Les passerelles Edge NSX Data Center for vSphere d'un environnement VMware Cloud Director prennent en charge le protocole IPsec (Internet Protocol Security) site-à-site pour sécuriser les tunnels VPN entre des réseaux de centre de données virtuel d'organisation, ou entre un réseau de centre de données virtuel d'organisation et une adresse IP externe. Vous pouvez configurer le service VPN IPsec sur une passerelle Edge.

La configuration d'une connexion VPN IPsec depuis un réseau distant vers votre centre de données virtuel d'organisation est le scénario le plus courant. Le logiciel NSX fournit les capacités de VPN IPsec pour une passerelle Edge, notamment la prise en charge de l'authentification de certificat, le mode de clé prépartagée et le trafic IP monodiffusion entre lui-même et des routeurs VPN distants. Vous pouvez également configurer plusieurs sous-réseaux pour se connecter via des tunnels IPSec au réseau interne situé derrière une passerelle Edge. Lorsque vous configurez plusieurs sous-réseaux pour se connecter via des tunnels IPSec au réseau interne, les plages d'adresses de ces sous-réseaux et du réseau interne situé derrière la passerelle Edge ne doivent pas se chevaucher.

Note : Si les adresses IP des homologues locaux et distants sur un tunnel IPSec se chevauchent, l'acheminement du trafic dans le tunnel peut ne pas être cohérent selon qu'il existe ou non des routes locales connectées et des routes raccordées automatiquement.

Les algorithmes VPN IPSec suivants sont pris en charge :

  • AES (AES128-CBC)
  • AES256 (AES256-CBC)
  • Triple DES (3DES192-CBC)
  • AES-GCM (AES128-GCM)
  • DH-2 (groupe Diffie-Hellman 2)
  • DH-5 (groupe Diffie-Hellman 5)
  • DH-14 (groupe Diffie-Hellman 14)
Note : Les protocoles de routage dynamique ne sont pas pris en charge avec VPN IPSec. Si vous configurez un tunnel VPN IPsec entre une passerelle Edge du centre de données virtuel d'organisation et une passerelle VPN physique sur un site distant, vous ne pouvez pas configurer le routage dynamique pour cette connexion. L'adresse IP du site distant ne peut pas être apprise par routage dynamique sur la liaison montante de passerelle Edge.

Comme décrit dans la section Présentation de VPN IPSec du Guide d'administration de NSX, le nombre maximal de tunnels pris en charge sur une passerelle Edge est déterminé par sa taille configurée : Compacte, Grande, Très grande, Quadruple.

Pour afficher la taille de votre configuration de passerelle Edge, accédez à la passerelle Edge et cliquez sur son nom.

La configuration de VPN IPSec sur une passerelle Edge est un processus à plusieurs étapes.

Note : Si un pare-feu se trouve entre les points de terminaison du tunnel, après avoir configuré le service VPN IPSec, mettez à jour les règles du pare-feu pour autoriser les protocoles IP et les ports UDP suivants :
  • Protocole IP, ID 50 (ESP)
  • Protocole IP, ID 51 (AH)
  • Port 500 UDP (IKE)
  • Port 4500 UDP