Utilice los pasos de este tema para habilitar la VPN IPSec en la instancia de NSX Edge.

Requisitos previos

Para habilitar la autenticación del certificado, deben importarse los certificados del servidor y los correspondientes certificados firmados por la entidad de autorización. También puede utilizar una herramienta de línea de comandos de código abierto, como OpenSSL, para generar certificados firmados por la entidad de certificación.

No pueden utilizarse certificados autofirmados para VPN IPSec. Solo se pueden utilizar en el equilibrador de carga y en SSL VPN.

Procedimiento

  1. Inicie sesión en vSphere Web Client.
  2. Haga clic en Redes y seguridad (Networking & Security) > NSX Edge.
  3. Haga doble clic en un dispositivo NSX Edge.
  4. Haga clic en Administrar (Manage) > VPN (VPN) > VPN IPSec (IPSec VPN).
  5. Junto a Configuración global (Global Configuration), haga clic en Editar (Edit) o Cambiar (Change).
  6. Introduzca una clave previamente compartida para los sitios cuyo endpoint del mismo nivel esté establecido en "cualquiera" (any).
    Para consultar la clave previamente compartida, haga clic en el icono Mostrar clave previamente compartida (Show Pre-Shared Key) ( icono para mostrar) o seleccione la casilla de verificación Mostrar clave compartida (Display Shared Key).
  7. Configure las extensiones globales.
    La siguiente tabla describe las extensiones globales.
    Extensión Descripción
    add_spd

    Los valores permitidos son on y off. El valor predeterminado es on, aunque no se configure esta extensión.

    Al utilizar add_spd=off:
    • Las directivas de seguridad solo se instalan cuando el túnel está activado.
    • Si el túnel está activado, se envían los paquetes cifrados mediante el túnel.
    • Si el túnel está desactivado, se envían los paquetes sin cifrar, si algún enrutador está disponible.
    Al utilizar add_spd=on:
    • Las directivas de seguridad se instalan sin tener en cuenta si el túnel está establecido.
    • Si el túnel está activado, se envían los paquetes cifrados mediante el túnel.
    • Si el túnel está desactivado, se descartan los paquetes.
    ike_fragment_size Si la unidad de transmisión máxima (MTU) es pequeña, puede establecer el tamaño del fragmento IKE usando esta extensión, de forma que se eviten errores en la negociación IKE. Por ejemplo, ike_fragment_size=900
    ignore_df
    Los valores permitidos son on y off. El valor predeterminado es off.
    • Al utilizar ignore_df=off, NSX Edge copia el valor del bit "don't fragment (DF)" del paquete de texto no cifrado al paquete cifrado. Esto implica que si el paquete de texto no cifrado tiene el bit DF establecido, el paquete también lo tendrá configurado tras el cifrado.
    • Al utilizar ignore_df=on, NSX Edge ignora el valor del bit DF en el paquete de texto cifrado y el bit DF siempre es 0 en el paquete cifrado.

    • Establezca esta marca en on si el bit DF está establecido en el paquete de texto no cifrado y el tamaño del paquete tras el cifrado supera la MTU del paquete TCP. Si el bit DF está establecido, el paquete se descartará. Sin embargo, si el bit no aparece, el paquete se fragmentará.

  8. Habilite la autenticación de certificados y, a continuación, seleccione la lista de revocación de certificados (Certificate Revocation List, CRL) y el certificado de CA y el certificado de servicio apropiado.
  9. Haga clic en Guardar (Save) o Aceptar (OK) y, a continuación, seleccione Publicar cambios (Publish Changes).