Vous souhaitez configurer un tunnel IPSec basé sur le routage entre un dispositif NSX Edge sur le site local et une passerelle VPN distante sur le site homologue.
Contrairement à la configuration d'un tunnel IPSec basé sur les stratégies, où vous configurez des sous-réseaux locaux et distants, dans une configuration de tunnel IPSec basé sur l'itinéraire, vous ne définissez pas les sous-réseaux locaux et homologues qui souhaitent communiquer entre eux. Dans une configuration de tunnel IPSec basé sur le routage, vous devez définir une VTI avec une adresse IP privée sur le site local et le site homologue. Le trafic des sous-réseaux locaux est acheminé, via la VTI, vers les sous-réseaux homologues. Utilisez un protocole de routage dynamique, tel que BGP, pour acheminer le trafic via le tunnel IPSec. Le protocole de routage dynamique décide du trafic (en fonction du sous-réseau dont il provient) est acheminé via le tunnel IPSec vers le sous-réseau homologue.
- Configurez les paramètres de VPN IPSec sur le dispositif NSX Edge local. Dans NSX Data Center 6.4.2 et versions ultérieures, vous pouvez uniquement configurer les paramètres de VPN IPSec basés sur l'itinéraire à l'aide de REST API. Pour plus d'informations, consultez le Guide des API de NSX.
- Adresse IP du point de terminaison local et ID local pour identifier la passerelle du dispositif NSX Edge local.
- Adresse IP du point de terminaison homologue et ID homologue pour identifier la passerelle VPN homologue.
- Version IKE pour configurer une association de sécurité entre les deux sites.
- Algorithme Digest.
- Algorithme de chiffrement.
- Mécanisme d'authentification (clé prépartagée ou certificat).
- Schéma de chiffrement à clé publique du groupe Diffie-Hellman (DH).
- Activation ou désactivation de la fonction PFS (Perfect Forward Secrecy).
- Activation ou désactivation du mode Répondeur uniquement.
- Interface de tunnel virtuel (VTI) sur le dispositif NSX Edge. Fournissez une adresse IP privée statique pour la VTI.
Note : La VTI que vous configurez est une VTI statique. Par conséquent, elle ne peut pas avoir plusieurs adresses IP. La meilleure pratique consiste à garantir que l'adresse IP de la VTI, aussi bien sur le site local et que le site homologue, se trouve sur le même sous-réseau. - Utilisez l'API de téléchargement de la configuration IPSec pour récupérer la configuration de l'homologue à titre de référence et configurer la passerelle VPN homologue.
- Configurez l'homologation BGP entre les VTI sur les deux sites. L'homologation garantit que le protocole BGP sur le site local annonce les sous-réseaux locaux à la passerelle VPN homologue. De même, le protocole BGP sur le site homologue annonce les sous-réseaux distants à la passerelle VPN locale. Pour plus de détails sur la configuration du protocole BGP, consultez la section Routage du Guide d'administration de NSX.
Important : Dans NSX 6.4.2 et versions ultérieures, le routage statique et le routage dynamique OSPF via un tunnel IPSec ne sont pas pris en charge.
- Si vous souhaitez configurer la redondance de tunnel sur plusieurs tunnels, configurez les valeurs Durée de retenue (Hold Down) et Durée de survie (Keep Alive) des temporisateurs du protocole BGP. Les valeurs de temporisateur vous aident à détecter toute perte de connectivité avec la passerelle VPN distante dans le délai de basculement requis.
Pour obtenir un exemple détaillé de la configuration d'un tunnel IPSec basé sur le routage entre un dispositif NSX Edge local et une passerelle VPN distante Cisco CSR 1000V, consultez la section Utilisation d'un dispositif Cisco CSR 1000V.