VMware Cloud Director supporta la VPN IPSec basata su criteri da sito a sito e basata su route tra un'istanza del gateway edge NSX e un sito remoto.
La VPN IPSec offre connettività da sito a sito tra un gateway edge e siti remoti che utilizzano NSX o che dispongono di router hardware o gateway VPN di terze parti che supportano IPSec.
La VPN IPSec basata su criteri richiede l'applicazione di un criterio VPN ai pacchetti per determinare quale traffico deve essere protetto da IPSec prima del passaggio attraverso un tunnel VPN. Questo tipo di VPN è considerato statico perché quando la topologia e la configurazione della rete locale cambiano, è necessario aggiornare anche le impostazioni del criterio VPN in base alle modifiche.
I gateway edge di NSX supportano la configurazione di tunnel suddivisi, con il traffico IPSec che ha la precedenza sul routing.
VMware Cloud Director supporta la ridistribuzione automatica della route quando si utilizza la VPN IPsec in un gateway edge di NSX.
A partire dalla versione 10.6, è possibile configurare la VPN IPSec basata su route da sito a sito. Per la VPN IPSec basata su route per i gateway edge NSX, VMware Cloud Director supporta solo route statiche. La VPN IPSec basata su route utilizza protocolli di routing standard e offre una migliore scalabilità. È più adatta per reti più grandi e complesse.
Configurazione di VPN IPSec di NSX nel VMware Cloud Director Service Provider Admin Portal
È possibile configurare la connettività da sito a sito tra un gateway edge di NSX e siti remoti. I siti remoti devono utilizzare NSX, nonché disporre di router hardware di terze parti o gateway VPN che supportano IPSec.
VMware Cloud Director supporta la ridistribuzione automatica della route quando si configura la VPN IPSec in un gateway edge di NSX.
Prerequisiti
- Se si desidera configurare un tunnel VPN IPSec di NSX basato su route, configurare il routing statico. Vedere Configurazione del routing statico in un gateway edge NSX nel VMware Cloud Director Service Provider Admin Portal.
- Se si prevede di utilizzare l'autenticazione certificato per proteggere la comunicazione VPN IPSec, verificare che l'amministratore di sistema abbia caricato il certificato del server per il gateway edge NSX locale e un certificato CA per l'organizzazione nella libreria certificati di VMware Cloud Director.
-
Se si desidera limitare il numero di profili di sicurezza disponibili per i tenant, è possibile utilizzare il sottocomando
manage-config
dello strumento di gestione (CMT) di VMware Cloud Director. Ad esempio, se si desidera limitare l'elenco aFIPS
eFoundation
, eseguire il comando CMT seguente./opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n networking.gatewayIpSecVpnTunnelSecurityTypeDisallowList -v PROVIDER_PREFERRED,FIPS,FOUNDATION
Procedura
risultati
Operazioni successive
- Per verificare che il tunnel funzioni, selezionarlo e fare clic su Visualizza statistiche.
Se il tunnel funziona, in Stato tunnel e in Stato del servizio IKE viene visualizzato Raggiungibile.
- Configurare l'endpoint remoto del tunnel VPN IPSec.
- È possibile modificare le impostazioni del tunnel VPN IPSec e personalizzare il profilo di sicurezza in base alle esigenze.
Personalizzazione del profilo di sicurezza di un tunnel VPN IPSec nel VMware Cloud Director Service Provider Admin Portal
Se si decide di non utilizzare il profilo di sicurezza generato dal sistema assegnato al tunnel VPN IPSec al momento della creazione, è possibile personalizzarlo.