Lorsque vous ajoutez un VPN IPSec basé sur une route, la tunnellisation est fournie sur le trafic qui est basé sur les routes qui ont été apprises dynamiquement via une interface de tunnel virtuel (VTI) à l'aide d'un protocole préféré, tel que BGP. IPSec sécurise tout le trafic circulant à travers l'interface de tunnel virtuel (VTI).

Les étapes décrites dans cette rubrique utilisent l'onglet Sessions IPSec pour créer une session IPSec basée sur une route. Vous ajoutez également des informations pour le tunnel, IKE et les profils DPD, et sélectionnez un point de terminaison local existant à utiliser avec le VPN IPSec basé sur une route.

Note :

Vous pouvez également ajouter les sessions VPN IPSec immédiatement après avoir correctement configuré le service VPN IPSec. Vous cliquez sur Oui lorsque vous êtes invité à poursuivre la configuration du service VPN IPSec et sélectionnez Sessions > Ajouter des sessions dans le panneau Ajouter un service IPsec. Les premières étapes de la procédure suivante supposent que vous avez sélectionné Non en réponse à l'invite vous proposant de poursuivre la configuration du service VPN IPSec. Si vous avez sélectionné Oui, passez à l'étape 3 dans les étapes suivantes, qui vous guideront dans la suite de la configuration de la session VPN IPSec basée sur une route.

Conditions préalables

  • Vous devez avoir configuré un service VPN IPSec avant de continuer. Reportez-vous à la section Ajouter un service VPN IPSec.
  • Obtenez les informations pour le point de terminaison local, l'adresse IP pour le site homologue et l'adresse de sous-réseau IP du service de tunnel à utiliser avec la session IPSec basée sur une route que vous ajoutez. Pour créer un point de terminaison local, reportez-vous à la section Ajouter des points de terminaison locaux.
  • Si vous utilisez une clé prépartagée (PSK) pour l'authentification, obtenez la valeur PSK.
  • Si vous utilisez un certificat pour l'authentification, assurez-vous que les certificats de serveur nécessaires et les certificats signés par l'autorité de certification correspondants sont déjà importés. Reportez-vous à la section Certificats.
  • Si vous ne souhaitez pas utiliser les valeurs par défaut pour le tunnel IPSec, IKE ou les profils DPD (Dead Peer Detection) fournis par NSX-T Data Center, configurez les profils que vous souhaitez utiliser à la place. Pour plus d'informations, reportez-vous à la section Ajout de profils.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Accédez à Mise en réseau > VPN > Sessions IPSec.
  3. Sélectionnez Ajouter une session IPSec > Basé sur la route.
  4. Entrez le nom de la session IPSec basée sur une route.
  5. Dans le menu déroulant Service VPN, sélectionnez le service VPN IPSec auquel vous souhaitez ajouter cette nouvelle session IPSec.
    Note : Si vous ajoutez cette session IPSec à partir de la boîte de dialogue Ajouter les sessions IPSec, le nom du service VPN est déjà indiqué au-dessus du bouton Ajouter une session IPSec.
  6. Sélectionnez un point de terminaison local existant dans le menu déroulant.
    Cette valeur de point de terminaison local est requise et identifie le nœud NSX Edge local. Si vous souhaitez créer un point de terminaison local différent, cliquez sur le menu à trois points ( Trois points noirs alignés verticalement. Cliquer sur cette icône affiche un menu de sous-commandes.) et sélectionnez Ajouter un point de terminaison local.
  7. Dans la zone de texte Adresse IP distante, entrez l'adresse IP du site distant.
    Cette valeur est requise.
  8. Entrez une description facultative pour cette session VPN IPSec basé sur une route.
    La longueur maximale est de 1 024 caractères.
  9. Pour activer ou désactiver la session IPSec, cliquez sur Statut administratif.
    Par défaut, la valeur est définie sur Enabled, ce qui signifie que la session IPSec doit être configurée jusqu'au nœud NSX Edge.
  10. (Facultatif) Dans le menu déroulant Suite de conformité, sélectionnez une suite de conformité de sécurité.
    Note : La prise en charge de la suite de conformité est garantie à partir de la version NSX-T Data Center 2.5. Pour plus d'informations, reportez-vous à la section À propos des suites de conformité prises en charge.
    La valeur par défaut est définie sur None. Si vous sélectionnez une suite de conformité, le mode d'authentification est défini sur Certificate et dans la section Propriétés avancées, les valeurs de Profil IKE et Profil IPSec sont définies sur les profils définis par le système pour la suite de conformité sélectionnée. Il n'est pas possible de modifier ces profils définis par le système.
  11. Entrez une adresse de sous-réseau IP dans Interface de tunnel selon la notation CIDR.
    Cette adresse est requise.
  12. Si la Suite de conformité est définie sur None, sélectionnez un mode dans le menu déroulant Mode d'authentification.
    Le mode d'authentification par défaut utilisé est PSK, ce qui signifie qu'une clé secrète partagée entre NSX Edge et le site distant doit être utilisée pour la session VPN IPSec. Si vous sélectionnez Certificate, le certificat de site utilisé pour configurer le point de terminaison local est utilisé pour l'authentification.

    Pour plus d'informations sur l'authentification par certificat, reportez-vous à la section Utilisation de l'authentification basée sur un certificat pour des sessions VPN IPSec.

  13. Si vous avez sélectionné PSK pour le mode d'authentification, entrez la valeur de la clé dans la zone de texte Clé prépartagée.
    La clé secrète peut être une chaîne d'une longueur maximale de 128 caractères.
    Attention : Soyez prudent lorsque vous partagez et stockez une valeur PSK, car elle contient des informations sensibles.
  14. Entrez une valeur dans ID distant.
    Pour les sites homologues qui utilisent l'authentification PSK, cette valeur d'ID doit être l'adresse IP publique ou le nom de domaine complet du site homologue. Pour les sites homologues utilisant l'authentification par certificat, cette valeur d'ID doit être le nom commun (CN) ou le nom unique (DN) figurant dans le certificat du site homologue.
    Note : Si le certificat du site homologue contient une adresse e-mail dans la chaîne DN, par exemple, 
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/emailAddress=user1@mycompany.com
    entrez la valeur ID distant en utilisant le format suivant comme exemple. 
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, MAILTO=user1@mycompany.com"
    Si le certificat du site local contient une adresse e-mail dans la chaîne DN et que le site homologue utilise l'implémentation IPsec strongSwan, entrez la valeur d'ID du site local dans ce site homologue. Vous en trouverez ci-dessous un exemple. 
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, E=user1@mycompany.com"
  15. Si vous souhaitez inclure cette session IPSec dans le cadre de la balise d'un groupe spécifique, entrez le nom de la balise dans Balises.
  16. Pour modifier les profils, le mode d'initialisation, le mode de restriction MSS TCP et les balises utilisées par la session VPN IPSec basée sur une route, cliquez sur Propriétés avancées.
    Par défaut, les profils générés par le système sont utilisés. Sélectionnez un autre profil disponible si vous ne souhaitez pas utiliser la valeur par défaut. Pour utiliser un profil qui n'est pas encore configuré, cliquez sur le menu à trois points ( Trois points noirs alignés verticalement. Cliquer sur cette icône affiche un menu de sous-commandes.) pour créer un autre profil. Reportez-vous à la section Ajout de profils.
    1. Si le menu déroulant Profils IKE est activé, sélectionnez le profil IKE.
    2. Sélectionnez le profil de tunnel IPsec, si le menu déroulant Profils IPSec n'est pas désactivé.
    3. Sélectionnez le profil DPD préféré dans le menu déroulant Profils DPD est activé.
    4. Sélectionnez le mode préféré à partir du menu déroulant Mode d'initialisation de la connexion.
      Le mode d'initialisation de la connexion définit la stratégie utilisée par le point de terminaison local au cours du processus de création du tunnel. La valeur par défaut est Initiateur. Le tableau suivant décrit les différents modes d'initialisation de la connexion disponibles.
      Tableau 1. Modes d'initialisation de la connexion
      Mode d'initialisation de la connexion Description
      Initiator Valeur par défaut. Dans ce mode, le point de terminaison local lance la création du tunnel VPN IPSec et répond aux demandes de configuration de tunnel entrantes provenant de la passerelle homologue.
      On Demand Ne pas utiliser avec le VPN basé sur une route. Ce mode s'applique uniquement au VPN basé sur les stratégies.
      Respond Only Le VPN IPSec ne lance jamais une connexion. Le site homologue initie toujours la demande de connexion et le point de terminaison local répond à celle-ci.
  17. Pour réduire la charge utile de la taille de segment maximale (MSS) de la session TCP pendant la connexion IPSec, activez Restriction MSS TCP, sélectionnez la valeur de Direction MSS TCP et définissez éventuellement la Valeur MSS TCP. []
    Pour plus d'informations, reportez-vous à la section Présentation de la restriction MSS TCP.
  18. Si vous souhaitez inclure cette session IPSec dans le cadre de la balise d'un groupe spécifique, entrez le nom de la balise dans Balises.
  19. Cliquez sur Enregistrer.

Résultats

Lorsque la nouvelle session VPN IPSec basée sur une route est correctement configurée, elle est ajoutée à la liste des sessions VPN IPsec disponibles. Elle est en mode de lecture seule.

Que faire ensuite

  • Vérifiez que l'état du tunnel VPN IPSec est Actif. Pour plus d'informations, reportez-vous à la section Surveiller et dépanner des sessions VPN.
  • Configurez le routage à l'aide d'une route statique ou d'un BGP. Voir Configurer un itinéraire statique ou Configurer BGP.
  • Si besoin, gérez les informations relatives à la session IPSec VPN en cliquant sur le menu à trois points ( Trois points alignés à la verticale. Cliquer sur cette icône affiche un menu de sous-commandes.) sur le côté gauche de la ligne de la session. Sélectionnez l'une des actions que vous pouvez effectuer.