È necessario configurare un endpoint locale da utilizzare con la VPN IPSec che si sta configurando.
I passaggi seguenti utilizzano la scheda Endpoint locali nell'interfaccia utente di NSX Manager. È inoltre possibile creare un endpoint locale durante la procedura di aggiunta di una sessione VPN IPSec facendo clic sul menu con i tre puntini () e selezionando Aggiungi endpoint locale. Se si sta configurando una sessione VPN IPSec, procedere con il passaggio 3 della procedura seguente in cui viene illustrato come creare un nuovo endpoint locale.
Prerequisiti
- Se si utilizza una modalità di autenticazione basata su certificato per la sessione VPN IPSec che deve utilizzare l'endpoint locale che si sta configurando, ottenere le informazioni sul certificato che l'endpoint locale dovrà utilizzare.
- Assicurarsi di aver configurato un servizio VPN IPSec a cui associare questo endpoint locale.
Procedura
- Con i privilegi admin, accedere a NSX Manager.
- Passare a e fare clic su Aggiungi endpoint locale.
- Immettere un nome per l'endpoint locale.
- Dal menu a discesa Servizio VPN, selezionare il servizio VPN IPSec a cui questo endpoint locale deve essere associato.
- Immettere un indirizzo IP per l'endpoint locale.
Per un servizio VPN IPSec in esecuzione in un gateway di livello 0, l'indirizzo IP dell'endpoint locale deve essere diverso dall'indirizzo IP dell'interfaccia uplink del gateway di livello 0. L'indirizzo IP dell'endpoint locale specificato è associato all'interfaccia di loopback per il gateway di livello 0 e viene pubblicato anche come indirizzo IP instradabile nell'interfaccia uplink.
Per un servizio VPN IPSec in esecuzione in un gateway di livello 1, l'indirizzo IP dell'endpoint locale deve essere diverso dall'indirizzo IP dell'interfaccia di uplink del gateway di livello 1. Affinché l'indirizzo IP dell'endpoint locale sia instradabile, l'annuncio della route per gli endpoint locali IPSec deve essere abilitato nella configurazione del gateway di livello 1. Per ulteriori informazioni, consultare Aggiunta di un gateway di livello 1.
- Se si utilizza una modalità di autenticazione basata su certificato per la sessione VPN IPSec, dal menu a discesa Certificato del sito, selezionare il certificato che dev'essere utilizzato dall'endpoint locale.
- (Facoltativo) Facoltativamente, aggiungere una descrizione in Descrizione.
- Immettere il valore di ID locale utilizzato per identificare l'istanza locale di NSX Edge.
Questo ID locale è configurato come ID remoto nel sito remoto. L'ID locale deve essere l'indirizzo IP o il nome di dominio completo (FQDN) del sito remoto. Per le sessioni di VPN IPSec con autenticazione basata sul certificato e associate all'endpoint locale, il valore di
ID locale viene recuperato dal certificato associato all'endpoint locale. L'ID specificato nella casella di testo
ID locale viene ignorato. L'ID locale derivato dal certificato per una sessione VPN dipende dalle estensioni presenti nel certificato.
-
Se il X509v3 Subject Alternative Name dell'estensione X509v3 non è presente nel certificato, come valore dell'ID locale viene utilizzato il nome distinto (DN).
Ad esempio, se il certificato non include alcun campo Subject Alternative Name (SAN) e la stringa DN è:
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123
la stringa DN viene utilizzata come ID locale. Questo ID locale è l'ID peer nel sito remoto.
-
Se nel certificato è presente il X509v3 Subject Alternative Name dell'estensione X509v3, come valore di ID locale viene utilizzato uno dei campi SAN.
Se il certificato dispone di più campi SAN, per selezionare l'ID locale viene utilizzato l'ordine seguente.
Ordine |
Campo SAN |
1 |
Indirizzo IP |
2 |
DNS |
3 |
Indirizzo e-mail |
Ad esempio, se il certificato del sito configurato include i seguenti campi SAN:
x509v3 Subject Alternative Name:
DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1
l'indirizzo IP 1.1.1.1
viene utilizzato come ID locale. Se l'indirizzo IP non è disponibile, viene utilizzata la stringa DNS. Se l'indirizzo IP e DNS non sono disponibili, viene utilizzato l'indirizzo e-mail.
Per visualizzare l'ID locale utilizzato per una sessione di VPN IPSec, eseguire le operazioni seguenti:
- Passare a e quindi fare clic sulla scheda Sessioni IPSec.
- Espandere la sessione VPN IPSec.
- Fare clic su Scarica configurazione per scaricare il file di configurazione che contiene l'ID locale come ID remoto da configurare nell'endpoint VPN remoto.
- Nei menu a discesa Certificati CA attendibili ed Elenco di revoca dei certificati, selezionare i certificati appropriati necessari per l'endpoint locale.
- (Facoltativo) Specificare un tag.
- Fare clic su Salva.