Quando si aggiunge una VPN IPSec basata su criteri, i tunnel IPSec vengono utilizzati per connettere più subnet locali dietro al nodo NSX Edge con subnet peer nel sito VPN remoto.
I passaggi seguenti utilizzano la scheda Sessioni IPSec nell'interfaccia utente di NSX Manager per creare una sessione IPSec basata su criteri. Aggiungere inoltre informazioni per i profili tunnel, IKE e DPD e selezionare un endpoint locale esistente da utilizzare con la VPN IPSec basata su criteri.
Nota:
È inoltre possibile aggiungere le sessioni VPN IPSec immediatamente dopo aver configurato correttamente il servizio VPN IPSec. Fare clic su Sì quando viene richiesto di continuare con la configurazione del servizio VPN IPSec e selezionare nel pannello Aggiungi servizio IPSec. Nei primi passaggi della procedura seguente si assume che si scelga No alla richiesta per continuare con la configurazione del servizio VPN IPSec. Se si sceglie Sì, procedere con il passaggio 3 nella procedura seguente per essere guidati nel resto della configurazione della sessione VPN IPSec basata su criteri.
Prerequisiti
- È necessario aver configurato un servizio VPN IPSec prima di procedere. Vedere Aggiunta di un servizio VPN IPSec.
- Ottenere le informazioni per l'endpoint locale, l'indirizzo IP del sito peer, la subnet della rete locale e la subnet della rete remota da utilizzare con la sessione VPN IPSec basata su criteri che si sta aggiungendo. Per creare un endpoint locale, vedere Aggiunta di endpoint locali.
- Se si utilizza una chiave PSK (Pre-Shared Key, chiave già condivisa) per l'autenticazione, ottenere il valore della PSK.
- Se per l'autenticazione si utilizza un certificato, assicurarsi che i certificati del server necessari e i certificati corrispondenti firmati dall'autorità di certificazione siano già stati importati. Vedere Certificati.
- Se non si desidera utilizzare i valori predefiniti per i profili del tunnel IPSec, IKE o DPD (Dead Peer Detection) forniti da NSX, configurare i profili che si desidera utilizzare. Per informazioni, vedere Aggiunta di profili.
Procedura
- Con i privilegi admin, accedere a NSX Manager.
- Passare alla scheda .
- Selezionare .
- Immettere un nome per la sessione VPN IPSec basata su criteri.
- Dal menu a discesa Servizio VPN, selezionare il servizio VPN IPSec a cui si desidera aggiungere questa nuova sessione IPSec.
Nota: Se si aggiunge questa sessione IPSec dalla finestra di dialogo
Aggiungi sessioni IPSec, il nome del servizio VPN è già indicato sopra il pulsante
Aggiungi sessione IPSec.
- Selezionare un endpoint locale esistente dal menu a discesa.
Questo valore dell'endpoint locale è obbligatorio e identifica il nodo
NSX Edge locale. Se si desidera creare un endpoint locale diverso, fare clic sul menu con i tre puntini (
) e selezionare
Aggiungi endpoint locale.
- Nella casella di testo IP remoto immettere l'indirizzo IP richiesto del sito remoto.
Questo valore è obbligatorio.
- Immettere una descrizione facoltativa per questa sessione VPN IPSec basata su criteri.
La lunghezza massima è 1024 caratteri.
- Per abilitare o disabilitare la sessione VPN IPSec, fare clic su Stato amministratore.
Per impostazione predefinita, il valore è impostato su
Enabled
, ciò significa che la sessione VPN IPSec deve essere configurata nel nodo
NSX Edge.
- (Facoltativo) Dal menu a discesa Suite di conformità, selezionare una suite di conformità di sicurezza.
Il valore predefinito selezionato è
None
. Se si seleziona una suite di conformità, la
Modalità di autenticazione viene impostata su
Certificate
e nella sezione
Proprietà avanzate, i valori di
Profilo IKE e
Profilo IPSec vengono impostati sui profili definiti dal sistema per la suite di conformità di sicurezza selezionata. Non è possibile modificare questi profili definiti dal sistema.
- Se Suite di conformità è impostata su
None
, selezionare una modalità dal menu a discesa Modalità di autenticazione.
La modalità di autenticazione predefinita utilizzata è
PSK
, ciò significa che per la sessione VPN IPSec viene utilizzata una chiave segreta condivisa tra
NSX Edge e il sito remoto. Se si seleziona
Certificate
, per l'autenticazione viene utilizzato il certificato del sito utilizzato per configurare l'endpoint locale.
Per ulteriori informazioni sull'autenticazione basata su certificato, vedere Utilizzo dell'autenticazione basata su certificato per le sessioni VPN IPSec.
- Nelle caselle di testo Reti locali e Reti remote, immettere almeno un indirizzo di subnet IP da utilizzare per questa sessione VPN IPSec basata su criteri.
Queste subnet devono essere in un formato CIDR.
- Se Modalità di autenticazione è impostata su
PSK
, immettere il valore della chiave nella casella di testo Chiave già condivisa.
Questa chiave segreta può essere una stringa con una lunghezza massima di 128 caratteri.
Attenzione: Prestare attenzione quando si condivide e si archivia il valore di una PSK perché si tratta di informazioni sensibili.
- Per identificare il sito peer, immettere un valore in ID remoto.
Per i siti peer che utilizzano l'autenticazione PSK, questo valore dell'ID deve essere l'indirizzo IP o il nome di dominio completo (FQDN) del sito peer. Per i siti peer che utilizzano l'autenticazione del certificato, questo valore dell'ID deve coincidere con nome comune (CN) o il nome distinto (DN) utilizzato nel certificato del sito peer.
Nota: Se il certificato del sito peer contiene un indirizzo e-mail nella stringa DN, ad esempio
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
immettere il valore
ID remoto utilizzando il formato indicato nell'esempio seguente.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
Se il certificato del sito locale contiene un indirizzo e-mail nella stringa DN e il sito peer utilizza l'implementazione IPSec strongSwan, immettere il valore ID del sito locale in tale sito peer. Di seguito è riportato un esempio.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
- Per modificare i profili, la modalità di avvio, la modalità di clamping TCP MSS e i tag utilizzati dalla sessione VPN IPSec basata su criteri, fare clic su Proprietà avanzate.
Per impostazione predefinita, vengono utilizzati i profili generati dal sistema. Selezionare un altro profilo disponibile se non si desidera utilizzare il profilo predefinito. Se si desidera utilizzare un profilo non ancora configurato, fare clic sul menu con i tre puntini (
) per creare un altro profilo. Vedere
Aggiunta di profili.
- Se il menu a discesa Profili IKE è abilitato, selezionare il profilo IKE.
- Selezionare il profilo del tunnel IPsec se il menu a discesa Profili IPSec non è disabilitato.
- Selezionare il profilo DPD preferito se il menu a discesa Profili DPD è abilitato.
- Selezionare la modalità preferita dal menu a discesa Modalità di avvio della connessione.
La modalità di avvio della connessione definisce il criterio utilizzato dall'endpoint locale nel processo di creazione dei tunnel. Il valore predefinito è
Iniziatore. La seguente tabella descrive le diverse modalità di avvio delle connessioni disponibili.
Tabella 1.
Modalità di avvio delle connessioni
Modalità di avvio della connessione |
Descrizione |
Initiator |
Il valore predefinito. In questa modalità, l'endpoint locale avvia la creazione del tunnel VPN IPSec e risponde alle richieste di configurazione del tunnel in entrata dal gateway peer. |
On Demand |
In questa modalità, l'endpoint locale avvia la creazione del tunnel VPN IPSec dopo la ricezione del primo pacchetto che corrisponde alla regola del criterio. Risponde inoltre alla richiesta di avvio in arrivo. |
Respond Only |
La VPN IPSec non inizia mai una connessione. È sempre il sito peer ad avviare la richiesta di connessione e l'endpoint locale risponde a questa richiesta di connessione. |
- Se si desidera ridurre il payload MSS (Maximum Segment Size) della sessione TCP durante la connessione IPSec, abilitare Clamping TCP MSS, selezionare il valore Direzione TCP MSS e, facoltativamente, impostare il Valore TCP MSS.
- Se si desidera includere questa sessione come parte di un gruppo specifico, immettere il nome del tag in Tag.
- Fare clic su Salva.
risultati
Quando la nuova sessione VPN IPSec basata su criteri viene configurata correttamente, viene aggiunta all'elenco delle sessioni VPN IPsec disponibili. È in modalità di sola lettura.