Попробовать

Виртуальный L3 канал на базе IPSEC

Примечание

Эта инструкция для NSX-T. Если вы работаете с NSX-V, перейдите в раздел Виртуальный L3 канал на базе IPSEC.

L3 канал на базе IPSec используется для защиты данных, которые передаются между сайтами вне облака и сетями L3 на удаленной площадке.

../../_images/sch__l3-ipsec.svg

На схеме:

  • x.x.x.x, y.y.y.y — внешние IP-адреса;

  • a.a.a.a/24 — адрес внутренней Routed-сети виртуального ЦОД;

  • b.b.b.b/24 — адрес сети на удаленной площадке.

В NSX-T Edge вы можете самостоятельно настроить IPSec-канал с типом сессий policy-based. Чтобы настроить IPSec route-based, обратитесь в техническую поддержку.

Создание policy-based IPSec-канала между Edge Gateway в текущем тенанте и Edge Gateway в другом тенанте

  1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.

  2. Нажмите на название Edge Gateway.

    Примечание

    Публичный IP-адрес указан в разделе IP Management → IP Allocations → IPs used. PRIMARY_IP в формате x.x.x.x — внешний IP-адрес виртуального ЦОД.

    Скриншот

    ../../_images/s__ip-allocations-nsx-t1.png
  3. В разделе Services → IPSec VPN нажмите NEW.

  4. Заполните форму Add IPSec VPN Tunnel:

    В разделе General:

    • Name — название IPSec VPN туннеля.

    • (Опционально) Description — описание.

    • Enabled — активируйте переключатель.

    • Pre-Shared Key — укажите ключ аутентификации.

    • Securiyy Profile — выберите профиль и ознакомьтесь с подробностями, развернув Profile Details.

    В разделе Local Endpoint:

    • IP Address — публичный IP-адрес в формате «x.x.x.x».

    • Networks — внутренний IP-адрес или диапазон IP-адресов в формате IP-адрес/длина префикса, например «a.a.a.0/24».

    В разделе Remote Endpoint:

    • IP Address — IP-адрес удаленной площадки в формате «y.y.y.y».

    • Networks — частная подсеть, которая будет туннелироваться IPsec VPN в формате IP-адрес/длина префикса, например «b.b.b.0/24».

    • Logging — при необходимости регистрировать преобразование адресов, выполняемое этим правилом, активируйте переключатель.

  5. Нажмите SAVE.

Настройка параметров Security Profile

  1. В разделе Services → IPSec VPN выберите созданный ранее IPSec-канала.

    Сверху появится опция SECURITY PROFILE CUSTOMIZATION — нажмите на нее.

    ../../_images/s__security-profile.png
  2. Заполните форму Customize Security Profile:

    В разделе IKE Profiles:

    • Version — версия IKE, например «IKE v2».

    • Encryption — алгоритм шифрования, например «AES 256».

    • Digest — алгоритм аутентификации, например «SHA 2 - 256».

    • Diffie-Hellman Group — алгоритм обмена ключами.

    • Assication Life Time (seconds) — время жизни SA в секундах, например «86400».

    В разделе Tunnel Configuration:

    • Enable Perfect Forward Secrecy — активируйте переключатель.

    • Defragmentation Policy — выберите политику дефрагментации, например «Copy».

    • Encryption — алгоритм шифрования, например «AES 256».

    • Digest — алгоритм аутентификации, например «SHA 2 - 256».

    • Diffie-Hellman Group — алгоритм обмена ключами.

    • Assication Life Time (seconds) — время жизни SA в секундах, например «3600».

    В разделе DPD Configuration:

    Probe Interval (seconds) — оставьте по умолчанию.

  3. Нажмите SAVE.

Проверка работоспособности

В разделе Services → IPSec VPN выберите созданный ранее IPSec-канала.

Сверху появится опция VIEW STATISTICS — нажмите на нее.

../../_images/s__view-statistic.png

Если в полях Tunnel Status и IKE service Status указано «Up», IPSec-туннель появился.

../../_images/s__view-statistic2.png

Примечание

Также настройте правила Firewall, разрешающие прохождение трафика между приватными сетями (которые должны быть видны друг для друга через туннель) с двух сторон туннеля.