Vous devez configurer au moins une adresse IP externe sur NSX Edge pour fournir le service VPN IPSec.

Procédure

  1. Connectez-vous à vSphere Web Client.
  2. Cliquez sur Mise en réseau et sécurité (Networking & Security), puis sur Dispositifs NSX Edge (NSX Edges).
  3. Double-cliquez sur une instance de NSX Edge.
  4. Cliquez sur l'onglet Gérer (Manage), puis sur l'onglet VPN.
  5. Cliquez sur VPN IPSec (IPSec VPN).
  6. Cliquez sur l'icône Ajouter (Add) (icône Ajouter).
  7. Tapez un nom pour le VPN IPSec.
  8. Tapez l'adresse IP de l'instance NSX Edge dans l'ID local (Local Id). Celui-ci correspondra à l'ID de l'homologue sur le site distant.
  9. Tapez l'adresse IP du point de terminaison local.
    Si vous ajoutez une adresse IP au tunnel IP à l'aide d'une clé prépartagée, l'ID local et l'adresse IP du point terminal local peuvent être identiques.
  10. Tapez les sous-réseaux à partager entre les sites au format CIDR. Utilisez une virgule de séparation si vous tapez plusieurs sous-réseaux.
  11. Tapez l'ID de l'homologue pour identifier de manière unique le site homologue. Pour les homologues utilisant l'authentification de certificat, cet ID doit correspondre au nom commun du certificat de l'homologue. Pour les homologues PSK, cet ID peut être une chaîne. VMware vous recommande d'utiliser l'adresse IP publique du VPN ou un nom de domaine complet pour le service VPN comme ID homologue
  12. Tapez l'adresse IP du site homologue dans Peer Endpoint. Si vous ne définissez pas d'adresse, NSX Edge attend que le périphérique homologue demande une connexion.
  13. Tapez l'adresse IP interne du sous-réseau homologue au format CIDR. Utilisez une virgule de séparation si vous tapez plusieurs sous-réseaux.
  14. Sélectionnez l'algorithme de chiffrement.
  15. Dans Méthode d'authentification, sélectionnez l'une des options suivantes :
    Option Description
    PSK (Pre Shared Key) Indique que la clé secrète partagée entre NSX Edge et le site homologue doit être utilisée pour l'authentification. La clé secrète peut être une chaîne d'une longueur maximale de 128 octets.
    Certificat Indique que le certificat défini au niveau global doit être utilisé pour l'authentification.
  16. Tapez la clé partagée si des sites anonymes doivent se connecter au service VPN.
  17. Cliquez sur Afficher la clé partagée (Display Shared Key) pour afficher la clé sur le site homologue.
  18. Dans le Groupe Diffie-Hellman (DH), sélectionnez le schéma de chiffrement qui permet au site homologue et au dispositif NSX Edge d'établir un secret partagé sur un canal de communications non protégé.
  19. Modifiez le seuil de MTU, si nécessaire.
  20. Indiquez si vous voulez activer ou désactiver le seuil Confidentialité de transmission parfaite (PFS). Dans les négociations IPsec, Confidentialité de transmission parfaite (PFS) vérifie que chaque nouvelle clé de chiffrement n'est pas associée à une clé précédente.
  21. Cliquez sur OK.
    NSX Edge crée un tunnel du sous-réseau local au sous-réseau homologue.

Que faire ensuite

Activez le service VPN IPSec.