Configurare una sessione VPN IPSec tra il PCG e l'appliance del servizio in uso.
Prerequisiti
- Un PCG o una sua coppia ad alta disponibilità devono essere distribuiti in un VPC/VNet di transito.
- L'appliance del servizio deve essere configurata nel cloud pubblico, preferibilmente nel VPC/VNet di transito.
Procedura
- Passare a Rete > VPN
- Aggiungere un servizio VPN di tipo IPSec e prendere nota delle seguenti opzioni di configurazione specifiche per NSX Cloud. Per altri dettagli, vedere Aggiunta di un servizio VPN IPSec.
Opzione Descrizione Nome Il nome di questo servizio VPN viene utilizzato per configurare l'endpoint locale e le sessioni VPN IPSec. Prenderne nota. Tipo di servizio Verificare che questo valore sia impostato su IPSec. Gateway di livello 0 Selezionare il gateway di livello 0 creato automaticamente per il VPC/VNet di transito. Il suo nome contiene l'ID del VPC/VNet, ad esempio cloud-t0-vpc-6bcd2c13. - Aggiungere un endpoint locale per PCG. L'indirizzo IP dell'endpoint locale è il valore del tag nsx:local_endpoint_ip per il PCG distribuito nel VPC/VNet di transito. Accedere al VPC/VNet di transito per questo valore. Prendere nota delle seguenti configurazioni specifiche per NSX Cloud e vedere Aggiunta di endpoint locali per altri dettagli.
Opzione Descrizione Nome Il nome dell'endpoint locale viene utilizzato per configurare le sessioni VPN IPSec. Prenderne nota. Servizio VPN Selezionare il servizio VPN aggiunto nel passaggio 2. Indirizzo IP Individuare questo valore accedendo alla console di AWS o al portale di Microsoft Azure. È il valore del tag nsx:local_endpoint_ip applicato all'interfaccia di uplink del PCG. - Creare una sessione IPSec basata su route tra il PCG e l'appliance del servizio nel cloud pubblico (preferibilmente ospitato nel VPC/VNet di transito).
Opzione Descrizione Tipo Verificare che il valore sia impostato su Basata su route. Servizio VPN Selezionare il servizio VPN aggiunto nel passaggio 2. Endpoint locale Selezionare l'endpoint locale creato nel passaggio 3. IP remoto Immettere l'indirizzo IP privato dell'appliance del servizio. Nota: Se l'appliance del servizio è accessibile utilizzando un indirizzo IP pubblico, assegnare un indirizzo IP pubblico all'IP dell'endpoint locale (noto anche come IP secondario) all'interfaccia di uplink del PCG.Interfaccia tunnel Questa subnet deve corrispondere alla subnet dell'appliance del servizio per il tunnel VPN. Immettere il valore della subnet impostato nell'appliance del servizio per il tunnel VPN o prendere nota del valore immesso qui e assicurarsi che venga utilizzata la stessa subnet durante la configurazione del tunnel VPN nell'appliance del servizio. Nota: Configurare BGP in questa interfaccia tunnel. Vedere Configurazione della ridistribuzione di BGP e route.ID remoto Immettere l'indirizzo IP privato dell'appliance del servizio nel cloud pubblico. Profilo IKE La sessione VPN IPSec deve essere associata a un profilo IKE. Se è stato creato un profilo, selezionarlo dal menu a discesa. È inoltre possibile utilizzare il profilo predefinito.
