Облако VMware
Тема интерфейса
Виртуальный ЦОД на базе VMware

Настройка виртуального L3 канала на базе IPSec

L3 канал на базе IPSec используется для защиты данных, которые передаются между сайтами вне облака и сетями L3 на удаленной площадке.

../../_images/sch__l3-ipsec.svg

На схеме:

  • x.x.x.x, y.y.y.y — внешние IP-адреса;

  • a.a.a.a/24 — адрес внутренней Routed-сети виртуального ЦОД;

  • b.b.b.b/24 — адрес сети на удаленной площадке.

IPSec-канал может работать в режимах policy-based и route-based.

Создание policy-based IPSec-канала между Edge Gateways в разных тенантах

Чтобы создать policy-based IPSec-канал между Edge Gateway в текущем тенанте и Edge Gateway в другом тенанте:

  1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.

  2. Нажмите на название Edge Gateway.

  3. В разделе Services → IPSec VPN нажмите NEW.

    Откроется форма Add IPSec VPN Tunnel.

  4. Заполните раздел General Settings:

    • Name — название канала IPSec VPN.

    • (Опционально) Description — описание канала IPSec VPN.

    • Security Profile — оставьте профиль по умолчанию.

    • Status — оставьте активированным.

  5. Заполните раздел Peer Authentication Mode:

    • Authentication Mode — выберите способ аутентификации.

    • При выборе Pre-Shared Key укажите ключ аутентификации.

      Ключ должен быть одинаковый на обоих концах канала IPSec VPN.

    • При выборе Certificate загрузите Server Certificate и CA Certificate, нажав SELECT.

  6. Заполните раздел Endpoint Configuration:

    • Local Endpoint → IP Address — публичный IP-адрес Edge Gateway в формате «x.x.x.x».

      Используйте IP-адрес, который не задействован в сервисах DNAT, транслирующих трафик без указанных External Port и Application. В противном случае трансляция DNAT может нарушить работу виртуального канала L3 на базе IPsec и привести к блокировке других DNAT-правил.

    • Local Endpoint → Networks — локальная сеть виртуального ЦОД в формате «a.a.a.0/24».

    • Remote Endpoint → IP Address — IP-адрес удаленной площадки в формате «y.y.y.y».

    • Remote Endpoint → Networks — сеть удаленной площадки в формате «b.b.b.0/24».

    • (Опционально) Remote Endpoint → Remote ID — идентификатор удаленной площадки.

      Если оставить поле незаполненным, идентификатор будет совпадать с IP-адресом удаленной площадки.

  7. Нажмите SAVE.

При создании IPSec-канала автоматически создаются правила Firewall, по два правила на каждый канал. Создание правил Firewall необходимо для корректной работы IPSec-канала.

Создание route-based IPSec-канала между Edge Gateways в разных тенантах

Чтобы создать route-based IPSec-канал между Edge Gateway в текущем тенанте и Edge Gateway в другом тенанте:

  1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges.

  2. Нажмите на название Edge Gateway.

  3. В разделе Services → IPSec VPN нажмите NEW.

    Откроется форма Add IPSec VPN Tunnel.

  4. Заполните раздел General Settings:

    • Name — название канала IPSec VPN.

    • (Опционально) Description — описание канала IPSec VPN.

    • Type — выберите Route Based.

    • Security Profile — оставьте профиль по умолчанию.

    • Status — оставьте активированным.

  5. Заполните раздел Peer Authentication Mode:

    • Authentication Mode — выберите способ аутентификации.

    • При выборе Pre-Shared Key укажите ключ аутентификации.

      Ключ должен быть одинаковый на обоих концах канала IPSec VPN.

    • При выборе Certificate загрузите Server Certificate и CA Certificate, нажав SELECT.

  6. Заполните раздел Endpoint Configuration:

    • Local Endpoint → IP Address — публичный IP-адрес Edge Gateway в формате «x.x.x.x».

      Используйте IP-адрес, который не задействован в сервисах DNAT, транслирующих трафик без указанных External Port и Application. В противном случае трансляция DNAT может нарушить работу виртуального канала L3 на базе IPsec и привести к блокировке других DNAT-правил.

    • Remote Endpoint → IP Address — IP-адрес удаленной площадки в формате «y.y.y.y».

    • (Опционально) Remote Endpoint → Remote ID — идентификатор удаленной площадки.

      Если оставить поле незаполненным, идентификатор будет совпадать с IP-адресом удаленной площадки.

    • Virtual Tunnel Interfaces (VTI) → Tunnel Interface — IP-адрес для виртуального интерфейса, через который будет настраиваться маршрутизация.

      Например, «10.0.0.1/30» на локальной стороне и «10.0.0.2/30» на удаленной площадке.

  7. Нажмите NEXT → FINISH.

При создании IPSec-канала автоматически создаются два правила Firewall на каждый канал. Создание правил Firewall необходимо для корректной работы IPSec-канала.

Настройка маршрутов до удаленных сетей через IPSec-канал

  1. В разделе Routing → Static Routes нажмите NEW.

    Откроется форма настройки маршрута.

  2. В разделе General, в поле Name, введите название маршрута.

  3. (Опционально) В поле Description введите описание маршрута.

  4. В поле Network выберите подсеть на удаленной площадке.

  5. В разделе Next Hops укажите IP-адрес виртуального интерфейса удаленной площадки.

    Например, 10.0.0.2.

  6. Повторите шаги 1–5 на удаленной площадке.

Проверка работоспособности

В разделе Services → IPSec VPN выберите созданный ранее канал IPSec VPN.

Сверху появится опция VIEW STATISTICS — нажмите на нее.

../../_images/s__view-statistic.png

Если в полях Tunnel Status и IKE service Status указано «Up», канал IPSec появился.

../../_images/s__view-statistic2.png
Примечание

После проверки работоспособности настройте правила Firewall, разрешающие прохождение трафика между приватными сетями, которые должны быть видны друг для друга через канал, с двух сторон канала.