I gateway edge NSX Data Center for vSphere in un ambiente VMware Cloud Director supportano il protocollo IPsec (Internet Protocol Security) da sito a sito per proteggere i tunnel VPN tra reti di virtual data center dell'organizzazione o tra una rete di virtual data center dell'organizzazione e un indirizzo IP esterno. È possibile configurare il servizio VPN IPsec in un gateway edge.

La configurazione di una connessione VPN IPsec da una rete remota al virtual data center dell'organizzazione è lo scenario più comune. Il software NSX offre al gateway edge funzionalità VPN IPsec, incluso il supporto per l'autenticazione del certificato, la modalità con chiave precondivisa e il traffico unicast IP tra se stesso e i router VPN remoti. È inoltre possibile configurare più subnet per la connessione tramite tunnel IPsec alla rete interna dietro un gateway edge. Quando si configurano più subnet per la connessione tramite tunnel IPsec alla rete interna, tali subnet e la rete interna dietro al gateway edge non devono includere intervalli di indirizzi che si sovrappongono.

Nota: Se il peer locale e remoto attraverso un tunnel IPsec includono indirizzi IP che si sovrappongono, l'inoltro del traffico attraverso il tunnel potrebbe non essere coerente in base alla presenza di route connesse locali e route con plumbing automatico.

Sono supportati i seguenti algoritmi VPN IPsec:

  • AES (AES128-CBC)
  • AES256 (AES256-CBC)
  • DES triplo (3DES192-CBC)
  • AES-GCM (AES128-GCM)
  • DH-2 (gruppo Diffie-Hellman 2)
  • DH-5 (gruppo Diffie-Hellman 5)
  • DH-14 (gruppo Diffie-Hellman 14)
Nota: I protocolli di routing dinamico non sono supportati con VPN IPsec. Quando si configura un tunnel VPN IPsec tra un gateway edge del virtual data center dell'organizzazione e un gateway VPN fisico in un sito remoto, non è possibile configurare il routing dinamico per tale connessione. L'indirizzo IP di tale sito remoto non può essere individuato tramite il routing dinamico nell'uplink del gateway edge.

Come descritto nell'argomento Panoramica di VPN IPsec nella Guida per l'amministratore di NSX, il numero massimo di tunnel supportato in un gateway edge è determinato dalle sue dimensioni configurate: Compact, Large, X-Large, Quad Large.

Per visualizzare le dimensioni della configurazione del gateway edge, passare al gateway edge e fare clic sul nome del gateway edge.

La configurazione di VPN IPsec in un gateway edge è un processo che include più passaggi.

Nota: Se è presente un firewall tra gli endpoint del tunnel, dopo aver configurato il servizio VPN IPsec, aggiornare le regole del firewall per consentire le porte UDP e i protocolli IP seguenti:
  • ID protocollo IP 50 (ESP)
  • ID protocollo IP 51 (AH)
  • Porta UDP 500 (IKE)
  • Porta UDP 4500

Passaggio alla schermata VPN IPsec

Nella schermata VPN IPsec, è possibile iniziare a configurare il servizio VPN IPsec per un gateway edge NSX Data Center for vSphere.

Procedura

  1. Aprire i servizi gateway edge.
    1. Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
    2. Selezionare il gateway edge da modificare e fare clic su Servizi.
  2. Passare a VPN > VPN IPsec.

Operazioni successive

Utilizzare la schermata Siti VPN IPsec per configurare una connessione VPN IPsec. Per poter abilitare il servizio VPN IPsec nel gateway edge, è necessario configurare almeno una connessione. Vedere Configurazione delle connessioni al sito VPN IPsec per il gateway edge NSX Data Center for vSphere.

Configurazione delle connessioni al sito VPN IPsec per il gateway edge NSX Data Center for vSphere

Utilizzare la schermata Siti VPN IPsec nel portale tenant di VMware Cloud Director per configurare le impostazioni necessarie per creare una connessione VPN IPsec tra il virtual data center dell'organizzazione e un altro sito utilizzando le funzionalità VPN IPsec del gateway edge.

Quando si configura una connessione VPN IPsec tra siti, la connessione viene configurata dal punto di vista della posizione corrente. La configurazione della connessione richiede la comprensione dei concetti nel contesto dell'ambiente VMware Cloud Director in modo da configurare la connessione VPN in modo corretto.

  • Le subnet peer e locale specificano le reti a cui la VPN si connette. Quando si specificano queste subnet nelle configurazioni per i siti VPN IPsec, immettere un intervallo di rete e non un indirizzo IP specifico. Utilizzare il formato CIDR, ad esempio 192.168.99.0/24.
  • L'ID peer è un identificatore che identifica in modo univoco il dispositivo remoto che termina la connessione VPN. In genere si tratta dell'indirizzo IP pubblico del dispositivo remoto. Per i peer che utilizzano l'autenticazione del certificato, questo ID deve essere il nome distinto impostato nel certificato del peer. Per i peer PSK, l'ID può essere qualsiasi stringa. Una procedura consigliata per NSX consiste nell'utilizzare come ID peer l'indirizzo IP pubblico del dispositivo remoto o il nome di dominio completo. Se l'indirizzo IP del peer proviene da un'altra rete di virtual data center dell'organizzazione, immettere l'indirizzo IP nativo del peer. Se NAT è configurato per il peer, immettere l'indirizzo IP privato del peer.
  • L'endpoint peer specifica l'indirizzo IP pubblico del dispositivo remoto a cui ci si sta connettendo. L'endpoint peer potrebbe avere un indirizzo diverso dall'ID peer se il gateway del peer non è accessibile direttamente da Internet ma si connette tramite un altro dispositivo. Se NAT è configurato per il peer, immettere l'indirizzo IP pubblico che i dispositivi utilizzano per NAT.
  • L'ID locale specifica l'indirizzo IP pubblico del gateway edge del virtual data center dell'organizzazione. È possibile immettere un indirizzo IP o un nome host insieme al firewall del gateway edge.
  • L'endpoint locale specifica la rete nel virtual data center dell'organizzazione in cui il gateway edge trasmette. La rete esterna del gateway edge è in genere l'endpoint locale.

Prerequisiti

Procedura

  1. Aprire i servizi gateway edge.
    1. Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
    2. Selezionare il gateway edge da modificare e fare clic su Servizi.
  2. Nella scheda VPN IPsec, fare clic su Siti VPN IPsec.
  3. Fare clic sul pulsante Aggiungi (Pulsante Aggiungi).
  4. Configurare le impostazioni di connessione di VPN IPsec.
    Opzione Azione
    Abilitato Abilitare la connessione tra i due endpoint VPN.
    Abilita PFS (Perfect Forward Secrecy) Abilitare questa opzione per fare in modo che il sistema generi chiavi pubbliche univoche per tutte le sessioni VPN IPsec avviate dagli utenti.

    L'abilitazione di PFS assicura che il sistema non crei un collegamento tra la chiave privata del gateway edge e la chiave di ciascuna sessione.

    La compromissione della chiave di una sessione influirà solo sui dati scambiati in tale sessione protetta da quella chiave specifica. La compromissione della chiave privata del server non può essere utilizzata per decrittografare le sessioni archiviate o le sessioni future.

    Quando PFS è abilitato, nelle connessioni VPN IPsec a questo gateway edge si verifica un leggero overhead di elaborazione.

    Importante: Le chiavi di sessione univoche non devono essere utilizzate per ricavare altre chiavi aggiuntive. Inoltre, affinché il tunnel VPN IPsec funzioni è necessario che entrambi i lati supportino PFS.
    Nome (Facoltativo) Immettere un nome per la connessione.
    ID locale Immettere l'indirizzo IP esterno dell'istanza del gateway edge, che è l'indirizzo IP pubblico del gateway edge.

    L'indirizzo IP è quello utilizzato per l'ID peer nella configurazione VPN IPsec nel sito remoto.

    Endpoint locale Immettere la rete corrispondente all'endpoint locale per questa connessione.

    L'endpoint locale specifica la rete nel virtual data center dell'organizzazione in cui il gateway edge trasmette. La rete esterna è in genere l'endpoint locale.

    Se si aggiunge un tunnel da IP a IP mediante una chiave precondivisa, l'ID locale e l'IP dell'endpoint locale possono coincidere.

    Subnet locali Immettere le reti da condividere tra i siti e utilizzare una virgola come separatore per immettere più subnet.

    Immettere un intervallo di rete (non un indirizzo IP specifico) inserendo l'indirizzo IP in formato CIDR. Ad esempio, 192.168.99.0/24.

    ID peer Immettere un ID peer per identificare in modo univoco il sito peer.

    L'ID peer è un identificatore che identifica in modo univoco il dispositivo remoto che termina la connessione VPN. In genere si tratta dell'indirizzo IP pubblico del dispositivo remoto.

    Per i peer che utilizzano l'autenticazione del certificato, l'ID deve essere il nome distinto nel certificato del peer. Per i peer PSK, l'ID può essere qualsiasi stringa. Una procedura consigliata di NSX consiste nell'utilizzare come ID peer l'indirizzo IP pubblico o il nome di dominio completo del dispositivo remoto.

    Se l'indirizzo IP del peer proviene da un'altra rete di virtual data center dell'organizzazione, immettere l'indirizzo IP nativo del peer. Se NAT è configurato per il peer, immettere l'indirizzo IP privato del peer.

    Endpoint peer Immettere l'indirizzo IP o il nome di dominio completo del sito peer, che è l'indirizzo pubblico del dispositivo remoto a cui ci si sta connettendo.
    Nota: Quando NAT è configurato per il peer, immettere l'indirizzo IP pubblico che il dispositivo utilizza per il NAT.
    Subnet peer Immettere la rete remota a cui la VPN si connette e utilizzare una virgola come separatore per immettere più subnet.

    Immettere un intervallo di rete (non un indirizzo IP specifico) inserendo l'indirizzo IP in formato CIDR. Ad esempio, 192.168.99.0/24.

    Algoritmo di crittografia Selezionare il tipo di algoritmo di crittografia dal menu a discesa.
    Nota: Il tipo di crittografia selezionato deve corrispondere al tipo di crittografia configurato nel dispositivo VPN del sito remoto.
    Autenticazione Selezionare un'autenticazione: Le opzioni sono:
    • PSK

      PSK (Pre Shared Key) indica che per l'autenticazione è necessario utilizzare la chiave segreta condivisa tra il gateway edge e il sito peer.

    • Certificato

      L'autenticazione Certificato indica che per l'autenticazione è necessario utilizzare il certificato definito a livello globale. Questa opzione non è disponibile a meno che non sia stato configurato il certificato globale nella schermata Configurazione globale della scheda VPN IPsec.

    Modifica chiave condivisa (Facoltativo) Quando si aggiornano le impostazioni di una connessione esistente, è possibile abilitare questa opzione per rendere disponibile il campo Chiave precondivisa in modo da poter aggiornare la chiave condivisa.
    Chiave precondivisa Se si seleziona PSK come tipo di autenticazione, digitare una stringa alfanumerica segreta che può essere una stringa con una lunghezza massima di 128 byte.
    Nota: La chiave condivisa deve corrispondere alla chiave configurata nel dispositivo VPN del sito remoto. Una procedura consigliata consiste nel configurare una chiave condivisa quando siti anonimi si connetteranno al servizio VPN.
    Mostra chiave condivisa (Facoltativo) Abilitare questa opzione per rendere la chiave condivisa visibile nella schermata.
    Gruppo Diffie-Hellman Selezionare lo schema di crittografia che consente al sito peer e a questo gateway edge di stabilire un segreto condiviso in un canale di comunicazione non protetto.
    Nota: Il valore di Gruppo Diffie-Hellman deve corrispondere a quello configurato nel dispositivo VPN del sito remoto.
    Estensione (Facoltativo) Digitare una delle seguenti opzioni:
    • securelocaltrafficbyip=IPAddress per reindirizzare il traffico locale del gateway edge attraverso il tunnel VPN IPsec.

      Questo è il valore predefinito.

    • passthroughSubnets= PeerSubnetIPAddress per supportare le subnet che si sovrappongono.
  5. Fare clic su Mantieni.
  6. Fare clic su Salva modifiche.

Operazioni successive

Configurare la connessione per il sito remoto. È necessario configurare la connessione VPN IPsec in entrambi i lati della connessione, ovvero nel virtual data center dell'organizzazione e nel sito peer.

Abilitare il servizio VPN IPsec in questo gateway edge. Se è configurata almeno una connessione VPN IPsec, è possibile abilitare il servizio. Vedere Abilitazione del servizio VPN IPsec in un gateway edge NSX Data Center for vSphere.

Abilitazione del servizio VPN IPsec in un gateway edge NSX Data Center for vSphere

Quando è configurata almeno una connessione VPN IPsec, è possibile abilitare il servizio VPN IPsec nel gateway edge.

Prerequisiti

Procedura

  1. Nella scheda VPN IPsec, fare clic su Stato di attivazione.
  2. Fare clic su Stato servizio VPN IPsec per abilitare il servizio VPN IPsec.
  3. Fare clic su Salva modifiche.

risultati

Il servizio VPN IPsec del gateway edge è attivo.

Come specificare le impostazioni VPN IPsec globali

Utilizzare la schermata Configurazione globale per configurare le impostazioni di autenticazione di VPN IPsec a livello di un gateway edge. In questa schermata, è possibile impostare una chiave precondivisa globale e abilitare l'autenticazione del certificato.

Una chiave precondivisa globale viene utilizzata per i siti il cui endpoint peer è impostato su qualsiasi.

Prerequisiti

Procedura

  1. Aprire i servizi gateway edge.
    1. Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
    2. Selezionare il gateway edge da modificare e fare clic su Servizi.
  2. Nella scheda VPN IPsec, fare clic su Configurazione globale.
  3. (Facoltativo) Impostare una chiave precondivisa globale:
    1. Abilitare l'opzione Modifica chiave condivisa.
    2. Inserire una chiave precondivisa.
      La chiave precondivisa globale (PSK) è condivisa da tutti i siti il cui endpoint peer è impostato su any. Se è già stata impostata una chiave PSK globale, la modifica della chiave PSK in un valore vuoto e il relativo salvataggio non avranno alcun effetto sull'impostazione esistente.
    3. (Facoltativo) Facoltativamente, abilitare Mostra chiave condivisa per rendere la chiave precondivisa visibile.
    4. Fare clic su Salva modifiche.
  4. Configurare l'autenticazione del certificato:
    1. Attivare l'opzione Abilita autenticazione certificato.
    2. Selezionare i certificati di servizio, i certificati dell'autorità di certificazione e gli elenchi CRL appropriati.
    3. Fare clic su Salva modifiche.

Operazioni successive

Facoltativamente, è possibile abilitare la registrazione per il servizio VPN IPsec del gateway edge. Vedere Statistiche e registri per un gateway edge di NSX Data Center for vSphere.