In un ambiente NSX multi-tenant, un amministratore del progetto può configurare il servizio VPN L2 e VPN IPSec nei gateway di livello 1 di un progetto.
Per configurare la VPN nel gateway di livello 1 di un progetto, è necessario assegnare un cluster Edge al progetto.
Le funzionalità seguenti sono supportate per il servizio VPN nei progetti:
- In ogni gateway di livello 1 di un progetto, è possibile configurare un solo servizio IPSec e un solo servizio VPN L2.
- Per la configurazione della VPN IPSec basata su route, sono supportate le route statiche. Il routing dinamico con interfaccia tunnel virtuale (VTI) che utilizza BGP non è supportato nel gateway di livello 1 di un progetto.
- Il flusso di lavoro per la configurazione del servizio VPN IPSec e VPN L2 in un progetto è uguale a quello per la configurazione di questi servizi nello spazio predefinito. Per ulteriori informazioni, vedere Aggiunta di servizi VPN di NSX.
- Per la configurazione delle sessioni VPN IPSec sono supportate sia l'autenticazione con chiave già condivisa sia l'autenticazione basata su certificato.
- Un amministratore aziendale può condividere i certificati di servizio e gli elenchi di revoche dei certificati (CRL) con i progetti, se necessario. L'amministratore del progetto può utilizzare i certificati condivisi per autenticare gli endpoint IPSec quando per le sessioni VPN IPSec è configurata l'autenticazione basata su certificato.
- In alternativa, un amministratore del progetto può creare, aggiornare o gestire i certificati di servizio e i CRL nella vista del progetto e utilizzarli per configurare sessioni VPN IPSec nel progetto.
- I profili VPN creati dal sistema vengono condivisi per impostazione predefinita con tutti i progetti nel sistema. Un amministratore del progetto può utilizzare i seguenti profili VPN predefiniti o creare nuovi profili per configurare i servizi VPN nel progetto.
- Profilo IKE
- Profilo tunnel IPSec
- Profilo DPD
- Profilo tunnel VPN L2
- Profili relativi alla suite di conformità
Per ulteriori informazioni sull'aggiunta di profili IKE, IPSec e DPD, vedere Aggiunta di profili. Se un amministratore aziendale ha creato profili VPN nello spazio predefinito, è possibile condividerli con progetti specifici, se necessario. I profili condivisi possono essere utilizzati in modalità di sola lettura nei progetti.
- Un amministratore aziendale può limitare il numero di oggetti correlati alla VPN che possono essere creati in un progetto definendo le quote per vari tipi di oggetti. Ad esempio, è possibile definire quote su questi oggetti VPN:
- Sessioni VPN IPSec
- Sessioni VPN L2
- Endpoint locali
- Servizi VPN IPSec
- Servizi VPN L2
- Profili VPN
L'elenco non è esaustivo. Per l'elenco completo degli oggetti, passare alla scheda Quote nell'interfaccia utente di NSX Manager.
- Il monitoraggio dello stato dei servizi VPN, delle sessioni VPN e di altre statistiche VPN è supportato nella vista del progetto.
- È supportata la configurazione dei tunnel VPN L2 e VPN IPSec tra i gateway di livello 1 di due progetti diversi nella stessa distribuzione NSX.
- La configurazione dei tunnel VPN L2 e VPN IPSec tra gateway di livello 1 dello stesso progetto è supportata.
Quando si configura il servizio VPN nei gateway di livello 1 di un progetto, è necessario tenere presenti i punti seguenti:
- Gli endpoint locali IPSec vengono realizzati come IP di loopback nel gateway di livello 1 del progetto. L'IP dell'endpoint locale deve essere univoco nel data center. Gli IP dell'endpoint vengono annunciati al gateway di livello 0 associato al progetto e quindi inviati alle reti upstream tramite BGP.
- Per consentire i pacchetti IPSec (porta UDP IKE 500 e 4500, ESP) verso il gateway di livello 1, l'amministratore aziendale deve definire regole del firewall nel gateway di livello 0 associato al progetto. Le regole del firewall nel gateway di livello 0 non vengono create automaticamente dal sistema. Tuttavia, le regole del firewall nel gateway di livello 1 del progetto vengono create automaticamente per consentire il traffico IKE ed ESP tra gli endpoint nella sessione VPN IPSec.