En un entorno de NSX de varios tenants, un administrador de proyectos puede configurar el servicio VPN de capa 2 y VPN de IPSec en las puertas de enlace de nivel 1 de un proyecto.
Para configurar una VPN en la puerta de enlace de nivel 1 de un proyecto, se debe asignar un clúster de Edge al proyecto.
- En cada puerta de enlace de nivel 1 de un proyecto, solo puede configurar un servicio de IPSec y un servicio VPN de capa 2.
- Para configurar una VPN de IPSec basada en rutas, se admiten rutas estáticas. El enrutamiento dinámico con interfaz de túnel virtual (VTI) que utiliza BGP no se admite en la puerta de enlace de nivel 1 de un proyecto.
- El flujo de trabajo para configurar la VPN de IPSec y el servicio de VPN de capa 2 en un proyecto es el mismo que para configurar estos servicios en el espacio predeterminado. Para obtener más información, consulte Agregar servicios de VPN de NSX.
- Tanto la autenticación de clave compartida previamente como la autenticación basada en certificados son compatibles para configurar sesiones de VPN de IPSec.
- Un administrador empresarial puede compartir certificados de servicio y listas de revocación de certificados (CRL) con los proyectos, si es necesario. El administrador del proyecto puede utilizar los certificados compartidos para autenticar endpoints de IPSec cuando se configura la autenticación basada en certificados para las sesiones de VPN de IPSec.
- Como alternativa, un administrador de proyecto puede crear, actualizar o administrar los certificados de servicio y las CRL en la vista de proyecto y utilizarlos para configurar sesiones de VPN de IPSec en el proyecto.
- Los perfiles de VPN creados por el sistema se comparten de forma predeterminada con todos los proyectos del sistema. Un administrador de proyecto puede utilizar los siguientes perfiles de VPN predeterminados o crear nuevos perfiles para configurar los servicios de VPN en el proyecto.
- Perfil de IKE
- Perfil de túnel de IPSec
- Perfil de DPD
- Perfil de túnel de VPN de capa 2
- Perfiles relacionados con el paquete de conformidad
Para obtener información sobre cómo agregar perfiles de IKE, IPSec y DPD, consulte Agregar perfiles. Si un administrador empresarial crea perfiles de VPN en el espacio predeterminado, se pueden compartir con proyectos específicos si fuera necesario. Los perfiles compartidos se pueden consumir en modo de solo lectura en los proyectos.
- Un administrador empresarial puede restringir el número de objetos relacionados con la VPN que se pueden crear en un proyecto mediante la definición de cuotas para varios tipos de objetos. Por ejemplo, se pueden definir cuotas en estos objetos de VPN:
- Sesiones de VPN de IPSec
- Sesiones de VPN de capa 2
- Endpoints locales
- Servicios de VPN de IPSec
- Servicios de VPN de capa 2
- Perfiles de VPN
Esta lista no es exhaustiva. Para obtener la lista completa de objetos, vaya a Cuotas en la interfaz de usuario de NSX Manager.
- En la vista de proyecto, se admite la supervisión del estado de los servicios de VPN, las sesiones de VPN y otras estadísticas de VPN.
- Se admite la configuración de túneles VPN de capa 2 y VPN de IPSec entre puertas de enlace de nivel 1 de dos proyectos diferentes en la misma implementación de NSX.
- Se admite la configuración de túneles VPN de capa 2 y VPN de IPSec entre puertas de enlace de nivel 1 del mismo proyecto.
- Los endpoints locales de IPSec se realizan como direcciones IP de bucle invertido en la puerta de enlace de nivel 1 del proyecto. La IP del endpoint local debe ser única en el centro de datos. Las direcciones IP de endpoint se anuncian a la puerta de enlace de nivel 0 que está asociada con el proyecto y, después, se insertan en las redes ascendentes a través de BGP.
- Para permitir paquetes de IPSec (puerto UDP 500 y 4500 de IKE, ESP) en la puerta de enlace de nivel 1, el administrador empresarial deberá definir reglas de firewall en la puerta de enlace de nivel 0 asociada con el proyecto. El sistema no crea automáticamente las reglas de firewall en la puerta de enlace de nivel 0. Sin embargo, las reglas de firewall en la puerta de enlace de nivel 1 del proyecto se crean automáticamente para permitir el tráfico de IKE y ESP entre los endpoints en la sesión de VPN de IPSec.