Quando si aggiunge una VPN IPSec basata su route, il tunneling viene fornito sul traffico basato su route acquisite dinamicamente su un'interfaccia VTI (Virtual Tunnel Interface) utilizzando un protocollo preferito, ad esempio BGP. IPSec protegge tutto il traffico che passa attraverso VTI.

I passaggi descritti in questo argomento utilizzano la scheda Sessioni IPSEC per creare una sessione IPSec basata su route. Aggiungere inoltre informazioni per i profili tunnel, IKE e DPD e selezionare un endpoint locale esistente da utilizzare con la VPN IPSec basata su route.

Nota:

È inoltre possibile aggiungere le sessioni VPN IPSec immediatamente dopo la configurazione del servizio VPN IPSec. Fare clic su quando viene richiesto di continuare con la configurazione del servizio VPN IPSec e selezionare Sessioni > Aggiungi sessioni nel pannello Aggiungi servizio IPSec. Nei primi passaggi della procedura seguente si assume che si scelga No alla richiesta per continuare con la configurazione del servizio VPN IPSec. Se si seleziona , procedere con il passaggio 3 per continuare la configurazione della sessione VPN IPSec basata su route.

Prerequisiti

  • È necessario aver configurato un servizio VPN IPSec prima di procedere. Vedere Aggiunta di un servizio VPN IPSec.
  • Ottenere le informazioni per l'endpoint locale, l'indirizzo IP del sito peer e l'indirizzo della subnet IP del servizio tunnel da utilizzare con la sessione IPSec basata su route che si sta aggiungendo. Per creare un endpoint locale, vedere Aggiunta di endpoint locali.
  • Se si utilizza una chiave PSK (Pre-Shared Key, chiave già condivisa) per l'autenticazione, ottenere il valore della PSK.
  • Se per l'autenticazione si utilizza un certificato, assicurarsi che i certificati del server necessari e i certificati corrispondenti firmati dall'autorità di certificazione siano già stati importati. Vedere Certificati.
  • Se non si desidera utilizzare i valori predefiniti per i profili del tunnel IPSec, IKE o DPD (Dead Peer Detection) forniti da NSX-T Data Center, configurare i profili che si desidera utilizzare. Per informazioni, vedere Aggiunta di profili.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Passare a Servizi di rete > VPN > Sessioni IPSec.
  3. Selezionare Aggiungi sessione IPSec > Basata su route.
  4. Immettere un nome per la sessione IPSec basata su route.
  5. Dal menu a discesa Servizio VPN, selezionare il servizio VPN IPSec a cui si desidera aggiungere questa nuova sessione IPSec.
    Nota: Se si aggiunge questa sessione IPSec dalla finestra di dialogo Aggiungi sessioni IPSec, il nome del servizio VPN è già indicato sopra il pulsante Aggiungi sessione IPSec.
  6. Selezionare un endpoint locale esistente dal menu a discesa.
    Il valore dell'endpoint locale è obbligatorio e identifica il nodo NSX Edge locale. Se si desidera creare un endpoint locale diverso, fare clic sul menu con i tre puntini ( Tre puntini neri allineati verticalmente; facendo clic su questa icona viene visualizzato un menu di sotto comandi) e selezionare Aggiungi endpoint locale.
  7. Nella casella di testo IP remoto immettere l'indirizzo IP del sito remoto.
    Questo è un valore obbligatorio.
  8. Immettere una descrizione facoltativa per questa sessione VPN IPSec basata su route.
    La lunghezza massima è 1024 caratteri.
  9. Per abilitare o disabilitare la sessione IPSec, fare clic su Stato amministratore.
    Per impostazione predefinita, il valore è impostato su Enabled, ciò significa che la sessione IPSec deve essere configurata nel nodo NSX Edge.
  10. (Facoltativo) Dal menu a discesa Suite di conformità, selezionare una suite di conformità di sicurezza.
    Nota: Il supporto della suite di conformità è disponibile a partire da NSX-T Data Center 2.5. Per ulteriori informazioni, consultare Informazioni sulle suite di conformità supportate.
    Il valore predefinito è impostato su None. Se si seleziona una suite di conformità, la Modalità di autenticazione viene impostata su Certificate e nella sezione Proprietà avanzate, i valori di Profilo IKE e Profilo IPSec vengono impostati sui profili definiti dal sistema per la suite di conformità selezionata. Non è possibile modificare questi profili definiti dal sistema.
  11. Immettere un indirizzo della subnet IP nell'Interfaccia tunnel utilizzando la notazione CIDR.
    Questo indirizzo è obbligatorio.
  12. Se Suite di conformità è impostata su None, selezionare una modalità dal menu a discesa Modalità di autenticazione.
    La modalità di autenticazione predefinita utilizzata è PSK, ciò significa che per la sessione VPN IPSec viene utilizzata una chiave segreta condivisa tra NSX Edge e il sito remoto. Se si seleziona Certificate, per l'autenticazione viene utilizzato il certificato del sito utilizzato per configurare l'endpoint locale.

    Per ulteriori informazioni sull'autenticazione basata su certificato, vedere Utilizzo dell'autenticazione basata su certificato per le sessioni VPN IPSec.

  13. Se si seleziona la modalità di autenticazione PSK, immettere il valore della chiave nella casella di testo Chiave già condivisa.
    Questa chiave segreta può essere una stringa con una lunghezza massima di 128 caratteri.
    Attenzione: Prestare attenzione quando si condivide e si archivia il valore di una PSK perché si tratta di informazioni sensibili.
  14. Immettere un valore in ID remoto.
    Per i siti peer che utilizzano l'autenticazione PSK, questo valore dell'ID deve coincidere con l'indirizzo IP pubblico o il nome di dominio completo del sito peer. Per i siti peer che utilizzano l'autenticazione del certificato, questo valore dell'ID deve coincidere con nome comune (CN) o il nome distinto (DN) utilizzato nel certificato del sito peer.
    Nota: Se il certificato del sito peer contiene un indirizzo e-mail nella stringa DN, ad esempio
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/emailAddress=user1@mycompany.com
    immettere il valore ID remoto utilizzando il formato indicato nell'esempio seguente.
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, MAILTO=user1@mycompany.com"
    Se il certificato del sito locale contiene un indirizzo e-mail nella stringa DN e il sito peer utilizza l'implementazione IPSec strongSwan, immettere il valore ID del sito locale in tale sito peer. Di seguito è riportato un esempio.
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, E=user1@mycompany.com"
  15. Se si desidera includere questa sessione IPSec come parte di un tag di gruppo specifico, immettere il nome del tag in Tag.
  16. Per modificare i profili, la modalità di avvio, la modalità di clamping TCP MSS e i tag utilizzati dalla sessione VPN IPSec basata su route, fare clic su Proprietà avanzate.
    Per impostazione predefinita, vengono utilizzati i profili generati dal sistema. Selezionare un altro profilo disponibile se non si desidera utilizzare il profilo predefinito. Se si desidera utilizzare un profilo non ancora configurato, fare clic sul menu con i tre puntini ( Tre puntini neri allineati verticalmente. facendo clic su questa icona viene visualizzato un menu di sotto comandi ) per creare un altro profilo. Vedere Aggiunta di profili.
    1. Se il menu a discesa Profili IKE è abilitato, selezionare il profilo IKE.
    2. Selezionare il profilo del tunnel IPsec se il menu a discesa Profili IPSec non è disabilitato.
    3. Selezionare il profilo DPD preferito se il menu a discesa Profili DPD è abilitato.
    4. Selezionare la modalità preferita dal menu a discesa Modalità di avvio della connessione.
      La modalità di avvio della connessione definisce il criterio utilizzato dall'endpoint locale nel processo di creazione dei tunnel. Il valore predefinito è Iniziatore. La seguente tabella descrive le diverse modalità di avvio della connessione disponibili.
      Tabella 1. Modalità di avvio delle connessioni
      Modalità di avvio della connessione Descrizione
      Initiator Il valore predefinito. In questa modalità, l'endpoint locale avvia la creazione del tunnel VPN IPSec e risponde alle richieste di configurazione del tunnel in entrata dal gateway peer.
      On Demand Non utilizzare con la VPN basata su route. Questa modalità si applica solo alla VPN basata su criteri.
      Respond Only La VPN IPSec non inizia mai una connessione. È sempre il sito peer ad avviare la richiesta di connessione e l'endpoint locale risponde a questa richiesta di connessione.
  17. Se si desidera ridurre il payload MSS (Maximum Segment Size) della sessione TCP durante la connessione IPSec, abilitare Clamping TCP MSS, selezionare il valore Direzione TCP MSS e, facoltativamente, impostare il Valore TCP MSS.
    Per ulteriori informazioni, vedere Clamping TCP MSS.
  18. Se si desidera includere questa sessione IPSec come parte di un tag di gruppo specifico, immettere il nome del tag in Tag.
  19. Fare clic su Salva.

risultati

Quando la nuova sessione VPN IPSec basata su route viene configurata correttamente, viene aggiunta all'elenco delle sessioni VPN IPsec disponibili. È in modalità di sola lettura.

Operazioni successive