Puede configurar un túnel de IPSec basada en rutas entre un NSX Edge en el sitio local y una puerta de enlace VPN remota en el sitio al mismo nivel.

A diferencia de la configuración del túnel de IPSec basada en directivas, donde usted configura las subredes locales y remotas, en una configuración de túnel de IPSec basada en rutas, no puede definir las subredes locales ni las subredes del mismo nivel que quiere que se comuniquen entre sí. En una configuración de túnel de IPSec basada en rutas, debe definir una VTI con una dirección IP privada en los sitios local y al mismo nivel. El tráfico desde las subredes locales se enruta mediante la VTI a las subredes al mismo nivel. Use un protocolo de enrutamiento dinámico, como BGP, para enrutar el tráfico mediante el túnel de IPSec. El protocolo de enrutamiento dinámico decide establecer el tráfico desde la red local que se enruta usando el túnel de IPSec hasta la subred del mismo nivel.

Los siguientes pasos explican el procedimiento para configurar un túnel de IPSec basada en rutas entre los dos sitios:
  1. Configure los parámetros de VPN IPSec en el NSX Edge local. En NSX Data Center 6.4.2 y versiones posteriores, solo puede configurar parámetros VPN IPSec basada en rutas mediante las REST API. Para obtener más información, consulte la Guía de NSX API.
    • El ID local y la dirección IP del endpoint local para identificar la puerta de enlace local de NSX Edge.
    • El ID local y la dirección IP del endpoint al mismo nivel para identificar la puerta de enlace de VPN al mismo nivel.
    • Versión de IKE para configurar una asociación de seguridad entre los dos sitios.
    • Algoritmo de resumen.
    • Algoritmo de cifrado.
    • Mecanismo de autenticación (clave compartida previamente o certificado).
    • Esquema de cifrado de clave pública Grupo Diffie-Hellman (DH).
    • Habilitar o deshabilitar la confidencialidad directa total.
    • Habilitar o deshabilitar el modo de solo respondedor.
    • Interfaz de túnel virtual (VTI) en NSX Edge. Proporcione una dirección IP privada y estática para la VTI.
    Nota: La VTI que configura es estática. Por lo tanto, no puede tener más de una dirección IP. La práctica recomendada es garantizar que la dirección IP de la VTI en los sitios al mismo nivel y local estén en la misma subred.
  2. Use la API de descarga de la configuración IPSec para recuperar la configuración del mismo nivel para usarla como referencia, y configure la puerta de enlace VPN del mismo nivel.
  3. Configure el emparejamiento BGP entre las VTI en ambos sitios. El emparejamiento garantiza que BGP del sitio local notifique las subredes locales a la puerta de enlace VPN del mismo nivel y, de forma similar, que BGP en el sitio del mismo nivel notifique las subredes remotas a la puerta de enlace VPN local. Para obtener más información sobre cómo configurar BGP, consulte la sección Enrutamiento en la Guía de administración de NSX.
    Importante: En NSX 6.4.2 y versiones posteriores, no se admite el enrutamiento dinámico OSPF ni el enrutamiento estático a través de un túnel IPSec.
  4. Si desea configurar la redundancia de túnel a través de más de un túnel, configure los valores de los temporizadores Supresión (Hold Down) y Mantenimiento (Keep Alive) de BGP. Los valores de temporizador ayudan a detectar la pérdida de conectividad con la puerta de enlace VPN remota dentro del tiempo de conmutación por error requerido.

Para obtener un ejemplo sobre cómo configurar un túnel de IPSec basado en rutas entre NSX Edge y una puerta de enlace de VPN Cisco CSR 1000V, consulte Utilizar un dispositivo Cisco CSR 1000V.