IBM Cloud Docs
IBM Power Virtual Server VPN

IBM Power Virtual Server VPN

IBM Power Virtual Server en IBM centro de datos

IBM Power Virtual Server Nube privada en Ubicación del cliente

La VPN Power Virtual Server está en desuso y IBM no proporcionará soporte estándar después del 18 de enero de 2025. Cree su nueva conexión VPN utilizando la IBM Cloud VPC VPN. Para las conexiones VPN de Power Virtual Server existentes, se recomienda actualizar a VPN de VPC antes de marzo de 2024 con el fin de servicio el 14 de julio de 2025. Si necesita ayuda para actualizar o migrar, abra una incidencia de soporte o póngase en contacto con el gestor de soporte al cliente (CSM).

Creación de una VPN Power Virtual Server

Puede conectar una puerta de enlace de red privada virtual (VPN) en su entorno gestionado por el cliente a una puerta de enlace IBM Cloud™ VPN creada dentro de un servicio VPN Power Virtual Server. Puede utilizar la VPN para conectarse a la red privada de Power Virtual Server, completar su trabajo de forma segura y cerrar la sesión. Esta capacidad le ofrece VPN de seguridad IP (IPsec) de sitio a sitio entre su ubicación gestionada por el cliente y Power Virtual Server s para permitir una conectividad segura de bajo coste.

Con el acceso VPN, puede:

  • Garantizar la conectividad privada y de bajo coste a los servicios de IBM Cloud.
  • Acceda a su Virtual Servers a través de la dirección IP privada utilizando Secure Shell (SSH) y sus otras aplicaciones gestionadas por el cliente que se estén ejecutando en su host gestionado por el cliente.

La infraestructura de Power Virtual Server consta de subredes e instancias de servidor virtual (VSI). Puede utilizar VPN como servicio con sus VSI y redes privadas existentes. Para crear una VSI en una red privada, consulte Creación de una Power Virtual Server y Configuración y adición de una subred de red privada. Puede utilizar VPN para conectar de forma segura el espacio de trabajo de Power Virtual Server a una red del entorno gestionado por el cliente a través de un túnel VPN. Para obtener más información, consulte Conexión a la red del entorno gestionado por el cliente.

Se da soporte a un máximo de cuatro conexiones VPN para una cuenta de usuario. Se da soporte a un máximo de cuatro políticas (IKE e IPsec) para una conexión VPN en cada centro de datos. Actualmente, VPN para Power Virtual Server s es compatible con los centros de datos DAL12, DAL13, FRA04, FRA05, LON04, LON06, MON01, OSA21, SAO01, SYD04, SYD05, TOR01, y TOK04. Cuando utilice el servicio de automatización de red de Power Virtual Server por primera vez, podría generar un error temporal de tiempo de espera excedido. Debe volver a intentar la operación ya que es posible que no se vuelva a producir el mismo error.

Debido a su variación de ancho de banda al conectarse a través de una pasarela VPN compartida, el rendimiento varía. Para las cargas de trabajo que requieren la transferencia de grandes volúmenes de datos, debe tener en cuenta el uso de una configuración VPN de sitio a sitio con sus propios dispositivos de pasarela dedicados. Para obtener más información, consulte Configuración de la pasarela VPN del entorno gestionado por el cliente.

Para obtener más información sobre cómo utilizar la interfaz de línea de mandatos (CLI) para conexiones VPN, consulte IBM Power Virtual Servers CLI Reference.

Soporte de espacio de trabajo Power Virtual Server con VPN

Power Virtual Server admite varios espacios de trabajo desde la misma cuenta. Sin embargo, sólo un único espacio de trabajo puede utilizar una conexión VPN. Si desea configurar una conexión VPN para varios espacios de trabajo para la misma cuenta, abra un tíquet de servicio.

Conexión a una red en el entorno gestionado por el cliente

Puede configurar la VPN para conectarse a la red en el entorno gestionado por el cliente siguiendo estos pasos en la CLI o la API de Power Virtual Server.

  1. Crear una política IKE.
  2. Crear una política IPsec.
  3. Crear una conexión VPN.
  4. Configure su pasarela IPsec soportando la política IKE, la política IPsec y los parámetros de conexión VPN en su entorno gestionado por el cliente que sean compatibles.

Configuración de la pasarela VPN en el entorno gestionado por el cliente

El siguiente paso es configurar su par de puerta de enlace VPN para conectarse en el entorno gestionado por el cliente a su espacio de trabajo IBM Cloud VPN Gateway for Power Virtual Server. La configuración depende del tipo de pasarela VPN. Consulte los siguientes temas para obtener más detalles.

Cualquier configuración que no aparezca en esta sección no es compatible con Power Virtual Server. Si necesita una configuración diferente o un rendimiento previsible, debe optar por la configuración que se describe en Conectividad de VPN de sitio a sitio en la documentación de VPC con conexiones VPN redundantes.

Cómo comprobar el estado de la conexión segura

Puede probar la conexión haciendo un ping desde una instancia de servidor virtual a un servidor de la red en su entorno gestionado por el cliente.

Creación de políticas IKE e IPsec

Antes de crear una conexión VPN, debe establecer las políticas IKE e IPsec. IBM proporciona políticas IKE e IPsec predeterminadas. También puede crear políticas personalizadas según sus requisitos.

Adición de una política IKE de VPN a una conexión VPN

Puede utilizar las políticas IKE predeterminadas o personalizadas para definir los parámetros de seguridad que se utilizarán durante la fase 1 de la negociación de IKE. En esta fase, se intercambian credenciales y políticas de seguridad entre la VPN y el dispositivo de igual para autenticarse entre sí y establecer un canal de comunicación seguro que se utilizará en la fase 2 de la negociación de IKE.

Para crear una política IKE, realice los pasos siguientes:

  1. Vaya a la interfaz de usuario Power Virtual Server y haga clic en Conexiones VPN.

  2. En la página Conexiones VPN, pulse Políticas IKE para abrir la pestaña Políticas IKE.

  3. Pulse Crear política.

  4. En la página Nueva política IKE, especifique los detalles siguientes:

    • Nombre: Especifique un nombre para la política IKE, como por ejemplo 'powervs-vpn-ike1'. El número máximo de caracteres para el nombre es de 47 caracteres.
    • Versión IKE: Seleccione la versión IKE. Los valores válidos son 1, 2. La política IKE versión 2 no es compatible con las conexiones VPN basadas en políticas.
    • Autenticación: Seleccione el algoritmo de autenticación de la política IKE. Los valores válidos son 'none', 'sha1', 'sha-256', 'sha-384'.
    • Cifrado: Seleccione el algoritmo de cifrado de la política IKE. Los valores válidos son '3des-cbc', 'aes-128-cbc', 'aes-128-gcm', 'aes-192-cbc', 'aes-256-cbc', 'aes-256-gcm' y 'des-cbc'. Cuando utiliza 'aes-128-gcm' o 'aes-256-gcm', la opción Autenticación debe establecerse en 'none'.
    • Grupo Diffie-Hellman (DH): Seleccione el número de grupo DH de la política IKE. Los valores válidos son 1, 2, 5, 14, 19, 20, 24.
    • Tiempo de vida de la clave: Especifique en segundos el tiempo de vida de la clave de la política IKE. El valor válido está entre 180 y 86400 segundos.
    • Clave precompartida: Especifique la clave de autenticación de la pasarela VPN para la red en el entorno gestionado por el cliente.

  5. Pulse Crear.

Para crear, ver, actualizar o suprimir una política IKE utilizando la CLI, consulte la referencia de la CLI para la Política IKE de VPN.

La visualización de una política IKE de ejemplo es la siguiente. La clave precompartida no se visualiza para una política IKE.

Ibmcloud pi vpn-ike-policy a757fb8d0a324e4abe0589bc17fbad7c
ID               a757fb8d0a324e4abe0589bc17fbad7c
Name             rs-ike-1
Version          2
Authentication   sha-256
Encryption       aes-256-cbc
Dh Group         2
Key Lifetime     28800

Adición y configuración de la política IPsec a una conexión VPN

Puede utilizar las políticas IPsec predeterminadas o personalizadas para definir los parámetros de seguridad que se utilizarán durante la Fase 2 de la negociación IKE. En esta fase, la VPN y los dispositivos pares utilizan la asociación de seguridad que se establece durante la Fase 1 de la negociación IKE para negociar qué tráfico enviar y cómo autenticar y cifrar ese tráfico.

Para crear una política IPsec, realice los pasos siguientes:

  1. Vaya a la interfaz de usuario Power Virtual Server y haga clic en Conexiones VPN.
  2. En la página Conexiones VPN, pulse Políticas IPsec para abrir la pestaña Políticas IPsec.
  3. Pulse Crear política.
  4. En la página Nueva política IPsec, especifique los detalles siguientes:
    • Nombre: Especifique un nombre para la política IPsec, como por ejemplo 'powervs-vpn-ipsec1'. El número máximo de caracteres en el nombre es 47.
    • PFS: Habilite el secreto-perfecto-adelante que cambia las claves que se utilizan para cifrar y descifrar la información de forma frecuente y automática.
    • Autenticación: Seleccione el tipo de cifrado de autenticación de la política IPsec. Los valores válidos son 'none', 'hmac-md5-96', 'hmac-sha-256-128', 'hmac-sha1-96'.
    • Cifrado: Seleccione la política de cifrado de conexión de la política IPsec. Los valores válidos son '3des-cbc', 'aes-128-cbc', 'aes-128-gcm', 'aes-192-cbc', 'aes-192-gcm', 'aes-256-cbc', 'aes-256-gcm', 'des-cbc '. Cuando utiliza el valor 'aes-128-gcm', 'aes-192-gcm' o 'aes-256-gcm', la opción Autenticación debe establecerse en 'none'.
    • Grupo Diffie-Hellman (DH): Seleccione el número de grupo DH de la política IPsec. Los valores válidos son 1, 2, 5, 14, 19, 20, 24.
    • Tiempo de vida de la clave: Especifique en segundos el tiempo de vida la clave de la política IPsec. El valor válido está entre 180 y 86400 segundos.
  5. Pulse Crear.

Para crear, ver, actualizar o suprimir una política de IPsec utilizando la CLI, consulte la referencia de CLI para Política VPN de IPsec.

La visualización de una política IPsec de ejemplo es la siguiente:

Ibmcloud pi vpn-ips-policy befd77bd25a04c388c43ccb3973966be
ID                        befd77bd25a04c388c43ccb3973966be
Name                      rs-ipsec-1
Authentication            hmac-sha-256-128
Encryption                aes-256-cbc
Dh Group                  2
Perfect Forward Secrecy   true
Key Lifetime              28800

Creación de la conexión VPN Power Virtual Server

Requisito previo: Debe crear al menos una subred local en la interfaz Power Virtual Server y una subred par en su entorno gestionado por el cliente. Puede conectar el entorno gestionado por el cliente y la red Power Virtual Server a través del túnel VPN. Para obtener instrucciones sobre cómo crear una subred, consulte Configuración y adición de una subred de red privada.

Para crear una conexión VPN, realice los pasos siguientes:

  1. Vaya a la interfaz de usuario Power Virtual Server y haga clic en Conexiones VPN.
  2. En la página Conexiones VPN, pulse Crear conexión.
  3. En la página Crear una nueva conexión VPN, especifique los detalles siguientes:
    • Nombre de conexión: Especifique un nombre para la conexión, como por ejemplo 'powervs-vpn-dallas'.
    • Dirección de la puerta de enlace par: Especifique la dirección IP de la puerta de enlace VPN para la red en su entorno gestionado por el cliente.
    • Clave precompartida: Especifique la clave de autenticación de la pasarela VPN para la red en su entorno gestionado por el cliente.
    • Política IKE: utilice la política IKE predeterminada o especifique una política IKE personalizada para definir parámetros de seguridad que se utilizarán durante la fase 1 de negociación IKE.
    • Política IPsec: Utilice la política IPsec predeterminada o especifique una política IPsec personalizada para definir los parámetros de seguridad que se utilizarán durante la Fase 2 de la negociación IKE.
    • Modalidad: seleccione Modalidad basada en ruta o Modalidad basada en políticas para determinar cómo se envía el tráfico a través del túnel de VPN. No puede editar la modalidad de la conexión VPN después de crear la conexión VPN.
    • Subredes locales: Especifique una o más subredes en el espacio de trabajo del Servidor Virtual Power que desee conectar a través del túnel VPN.
    • Subredes pares: Especifique una o varias subredes de la red de su entorno gestionado por el cliente que desee conectar a través del túnel VPN.
    • Detección de homólogos inactivos: muestra los valores de detección de homólogos inactivos para la conexión VPN. Puede utilizar la información de valores para detectar un homólogo de IKE inactivo. Estos ajustes se muestran sólo con fines informativos; no es posible modificarlos.
  4. Revise el coste estimado y pulse Crear.

Puede editar las opciones de conexión VPN después de crear una conexión VPN. Pulse la conexión VPN existente que desee editar, pulse Editar detalles y modifique las opciones.

Para crear, ver, actualizar o suprimir una conexión VPN utilizando la CLI, consulte la referencia de CLI para las Conexiones VPN.

Cuando suprime una instancia de servidor virtual, suprime las redes privadas (subredes) y otros recursos. Sería de ayuda si considerara lo siguiente:

  • Debe suprimir las conexiones VPN antes de suprimir la instancia de servidor virtual.
  • Cuando hay más de una instancia de servidor virtual que utiliza la conexión de nube y suprime una, puede suprimir la conexión de nube de las instancias de servidor existentes.

La política IKE versión 2 no es compatible con las conexiones VPN basadas en políticas. Si intenta añadir una política IKE versión 2 a una conexión VPN basada en políticas, aparece un error.

La visualización de una conexión VPN de ejemplo es la siguiente:

ID                      1471c65163dd44daa969cf3edddd20a8
Name                    rs-vpc-vpn01
Status                  active
Mode                    route
Local Gateway Address   169.48.225.198
Peer Gateway Address    130.198.12.241
VPN Gateway Address     169.48.225.198
IKE Policy              ID: a757fb8d0a324e4abe0589bc17fbad7c, Name: rs-ike-1
IPSec Policy            ID: befd77bd25a04c388c43ccb3973966be, Name: rs-ipsec-1
Peer Subnets            10.245.0.0/27
Networks                cb36a4e8-23d1-4ddc-b6c0-cf640ae0456d
Dead Peer Detection     Action: restart, Interval: 10, Threshold: 5

Conexión de subredes a conexiones VPN

Si crea un espacio de trabajo Power Virtual Server s que contenga conexiones VPN, también debe tener subredes Locales y subredes Pares que estén conectadas a la conexión VPN. Cuando cree una conexión VPN, asegúrese de que una subred local y una subred homóloga estén conectadas a la conexión VPN.

Para lograr la redundancia entre la VM y la VPC colocadas, debe tener dos subredes conectadas a diferentes VPN. Ambas subredes deben formar parte de la máquina virtual colocada.

Debe direccionar Power Virtual Server subredes de red privada a través de conexiones VPN para permitir el acceso a Power Virtual Server a través de la red privada. Cuando crea una subred o edita detalles de una subred, puede conectar una conexión VPN existente a la subred.

Para crear, conectar o desconectar una subred local o una subred homóloga a una conexión VPN, realice los pasos siguientes:

  1. Vaya a la interfaz de usuario Power Virtual Server y haga clic en Conexiones VPN.
  2. En la página Conexiones VPN, pulse una conexión VPN existente que desee editar.
  3. En la página Detalles de conexión VPN, pulse la opción Conectar otra + para conectar otras subredes locales y homólogas. Pulse Desconectar para desconectar las subredes locales y homólogas existentes de la conexión VPN.

Para obtener más información sobre la conexión o desconexión de subredes utilizando la CLI, consulte la referencia de la CLI para Subredes VPN.

Además de las restricciones de subred especificadas en Configuración y adición de una subred de red privada, VPNaaS tiene las restricciones siguientes:

a. Las subredes con la dirección 10.xx.xx.xx/8 no están soportadas.

b. Estas subredes adicionales están restringidas: 10.8.0.0/14 10.45.0.0/16 10.63.0.0/16 10.65.0.0/16 10.72.0.0/16 10.74.0.0/15 10.95.96.0/20 10.114.0.0/15 10.123.0.0/16 10.128.0.0/13 10.136.0.0/13 10.150.0.0/15 10.184.0.0/13 10.192.0.0/13 10.208.0.0/12 10.240.0.0/14 10.21.1.0/26 10.182.28.192/26

c. Es posible que obtenga un mensaje de "subred no disponible" al crear subredes en determinadas ubicaciones. Elija una subred diferente para resolver este problema.