Dans un environnement à locataires multiples NSX, un administrateur de projet peut configurer le service VPN L2 et VPN IPSec sur les passerelles de niveau 1 d'un projet.
Pour configurer un VPN sur la passerelle de niveau 1 d'un projet, un cluster Edge doit être attribué au projet.
- Sur chaque passerelle de niveau 1 d'un projet, vous ne pouvez configurer qu'un seul service IPSec et un service VPN L2.
- Pour la configuration d'un VPN IPSec basé sur les routes, les routes statiques sont prises en charge. Le routage dynamique avec interface de tunnel virtuel (VTI) à l'aide de BGP n'est pas pris en charge sur la passerelle de niveau 1 d'un projet.
- Le workflow de configuration de VPN IPSec et de service VPN L2 dans un projet est le même que pour la configuration de ces services dans l'espace par défaut. Pour plus d'informations, reportez-vous à la section Ajout de services VPN NSX.
- L'authentification par clé prépartagée et l'authentification basée sur un certificat sont prises en charge pour la configuration de sessions VPN IPSec.
- Un administrateur d'entreprise peut partager des certificats de service et des listes de révocation de certificats (CRL) avec les projets, si nécessaire. L'administrateur de projet peut utiliser les certificats partagés pour authentifier des points de terminaison IPSec lorsque l'authentification basée sur un certificat est configurée pour des sessions VPN IPSec.
- Un administrateur de projet peut également créer, mettre à jour ou gérer les certificats de service et les listes de révocation de certificats dans la vue du projet, et les utiliser pour configurer des sessions VPN IPSec dans le projet.
- Les profils VPN créés par le système sont partagés par défaut avec tous les projets du système. Un administrateur de projet peut utiliser les profils VPN par défaut suivants ou créer des profils pour configurer des services VPN dans le projet.
- Profil IKE
- Profil de tunnel IPSec
- Profil DPD
- Profil de tunnel VPN L2
- Profils associés à la suite de conformité
Pour en savoir plus sur l'ajout de profils IKE, IPSec et DPD, reportez-vous à la section Ajout de profils. Si un administrateur d'entreprise a créé des profils VPN dans l'espace par défaut, ils peuvent être partagés avec des projets spécifiques, si nécessaire. Les profils partagés peuvent être consommés en mode lecture seule dans les projets.
- Un administrateur d'entreprise peut limiter le nombre d'objets associés au VPN qui peuvent être créés sous un projet en définissant des quotas pour différents types d'objets. Par exemple, des quotas peuvent être définis sur ces objets VPN :
- Sessions IPSec VPN
- Sessions VPN de couche 2
- Points de terminaison locaux
- Services VPN IPSec
- Services VPN de couche 2
- Profils VPN
Cette liste n’est pas exhaustive. Pour obtenir la liste complète des objets, accédez à l'onglet Quotas dans l'interface utilisateur NSX Manager.
- La surveillance de l'état des services VPN, des sessions VPN et d'autres statistiques VPN est prise en charge dans la vue du projet.
- La configuration de tunnels VPN L2 et VPN IPSec entre des passerelles de niveau 1 de deux projets différents dans le même NSX déploiement est prise en charge.
- La configuration des tunnels VPN L2 et VPN IPSec entre les passerelles de niveau 1 du même projet est prise en charge.
- Les points de terminaison locaux IPSec sont réalisés en tant qu'adresses IP loopback sur la passerelle de niveau 1 du projet. L'adresse IP du point de terminaison local doit être unique dans le centre de données. Les adresses IP du point de terminaison sont annoncées à la passerelle de niveau 0 associée au projet, puis envoyées aux réseaux en amont via BGP.
- Pour autoriser les paquets IPSec (port UDP IKE 500 et 4500, ESP) vers la passerelle de niveau 1, l'administrateur d'entreprise doit définir des règles de pare-feu sur la passerelle de niveau 0 associée au projet. Les règles de pare-feu sur la passerelle de niveau 0 ne sont pas automatiquement créées par le système. Cependant, les règles de pare-feu sur la passerelle de niveau 1 du projet sont créées automatiquement pour autoriser le trafic IKE et ESP entre les points de terminaison dans la session VPN IPSec.