Cuando se agrega una VPN de IPSec basada en directivas, los túneles de IPSec se utilizan para conectar varias subredes locales que se encuentran detrás del nodo de NSX Edge con las subredes del mismo nivel en el sitio de VPN remoto.

En los siguientes pasos se utiliza la pestaña Sesiones de IPSec de la interfaz de usuario de NSX Manager para crear una sesión de IPSec basada en directivas. Se agrega también información de los perfiles de túnel, IKE y DPD, y se selecciona un endpoint local existente para emplearlo con la VPN de IPSec basada en directivas.

Nota:

También puede agregar una sesión de servidor de VPN de IPSec justo después de configurar correctamente el servicio del servidor de VPN de IPSec. Haga clic en cuando se solicite para continuar con la configuración del servicio de VPN de IPSec, y seleccione Sesiones > Agregar sesiones en el panel Agregar servicio de IPSec. Para los primeros pasos del siguiente procedimiento, se presupone que seleccionó No para continuar con la configuración del servicio de VPN de IPSec. Si seleccionó , vaya al tercero de los pasos siguientes para obtener instrucciones sobre lo que queda de la configuración de la sesión de VPN de IPSec basada en directivas.

Requisitos previos

  • Debe configurar un servicio de servidor de VPN de IPSec antes de continuar. Consulte Agregar un servicio de VPN de IPSec.
  • Obtenga la información del endpoint local, la dirección IP del sitio del mismo nivel, la subred de la red local y la subred de la red remota que se van a usar con la sesión de VPN de IPSec basada en directivas que está agregando. Para crear un endpoint local, consulte Agregar endpoints locales.
  • Si utiliza una clave precompartida (PSK) para la autenticación, obtenga el valor de PSK.
  • Si utiliza un certificado para la autenticación, asegúrese de que se hayan importado los certificados de servidor necesarios y los certificados firmados por CA correspondientes. Consulte Certificados.
  • Si no desea utilizar los valores predeterminados para los perfiles de túnel de IPSec, IKE o Dead Peer Detection (DPD) que NSX-T Data Center proporciona, configure los perfiles que desea utilizar en su lugar. Para obtener más información, consulte Agregar perfiles.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Desplácese hasta la pestaña Redes > VPN > Sesiones de IPSec.
  3. Seleccione Agregar sesión de IPSec > Basada en directivas.
  4. Introduzca un nombre para la sesión de VPN de IPSec basada en directivas.
  5. En el menú desplegable Servicio de VPN, seleccione el servicio de VPN de IPSec al que desee agregar esta nueva sesión de IPSec.
    Nota: Si agrega esta sesión de IPSec desde el cuadro de diálogo Agregar sesiones de IPSec, el nombre del servicio de VPN se indica encima del botón Agregar sesión de IPSec.
  6. Seleccione un endpoint local existente en el menú desplegable.
    Este valor de endpoint local es obligatorio e identifica el nodo local de NSX Edge. Si desea crear otro endpoint local, haga clic en el menú de tres puntos ( Un icono con tres puntos negros alineados verticalmente. Al hacer clic en este icono, se muestra un menú de subcomandos.) y seleccione Agregar endpoint local.
  7. En el cuadro de texto Dirección IP remota, introduzca la dirección IP del sitio remoto requerida.
    Este valor es obligatorio.
  8. Si lo desea, puede escribir una descripción para esta sesión de VPN de IPSec basada en directivas.
    La longitud máxima es de 1024 caracteres.
  9. Para habilitar o deshabilitar la sesión de VPN de IPSec, haga clic en Estado de administración.
    De forma predeterminada, el valor se establece como Enabled, lo que significa que la sesión de VPN de IPSec se debe configurar hasta el nodo de NSX Edge.
  10. (opcional) En el menú desplegable Suite de cumplimiento, seleccione una suite de cumplimiento de seguridad.
    Nota: Las suites de cumplimiento se admiten a partir de NSX-T Data Center 2.5. Consulte Información sobre las suites de cumplimiento admitidas para obtener más información.
    El valor predeterminado seleccionado es None. Si selecciona una suite de cumplimiento, el Modo de autenticación se establecerá en Certificate y, en la sección Propiedades avanzadas , los valores para Perfil de IKE y Perfil de IPSec se establecerán en perfiles definidos por el sistema para la suite de cumplimiento de seguridad seleccionada. No puede editar estos perfiles definidos por el sistema.
  11. Si se establece None para la Suite de cumplimiento, seleccione un modo en el menú desplegable Modo de autenticación.
    El modo de autenticación predeterminado utilizado es PSK, lo que significa que se utiliza una clave secreta compartida entre NSX Edge y el sitio remoto para la sesión de VPN de IPSec. Si selecciona Certificate, se utilizará el certificado del sitio que se usó para configurar el endpoint local para la autenticación.

    Para obtener más información sobre la autenticación basada en certificados, consulte Usar la autenticación basada en certificados para sesiones de VPN de IPSec.

  12. En los cuadros de texto Redes locales y Redes remotas, introduzca al menos una dirección IP de subred para usarla en esta sesión de VPN de IPSec basada en directivas.
    Debe utilizar el formato CIDR con estas subredes.
  13. Si se establece PSK como Modo de autenticación , introduzca el valor de la clave en el cuadro de texto Clave precompartida.
    Esta clave secreta puede ser una cadena con un máximo de 128 bytes de caracteres de longitud.
    Precaución: Tenga cuidado al compartir y almacenar un valor de PSK porque contiene información confidencial.
  14. Para identificar el sitio del mismo nivel, introduzca un valor en Identificador remoto.
    Para los sitios del mismo nivel que utilicen una autenticación de PSK, el valor de este identificador debe ser la dirección IP pública o el FQDN del sitio del mismo nivel. Para los sitios del mismo nivel con autenticación por certificado, el valor de este identificador debe ser el nombre común (Common Name, CN) o el nombre distintivo (Distinguished Name, DN) indicado en el certificado para el sitio del mismo nivel.
    Nota: Si el certificado para el sitio del mismo nivel contiene una dirección de correo electrónico en la cadena de DN, como en este ejemplo: 
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/emailAddress=user1@mycompany.com
    Introduzca el valor del Identificador remoto con el formato del ejemplo siguiente. 
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, MAILTO=user1@mycompany.com"
    Si se usa una dirección de correo electrónico en la cadena de DN del certificado para el sitio local y el sitio del mismo nivel utiliza la implementación de IPSec strongSwan, introduzca el identificador del sitio local en el sitio del mismo nivel. A continuación se muestra un ejemplo. 
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, E=user1@mycompany.com"
  15. Para cambiar los perfiles, el modo de inicio, el modo de fijación de MSS de TCP y las etiquetas utilizadas por la sesión de VPN de IPSec basadas en directivas, haga clic en Propiedades avanzadas.
    De forma predeterminada, se utilizan los perfiles generados por el sistema. Seleccione otro perfil disponible si no desea usar el predeterminado. Si desea utilizar un perfil que aún no se ha configurado, haga clic en el menú de tres puntos ( Tres puntos negros alineados verticalmente. Al hacer clic en este icono, se muestra un menú de subcomandos.) para crear otro perfil. Consulte Agregar perfiles.
    1. Si el menú desplegable Perfiles de IKE está habilitado, seleccione el perfil de IKE.
    2. Seleccione el perfil de túnel de IPsec si el menú desplegable Perfiles de IPSec no está deshabilitado.
    3. Seleccione el perfil de DPD que prefiera si el menú desplegable Perfiles de DPD está habilitado.
    4. Seleccione el modo preferido en el menú desplegable Modo de inicio de conexión.
      El modo de inicio de conexión define la directiva utilizada por el endpoint local en el proceso de creación del túnel. El valor predeterminado es Iniciador. En la siguiente tabla, se describen los diferentes modos de inicio de conexión disponibles.
      Tabla 1. Modos de inicio de conexión
      Modo de inicio de conexión Descripción
      Initiator El valor predeterminado. En este modo, el endpoint local inicia la creación del túnel VPN de IPSec y responde a las solicitudes entrantes de instalación del túnel de la puerta de enlace del mismo nivel.
      On Demand En este modo, el endpoint local inicia la creación del túnel VPN de IPSec después de recibir el primer paquete que coincide con la regla de directiva. También responde a la solicitud de inicio entrante.
      Respond Only

      La VPN de IPSec nunca inicia una conexión. El sitio del mismo nivel siempre inicia la solicitud de conexión, y el endpoint local responde a dicha solicitud de conexión.

    5. Si desea reducir la carga del tamaño de segmento máximo (MSS) de la sesión de TCP durante la conexión de IPSec, habilite Fijación de MSS de TCP, seleccione el valor Dirección de MSS de TCP y, opcionalmente, establezca el Valor de MSS de TCP.
      Consulte Fijación de MSS de TCP para obtener más información.
    6. Si desea incluir esta sesión como parte de un grupo específico, escriba el nombre de etiqueta en Etiquetas.
  16. Haga clic en Guardar.

Resultados

Cuando la nueva sesión de VPN de IPSec basada en directivas se configure correctamente, esta se agregará a la lista de sesiones de VPN de IPSec disponibles. Está en modo de solo lectura.

Qué hacer a continuación

  • Compruebe que el estado del túnel VPN de IPSec sea Activo. Para obtener más información, consulte Supervisar y solucionar problemas de sesiones de VPN.
  • Si es necesario, administre la información de la sesión de VPN de IPSec haciendo clic en el menú de tres puntos ( Tres puntos negros alineados verticalmente. Al hacer clic en este icono, se muestra un menú de subcomandos. ) situado en la parte izquierda de la fila de la sesión. Seleccione una de las acciones que puede realizar.