VMware Cloud Director prend en charge les VPN IPSec basés sur les stratégies et les routes de site à site entre une instance de passerelle Edge NSX et un site distant.

IPSec VPN offre une connectivité de site à site entre une passerelle Edge et des sites distants qui utilisent également NSX, ou qui ont des routeurs matériels tiers ou des passerelles VPN prenant en charge IPSec.

Le VPN IPSec basé sur la stratégie requiert qu'une stratégie VPN soit appliquée aux paquets pour déterminer le trafic à protéger par IPSec avant de passer par un tunnel VPN. Ce type de VPN est considéré comme statique, car en cas de modification d'une topologie réseau et d'une configuration locales, les paramètres de stratégie VPN doivent également être mis à jour pour tenir compte des modifications.

Les passerelles Edge NSX prennent en charge la configuration de tunnel fractionné, le trafic IPSec ayant une priorité de routage.

VMware Cloud Director prend en charge la redistribution des routes automatique lorsque vous utilisez un VPN IPSec sur une passerelle Edge NSX.

À partir de la version 10.6, vous pouvez configurer un VPN IPSec basé sur une route de site à site. Pour le VPN IPSec basé sur les routes pour les passerelles Edge NSX, VMware Cloud Director prend uniquement en charge les routes statiques. Le VPN IPSec basé sur les routes utilise des protocoles de routage standard et offre une meilleure évolutivité. Il convient mieux aux réseaux plus grands et plus complexes.

Configurer le VPN IPSec NSX dans le VMware Cloud Director Service Provider Admin Portal

Vous pouvez configurer la connectivité de site à site entre une passerelle Edge NSX et des sites distants. Les sites distants doivent utiliser NSX, disposer de routeurs matériels tiers ou de passerelles VPN prenant en charge IPSec.

VMware Cloud Director prend en charge la redistribution des routes automatique lorsque vous configurez un VPN IPSec sur une passerelle Edge NSX.

Conditions préalables

  • Si vous souhaitez configurer un tunnel VPN IPSec basé sur le routage NSX, configurez le routage statique. Reportez-vous à la section Configurer le routage statique sur une passerelle Edge NSX dans le VMware Cloud Director Service Provider Admin Portal.
  • Si vous prévoyez d'utiliser l'authentification par certificat pour sécuriser la communication VPN IPSec, vérifiez que votre administrateur système a téléchargé le certificat de serveur pour la passerelle Edge NSX locale et un certificat d'autorité de certification pour votre organisation dans la bibliothèque de certificats VMware Cloud Director.
  • Si vous souhaitez limiter le nombre de profils de sécurité disponibles pour vos locataires, vous pouvez utiliser la sous-commande manage-config de l'outil de gestion des cellules (CMT) de VMware Cloud Director. Par exemple, si vous souhaitez limiter la liste à FIPS et à Foundation, exécutez la commande CMT suivante. 
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n networking.gatewayIpSecVpnTunnelSecurityTypeDisallowList -v PROVIDER_PREFERRED,FIPS,FOUNDATION

Procédure

  1. Dans le panneau de navigation de gauche principal, sélectionnez Ressources et, dans la barre de navigation supérieure de la page, sélectionnez Ressources de cloud.
  2. Dans le panneau secondaire de gauche, sélectionnez Passerelles Edge, puis cliquez sur le nom de la passerelle Edge cible.
  3. Sous Services, cliquez sur VPN IPSec, puis sur Nouveau.
  4. Entrez un nom et, éventuellement, une description pour le tunnel VPN IPSec.
  5. Sélectionnez le type de tunnel VPN IPSec.
    À partir de la version 10.6, VMware Cloud Director prend en charge le VPN IPSec basé sur le routage pour les routes statiques.
  6. Sélectionnez un profil de sécurité pour sécuriser les données transmises.
  7. Pour activer le tunnel lors de la création, activez l'option État.
  8. Pour activer la journalisation, activez l'option Journalisation.
  9. Cliquez sur Suivant.
  10. Sélectionnez un mode d'authentification homologue.
    Option Description
    Clé prépartagée Choisissez une clé prépartagée à entrer. La clé pré-partagée doit être la même à l'autre extrémité du tunnel VPN IPSec.
    Certificat Sélectionnez le site et les certificats d'autorité de certification à utiliser pour l'authentification.
  11. Dans le menu déroulant, sélectionnez l'une des adresses IP disponibles pour la passerelle Edge pour le point de terminaison local.
    L'adresse IP doit être l'adresse IP principale de la passerelle Edge ou une adresse IP qui est allouée séparément à la passerelle Edge.
  12. Si vous configurez un VPN IPSec basé sur la stratégie, entrez au moins une adresse de sous-réseau IP local dans la notation CIDR à utiliser pour le tunnel VPN IPSec.
  13. Entrez l'adresse IP du point de terminaison distant.
  14. Si vous configurez un VPN IPSec basé sur la stratégie, entrez au moins une adresse de sous-réseau IP distant dans la notation CIDR à utiliser pour le tunnel VPN IPSec.
  15. Entrez l'ID distant du site homologue.
    L'ID distant doit correspondre au SAN (Subject Alternative Name) du certificat de point de terminaison distant, s'il est disponible. Si le certificat distant ne contient pas de SAN, l'ID distant doit correspondre au nom unique du certificat utilisé pour sécuriser le point de terminaison distant, par exemple, C=US, ST=Massachusetts, O=VMware,OU=VCD, CN=Edge1.
  16. Si vous configurez un VPN IPSec basé sur le routage, pour l'interface de tunnel virtuel (VTI), entrez un CIDR IPv4 valide, un CIDR IPv6, ou un de chaque, en les séparant par une virgule.

    L'interface de tunnel virtuel (VTI) représente le point de terminaison d'un tunnel IPSec sur un périphérique réseau.

  17. Cliquez sur Suivant.
  18. Passez en revue vos paramètres et cliquez sur Terminer.

Résultats

Le tunnel VPN IPSec créé est répertorié dans la vue VPN IPSec.

Que faire ensuite

  • Pour vérifier que le tunnel fonctionne, sélectionnez-le et cliquez sur Afficher les statistiques.

    Si le tunnel fonctionne, les champs État du tunnel et État du service IKE affichent tous les deux Accessible.

  • Configurez le point de terminaison distant du tunnel VPN IPSec.
  • Vous pouvez modifier les paramètres du tunnel VPN IPSec et personnaliser son profil de sécurité, si nécessaire.

Personnaliser le profil de sécurité d'un tunnel VPN IPSec dans le VMware Cloud Director Service Provider Admin Portal

Si vous décidez de ne pas utiliser le profil de sécurité généré par le système qui a été attribué à votre tunnel VPN IPSec lors de la création, vous pouvez le personnaliser.

Procédure

  1. Dans le panneau de navigation de gauche principal, sélectionnez Ressources et, dans la barre de navigation supérieure de la page, sélectionnez Ressources de cloud.
  2. Dans le panneau secondaire de gauche, sélectionnez Passerelles Edge, puis cliquez sur le nom de la passerelle Edge cible.
  3. Sous Services, cliquez sur VPN IPSec.
  4. Sélectionnez le tunnel VPN IPSec, puis cliquez sur Personnalisation du profil de sécurité.
  5. Configurez les profils IKE.
    Les profils IKE (Internet Key Exchange) fournissent des informations sur les algorithmes utilisés pour authentifier, chiffrer et établir un secret partagé entre les sites réseau lorsque vous établissez un tunnel IKE.
    1. Sélectionnez une version de protocole IKE pour configurer une association de sécurité (SA) dans la suite de protocoles IPSec.
      Option Description
      IKEv1 Lorsque vous sélectionnez cette option, le VPN IPSec initie et répond au protocole IKEv1 uniquement.
      IKEv2 Option par défaut. Lorsque vous sélectionnez cette version, le VPN IPSec initie et répond au protocole IKEv2 uniquement.
      IKE-Flex Lorsque vous sélectionnez cette option, si l'établissement de tunnel échoue avec le protocole IKEv2, le site source ne revient pas et établit une connexion avec le protocole IKEv1. Au lieu de cela, si le site distant initie une connexion avec le protocole IKEv1, la connexion est acceptée.
    2. Sélectionnez un algorithme de chiffrement pris en charge à utiliser lors de la négociation IKE (Internet Key Exchange).
    3. Dans le menu déroulant Synthèse, sélectionnez un algorithme de hachage sécurisé à utiliser lors de la négociation IKE.
    4. Dans le menu déroulant Groupe Diffie-Hellman, sélectionnez l'un des schémas de chiffrement permettant au site homologue et à la passerelle Edge d'établir un secret partagé sur un canal de communication non sécurisé.
    5. (Facultatif) Dans la zone de texte Durée de vie de l'association, modifiez le nombre de secondes par défaut avant que le tunnel IPSec doive être rétabli.
  6. Configurez le tunnel VPN IPSec.
    1. Pour activer PFS (Perfect Forward Secrecy), activez l'option.
    2. Sélectionnez une stratégie de défragmentation.
      La stratégie de défragmentation permet de gérer les bits de défragmentation présents dans le paquet interne.
      Option Description
      Copier Copie le bit de défragmentation du paquet IP interne vers le paquet externe.
      Effacer Ignore le bit de défragmentation présent dans le paquet interne.
    3. Sélectionnez un algorithme de chiffrement pris en charge à utiliser lors de la négociation IKE (Internet Key Exchange).
    4. Dans le menu déroulant Synthèse, sélectionnez un algorithme de hachage sécurisé à utiliser lors de la négociation IKE.
    5. Dans le menu déroulant Groupe Diffie-Hellman, sélectionnez l'un des schémas de chiffrement permettant au site homologue et à la passerelle Edge d'établir un secret partagé sur un canal de communication non sécurisé.
    6. (Facultatif) Dans la zone de texte Durée de vie de l'association, modifiez le nombre de secondes par défaut avant que le tunnel IPSec doive être rétabli.
  7. (Facultatif) Dans la zone de texte Intervalle de sonde , modifiez le nombre de secondes par défaut pour la détection de pairs inactives.
  8. Cliquez sur Enregistrer.

Résultats

Dans la vue VPN IPSec, le profil de sécurité du tunnel VPN IPSec s'affiche comme étant Défini par l'utilisateur.