Suivez les étapes de cette rubrique pour activer un VPN IPSec sur l'instance de NSX Edge.

Conditions préalables

Pour activer l'authentification des certificats, vous devez importer les certificats du serveur et les certificats signés par une autorité de certification correspondants. Si vous le souhaitez, vous pouvez utiliser un outil de ligne de commande open source tel qu'OpenSSL pour générer des certificats signés par une autorité de certification.

Vous ne pouvez pas utiliser de certificats autosignés pour le VPN IPSec. Ces certificats peuvent être utilisés uniquement pour l'équilibrage de charge et le VPN SSL.

Procédure

  1. Connectez-vous à vSphere Web Client.
  2. Cliquez sur Mise en réseau et sécurité (Networking & Security) > Dispositifs NSX Edge (NSX Edges).
  3. Double-cliquez sur une instance de NSX Edge.
  4. Cliquez sur Gérer > VPN > VPN IPSec.
  5. En regard de Configuration globale, cliquez sur Modifier ou sur Changer (Change).
  6. Entrez une clé prépartagée globale pour les sites dont le point de terminaison homologue est défini sur « quelconque ».
    Pour afficher la clé prépartagée, cliquez sur l'icône Afficher la clé pré-partagée ( Icône Afficher.) ou cochez la case Afficher la clé partagée (Display shared key).
  7. Configurez les extensions globales.
    Le tableau suivant décrit les extensions globales.
    Extension Description
    add_spd

    Les valeurs autorisées sont on et off. La valeur par défaut est on, même lorsque vous ne configurez pas cette extension.

    Lorsque add_spd=off :
    • Des stratégies de sécurité sont installées uniquement lorsque le tunnel est actif.
    • Si le tunnel est actif, les paquets sont envoyés chiffrés via le tunnel.
    • Si le tunnel est arrêté, les paquets sont envoyés non chiffrés, si un itinéraire est disponible.
    Lorsque add_spd=on :
    • Des stratégies de sécurité sont installées que le tunnel soit établi ou non.
    • Si le tunnel est actif, les paquets sont envoyés chiffrés via le tunnel.
    • Si le tunnel est arrêté, les paquets sont abandonnés.
    ike_fragment_size Si l'unité de transmission maximale (MTU) est petite, vous pouvez définir la taille de fragment IKE à l'aide de cette extension afin d'éviter les problèmes dans la négociation IKE. Par exemple, ike_fragment_size=900
    ignore_df
    Les valeurs autorisées sont on et off. La valeur par défaut est off.
    • Lorsque ignore_df=off, NSX Edge copie la valeur du bit « DF (ne pas fragmenter) » du paquet de texte clair dans le paquet chiffré. Cela signifie que si le bit DF est défini sur le paquet de texte clair, après le chiffrement, le bit DF est également défini sur le paquet.
    • Lorsque ignore_df=on, NSX Edge ignore la valeur du bit DF dans le paquet de texte clair, et le bit DF est toujours défini sur 0 dans le paquet chiffré.

    • Définissez cet indicateur sur on lorsque le bit DF est défini dans le paquet de texte clair et que la taille du paquet après le chiffrement dépasse la valeur de MTU du paquet TCP. Si le bit DF est défini, le paquet est abandonné et, si le bit est désactivé, le paquet est fragmenté.

  8. Activez l'authentification de certificat, puis sélectionnez le certificat de service, le certificat d'autorité de certification et la liste de révocation des certificats (CRL) appropriés.
  9. Cliquez sur Enregistrer ou sur OK, puis cliquez sur Publier les modifications (Publish Changes).