Виртуальный L3 канал на базе IPSEC

L3 канал на базе IPSec используется для защиты данных, которые передаются между сайтами вне облака и сетями L3 на удаленной площадке.

В NSX-T Edge вы можете самостоятельно настроить IPSec-канал с типом сессий policy-based. Чтобы настроить IPSec route-based, обратитесь в техническую поддержку.

Создание policy-based IPSec-канала между Edge Gateway в текущем тенанте и Edge Gateway в другом тенанте

  1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.

  2. Выберите объект из списка, нажав на переключатель слева от названия.

    Примечание

    Публичный IP-адрес указан в разделе IP Management → IP Allocations.

    • B блоке IPs used — список публичных IP-адресов Edge Gateway.

      PRIMARY_IP в формате «x.x.x.x» — основной публичный IP-адрес.

    • В блоке Allocated IPs — дополнительные IP-адреса, добавленные NSX-T Edge Gateway.

    ../../_images/s__ip-allocations-nsx-t1.png
  3. В разделе Services → IPSec VPN нажмите NEW.

  4. Заполните форму Add IPSec VPN Tunnel:

    В разделе General:

    • Name — название IPSec VPN туннеля.

    • (Опционально) Description — описание.

    • Enabled — активируйте переключатель.

    • Pre-Shared Key — укажите ключ аутентификации.

    • Securiyy Profile — выберите профиль и ознакомьтесь с подробностями, развернув Profile Details.

    В разделе Local Endpoint:

    • IP Address — публичный IP-адрес в формате «x.x.x.x».

    • Networks — внутренний IP-адрес или диапазон IP-адресов в формате IP-адрес/длина префикса, например «a.a.a.0/24».

    В разделе Remote Endpoint:

    • IP Address — IP-адрес удаленной площадки в формате «y.y.y.y».

    • Networks — частная подсеть, которая будет туннелироваться IPsec VPN в формате IP-адрес/длина префикса, например «b.b.b.0/24».

    • Logging — при необходимости регистрировать преобразование адресов, выполняемое этим правилом, активируйте переключатель.

  5. Нажмите SAVE.

Настройка параметров Security Profile

  1. В разделе Services → IPSec VPN выберите созданный ранее IPSec-канала.

    Сверху появится опция SECURITY PROFILE CUSTOMIZATION — нажмите на нее.

    ../../_images/s__security-profile.png
  2. Заполните форму Customize Security Profile:

    В разделе IKE Profiles:

    • Version — версия IKE, например «IKE v2».

    • Encryption — алгоритм шифрования, например «AES 256».

    • Digest — алгоритм аутентификации, например «SHA 2 - 256».

    • Diffie-Hellman Group — алгоритм обмена ключами.

    • Assication Life Time (seconds) — время жизни SA в секундах, например «86400».

    В разделе Tunnel Configuration:

    • Enable Perfect Forward Secrecy — активируйте переключатель.

    • Defragmentation Policy — выберите политику дефрагментации, например «Copy».

    • Encryption — алгоритм шифрования, например «AES 256».

    • Digest — алгоритм аутентификации, например «SHA 2 - 256».

    • Diffie-Hellman Group — алгоритм обмена ключами.

    • Assication Life Time (seconds) — время жизни SA в секундах, например «3600».

    В разделе DPD Configuration:

    Probe Interval (seconds) — оставьте по умолчанию.

  3. Нажмите SAVE.

Проверка работоспособности

В разделе Services → IPSec VPN выберите созданный ранее IPSec-канала.

Сверху появится опция VIEW STATISTICS — нажмите на нее.

../../_images/s__view-statistic.png

Если в полях Tunnel Status и IKE service Status указано «Up», IPSec-туннель появился.

../../_images/s__view-statistic2.png

Примечание

Также настройте правила Firewall, разрешающие прохождение трафика между приватными сетями (которые должны быть видны друг для друга через туннель) с двух сторон туннеля.