È possibile configurare la connettività da sito a sito tra un gateway edge di NSX e siti remoti. I siti remoti devono utilizzare NSX, nonché disporre di router hardware di terze parti o gateway VPN che supportano IPSec.

VMware Cloud Director supporta la ridistribuzione automatica della route quando si configura la VPN IPSec in un gateway edge di NSX.

Prerequisiti

Se si prevede di utilizzare l'autenticazione certificato per proteggere la comunicazione VPN IPSec, verificare che l' amministratore di sistema abbia caricato il certificato del server per il gateway edge NSX locale e un certificato CA per l'organizzazione nella libreria certificati di VMware Cloud Director.

Procedura

  1. Nella barra di navigazione superiore, selezionare Risorse e fare clic su Risorse cloud.
  2. Nel riquadro a sinistra fare clic su Gateway edge e quindi sul nome del gateway edge di destinazione.
  3. In Servizi, fare clic su VPN IPSec.
  4. Per configurare un tunnel VPN IPSec, fare clic su Nuovo.
  5. Immettere un nome e facoltativamente una descrizione per il tunnel VPN IPSec.
  6. Per abilitare il tunnel al momento della creazione, attivare l'opzione Stato.
  7. (Facoltativo) Per abilitare la registrazione, attivare l'opzione Registrazione.
  8. Selezionare una modalità di autenticazione peer.
    Opzione Descrizione
    Chiave precondivisa Scegliere una chiave precondivisa da immettere. La chiave precondivisa deve essere identica nell'altra estremità del tunnel VPN IPSec.
    Certificato Selezionare i certificati del sito e dell'autorità di certificazione da utilizzare per l'autenticazione.
  9. Nel menu a discesa, selezionare uno degli indirizzi IP disponibili per il gateway edge per l'endpoint locale.
    L'indirizzo IP deve essere l'IP primario del gateway edge o un indirizzo IP allocato separatamente al gateway edge.
  10. Immettere almeno un indirizzo di subnet IP locale nella notazione CIDR da utilizzare per il tunnel VPN IPSec.
  11. Immettere l'indirizzo IP per l'endpoint remoto.
  12. Immettere almeno un indirizzo di subnet IP remoto nella notazione CIDR da utilizzare per il tunnel VPN IPSec.
  13. Immettere l'ID remoto per il sito peer.
    L'ID remoto deve corrispondere al SAN (nome alternativo soggetto) del certificato dell'endpoint remoto, se disponibile. Se il certificato remoto non contiene un SAN, l'ID remoto deve corrispondere al DN (nome distinto) del certificato utilizzato per proteggere l'endpoint remoto, ad esempio C=US, ST=Massachusetts, O=VMware, OU=VCD, CN=Edge1.
  14. Fare clic su Avanti.
  15. Controllare le impostazioni e fare clic su Fine.
  16. Per verificare che il tunnel funzioni, selezionarlo e fare clic su Visualizza statistiche.
    Se il tunnel funziona, in Stato tunnel e in Stato del servizio IKE viene visualizzato Raggiungibile.

risultati

Il tunnel VPN IPSec appena creato è elencato nella vista VPN IPSec. Il tunnel VPN IPSec viene creato con un profilo di sicurezza predefinito.

Operazioni successive

  • Configurare l'endpoint remoto del tunnel VPN IPSec.
  • È possibile modificare le impostazioni del tunnel VPN IPSec e personalizzare il profilo di sicurezza in base alle esigenze.