VMware Cloud Director supporta la VPN IPSec basata su criteri da sito a sito e basata su route tra un'istanza del gateway edge NSX e un sito remoto.

La VPN IPSec offre connettività da sito a sito tra un gateway edge e siti remoti che utilizzano NSX o che dispongono di router hardware o gateway VPN di terze parti che supportano IPSec.

La VPN IPSec basata su criteri richiede l'applicazione di un criterio VPN ai pacchetti per determinare quale traffico deve essere protetto da IPSec prima del passaggio attraverso un tunnel VPN. Questo tipo di VPN è considerato statico perché quando la topologia e la configurazione della rete locale cambiano, è necessario aggiornare anche le impostazioni del criterio VPN in base alle modifiche.

I gateway edge di NSX supportano la configurazione di tunnel suddivisi, con il traffico IPSec che ha la precedenza sul routing.

VMware Cloud Director supporta la ridistribuzione automatica della route quando si utilizza la VPN IPsec in un gateway edge di NSX.

A partire dalla versione 10.6, è possibile configurare la VPN IPSec basata su route da sito a sito. Per la VPN IPSec basata su route per i gateway edge NSX, VMware Cloud Director supporta solo route statiche. La VPN IPSec basata su route utilizza protocolli di routing standard e offre una migliore scalabilità. È più adatta per reti più grandi e complesse.

Configurazione di VPN IPSec di NSX nel VMware Cloud Director Service Provider Admin Portal

È possibile configurare la connettività da sito a sito tra un gateway edge di NSX e siti remoti. I siti remoti devono utilizzare NSX, nonché disporre di router hardware di terze parti o gateway VPN che supportano IPSec.

VMware Cloud Director supporta la ridistribuzione automatica della route quando si configura la VPN IPSec in un gateway edge di NSX.

Prerequisiti

  • Se si desidera configurare un tunnel VPN IPSec di NSX basato su route, configurare il routing statico. Vedere Configurazione del routing statico in un gateway edge NSX nel VMware Cloud Director Service Provider Admin Portal.
  • Se si prevede di utilizzare l'autenticazione certificato per proteggere la comunicazione VPN IPSec, verificare che l'amministratore di sistema abbia caricato il certificato del server per il gateway edge NSX locale e un certificato CA per l'organizzazione nella libreria certificati di VMware Cloud Director.
  • Se si desidera limitare il numero di profili di sicurezza disponibili per i tenant, è possibile utilizzare il sottocomando manage-config dello strumento di gestione (CMT) di VMware Cloud Director. Ad esempio, se si desidera limitare l'elenco a FIPS e Foundation, eseguire il comando CMT seguente.
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n networking.gatewayIpSecVpnTunnelSecurityTypeDisallowList -v PROVIDER_PREFERRED,FIPS,FOUNDATION

Procedura

  1. Nel riquadro di navigazione principale a sinistra, selezionare Risorse e nella barra di navigazione superiore della pagina, selezionare Risorse cloud.
  2. Nel riquadro secondario a sinistra selezionare Gateway edge e fare clic sul nome del gateway edge di destinazione.
  3. In Servizi, fare clic su VPN IPSec quindi su Nuova.
  4. Immettere un nome e facoltativamente una descrizione per il tunnel VPN IPSec.
  5. Selezionare il tipo di tunnel VPN IPSec.
    A partire dalla versione 10.6, VMware Cloud Director supporta la VPN IPSec basata su route per le route statiche.
  6. Selezionare un profilo di sicurezza per la protezione dei dati trasmessi.
  7. Per abilitare il tunnel al momento della creazione, attivare l'interruttore Stato.
  8. Per abilitare la registrazione, attivare l'interruttore Registrazione.
  9. Fare clic su Avanti.
  10. Selezionare una modalità di autenticazione peer.
    Opzione Descrizione
    Chiave precondivisa Scegliere una chiave precondivisa da immettere. La chiave precondivisa deve essere identica nell'altra estremità del tunnel VPN IPSec.
    Certificato Selezionare i certificati del sito e dell'autorità di certificazione da utilizzare per l'autenticazione.
  11. Nel menu a discesa, selezionare uno degli indirizzi IP disponibili per il gateway edge per l'endpoint locale.
    L'indirizzo IP deve essere l'IP primario del gateway edge o un indirizzo IP allocato separatamente al gateway edge.
  12. Se si sta configurando una VPN IPSec basata su criteri, immettere almeno un indirizzo di subnet IP locale nella notazione CIDR da utilizzare per il tunnel VPN IPSec.
  13. Immettere l'indirizzo IP per l'endpoint remoto.
  14. Se si sta configurando una VPN IPSec basata su criteri, immettere almeno un indirizzo di subnet IP remoto nella notazione CIDR da utilizzare per il tunnel VPN IPSec.
  15. Immettere l'ID remoto per il sito peer.
    L'ID remoto deve corrispondere al SAN (nome alternativo soggetto) del certificato dell'endpoint remoto, se disponibile. Se il certificato remoto non contiene un SAN, l'ID remoto deve corrispondere al DN (nome distinto) del certificato utilizzato per proteggere l'endpoint remoto, ad esempio C=US, ST=Massachusetts, O=VMware, OU=VCD, CN=Edge1.
  16. Se si sta configurando una VPN IPSec basata su route, per l'interfaccia del tunnel virtuale (VTI) immettere un CIDR IPv4 valido, un CIDR IPv6 valido oppure un CIDR IPv4 e un CIDR IPv6 validi separati da virgola.

    L'interfaccia VTI (Virtual Tunnel Interface) rappresenta l'endpoint di un tunnel IPSec in un dispositivo di rete.

  17. Fare clic su Avanti.
  18. Controllare le impostazioni e fare clic su Fine.

risultati

Il tunnel VPN IPSec appena creato è elencato nella vista VPN IPSec.

Operazioni successive

  • Per verificare che il tunnel funzioni, selezionarlo e fare clic su Visualizza statistiche.

    Se il tunnel funziona, in Stato tunnel e in Stato del servizio IKE viene visualizzato Raggiungibile.

  • Configurare l'endpoint remoto del tunnel VPN IPSec.
  • È possibile modificare le impostazioni del tunnel VPN IPSec e personalizzare il profilo di sicurezza in base alle esigenze.

Personalizzazione del profilo di sicurezza di un tunnel VPN IPSec nel VMware Cloud Director Service Provider Admin Portal

Se si decide di non utilizzare il profilo di sicurezza generato dal sistema assegnato al tunnel VPN IPSec al momento della creazione, è possibile personalizzarlo.

Procedura

  1. Nel riquadro di navigazione principale a sinistra, selezionare Risorse e nella barra di navigazione superiore della pagina, selezionare Risorse cloud.
  2. Nel riquadro secondario a sinistra selezionare Gateway edge e fare clic sul nome del gateway edge di destinazione.
  3. In Servizi, fare clic su VPN IPSec.
  4. Selezionare il tunnel VPN IPSec e fare clic su Personalizzazione profilo di sicurezza.
  5. Configurare i profili IKE.
    I profili Internet Key Exchange (IKE) forniscono informazioni sugli algoritmi utilizzati per autenticare, crittografare e stabilire un segreto condiviso tra i siti di rete quando si stabilisce un tunnel IKE.
    1. Selezionare una versione del protocollo IKE per configurare un'associazione di sicurezza (SA) nella suite di protocolli IPSec.
      Opzione Descrizione
      IKEv1 Quando si seleziona questa opzione, la VPN IPSec viene avviata e risponde solo al protocollo IKEv1.
      IKEv2 L'opzione predefinita. Quando si seleziona questa versione, la VPN IPSec viene avviata e risponde solo al protocollo IKEv2.
      IKE-Flex Quando si seleziona questa opzione, se la creazione del tunnel non riesce con il protocollo IKEv2, il sito di origine non esegue il fallback e avvia una connessione con il protocollo IKEv1. Se invece il sito remoto avvia una connessione con il protocollo IKEv1, la connessione viene accettata.
    2. Selezionare un algoritmo di crittografia supportato da utilizzare durante la negoziazione IKE (Internet Key Exchange).
    3. Dal menu a discesa Digest, selezionare un algoritmo di hash sicuro da utilizzare durante la negoziazione IKE.
    4. Dal menu a discesa Gruppo Diffie-Hellman, selezionare uno degli schemi di crittografia che consente al sito peer e al gateway edge di stabilire un segreto condiviso su un canale di comunicazione non sicuro.
    5. (Facoltativo) Nella casella di testo Durata associazione, modificare il numero predefinito di secondi prima che sia necessario ristabilire il tunnel IPSec.
  6. Configurare il tunnel VPN IPSec.
    1. Per abilitare Perfect Forward Secrecy, attivare l'opzione.
    2. Selezionare un criterio di deframmentazione.
      Il criterio di deframmentazione consente di gestire i bit di deframmentazione presenti nel pacchetto interno.
      Opzione Descrizione
      Copia Copia il bit di deframmentazione dal pacchetto IP interno al pacchetto esterno.
      Cancella Ignora il bit di deframmentazione presente nel pacchetto interno.
    3. Selezionare un algoritmo di crittografia supportato da utilizzare durante la negoziazione IKE (Internet Key Exchange).
    4. Dal menu a discesa Digest, selezionare un algoritmo di hash sicuro da utilizzare durante la negoziazione IKE.
    5. Dal menu a discesa Gruppo Diffie-Hellman, selezionare uno degli schemi di crittografia che consente al sito peer e al gateway edge di stabilire un segreto condiviso su un canale di comunicazione non sicuro.
    6. (Facoltativo) Nella casella di testo Durata associazione, modificare il numero predefinito di secondi prima che sia necessario ristabilire il tunnel IPSec.
  7. (Facoltativo) Nella casella di testo Intervallo probe, modificare il numero predefinito di secondi per il rilevamento dei peer dead.
  8. Fare clic su Salva.

risultati

Nella vista VPN IPSec, il profilo di sicurezza del tunnel VPN IPSec viene visualizzato come Definito dall'utente.