Configurez une session VPN IPSec entre la PCG et votre dispositif de service.
Conditions préalables
- Une passerelle PCG ou une paire HA doit être déployée sur un VPC/VNet de transit.
- Le dispositif de service doit être configuré dans votre cloud public, de préférence dans le VPC/VNet de transit.
Procédure
- Accédez à Mise en réseau > VPN.
- Ajoutez un service VPN de type IPSec et notez les options de configuration suivantes spécifiques de NSX Cloud. Reportez-vous à la section Ajouter un service VPN IPSec pour plus d'informations.
Option Description Nom Le nom de ce service VPN est utilisé pour configurer le point de terminaison local et les sessions VPN IPSec. Notez-le. Type de service Vérifiez que cette valeur est définie sur IPSec. Passerelle de niveau 0 Sélectionnez la passerelle de niveau 0 créée automatiquement pour votre VPC/VNet de transit. Son nom contient votre ID VPC/VNet, par exemple, cloud-t0-vpc-6bcd2c13. - Ajoutez un point de terminaison local pour votre PCG. L'adresse IP du point de terminaison local est la valeur de la balise nsx:local_endpoint_ip pour la PCG déployée sur votre VPC/VNet de transit. Connectez-vous à votre VPC/VNet de transit pour cette valeur. Notez les configurations suivantes spécifiques de NSX Cloud et reportez-vous à la section Ajouter des points de terminaison locaux pour plus d'informations.
Option Description Nom Le nom du point de terminaison local est utilisé pour configurer les sessions VPN IPSec. Notez-le. Service VPN Sélectionnez le service VPN ajouté à l'étape 2. Adresse IP Trouvez cette valeur en vous connectant à la console AWS ou au portail Microsoft Azure. Il s'agit de la valeur de la balise nsx:local_endpoint_ip appliquée à l'interface de liaison montante de la PCG. - Créez une session IPSec basée sur la route entre la PCG et le dispositif de service dans votre cloud public (de préférence hébergée dans le VPC/VNet de transit).
Option Description Type Vérifiez que cette valeur est définie sur Basé sur la route. Service VPN Sélectionnez le service VPN ajouté à l'étape 2. Point de terminaison local Sélectionnez le point de terminaison local créé à l'étape 3. Adresse IP distante Entrez l'adresse IP privée du dispositif de service. Note : Si votre dispositif de service est accessible à l'aide d'une adresse IP publique, attribuez une adresse IP publique à l'adresse IP du point de terminaison local (également appelée adresse IP secondaire) permettant d'accéder à l'interface de liaison montante de la PCG.Interface de tunnel Ce sous-réseau doit correspondre au sous-réseau du dispositif de service pour le tunnel VPN. Entrez la valeur de sous-réseau que vous avez configurée dans le dispositif de service pour le tunnel VPN ou notez la valeur que vous entrez ici et assurez-vous que le même sous-réseau est utilisé lorsque vous configurez le tunnel VPN dans le dispositif de service. Note : Vous configurez BGP dans cette interface de tunnel. Reportez-vous à la section Configurer le BGP et la redistribution de routes.ID distant Entrez l'adresse IP privée de votre dispositif de service dans le cloud public. Profil IKE La session VPN IPSec doit être associée à un profil IKE. Si vous avez créé un profil, sélectionnez-le dans le menu déroulant. Vous pouvez également utiliser le profil par défaut.