Cuando se agrega una VPN de IPSec basada en rutas, se proporciona tunelización en el tráfico basado en rutas que se aprendieron dinámicamente a través de una interfaz de túnel virtual (VTI) utilizando el protocolo preferido, como BGP. IPSec protege todo el tráfico que circula a través de la VTI.

Los pasos descritos en este tema utilizan la pestaña Sesiones de IPSec para crear una sesión de IPSec basada en rutas. También deberá añadir información de los perfiles de túnel, IKE y DPD, así como seleccionar el endpoint local existente que se usará con la VPN de IPSec basada en rutas.

Nota:

También puede agregar las sesiones de VPN de IPSec inmediatamente después de que se configure correctamente el servicio VPN de IPSec. Haga clic en cuando se solicite para continuar con la configuración del servicio de VPN de IPSec, y seleccione Sesiones > Agregar sesiones en el panel Agregar servicio de IPSec. Para los primeros pasos del siguiente procedimiento, se presupone que seleccionó No para continuar con la configuración del servicio de VPN de IPSec. Si ha seleccionado , vaya al paso 3 para seguir configurando la sesión del servicio de VPN de IPSec basada en rutas.

Requisitos previos

  • Debe configurar un servicio de servidor de VPN de IPSec antes de continuar. Consulte Agregar un servicio de VPN de IPSec.
  • Obtenga la información del endpoint local, la dirección IP del sitio del mismo nivel y la dirección de subred IP del servicio de túnel que se usarán con la sesión de IPSec basada en rutas que va a agregar. Para crear un endpoint local, consulte Agregar endpoints locales.
  • Si utiliza una clave precompartida (PSK) para la autenticación, obtenga el valor de PSK.
  • Si utiliza un certificado para la autenticación, asegúrese de que se hayan importado los certificados de servidor necesarios y los certificados firmados por CA correspondientes. Consulte Certificados.
  • Si no desea utilizar los valores predeterminados de los perfiles de túnel de IPSec, IKE o Dead Peer Detection (DPD) proporcionados por NSX-T Data Center, configure los perfiles que desee utilizar en su lugar. Para obtener más información, consulte Agregar perfiles.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Desplácese a Redes > VPN > Sesiones de IPSec.
  3. Seleccione Agregar sesión de IPSec > Con base en rutas.
  4. Escriba un nombre para la sesión de IPSec basada en rutas.
  5. En el menú desplegable Servicio de VPN, seleccione el servicio de VPN de IPSec al que desee agregar esta nueva sesión de IPSec.
    Nota: Si agrega esta sesión de IPSec desde el cuadro de diálogo Agregar sesiones de IPSec, el nombre del servicio de VPN se indica encima del botón Agregar sesión de IPSec.
  6. Seleccione un endpoint local existente en el menú desplegable.
    El valor de endpoint local es obligatorio e identifica el nodo local de NSX Edge. Si desea crear otro endpoint local, haga clic en el menú de tres puntos ( Tres puntos negros alineados verticalmente. Al hacer clic en este icono, se muestra un menú de subcomandos.) y seleccione Agregar endpoint local.
  7. En el cuadro de texto Dirección IP remota, introduzca la dirección IP del sitio remoto.
    Este es un valor obligatorio.
  8. Escriba una descripción opcional para la sesión de VPN de IPSec basada en rutas.
    La longitud máxima es de 1024 caracteres.
  9. Para habilitar o deshabilitar la sesión de VPN de IPSec, haga clic en Estado de administración.
    De forma predeterminada, el valor se establece como Enabled, lo que significa que la sesión de IPSec se debe configurar hasta el nodo de NSX Edge.
  10. (opcional) En el menú desplegable Suite de cumplimiento, seleccione una suite de cumplimiento de seguridad.
    Nota: Las suites de cumplimiento se admiten a partir de NSX-T Data Center 2.5. Consulte Información sobre las suites de cumplimiento admitidas para obtener más información.
    El valor predeterminado es None. Si selecciona una suite de cumplimiento, el Modo de autenticación se establecerá en Certificate y, en la sección Propiedades avanzadas , los valores para Perfil de IKE y Perfil de IPSec se establecerán en perfiles definidos por el sistema para la suite de cumplimiento seleccionada. No puede editar estos perfiles definidos por el sistema.
  11. Escriba una dirección de subred IP en Interfaz de túnel en formato CIDR.
    Esta dirección es obligatoria.
  12. Si se establece None para la Suite de cumplimiento, seleccione un modo en el menú desplegable Modo de autenticación.
    El modo de autenticación predeterminado utilizado es PSK, lo que significa que se utiliza una clave secreta compartida entre NSX Edge y el sitio remoto para la sesión de VPN de IPSec. Si selecciona Certificate, se utilizará el certificado del sitio que se usó para configurar el endpoint local para la autenticación.

    Para obtener más información sobre la autenticación basada en certificados, consulte Usar la autenticación basada en certificados para sesiones de VPN de IPSec.

  13. Si seleccionó PSK para el modo de autenticación, introduzca el valor de clave en el cuadro de texto Clave precompartida.
    Esta clave secreta puede ser una cadena con un máximo de 128 bytes de caracteres de longitud.
    Precaución: Tenga cuidado al compartir y almacenar un valor de PSK porque contiene información confidencial.
  14. Introduzca un valor en Identificador remoto.
    Para los sitios del mismo nivel que utilicen una autenticación de PSK, el valor de este identificador debe ser la dirección IP pública o el FQDN del sitio del mismo nivel. Para los sitios del mismo nivel con autenticación por certificado, el valor de este identificador debe ser el nombre común (Common Name, CN) o el nombre distintivo (Distinguished Name, DN) indicado en el certificado para el sitio del mismo nivel.
    Nota: Si el certificado para el sitio del mismo nivel contiene una dirección de correo electrónico en la cadena de DN, como en este ejemplo: 
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
    Introduzca el valor del Identificador remoto con el formato del ejemplo siguiente. 
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
    Si se usa una dirección de correo electrónico en la cadena de DN del certificado para el sitio local y el sitio del mismo nivel utiliza la implementación de IPSec strongSwan, introduzca el identificador del sitio local en el sitio del mismo nivel. A continuación se muestra un ejemplo. 
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
  15. Si desea incluir esta sesión de IPSec como parte de una etiqueta de grupo específico, escriba el nombre de la etiqueta en Etiquetas.
  16. Para cambiar los perfiles, el modo de inicio, el modo de fijación de MSS de TCP y las etiquetas utilizadas por la sesión de VPN de IPSec basadas en rutas , haga clic en Propiedades avanzadas.
    De forma predeterminada, se utilizan los perfiles generados por el sistema. Seleccione otro perfil disponible si no desea usar el predeterminado. Si desea utilizar un perfil que aún no se ha configurado, haga clic en el menú de tres puntos ( Tres puntos negros alineados verticalmente. Al hacer clic en este icono, se muestra un menú de subcomandos.) para crear otro perfil. Consulte Agregar perfiles.
    1. Si el menú desplegable Perfiles de IKE está habilitado, seleccione el perfil de IKE.
    2. Seleccione el perfil de túnel de IPsec si el menú desplegable Perfiles de IPSec no está deshabilitado.
    3. Seleccione el perfil de DPD que prefiera si el menú desplegable Perfiles de DPD está habilitado.
    4. Seleccione el modo preferido en el menú desplegable Modo de inicio de conexión.
      El modo de inicio de conexión define la directiva utilizada por el endpoint local en el proceso de creación del túnel. El valor predeterminado es Iniciador. En la siguiente tabla se describen los diferentes modos de inicio de conexión disponibles.
      Tabla 1. Modos de inicio de conexión
      Modo de inicio de conexión Descripción
      Initiator El valor predeterminado. En este modo, el endpoint local inicia la creación del túnel VPN de IPSec y responde a las solicitudes entrantes de instalación del túnel de la puerta de enlace del mismo nivel.
      On Demand No utilice con la VPN basada en rutas. Este modo se aplica únicamente a la VPN basada en directivas.
      Respond Only La VPN de IPSec nunca inicia una conexión. El sitio del mismo nivel siempre inicia la solicitud de conexión, y el endpoint local responde a dicha solicitud de conexión.
  17. Si desea reducir la carga del tamaño de segmento máximo (MSS) de la sesión de TCP durante la conexión de IPSec, habilite Fijación de MSS de TCP, seleccione el valor Dirección de MSS de TCP y, opcionalmente, establezca el Valor de MSS de TCP.
    Consulte la sección Fijación de MSS de TCP para obtener más información.
  18. Si desea incluir esta sesión de IPSec como parte de una etiqueta de grupo específico, escriba el nombre de la etiqueta en Etiquetas.
  19. Haga clic en Guardar.

Resultados

Cuando la nueva sesión de VPN de IPSec basada en rutas se configura correctamente, se agrega a la lista de sesiones de VPN de IPSec disponibles. Está en modo de solo lectura.

Qué hacer a continuación

  • Compruebe que el estado del túnel VPN de IPSec sea Activo. Para obtener más información, consulte Supervisar y solucionar problemas de sesiones de VPN.
  • Configure el enrutamiento mediante una ruta estática o BGP. Consulte Configurar una ruta estática o Configurar BGP.
  • Si es necesario, administre la información de la sesión de VPN de IPSec haciendo clic en el menú de tres puntos ( Tres puntos negros alineados verticalmente. Al hacer clic en este icono, se muestra un menú de subcomandos. ) situado en la parte izquierda de la fila de la sesión. Seleccione una de las acciones que puede realizar.