可以在 NSX-T Data Center Edge 网关和远程站点之间配置站点到站点连接。远程站点必须使用 NSX-T Data Center,并具有第三方硬件路由器或支持 IPSec 的 VPN 网关。
在 NSX-T Data Center Edge 网关上配置 IPSec VPN 时,VMware Cloud Director 支持自动路由重新分发。
前提条件
如果您计划使用证书身份验证来保护 IPSec VPN 通信,请确认您的
系统管理员已将本地
NSX-T Data Center Edge 网关的服务器证书和您所在组织的 CA 证书上载到
VMware Cloud Director 证书库。
过程
- 从顶部导航栏中,选择资源,然后单击云资源。
- 在左侧面板中,单击 Edge 网关,然后单击目标 Edge 网关的名称。
- 在服务下,单击 IPSec VPN。
- 要配置 IPSec VPN 通道,请单击新建。
- 输入 IPSec VPN 通道的名称或可选描述。
- 要在创建时启用通道,请打开状态选项。
- (可选) 要启用日志记录,请启用日志记录选项。
- 选择对等身份验证模式。
选项 |
描述 |
预共享密钥 |
选择要输入的预共享密钥。此预共享密钥必须与 IPSec VPN 通道另一端的预共享密钥相同。 |
证书 |
选择要用于身份验证的站点和 CA 证书。 |
- 输入可用于本地端点的 Edge 网关的 IP 地址之一。
该 IP 地址必须是 Edge 网关的主 IP,或者是从外部网络单独分配给 Edge 网关的 IP 地址。
- 以 CIDR 表示法输入至少一个本地 IP 子网地址,以用于 IPSec VPN 通道。
- 输入远程端点的 IP 地址。
- 以 CIDR 表示法输入至少一个远程 IP 子网地址,以用于 IPSec VPN 通道。
- 输入对等站点的远程 ID。
远程 ID 必须与可用远程端点证书的 SAN(主体备用名称)匹配。如果远程证书不包含 SAN,则远程 ID 必须与用于保护远程端点的证书的标识名匹配,例如 C=US、ST=Massachusetts、O=VMware,OU=VCD、CN=Edge1。
- 单击下一步。
- 查看设置,然后单击完成。
- 要验证通道是否正常工作,请选择该通道,然后单击查看统计信息。
如果通道正常工作,
通道状态和
IKE 服务状态均显示
可访问。
结果
新创建的 IPSec VPN 通道将在
IPSec VPN 视图中列出。使用默认的安全配置文件创建 IPSec VPN 通道。
下一步做什么
- 配置 IPSec VPN 通道的远程端点。
- 您可以根据需要编辑 IPSec VPN 通道设置并自定义其安全配置文件。