Lorsque vous ajoutez un VPN IPSec basé sur une route, la tunnellisation est fournie sur le trafic qui est basé sur les routes qui ont été apprises dynamiquement via une interface de tunnel virtuel (VTI) à l'aide d'un protocole préféré, tel que BGP. IPSec sécurise tout le trafic circulant à travers l'interface de tunnel virtuel (VTI).
Les étapes décrites dans cette rubrique utilisent l'onglet Sessions IPSec pour créer une session IPSec basée sur une route. Vous ajoutez également des informations pour le tunnel, IKE et les profils DPD, et sélectionnez un point de terminaison local existant à utiliser avec le VPN IPSec basé sur une route.
Note :
Vous pouvez également ajouter les sessions VPN IPSec immédiatement après la configuration du service VPN IPSec. Cliquez sur Oui lorsque vous êtes invité à poursuivre la configuration du service VPN IPSec et sélectionnez dans le panneau Ajouter un service Ipsec. Les premières étapes de la procédure suivante supposent que vous avez sélectionné Non en réponse à l'invite vous proposant de poursuivre la configuration du service VPN IPSec. Si vous avez sélectionné Oui, passez à l'étape 3 qui vous guidera dans la suite de la configuration de la session VPN IPSec basée sur une route.
Conditions préalables
- Vous devez avoir configuré un service VPN IPSec avant de continuer. Reportez-vous à la section Ajouter un service VPN IPSec.
- Obtenez les informations pour le point de terminaison local, l'adresse IP pour le site homologue et l'adresse de sous-réseau IP du service de tunnel à utiliser avec la session IPSec basée sur une route que vous ajoutez. Pour créer un point de terminaison local, reportez-vous à la section Ajouter des points de terminaison locaux.
- Si vous utilisez une clé prépartagée (PSK) pour l'authentification, obtenez la valeur PSK.
- Si vous utilisez un certificat pour l'authentification, assurez-vous que les certificats de serveur nécessaires et les certificats signés par l'autorité de certification correspondants sont déjà importés. Reportez-vous à la section Certificats.
- Si vous ne souhaitez pas utiliser les valeurs par défaut pour le tunnel IPSec, IKE ou les profils DPD (Dead Peer Detection) fournis par NSX, configurez les profils que vous souhaitez utiliser à la place. Pour plus d'informations, reportez-vous à la section Ajout de profils.
Procédure
- Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
- Accédez à .
- Sélectionnez .
- Entrez le nom de la session IPSec basée sur une route.
- Dans le menu déroulant Service VPN, sélectionnez le service VPN IPSec auquel vous souhaitez ajouter cette nouvelle session IPSec.
Note : Si vous ajoutez cette session IPSec à partir de la boîte de dialogue
Ajouter les sessions IPSec, le nom du service VPN est déjà indiqué au-dessus du bouton
Ajouter une session IPSec.
- Sélectionnez un point de terminaison local existant dans le menu déroulant.
La valeur de point de terminaison local est requise et identifie le nœud
NSX Edge local. Si vous souhaitez créer un point de terminaison local différent, cliquez sur le menu à trois points (
) et sélectionnez
Ajouter un point de terminaison local.
- Dans la zone de texte Adresse IP distante, entrez l'adresse IP du site distant.
Il s'agit d'une valeur obligatoire.
- Entrez une description facultative pour cette session VPN IPSec basé sur une route.
La longueur maximale est de 1 024 caractères.
- Pour activer ou désactiver la session IPSec, cliquez sur Statut administratif.
Par défaut, la valeur est définie sur
Enabled
, ce qui signifie que la session IPSec doit être configurée jusqu'au nœud
NSX Edge.
- (Facultatif) Dans le menu déroulant Suite de conformité, sélectionnez une suite de conformité de sécurité.
La valeur par défaut est définie sur
None
. Si vous sélectionnez une suite de conformité, le
mode d'authentification est défini sur
Certificate
et dans la section
Propriétés avancées, les valeurs de
Profil IKE et
Profil IPSec sont définies sur les profils définis par le système pour la suite de conformité sélectionnée. Il n'est pas possible de modifier ces profils définis par le système.
- Entrez une adresse de sous-réseau IP dans Interface de tunnel selon la notation CIDR.
Cette adresse est requise.
- Si la Suite de conformité est définie sur
None
, sélectionnez un mode dans le menu déroulant Mode d'authentification.
Le mode d'authentification par défaut utilisé est
PSK
, ce qui signifie qu'une clé secrète partagée entre
NSX Edge et le site distant doit être utilisée pour la session VPN IPSec. Si vous sélectionnez
Certificate
, le certificat de site utilisé pour configurer le point de terminaison local est utilisé pour l'authentification.
Pour plus d'informations sur l'authentification par certificat, reportez-vous à la section Utilisation de l'authentification basée sur un certificat pour des sessions VPN IPSec.
- Si vous avez sélectionné
PSK
pour le mode d'authentification, entrez la valeur de la clé dans la zone de texte Clé prépartagée.
La clé secrète peut être une chaîne d'une longueur maximale de 128 caractères.
Attention : Soyez prudent lorsque vous partagez et stockez une valeur PSK, car elle contient des informations sensibles.
- Entrez une valeur dans ID distant.
Pour les sites homologues qui utilisent l'authentification PSK, cette valeur d'ID doit être l'adresse IP ou le nom de domaine complet du site homologue. Pour les sites homologues utilisant l'authentification par certificat, cette valeur d'ID doit être le nom commun (CN) ou le nom unique (DN) figurant dans le certificat du site homologue.
Note : Si le certificat du site homologue contient une adresse e-mail dans la chaîne DN, par exemple,
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
entrez la valeur
ID distant en utilisant le format suivant comme exemple.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
Si le certificat du site local contient une adresse e-mail dans la chaîne DN et que le site homologue utilise l'implémentation IPsec strongSwan, entrez la valeur d'ID du site local dans ce site homologue. Vous en trouverez ci-dessous un exemple.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
- Si vous souhaitez inclure cette session IPSec dans le cadre de la balise d'un groupe spécifique, entrez le nom de la balise dans Balises.
- Pour modifier les profils, le mode d'initialisation, le mode de restriction MSS TCP et les balises utilisées par la session VPN IPSec basée sur une route, cliquez sur Propriétés avancées.
Par défaut, les profils générés par le système sont utilisés. Sélectionnez un autre profil disponible si vous ne souhaitez pas utiliser la valeur par défaut. Pour utiliser un profil qui n'est pas encore configuré, cliquez sur le menu à trois points (
) pour créer un autre profil. Reportez-vous à la section
Ajout de profils.
- Si le menu déroulant Profils IKE est activé, sélectionnez le profil IKE.
- Sélectionnez le profil de tunnel IPsec, si le menu déroulant Profils IPSec n'est pas désactivé.
- Sélectionnez le profil DPD préféré dans le menu déroulant Profils DPD est activé.
- Sélectionnez le mode préféré à partir du menu déroulant Mode d'initialisation de la connexion.
Le mode d'initialisation de la connexion définit la stratégie utilisée par le point de terminaison local au cours du processus de création du tunnel. La valeur par défaut est
Initiateur. Le tableau suivant décrit les différents modes d'initialisation de connexion disponibles.
Tableau 1.
Modes d'initialisation de la connexion
Mode d'initialisation de la connexion |
Description |
Initiator |
Valeur par défaut. Dans ce mode, le point de terminaison local lance la création du tunnel VPN IPSec et répond aux demandes de configuration de tunnel entrantes provenant de la passerelle homologue. |
On Demand |
Ne pas utiliser avec le VPN basé sur une route. Ce mode s'applique uniquement au VPN basé sur les stratégies. |
Respond Only |
Le VPN IPSec ne lance jamais une connexion. Le site homologue initie toujours la demande de connexion et le point de terminaison local répond à celle-ci. |
- Pour réduire la charge utile de la taille de segment maximale (MSS) de la session TCP pendant la connexion IPSec, activez Restriction MSS TCP, sélectionnez la valeur de direction MSS TCP et définissez éventuellement la valeur MSS TCP.
- Si vous souhaitez inclure cette session IPSec dans le cadre de la balise d'un groupe spécifique, entrez le nom de la balise dans Balises.
- Cliquez sur Enregistrer.
Résultats
Lorsque la nouvelle session VPN IPSec basée sur une route est correctement configurée, elle est ajoutée à la liste des sessions VPN IPsec disponibles. Elle est en mode de lecture seule.