Lorsque vous ajoutez un VPN IPSec basé sur les stratégies, les tunnels IPSec sont utilisés pour connecter plusieurs sous-réseaux locaux qui se trouvent derrière le nœud NSX Edge, tandis que les sous-réseaux homologues sont sur le site VPN distant.

Les étapes suivantes utilisent l'onglet Sessions IPSec sur l'interface utilisateur de NSX Manager pour créer une session IPSec basée sur des stratégies. Vous ajoutez également des informations pour les profils de tunnel, IKE et DPD, puis sélectionnez un point de terminaison local existant à utiliser avec le VPN IPSec basé sur les stratégies.

Note :

Vous pouvez également ajouter les sessions VPN IPSec immédiatement après avoir correctement configuré le service VPN IPSec. Vous cliquez sur Oui lorsque vous êtes invité à poursuivre la configuration du service VPN IPSec et sélectionnez Sessions > Ajouter des sessions dans le panneau Ajouter un service IPsec. Les premières étapes de la procédure suivante supposent que vous avez sélectionné Non en réponse à l'invite vous proposant de poursuivre la configuration du service VPN IPSec. Si vous sélectionnez Oui, passez à l'étape 3 dans les étapes suivantes pour être guidé dans le reste de la configuration de la session VPN IPSec basée sur les stratégies.

Conditions préalables

  • Vous devez avoir configuré un service VPN IPSec avant de continuer. Reportez-vous à la section Ajouter un service VPN IPSec.
  • Obtenez les informations pour le point de terminaison local, l'adresse IP pour le site homologue, le sous-réseau du réseau local et le sous-réseau du réseau distant à utiliser avec la session VPN IPSec basée sur les stratégies que vous ajoutez. Pour créer un point de terminaison local, reportez-vous à la section Ajouter des points de terminaison locaux.
  • Si vous utilisez une clé prépartagée (PSK) pour l'authentification, obtenez la valeur PSK.
  • Si vous utilisez un certificat pour l'authentification, assurez-vous que les certificats de serveur nécessaires et les certificats signés par l'autorité de certification correspondants sont déjà importés. Reportez-vous à la section Certificats.
  • Si vous ne souhaitez pas utiliser les valeurs par défaut pour les profils de tunnel IPSec, IKE ou de détection des homologues inactifs (DPD) fournis par NSX-T Data Center, configurez les profils que vous souhaitez utiliser à la place. Pour plus d'informations, reportez-vous à la section Ajout de profils.

Procédure

  1. Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Accédez à l'onglet Mise en réseau > VPN > Sessions IPSec.
  3. Sélectionnez Ajouter une session IPSec > Basé sur la stratégie.
  4. Entrez un nom pour la session VPN IPSec basée sur les stratégies.
  5. Dans le menu déroulant Service VPN, sélectionnez le service VPN IPSec auquel vous souhaitez ajouter cette nouvelle session IPSec.
    Note : Si vous ajoutez cette session IPSec à partir de la boîte de dialogue Ajouter les sessions IPSec, le nom du service VPN est déjà indiqué au-dessus du bouton Ajouter une session IPSec.
  6. Sélectionnez un point de terminaison local existant dans le menu déroulant.
    Cette valeur de point de terminaison local est requise et identifie le nœud NSX Edge local. Si vous souhaitez créer un point de terminaison local différent, cliquez sur le menu à trois points ( Icône avec trois points noirs alignés verticalement. Cliquer sur cette icône affiche un menu de sous-commandes.) et sélectionnez Ajouter un point de terminaison local.
  7. Dans la zone de texte Adresse IP distante, entrez l'adresse IP requise du site distant.
    Cette valeur est requise.
  8. Entrez une description facultative pour cette session VPN IPSec basée sur les stratégies.
    La longueur maximale est de 1 024 caractères.
  9. Pour activer ou désactiver la session VPN IPSec, cliquez sur Statut administratif.
    Par défaut, la valeur est définie sur Enabled, ce qui signifie que la session VPN IPSec doit être configurée jusqu'au nœud NSX Edge.
  10. (Facultatif) Dans le menu déroulant Suite de conformité, sélectionnez une suite de conformité de sécurité.
    Note : La prise en charge de la suite de conformité est garantie à partir de la version NSX-T Data Center 2.5. Pour plus d'informations, reportez-vous à la section À propos des suites de conformité prises en charge.
    La valeur par défaut sélectionnée est None. Si vous sélectionnez une suite de conformité, le mode d'authentification est défini sur Certificate et dans la section Propriétés avancées, les valeurs de Profil IKE et Profil IPSec sont définies sur les profils définis par le système pour la suite de conformité de sécurité sélectionnée. Il n'est pas possible de modifier ces profils définis par le système.
  11. Si la Suite de conformité est définie sur None, sélectionnez un mode dans le menu déroulant Mode d'authentification.
    Le mode d'authentification par défaut utilisé est PSK, ce qui signifie qu'une clé secrète partagée entre NSX Edge et le site distant doit être utilisée pour la session VPN IPSec. Si vous sélectionnez Certificate, le certificat de site utilisé pour configurer le point de terminaison local est utilisé pour l'authentification.
  12. Dans les zones de texte Réseaux locaux et Réseaux distants, entrez au moins une adresse de sous-réseau IP à utiliser pour cette session VPN IPSec basée sur les stratégies.
    Ces sous-réseaux doivent être au format CIDR.
  13. Si le paramètre Mode d'authentification est défini sur PSK, entrez la valeur de clé dans la zone de texte Clé prépartagée.
    La clé secrète peut être une chaîne d'une longueur maximale de 128 caractères.
    Attention : Soyez prudent lorsque vous partagez et stockez une valeur PSK, car elle contient des informations sensibles.
  14. Pour identifier le site homologue, entrez une valeur dans ID distant .
    Pour les sites homologues qui utilisent l'authentification PSK, cette valeur d'ID doit être l'adresse IP publique ou le nom de domaine complet du site homologue. Pour les sites homologues utilisant l'authentification par certificat, cette valeur d'ID doit être le nom commun (CN) ou le nom unique (DN) figurant dans le certificat du site homologue.
    Note : Si le certificat du site homologue contient une adresse e-mail dans la chaîne DN, par exemple,
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/emailAddress=user1@mycompany.com
    entrez la valeur ID distant en utilisant le format suivant comme exemple.
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, MAILTO=user1@mycompany.com"
    Si le certificat du site local contient une adresse e-mail dans la chaîne DN et que le site homologue utilise l'implémentation IPsec strongSwan, entrez la valeur d'ID du site local dans ce site homologue. Vous en trouverez ci-dessous un exemple.
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, E=user1@mycompany.com"
  15. Pour modifier les profils, le mode d'initialisation, le mode de restriction MSS TCP et les balises utilisées par la session VPN IPSec basée sur les stratégies, cliquez sur Propriétés avancées.
    Par défaut, les profils générés par le système sont utilisés. Sélectionnez un autre profil disponible si vous ne souhaitez pas utiliser la valeur par défaut. Pour utiliser un profil qui n'est pas encore configuré, cliquez sur le menu à trois points ( Trois points noirs alignés verticalement. Cliquer sur cette icône affiche un menu de sous-commandes.) pour créer un autre profil. Reportez-vous à la section Ajout de profils.
    1. Si le menu déroulant Profils IKE est activé, sélectionnez le profil IKE.
    2. Sélectionnez le profil de tunnel IPsec, si le menu déroulant Profils IPSec n'est pas désactivé.
    3. Sélectionnez le profil DPD préféré dans le menu déroulant Profils DPD est activé.
    4. Sélectionnez le mode préféré à partir du menu déroulant Mode d'initialisation de la connexion.
      Le mode d'initialisation de la connexion définit la stratégie utilisée par le point de terminaison local au cours du processus de création du tunnel. La valeur par défaut est Initiateur. Le tableau suivant décrit les différents modes d'initialisation de la connexion disponibles.
      Tableau 1. Modes d'initialisation de la connexion
      Mode d'initialisation de la connexion Description
      Initiator Valeur par défaut. Dans ce mode, le point de terminaison local lance la création du tunnel VPN IPSec et répond aux demandes de configuration de tunnel entrantes provenant de la passerelle homologue.
      On Demand Dans ce mode, le point de terminaison local lance la création du tunnel VPN IPSec après que le premier paquet correspondant à la règle de stratégie est reçu. Il répond également à la demande d'initialisation entrante.
      Respond Only

      Le VPN IPSec ne lance jamais une connexion. Le site homologue initie toujours la demande de connexion et le point de terminaison local répond à celle-ci.

    5. Pour réduire la charge utile de taille maximale de segment (MSS) de la session TCP pendant la connexion IPSec, activez Restriction MSS TCP, sélectionnez la valeur de Direction de MSS TCP et définissez éventuellement la valeur de MSS TCP.
      Pour plus d'informations, reportez-vous à la section Présentation de la restriction MSS TCP.
    6. Si vous souhaitez inclure cette session dans le cadre d'un groupe spécifique, entrez le nom de la balise dans Balises.
  16. Cliquez sur Enregistrer.

Résultats

Lorsque la nouvelle session VPN IPSec basée sur les stratégies est correctement configurée, elle est ajoutée à la liste des sessions VPN IPsec disponibles. Elle est en mode de lecture seule.

Que faire ensuite

  • Vérifiez que l'état du tunnel VPN IPSec est Actif. Pour plus d'informations, reportez-vous à la section Surveiller et dépanner des sessions VPN.
  • Si besoin, gérez les informations relatives à la session IPSec VPN en cliquant sur le menu à trois points ( Trois points alignés à la verticale. Cliquer sur cette icône affiche un menu de sous-commandes.) sur le côté gauche de la ligne de la session. Sélectionnez l'une des actions que vous êtes autorisé à effectuer.