NSX Edge admite IPsec VPN de sitio a sitio entre una instancia de NSX Edge y sitios remotos. Se admiten la autenticación de certificados, el modo de clave precompartida, el tráfico de unidifusión de direcciones IP y el protocolo sin enrutamiento dinámico entre la instancia de NSX Edge y los enrutadores de VPN remotos.

Detrás de cada enrutador de VPN, es posible configurar varias subredes que se conecten a la red interna detrás de una instancia de NSX Edge mediante túneles IPsec.

Nota:

Las subredes y la red interna detrás de una instancia de NSX Edge deben tener un rango de direcciones que no se superponga.

Si el equipo remoto y el equipo local que están al mismo nivel a través de una IPSec VPN tienen direcciones IP superpuestas, es posible que el tráfico reenviado en el túnel no sea consistente, dependiendo de si existen rutas conectadas locales y rutas asociadas automáticamente.

Puede implementar un agente NSX Edge detrás de un dispositivo NAT. En esta implementación, el dispositivo NAT traduce la dirección de la VPN de una instancia de NSX Edge a una dirección de acceso público a la que puede accederse desde Internet. Los enrutadores de VPN remotos utilizan esta dirección pública para acceder a la instancia de NSX Edge.

También es posible colocar enrutadores de VPN remotos detrás de un dispositivo NAT. Se deben proporcionar la dirección nativa y el identificador de la puerta de enlace de la VPN para configurar el túnel. En ambos extremos, se requiere una NAT estática individual para la dirección de la VPN.

La cantidad de túneles necesarios está definida por la cantidad de subredes locales multiplicada por la cantidad de subredes del mismo nivel. Por ejemplo, si hay 10 subredes locales y 10 subredes del mismo nivel, se necesitan 100 túneles. La cantidad máxima de túneles admitida se determina según el tamaño del ESG, como se muestra a continuación.

Tabla 1. Cantidad de túneles IPsec por ESG

ESG

Cantidad de túneles IPsec

Compacto

512

Grande

1.600

Cuádruple

4096

Extra grande

6.000

Se admiten los siguientes algoritmos de IPsec VPN:

  • AES (AES128-CBC)

  • AES256 (AES256-CBC)

  • Triple DES (3DES192-CBC)

  • AES-GCM (AES128-GCM)

  • DH-2 (Diffie–Hellman group 2)

  • DH-5 (Diffie–Hellman group 5)

Para acceder a ejemplos de configuración de IPsec VPN, consulte Ejemplos de configuración de la VPN de NSX Edge.

Para solucionar problemas relacionados con la IPSec VPN, consulte https://kb.vmware.com/kb/2123580.