Shared Key) (icono para mostrar) o seleccione la casilla de verificación Mostrar clave compartida (Display Shared Key).
    8. En el menú desplegable Grupo Diffie-Hellman (DH) (Diffie-Hellman [DH] Group), seleccione una de las siguientes combinaciones de criptografía que permita al sitio del mismo nivel y a NSX Edge establecer un secreto compartido mediante un canal de comunicaciones no seguro.
      • DH-2
      • DH-5
      • DH-14
      • DH-15
      • DH-16
      DH14 es la selección predeterminada para los modos FIPS y no FIPS. Ni DH2 ni DH5 están disponibles cuando está habilitado el modo FIPS.
  9. Configure los parámetros avanzados.
    1. Si el sitio VPN IPSec remoto no admite PFS, deshabilite la opción Confidencialidad directa total (PFS) (Perfect forward secrecy, [PFS]). Esta opción está habilitada de forma predeterminada.
    2. (opcional) Para utilizar la VPN con IPsec en un modo de solo respondedor, seleccione la casilla de verificación Solo respondedor (Responder only).
      En este modo, la VPN con IPsec nunca iniciará una conexión.
    3. (opcional) En el cuadro de texto Extensión (Extension), escriba uno de los siguientes:
      • securelocaltrafficbyip=direcciónIP para redirigir el tráfico local de Edge mediante el túnel VPN IPSec. La dirección IP es el valor predeterminado. Para obtener más información, consulte http://kb.vmware.com/kb/20080007 .
      • passthroughSubnets=direcciónIPDeSubredDelMismoNivel para admitir la superposición de subredes.
  10. Haga clic en Agregar (Add) o en Aceptar (OK) y, a continuación, en Publicar cambios (Publish Changes).
    La configuración VPN IPSec se guarda en NSX Edge.

Qué hacer a continuación

Habilite el servicio de IPsec VPN.

Sugerencia: En vSphere Web Client, siga estos pasos en la página VPN IPSec (IPSec VPN) para generar el script de configuración de la puerta de enlace VPN del mismo nivel.
  • En NSX 6.4.6 y versiones posteriores, seleccione el sitio VPN IPSec y haga clic en Acciones (Actions) > Generar configuración del mismo nivel (Generate Peer Configuration).
  • En NSX 6.4.5 y versiones anteriores, seleccione el sitio VPN IPSec y haga clic en el icono Generar configuración del mismo nivel (Generate Peer Configure). En el cuadro de diálogo que aparece, haga clic en Generar configuración del mismo nivel (Generate Peer Configuration).

    Se genera el script de configuración. Puede usar este script como referencia para configurar los parámetros de VPN IPSec en la puerta de enlace VPN del mismo nivel.