I gateway edge NSX Data Center for vSphere in un ambiente VMware Cloud Director supportano il protocollo IPsec (Internet Protocol Security) da sito a sito per proteggere i tunnel VPN tra reti di virtual data center dell'organizzazione o tra una rete di virtual data center dell'organizzazione e un indirizzo IP esterno. È possibile configurare il servizio VPN IPsec in un gateway edge.

La configurazione di una connessione VPN IPsec da una rete remota al virtual data center dell'organizzazione è lo scenario più comune. Il software NSX offre al gateway edge funzionalità VPN IPsec, incluso il supporto per l'autenticazione del certificato, la modalità con chiave precondivisa e il traffico unicast IP tra se stesso e i router VPN remoti. È inoltre possibile configurare più subnet per la connessione tramite tunnel IPsec alla rete interna dietro un gateway edge. Quando si configurano più subnet per la connessione tramite tunnel IPsec alla rete interna, tali subnet e la rete interna dietro al gateway edge non devono includere intervalli di indirizzi che si sovrappongono.

Nota: Se il peer locale e remoto attraverso un tunnel IPsec includono indirizzi IP che si sovrappongono, l'inoltro del traffico attraverso il tunnel potrebbe non essere coerente in base alla presenza di route connesse locali e route con plumbing automatico.

Sono supportati i seguenti algoritmi VPN IPsec:

  • AES (AES128-CBC)
  • AES256 (AES256-CBC)
  • DES triplo (3DES192-CBC)
  • AES-GCM (AES128-GCM)
  • DH-2 (gruppo Diffie-Hellman 2)
  • DH-5 (gruppo Diffie-Hellman 5)
  • DH-14 (gruppo Diffie-Hellman 14)
Nota: I protocolli di routing dinamico non sono supportati con VPN IPsec. Quando si configura un tunnel VPN IPsec tra un gateway edge del virtual data center dell'organizzazione e un gateway VPN fisico in un sito remoto, non è possibile configurare il routing dinamico per tale connessione. L'indirizzo IP di tale sito remoto non può essere individuato tramite il routing dinamico nell'uplink del gateway edge.

Come descritto nell'argomento Panoramica di VPN IPsec nella Guida per l'amministratore di NSX, il numero massimo di tunnel supportato in un gateway edge è determinato dalle sue dimensioni configurate: Compact, Large, X-Large, Quad Large.

Per visualizzare le dimensioni della configurazione del gateway edge, passare al gateway edge e fare clic sul nome del gateway edge.

La configurazione di VPN IPsec in un gateway edge è un processo che include più passaggi.

Nota: Se è presente un firewall tra gli endpoint del tunnel, dopo aver configurato il servizio VPN IPsec, aggiornare le regole del firewall per consentire le porte UDP e i protocolli IP seguenti:
  • ID protocollo IP 50 (ESP)
  • ID protocollo IP 51 (AH)
  • Porta UDP 500 (IKE)
  • Porta UDP 4500