È possibile utilizzare il VMware Cloud Director Service Provider Admin Portal per configurare la connettività da sito a sito tra un gateway del provider dedicato e i siti remoti.

Prerequisiti

Il tunnel VPN IPSec basato su route in un gateway del provider dedicato funziona solo con il protocollo BGP (Border Gateway Protocol). Configurare BGP prima o dopo la configurazione del tunnel VPN IPSec. Vedere Configurazione delle impostazioni generali di BGP in un gateway edge di NSX nel VMware Cloud Director Service Provider Admin Portal.

Procedura

  1. Nel riquadro di navigazione principale a sinistra, selezionare Risorse e nella barra di navigazione superiore della pagina, selezionare Risorse cloud.
  2. Nel riquadro secondario a sinistra, fare clic su Gateway del provider e quindi sul nome del gateway del provider privato di destinazione.
  3. Nella barra di navigazione a sinistra a livello di pagina, in Servizi selezionare VPN IPSec e fare clic su Nuova.
  4. Immettere un nome e facoltativamente una descrizione per il tunnel VPN IPSec.
  5. Selezionare il tipo di tunnel VPN IPSec.
  6. Selezionare un profilo di sicurezza per la protezione dei dati trasmessi.

    È possibile utilizzare l'API di VMware Cloud Director per limitare il numero di profili di sicurezza disponibili per i tenant quando configurano VPN IPSec di NSX. Vedere OpenAPI di VMware Cloud Director.

  7. Per abilitare il tunnel al momento della creazione, attivare l'interruttore Stato.
  8. Per abilitare la registrazione, attivare l'interruttore Registrazione.
  9. Fare clic su Avanti.
  10. Selezionare una modalità di autenticazione peer.
    Opzione Descrizione
    Chiave precondivisa Scegliere una chiave precondivisa da immettere. La chiave precondivisa deve essere identica nell'altra estremità del tunnel VPN IPSec.
    Certificato Selezionare i certificati del sito e dell'autorità di certificazione da utilizzare per l'autenticazione.
  11. Nel menu a discesa, selezionare uno degli indirizzi IP disponibili per il gateway edge per l'endpoint locale.
    L'indirizzo IP deve essere l'IP primario del gateway edge o un indirizzo IP allocato separatamente al gateway edge.
  12. Se si sta configurando una VPN IPSec basata su criteri, immettere almeno un indirizzo di subnet IP locale nella notazione CIDR da utilizzare per il tunnel VPN IPSec.
  13. Immettere l'indirizzo IP per l'endpoint remoto.
  14. Se si sta configurando una VPN IPSec basata su criteri, immettere almeno un indirizzo di subnet IP remoto nella notazione CIDR da utilizzare per il tunnel VPN IPSec.
  15. Immettere l'ID remoto per il sito peer.
    L'ID remoto deve corrispondere al SAN (nome alternativo soggetto) del certificato dell'endpoint remoto, se disponibile. Se il certificato remoto non contiene un SAN, l'ID remoto deve corrispondere al DN (nome distinto) del certificato utilizzato per proteggere l'endpoint remoto, ad esempio C=US, ST=Massachusetts, O=VMware, OU=VCD, CN=Edge1.
  16. Se si sta configurando una VPN IPSec basata su route, per l'interfaccia del tunnel virtuale (VTI) immettere un CIDR IPv4 valido, un CIDR IPv6 valido oppure un CIDR IPv4 e un CIDR IPv6 validi separati da virgola.

    L'interfaccia del tunnel virtuale rappresenta l'endpoint di un tunnel IPSec in un dispositivo di rete.

  17. Fare clic su Avanti.
  18. Controllare le impostazioni e fare clic su Fine.

risultati

Il tunnel VPN IPSec appena creato è elencato nella vista VPN IPSec.

Operazioni successive

  • Per verificare che il tunnel funzioni, selezionarlo e fare clic su Visualizza statistiche.

    Se il tunnel funziona, in Stato tunnel e in Stato del servizio IKE viene visualizzato Raggiungibile.

  • Configurare l'endpoint remoto del tunnel VPN IPSec.
  • È possibile modificare le impostazioni del tunnel VPN IPSec e personalizzare il profilo di sicurezza in base alle esigenze.
  • Per consentire la gestione dei tunnel VPN IPSec solo nei gateway del provider, solo nei gateway edge oppure in entrambi, in Scopi topologia selezionare VPN IPSec e modificare lo scopo del servizio VPN IPSec.