Puede configurar una VPN mediante PCG que aparezcan como puertas de enlace de nivel 0 creadas automáticamente en la implementación de NSX-T Data Center local. Estas instrucciones son específicas para las máquinas virtuales de carga de trabajo administradas en el modo Modo forzado de NSX .

Use las PCG de la misma manera que utiliza las puertas de enlace de nivel 0 en NSX Manager para configurar la VPN siguiendo los pasos adicionales que se describen aquí. Puede crear túneles VPN entre PCG implementados en la misma nube pública o en nubes públicas diferentes, o con una puerta de enlace o enrutador local. Consulte Red privada virtual (VPN) para obtener más información sobre la compatibilidad de las VPN con NSX-T Data Center.

Puede usar las API de CSM para configurar la VPN en NSX-T Data Center si ambos endpoints están en la nube pública y administrados por PCG. Consulte Automatizar la VPN para los endpoints de nube pública usando API.

Requisitos previos

  • Compruebe que tiene una o un par de HA de PCG implementadas en una VPC/VNet.
  • Compruebe que el elemento remoto del mismo nivel sea compatible con la VPN basada en rutas y BGP.

Procedimiento

  1. En la nube pública, busque el endpoint local asignado por NSX para la PCG y asigne una dirección IP pública si es necesario:
    1. Vaya a la instancia de PCG en la nube pública y desplácese hasta Etiquetas.
    2. Anote la dirección IP en el campo de valor de la etiqueta nsx.local_endpoint_ip.
    3. (opcional) Si el túnel VPN requiere una dirección IP pública, por ejemplo, si desea configurar una VPN a otra nube pública o a la implementación local de NSX-T Data Center:
      1. Desplácese hasta la interfaz de vínculo superior de la instancia de PCG.
      2. Asocie una dirección IP pública a la dirección IP nsx.local_endpoint_ip que anotó en el paso 1.b.
    4. (opcional) Si tiene un par de HA de instancias de PCG, repita los pasos 1.a y 1.b y asocie una dirección IP pública, si es necesario, como se describe en el paso 1.c.
  2. En NSX Manager, habilite la VPN de IPSec para la PCG que aparece como una puerta de enlace de nivel 0 con el nombre cloud-t0-vpc/vnet-<vpc/vnet-id> y cree sesiones de IPSec de base de ruta entre este endpoint de la puerta de enlace de nivel 0 y la dirección IP remota del mismo nivel de VPN que desee. Consulte Agregar un servicio de VPN de IPSec para obtener otros detalles.
    1. Vaya a Redes > VPN > Servicios de VPN > Agregar servicio > IPSec. Proporcione los siguientes detalles:
      Opción Descripción
      Nombre Introduzca un nombre descriptivo para el servicio de VPN, por ejemplo VPN_AWS-<ID-VPC> o VPN_AZURE-<ID-VNet>.
      Puerta de enlace de nivel 0/nivel 1 Seleccione la puerta de enlace de nivel 0 para la PCG en la nube pública.
    2. Vaya a Redes > VPN > Endpoints locales > Agregar endpoint local. Proporcione la siguiente información y consulte Agregar endpoints locales para obtener más información:
      Nota: Si tiene un par de HA de instancias de PCG, cree un endpoint local para cada instancia utilizando la dirección IP del endpoint local correspondiente asociada a ella en la nube pública.
      Opción Descripción
      Nombre Introduzca un nombre descriptivo para el endpoint local, por ejemplo LE-preferido-PCG-<ID-VPC> o LE-preferido-PCG-<ID-VNET>.
      Servicio VPN Seleccione el servicio de VPN para la puerta de enlace de nivel 0 de la PCG que creó en el paso 2.a.
      Dirección IP Introduzca el valor de la dirección IP del endpoint local de la PCG que anotó en el paso 1.b.
    3. Vaya a Redes > VPN > Sesiones de IPSec > Agregar sesión de IPSec > Basada en rutas. Proporcione la siguiente información y consulte Agregar una sesión de IPSec basada en rutas para obtener más información:
      Nota: Si va a crear un túnel VPN entre varias PCG implementadas en una VPC, y varias PCG implementadas en una VNet, deberá crear un túnel entre cada endpoint local de PCG en la VPC y la dirección IP remota de la PCG en la VNet, y, a la inversa, desde la PCG de la VNet hasta la dirección IP remota de PCG en la VPC. Deberá crear un túnel separado para la PCG activa y en espera. Esto dará como resultado una malla completa de sesiones de IPSec entre las dos nubes públicas.
      Opción Descripción
      Nombre Introduzca un nombre descriptivo para la sesión de IPsec, por ejemplo, PCG1-<ID-VPc>-a-edge-remoto.
      Servicio VPN Seleccione el servicio VPN que creó en el paso 2.a.
      Endpoint local Seleccione el endpoint local que creó en el paso 2.b.
      Dirección IP remota Introduzca la dirección IP pública del elemento remoto del mismo nivel con el que va a crear el túnel VPN.
      Nota: La IP remota puede ser una dirección IP privada si se puede acceder direcciones IP privadas, por ejemplo, mediante DirectConnect o ExpressRoute.
      Interfaz de túnel Introduzca la interfaz de túnel en formato CIDR. Se debe utilizar la misma subred para que el elemento remoto del mismo nivel establezca la sesión de IPSec.
  3. Expanda BGP y configure los vecinos de BGP en la interfaz de túnel VPN de IPSec que estableció en el paso 2. Consulte Configurar BGP para obtener detalles.
    1. Desplácese hasta Redes > Puertas de enlace de nivel 0.
    2. Seleccione la puerta de enlace de nivel 0 creada automáticamente para la que creó la sesión de IPSec y haga clic en Editar.
    3. Haga clic en el número o el icono junto a Vecinos BGP en la sección BGP y proporcione los siguientes detalles:
      Opción Descripción
      Dirección IP

      Utilice la dirección IP de la VTI remota configurada en la interfaz de túnel en la sesión de IPSec para el elemento del mismo nivel de VPN.

      Número de AS remoto Este número debe coincidir con el número de AS del elemento remoto del mismo nivel.
  4. Expanda Redistribución de rutas y anuncie los prefijos que desea utilizar para la VPN mediante el perfil de redistribución. En Modo forzado de NSX , conecte las rutas habilitadas de nivel 1 en el perfil de redistribución.