Quando si aggiunge una VPN IPSec basata su criteri, i tunnel IPSec vengono utilizzati per connettere più subnet locali dietro al nodo NSX Edge con subnet peer nel sito VPN remoto.

I passaggi seguenti utilizzano la scheda Sessioni IPSec nell'interfaccia utente di NSX Manager per creare una sessione IPSec basata su criteri. Aggiungere inoltre informazioni per i profili tunnel, IKE e DPD e selezionare un endpoint locale esistente da utilizzare con la VPN IPSec basata su criteri.

Nota:

È inoltre possibile aggiungere le sessioni VPN IPSec immediatamente dopo aver configurato correttamente il servizio VPN IPSec. Fare clic su quando viene richiesto di continuare con la configurazione del servizio VPN IPSec e selezionare Sessioni > Aggiungi sessioni nel pannello Aggiungi servizio IPSec. Nei primi passaggi della procedura seguente si assume che si scelga No alla richiesta per continuare con la configurazione del servizio VPN IPSec. Se si sceglie , procedere con il passaggio 3 nella procedura seguente per essere guidati nel resto della configurazione della sessione VPN IPSec basata su criteri.

Prerequisiti

  • È necessario aver configurato un servizio VPN IPSec prima di procedere. Vedere Aggiunta di un servizio VPN IPSec.
  • Ottenere le informazioni per l'endpoint locale, l'indirizzo IP del sito peer, la subnet della rete locale e la subnet della rete remota da utilizzare con la sessione VPN IPSec basata su criteri che si sta aggiungendo. Per creare un endpoint locale, vedere Aggiunta di endpoint locali.
  • Se si utilizza una chiave PSK (Pre-Shared Key, chiave già condivisa) per l'autenticazione, ottenere il valore della PSK.
  • Se per l'autenticazione si utilizza un certificato, assicurarsi che i certificati del server necessari e i certificati corrispondenti firmati dall'autorità di certificazione siano già stati importati. Vedere Certificati.
  • Se non si desidera utilizzare i valori predefiniti per i profili del tunnel IPSec, IKE o DPD (Dead Peer Detection) forniti da NSX-T Data Center, configurare i profili che si desidera utilizzare. Per informazioni, vedere Aggiunta di profili.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Passare alla scheda Servizi di rete > VPN > Sessioni IPSec.
  3. Selezionare Aggiungi sessione IPSec > Basata su criterio.
  4. Immettere un nome per la sessione VPN IPSec basata su criteri.
  5. Dal menu a discesa Servizio VPN, selezionare il servizio VPN IPSec a cui si desidera aggiungere questa nuova sessione IPSec.
    Nota: Se si aggiunge questa sessione IPSec dalla finestra di dialogo Aggiungi sessioni IPSec, il nome del servizio VPN è già indicato sopra il pulsante Aggiungi sessione IPSec.
  6. Selezionare un endpoint locale esistente dal menu a discesa.
    Questo valore dell'endpoint locale è obbligatorio e identifica il nodo NSX Edge locale. Se si desidera creare un endpoint locale diverso, fare clic sul menu con i tre puntini ( l'icona con tre puntini neri allineati verticalmente; facendo clic su questa icona viene visualizzato un menu di sotto comandi) e selezionare Aggiungi endpoint locale.
  7. Nella casella di testo IP remoto immettere l'indirizzo IP richiesto del sito remoto.
    Questo valore è obbligatorio.
  8. Immettere una descrizione facoltativa per questa sessione VPN IPSec basata su criteri.
    La lunghezza massima è 1024 caratteri.
  9. Per abilitare o disabilitare la sessione VPN IPSec, fare clic su Stato amministratore.
    Per impostazione predefinita, il valore è impostato su Enabled, ciò significa che la sessione VPN IPSec deve essere configurata nel nodo NSX Edge.
  10. (Facoltativo) Dal menu a discesa Suite di conformità, selezionare una suite di conformità di sicurezza.
    Nota: Il supporto della suite di conformità è disponibile a partire da NSX-T Data Center 2.5. Per ulteriori informazioni, consultare Informazioni sulle suite di conformità supportate.
    Il valore predefinito selezionato è None. Se si seleziona una suite di conformità, la Modalità di autenticazione viene impostata su Certificate e nella sezione Proprietà avanzate, i valori di Profilo IKE e Profilo IPSec vengono impostati sui profili definiti dal sistema per la suite di conformità di sicurezza selezionata. Non è possibile modificare questi profili definiti dal sistema.
  11. Se Suite di conformità è impostata su None, selezionare una modalità dal menu a discesa Modalità di autenticazione.
    La modalità di autenticazione predefinita utilizzata è PSK, ciò significa che per la sessione VPN IPSec viene utilizzata una chiave segreta condivisa tra NSX Edge e il sito remoto. Se si seleziona Certificate, per l'autenticazione viene utilizzato il certificato del sito utilizzato per configurare l'endpoint locale.

    Per ulteriori informazioni sull'autenticazione basata su certificato, vedere Utilizzo dell'autenticazione basata su certificato per le sessioni VPN IPSec.

  12. Nelle caselle di testo Reti locali e Reti remote, immettere almeno un indirizzo di subnet IP da utilizzare per questa sessione VPN IPSec basata su criteri.
    Queste subnet devono essere in un formato CIDR.
  13. Se Modalità di autenticazione è impostata su PSK, immettere il valore della chiave nella casella di testo Chiave già condivisa.
    Questa chiave segreta può essere una stringa con una lunghezza massima di 128 caratteri.
    Attenzione: Prestare attenzione quando si condivide e si archivia il valore di una PSK perché si tratta di informazioni sensibili.
  14. Per identificare il sito peer, immettere un valore in ID remoto.
    Per i siti peer che utilizzano l'autenticazione PSK, questo valore dell'ID deve coincidere con l'indirizzo IP pubblico o il nome di dominio completo del sito peer. Per i siti peer che utilizzano l'autenticazione del certificato, questo valore dell'ID deve coincidere con nome comune (CN) o il nome distinto (DN) utilizzato nel certificato del sito peer.
    Nota: Se il certificato del sito peer contiene un indirizzo e-mail nella stringa DN, ad esempio
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/emailAddress=user1@mycompany.com
    immettere il valore ID remoto utilizzando il formato indicato nell'esempio seguente.
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, MAILTO=user1@mycompany.com"
    Se il certificato del sito locale contiene un indirizzo e-mail nella stringa DN e il sito peer utilizza l'implementazione IPSec strongSwan, immettere il valore ID del sito locale in tale sito peer. Di seguito è riportato un esempio.
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, E=user1@mycompany.com"
  15. Per modificare i profili, la modalità di avvio, la modalità di clamping TCP MSS e i tag utilizzati dalla sessione VPN IPSec basata su criteri, fare clic su Proprietà avanzate.
    Per impostazione predefinita, vengono utilizzati i profili generati dal sistema. Selezionare un altro profilo disponibile se non si desidera utilizzare il profilo predefinito. Se si desidera utilizzare un profilo non ancora configurato, fare clic sul menu con i tre puntini ( Tre puntini neri allineati verticalmente. facendo clic su questa icona viene visualizzato un menu di sotto comandi ) per creare un altro profilo. Vedere Aggiunta di profili.
    1. Se il menu a discesa Profili IKE è abilitato, selezionare il profilo IKE.
    2. Selezionare il profilo del tunnel IPsec se il menu a discesa Profili IPSec non è disabilitato.
    3. Selezionare il profilo DPD preferito se il menu a discesa Profili DPD è abilitato.
    4. Selezionare la modalità preferita dal menu a discesa Modalità di avvio della connessione.
      La modalità di avvio della connessione definisce il criterio utilizzato dall'endpoint locale nel processo di creazione dei tunnel. Il valore predefinito è Iniziatore. La seguente tabella descrive le diverse modalità di avvio delle connessioni disponibili.
      Tabella 1. Modalità di avvio delle connessioni
      Modalità di avvio della connessione Descrizione
      Initiator Il valore predefinito. In questa modalità, l'endpoint locale avvia la creazione del tunnel VPN IPSec e risponde alle richieste di configurazione del tunnel in entrata dal gateway peer.
      On Demand In questa modalità, l'endpoint locale avvia la creazione del tunnel VPN IPSec dopo la ricezione del primo pacchetto che corrisponde alla regola del criterio. Risponde inoltre alla richiesta di avvio in arrivo.
      Respond Only

      La VPN IPSec non inizia mai una connessione. È sempre il sito peer ad avviare la richiesta di connessione e l'endpoint locale risponde a questa richiesta di connessione.

    5. Se si desidera ridurre il payload MSS (Maximum Segment Size) della sessione TCP durante la connessione IPSec, abilitare Clamping TCP MSS, selezionare il valore Direzione TCP MSS e, facoltativamente, impostare il Valore TCP MSS.
      Per ulteriori informazioni, consultare Informazioni sulla funzionalità Clamping TCP MSS.
    6. Se si desidera includere questa sessione come parte di un gruppo specifico, immettere il nome del tag in Tag.
  16. Fare clic su Salva.

risultati

Quando la nuova sessione VPN IPSec basata su criteri viene configurata correttamente, viene aggiunta all'elenco delle sessioni VPN IPsec disponibili. È in modalità di sola lettura.

Operazioni successive

  • Verificare che lo stato del tunnel VPN IPSec sia Attivo. Per informazioni, vedere Monitoraggio e risoluzione dei problemi delle sessioni VPN.
  • Se necessario, gestire le informazioni della sessione VPN IPSec facendo clic sul menu con i tre puntini ( Tre puntini neri allineati verticalmente. facendo clic su questa icona viene visualizzato un menu di sotto comandi ) sul lato sinistro della riga della sessione. Selezionare una delle azioni che all'utente è consentito eseguire.