Попробовать

Виртуальный L3 канал на базе IPSEC

L3 канал на базе IPSec используется для защиты данных, которые передаются между сайтами вне облака и сетями L3 на удаленной площадке. В NSX Edge вы можете настроить IPSec-канал с типом сессий policy-based и route-based.

Пример топологии сети с L3 каналом на базе IPsec:

../../_images/s__l3-ipsec.png

Создание policy-based IPSec-канала между Edge Gateway и роутером Cisco на удаленной площадке

  1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.

  2. Выберите объект из списка, нажав на переключатель слева от названия.

    Примечание

    Чтобы узнать информацию о пограничном шлюзе, нажмите на его название. В разделе Configuration → Gateway Interfaces указаны:

    • в поле Primary IP — публичные IP-адреса Edge Gateway в формате «x.x.x.x»;

    • в поле Subnets — подсеть Edge Gateway в формате «x.x.x.0/24»;

    • в поле Gateway — шлюз по умолчанию в формате «x.x.x.254».

    ../../_images/s__gateway-interfaces2.png
  3. Нажмите Services.

  4. На вкладке VPN → IPsec VPN → IPsec VPN Sites нажмите на плюс, чтобы добавить IPsec VPN.

  5. Заполните форму Add IPsec VPN:

    • Enabled — активируйте переключатель, чтобы включить конфигурацию сайта;

    • Enable perfect forward secrecy (PFS) — включите дополнительный уровень безопасности для rekey фазы 2;

    • Local ID и Local Endpoint — укажите публичный IP-адрес Edge Gateway в формате «x.x.x.x»;

    • Local Subnets — укажите локальные сети, которые туннелируются с локальной стороны IPsec VPN в формате «a.a.a.a/24»;

    • Peer Id и Peer Endpoint — укажите IP-адрес удаленной площадки в формате «y.y.y.y»;

    • Peer Subnets — укажите сети, которые будут туннелироваться IPsec VPN на удаленной стороне в формате «b.b.b.b/24»;

    • Encryption Algorithm — выберите алгоритм шифрования, например «AES»;

    • Authentication — выберите тип аутентификации: алгоритм PSK (Pre-Shared Key) или сертификат;

    • Pre-Shared Key — укажите ключ аутентификации;

    • Diffie-Hellman Group — выберите алгоритм обмена ключами, например «DH5»;

    • Digest algorithm — выберите алгоритм аутентификации, например «SHA-256»;

    • IKE option — выберите тип IKE, например «IKEv1»;

    • IKE responder only — позволяет включить IKE в режиме responder only;

    • Session type — выберите тип сессии «policy-based».

  6. Нажмите KEEP.

Проверка работоспособности

Перейдите на вкладку Statistics → IPSec VPN. Если в полях Channel Status и Tunnel Status стоят галки, IPSec-туннель появился.

../../_images/s__ipsec-vpn-configuration.png

Настройка роутера Сisco

  1. Сконфигурируйте интерфейс и шлюз по умолчанию:

    interface GigabitEthernet1
    ip address y.y.y.y 255.255.255.192
    crypto map MYVPN
    ip route 0.0.0.0 0.0.0.0 y.y.y.254
    
  2. Настройте IKE политику:

    pd01-asr-test_001#conf term
    #Параметры должны совпадать теми, что вы указали ранее в форме Add IPsec VPN
    pd01-asr-test_001(config)#crypto isakmp policy 5
    pd01-asr-test_001(config-isakmp)#encr aes
    pd01-asr-test_001(config-isakmp)#hash sha256
    pd01-asr-test_001(config-isakmp)#authentication pre-share
    pd01-asr-test_001(config-isakmp)#group 15
    
  3. Сопоставьте удалённый узел с секретным ключом:

    pd01-asr-test_001#conf term
    pd01-asr-test_001(config)#crypto isakmp key * address x.x.x.x
    
  4. Настройте IPSec phase 2:

    #Параметры должны совпадать теми, что вы указали ранее в форме Add IPsec VPN
    
    pd01-asr-test_001(config)#crypto ipsec transform-set myset esp-aes esp-sha256-hmac
    
  5. Создайте IPSec ACL:

    #Параметры должны совпадать теми, что вы указали ранее в форме Add IPsec VPN
    
    pd01-asr-test_001(config)#access-list 101 permit ip b.b.b.0 0.0.0.255 a.a.a.0 0.0.0.255
    
  6. Привяжите политику к крипто-карте и назовите ее MYVPN:

    pd01-asr-test_001(config)#crypto map MYVPN 1 ipsec-isakmp
    pd01-asr-test_001(config-crypto-map)#set transform-set myset
    pd01-asr-test_001(config-crypto-map)#set peer x.x.x.x
    pd01-asr-test_001(config-crypto-map)#match address 101
    
  7. Конфигурация Cisco роутера:

    pd01-asr-test_001#show running-config
    crypto isakmp policy 5
    encr aes
    hash sha256
    authentication pre-share
    group 15
    crypto isakmp key ******* address x.x.x.x
    

    Важно

    После «key» установите надежный пароль:

    • от 12 символов и больше;

    • с заглавными и строчными буквами, цифрами, пробелами и специальными символами.

    Пример: J#Xjq3:PhIcR

    crypto ipsec transform-set myset esp-aes esp-sha256-hmac
    mode tunnel
    !
    crypto map MYVPN 1 ipsec-isakmp
    set peer x.x.x.x
    set transform-set myset
    match address 101
    !
    interface GigabitEthernet1
    ip address y.y.y.y 255.255.255.192
    negotiation auto
    no mop enabled
    no mop sysid
    crypto map MYVPN
    !
    interface GigabitEthernet2
    ip address b.b.b.2 255.255.255.0
    negotiation auto
    no mop enabled
    no mop sysid
    !
    ip route 0.0.0.0 0.0.0.0 y.y.y.254
    ip ssh version 2
    access-list 101 permit ip b.b.b.0 0.0.0.255 a.a.a.0 0.0.0.255
    !
    control-plane
    end
    

Проверка доступности удаленной площадки из роутера Сisco

  1. Проверьте доступность командой ping.

    ../../_images/s__check-cisco.png
  2. Проверьте IPSec phase 1 командой:

    show crypto isakmp sa
    

    Состояние должно быть QM_IDLE, статус ACTIVE.

    ../../_images/s__check-ipsec.png

    Подробную информацию можно посмотреть с помощью команды:

    show crypto isakmp sa detail
    
    ../../_images/s__info-ipsec.png
  3. Проверьте IPSec phase 2 командой:

    show crypto ipsec sa
    

    Счетчики encrypt и decrypt не должны быть равны 0.

    ../../_images/s__check-ipsec2.png

См.также

Подробная информация в документации VMware по настройке IPSec: