NSX supporta un servizio VPN IPSec da sito a sito tra un gateway di livello 0 o di livello 1 e siti remoti. È possibile creare un servizio VPN IPSec basato su criteri o basato su route. È necessario creare il servizio VPN IPSec prima di poter configurare una sessione VPN IPSec basata su criteri o basata su route.

Nota: La VPN IPSec non è supportata nella versione Limited Export di NSX.

La VPN IPSec non è supportata quando l'indirizzo IP dell'endpoint locale passa attraverso NAT nello stesso router logico configurato per la sessione VPN IPSec.

Prerequisiti

  • È consigliabile approfondire i dettagli relativi alla VPN IPSec. Vedere Informazioni generali su VPN IPSec.
  • È necessario disporre di almeno un gateway di livello 0 o di livello 1 configurato e disponibile per l'uso. Per ulteriori informazioni, consultare Aggiunta di un gateway di livello 0 di NSX o Aggiunta di un gateway di livello 1 di NSX.
  • Quando si configura NSX con NAT e IPSec, è importante eseguire la sequenza di passaggi corretta per garantire il corretto funzionamento. In particolare, configurare NAT prima di configurare la connessione VPN. Se ad esempio si configura inavvertitamente la VPN prima di NAT, quando si aggiunge una regola NAT dopo che la sessione VPN è stata configurata, lo stato del tunnel VPN rimarrà inattivo. Per ristabilire il tunnel VPN, è necessario riabilitare o riavviare la configurazione della VPN. Per evitare questo problema, configurare sempre NAT prima di configurare la connessione VPN in NSX o applicare la soluzione per ovviare al problema.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Passare a Servizi di rete > VPN > Servizi VPN.
  3. Selezionare Aggiungi servizio > IPSec.
  4. Immettere un nome per il servizio IPSec.
    Questo nome è obbligatorio.
  5. Dal menu a discesa Gateway di livello 0 / livello 1, selezionare il gateway di livello 0 o di livello 1 da associare a questo servizio VPN IPSec.
  6. Abilitare o disabilitare Stato amministratore.
    Per impostazione predefinita, il valore è impostato su Enabled, il che significa che il servizio VPN IPSec è abilitato nel gateway di livello 0 o di livello 1 dopo la configurazione del nuovo servizio VPN IPSec.
  7. Impostare il valore per Livello di registro IKE.
    L'impostazione predefinita è impostata sul livello Info.
  8. Immettere un valore per Tag se si desidera includere questo servizio in un gruppo di tag.
  9. Per abilitare o disabilitare la sincronizzazione stateful delle sessioni VPN, attivare o disattivare la Sincronizzazione sessione.
    Per impostazione predefinita, il valore è impostato su Enabled.
  10. Fare clic su Regole globali di bypass se si desidera consentire lo scambio di pacchetti di dati tra gli indirizzi IP locali e remoti specificati senza alcuna protezione IPSec. Nelle caselle di testo Reti locali e Reti remote, immettere l'elenco di subnet locali e remote tra le quali vengono applicate le regole di bypass.
    Se si abilitano queste regole, i pacchetti di dati vengono scambiati tra i siti IP locali e remoti specificati, anche se gli indirizzi IP sono specificati nelle regole della sessione IPSec. L'impostazione predefinita prevede l'utilizzo della protezione IPSec quando i dati vengono scambiati tra siti locali e remoti. Queste regole si applicano per tutte le sessioni VPN IPSec create all'interno di questo servizio VPN IPSec.
  11. Fare clic su Regole globali di bypass se si desidera consentire lo scambio di pacchetti di dati tra gli indirizzi IP locali e remoti specificati senza alcuna protezione IPSec. Nelle caselle di testo Reti locali e Reti remote, immettere l'elenco di subnet locali e remote tra le quali vengono applicate le regole di bypass.
    Se si abilitano queste regole, i pacchetti di dati vengono scambiati tra i siti IP locali e remoti specificati, anche se gli indirizzi IP sono specificati nelle regole della sessione IPSec. L'impostazione predefinita prevede l'utilizzo della protezione IPSec quando i dati vengono scambiati tra siti locali e remoti. Queste regole si applicano per tutte le sessioni VPN IPSec create all'interno di questo servizio VPN IPSec.
  12. Fare clic su Salva.
    Dopo aver creato correttamente il nuovo servizio VPN IPSec, viene richiesto se si desidera continuare con il resto della configurazione VPN IPSec. Se si fa clic su si viene reindirizzati al pannello Aggiungi servizio VPN IPSec. Il collegamento Sessioni è ora abilitato ed è possibile fare clic su di esso per aggiungere una sessione VPN IPSec.

risultati

Dopo aver aggiunto una o più sessioni VPN IPSec, il numero di sessioni per ogni servizio VPN viene visualizzato nella scheda Servizi VPN. È possibile riconfigurare o aggiungere sessioni facendo clic sul numero nella colonna Sessioni. Non è necessario modificare il servizio. Se il numero è zero, non è possibile fare clic su di esso ed è necessario modificare il servizio per aggiungere sessioni.

Operazioni successive

Utilizzare le informazioni in Aggiunta di sessioni VPN IPSec per sapere come aggiungere una sessione VPN IPSec. È inoltre possibile fornire informazioni per i profili e l'endpoint locale necessari per completare la configurazione VPN IPSec.