可以在 NSX-T Data Center Edge 网关和远程站点之间配置站点到站点连接。远程站点必须使用 NSX-T Data Center,并具有第三方硬件路由器或支持 IPSec 的 VPN 网关。

NSX-T Data Center Edge 网关上配置 IPSec VPN 时,VMware Cloud Director 支持自动路由重新分发。

前提条件

如果您计划使用证书身份验证来保护 IPSec VPN 通信,请确认您的 系统管理员已将本地 NSX-T Data Center Edge 网关的服务器证书和您所在组织的 CA 证书上载到 VMware Cloud Director 证书库。

过程

  1. 从顶部导航栏中,选择资源,然后单击云资源
  2. 在左侧面板中,单击 Edge 网关,然后单击目标 Edge 网关的名称。
  3. 服务下,单击 IPSec VPN
  4. 要配置 IPSec VPN 通道,请单击新建
  5. 输入 IPSec VPN 通道的名称或可选描述。
  6. 要在创建时启用通道,请打开状态选项。
  7. (可选) 要启用日志记录,请启用日志记录选项。
  8. 选择对等身份验证模式。
    选项 描述
    预共享密钥 选择要输入的预共享密钥。此预共享密钥必须与 IPSec VPN 通道另一端的预共享密钥相同。
    证书 选择要用于身份验证的站点和 CA 证书。
  9. 输入可用于本地端点的 Edge 网关的 IP 地址之一。
    该 IP 地址必须是 Edge 网关的主 IP,或者是从外部网络单独分配给 Edge 网关的 IP 地址。
  10. 以 CIDR 表示法输入至少一个本地 IP 子网地址,以用于 IPSec VPN 通道。
  11. 输入远程端点的 IP 地址。
  12. 以 CIDR 表示法输入至少一个远程 IP 子网地址,以用于 IPSec VPN 通道。
  13. 输入对等站点的远程 ID。
    远程 ID 必须与可用远程端点证书的 SAN(主体备用名称)匹配。如果远程证书不包含 SAN,则远程 ID 必须与用于保护远程端点的证书的标识名匹配,例如 C=US、ST=Massachusetts、O=VMware,OU=VCD、CN=Edge1。
  14. 单击下一步
  15. 查看设置,然后单击完成
  16. 要验证通道是否正常工作,请选择该通道,然后单击查看统计信息
    如果通道正常工作, 通道状态IKE 服务状态均显示 可访问

结果

新创建的 IPSec VPN 通道将在 IPSec VPN 视图中列出。使用默认的安全配置文件创建 IPSec VPN 通道。

下一步做什么

  • 配置 IPSec VPN 通道的远程端点。
  • 您可以根据需要编辑 IPSec VPN 通道设置并自定义其安全配置文件。