Utilice los pasos de este tema para habilitar la VPN IPSec en la instancia de NSX Edge.
Requisitos previos
Para habilitar la autenticación del certificado, deben importarse los certificados del servidor y los correspondientes certificados firmados por la entidad de autorización. También puede utilizar una herramienta de línea de comandos de código abierto, como OpenSSL, para generar certificados firmados por la entidad de certificación.
No pueden utilizarse certificados autofirmados para VPN IPSec. Solo se pueden utilizar en el equilibrador de carga y en SSL VPN.
Procedimiento
- Inicie sesión en vSphere Web Client.
- Haga clic en .
- Haga doble clic en un dispositivo NSX Edge.
- Haga clic en .
- Junto a Configuración global (Global Configuration), haga clic en Editar (Edit) o Cambiar (Change).
- Introduzca una clave previamente compartida para los sitios cuyo endpoint del mismo nivel esté establecido en "cualquiera" (any).
Para consultar la clave previamente compartida, haga clic en el icono
Mostrar clave previamente compartida (Show Pre-Shared Key) (
) o seleccione la casilla de verificación
Mostrar clave compartida (Display Shared Key).
- Configure las extensiones globales.
La siguiente tabla describe las extensiones globales.
Extensión |
Descripción |
add_spd |
Los valores permitidos son on y off . El valor predeterminado es on , aunque no se configure esta extensión.
Al utilizar
add_spd=off :
- Las directivas de seguridad solo se instalan cuando el túnel está activado.
- Si el túnel está activado, se envían los paquetes cifrados mediante el túnel.
- Si el túnel está desactivado, se envían los paquetes sin cifrar, si algún enrutador está disponible.
Al utilizar
add_spd=on :
- Las directivas de seguridad se instalan sin tener en cuenta si el túnel está establecido.
- Si el túnel está activado, se envían los paquetes cifrados mediante el túnel.
- Si el túnel está desactivado, se descartan los paquetes.
|
ike_fragment_size |
Si la unidad de transmisión máxima (MTU) es pequeña, puede establecer el tamaño del fragmento IKE usando esta extensión, de forma que se eviten errores en la negociación IKE. Por ejemplo, ike_fragment_size=900 |
ignore_df |
Los valores permitidos son
on y
off . El valor predeterminado es
off .
- Al utilizar
ignore_df=off , NSX Edge copia el valor del bit "don't fragment (DF)" del paquete de texto no cifrado al paquete cifrado. Esto implica que si el paquete de texto no cifrado tiene el bit DF establecido, el paquete también lo tendrá configurado tras el cifrado.
- Al utilizar
ignore_df=on , NSX Edge ignora el valor del bit DF en el paquete de texto cifrado y el bit DF siempre es 0 en el paquete cifrado.
-
Establezca esta marca en on si el bit DF está establecido en el paquete de texto no cifrado y el tamaño del paquete tras el cifrado supera la MTU del paquete TCP. Si el bit DF está establecido, el paquete se descartará. Sin embargo, si el bit no aparece, el paquete se fragmentará.
|
- Habilite la autenticación de certificados y, a continuación, seleccione la lista de revocación de certificados (Certificate Revocation List, CRL) y el certificado de CA y el certificado de servicio apropiado.
- Haga clic en Guardar (Save) o Aceptar (OK) y, a continuación, seleccione Publicar cambios (Publish Changes).