NSX admite un servicio VPN de IPSec de sitio a sitio entre una puerta de enlace de nivel 0 y sitios remotos. Puede crear un servicio VPN de IPSec basado en rutas o en directivas. Debe crear el servicio VPN de IPSec antes de poder configurar una sesión de VPN de IPSec basada en rutas o en directivas.

Nota: IPsec VPN no se admite en la versión Limited Export de NSX.

No se admite VPN de IPSec cuando la dirección IP del endpoint local pasa por NAT en el mismo enrutador lógico en el que está configurada la sesión VPN de IPSec.

Requisitos previos

  • Familiarícese con IPsec VPN. Consulte Información de VPN de IPSec.
  • Al menos una puerta de enlace de nivel 0 o nivel 1 debe estar configurada y lista para usarse. Consulte Agregar una puerta de enlace de nivel 0 de NSX o Agregar una puerta de enlace de nivel 1 de NSX para obtener más información.
  • Al configurar NSX con NAT e IPSec, es importante seguir la secuencia correcta de pasos para garantizar una funcionalidad adecuada. Específicamente, configure NAT antes de configurar la conexión VPN. Si configura accidentalmente la VPN antes de NAT (por ejemplo, agregando una regla NAT después de configurar la sesión de VPN), el estado del túnel VPN permanecerá inactivo. Debe volver a habilitar o reiniciar la configuración de VPN para restablecer el túnel VPN. Para evitar este problema, configure siempre NAT antes de configurar la conexión VPN en NSX o ejecute la solución alternativa para resolver el problema.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Desplácese a Redes > VPN > Servicios de VPN.
  3. Seleccione Agregar servicio > IPSec.
  4. Escriba un nombre para el servicio de IPSec.
    Este nombre es obligatorio.
  5. En el menú desplegable Puerta de enlace de nivel 0/nivel 1, seleccione la puerta de enlace de nivel 0 o 1 que se va a asociar con este servicio VPN de IPSec.
  6. Habilite o deshabilite Estado de administración.
    De forma predeterminada, se establece el valor Enabled, lo que significa que el servicio VPN de IPSec está habilitado en la puerta de enlace de nivel 0 o 1 después de configurar el nuevo servicio VPN de IPSec.
  7. Establezca el valor de Nivel de registro de IKE.
    El valor predeterminado se define en el nivel Info.
  8. Si desea incluir este servicio en un grupo de etiquetas, introduzca un valor para Etiquetas.
  9. Para habilitar o deshabilitar la sincronización con estado de las sesiones de VPN, active o desactive Sincronización de sesión.
    De forma predeterminada, el valor se establece en Enabled.
  10. Haga clic en Reglas de omisión globales si desea permitir que los paquetes de datos se intercambien entre las direcciones IP locales y remotas especificadas sin protección de IPSec. En los cuadros de texto Redes locales y Redes remotas, introduzca la lista de subredes locales y remotas entre las que se aplican las reglas de omisión.
    Si habilita estas reglas, los paquetes de datos se intercambian entre los sitios de IP remotos y locales especificados, aunque sus direcciones IP están especificadas en las reglas de sesión de IPSec. De manera predeterminada, se usa la protección de IPSec cuando los datos se intercambian entre los sitios locales y remotos. Estas reglas corresponden a todas las sesiones de VPN de IPSec creadas dentro de este servicio VPN de IPSec.
  11. Haga clic en Reglas de omisión globales si desea permitir que los paquetes de datos se intercambien entre las direcciones IP locales y remotas especificadas sin protección de IPSec. En los cuadros de texto Redes locales y Redes remotas, introduzca la lista de subredes locales y remotas entre las que se aplican las reglas de omisión.
    Si habilita estas reglas, los paquetes de datos se intercambian entre los sitios de IP remotos y locales especificados, aunque sus direcciones IP están especificadas en las reglas de sesión de IPSec. De manera predeterminada, se usa la protección de IPSec cuando los datos se intercambian entre los sitios locales y remotos. Estas reglas corresponden a todas las sesiones de VPN de IPSec creadas dentro de este servicio VPN de IPSec.
  12. Haga clic en Guardar.
    Una vez que cree correctamente el nuevo servicio VPN de IPSec, se le preguntará si desea continuar con el resto de la configuración de VPN de IPSec. Si hace clic en , volverá al panel Agregar servicio VPN de IPSec. El vínculo Sesiones se habilitará y podrá hacer clic en él para agregar una sesión de VPN de IPSec.

Resultados

Después de agregar una o varias sesiones de VPN de IPSec, el número de sesiones de cada servicio de VPN aparecerá en la pestaña Servicios VPN. Para volver a configurar o agregar sesiones, haga clic en el número en la columna Sesiones. No es necesario que edite el servicio. Si el número es cero, no podrá hacer clic en él y deberá editar el servicio para agregar sesiones.

Qué hacer a continuación

Utilice la información en Agregar sesiones de VPN de IPSec como guía para agregar una sesión de VPN de IPSec. También debe proporcionar información para los perfiles y el endpoint local que se necesitan para finalizar la configuración de VPN de IPSec.