VMware Cloud Director 环境中的 NSX Data Center for vSphere Edge 网关支持站点到站点 Internet 协议安全性 (IPsec),以保护组织虚拟数据中心网络之间以及组织虚拟数据中心网络和外部 IP 地址之间的 VPN 通道。您可以在 Edge 网关上配置 IPsec VPN 服务。

最常见的方案是设置从远程网络到组织虚拟数据中心的 IPsec VPN 连接。NSX 软件提供了 Edge 网关的 IPsec VPN 功能,包括支持证书身份验证、预共享密钥模式以及自身与远程 VPN 路由器之间的 IP 单播通信。您还可以配置多个子网,以便通过 IPsec 通道连接到 Edge 网关后的内部网络。配置多个子网通过 IPsec 通道连接到内部网络时,这些子网和 Edge 网关后的内部网络不能具有重叠地址范围。

注: 如果 IPsec 通道的本地和远程对等方具有重叠 IP 地址,则跨通道的流量转发可能会不一致,具体取决于是否存在本地连接的路由和自动检测到的路由。

支持以下 IPsec VPN 算法:

  • AES (AES128-CBC)
  • AES256 (AES256-CBC)
  • Triple DES (3DES192-CBC)
  • AES-GCM (AES128-GCM)
  • DH-2(Diffie-Hellman 组 2)
  • DH-5(Diffie-Hellman 组 5)
  • DH-14(Diffie-Hellman 组 14)
注: IPsec VPN 不支持动态路由协议。在组织虚拟数据中心的 Edge 网关与远程站点的物理网关 VPN 之间配置 IPsec VPN 通道时,无法为该连接配置动态路由。Edge 网关上行链路上的动态路由无法获知该远程站点的 IP 地址。

NSX 管理指南》中的“IPSec VPN 概览”主题所述,Edge 网关上支持的最大通道数取决于为其配置的大小:紧凑、大型、超大型、四倍大。

要查看 Edge 网关配置的大小,请导航到该 Edge 网关,然后单击该 Edge 网关名称。

在 Edge 网关上配置 IPsec VPN 是一个多步骤过程。

注: 如果通道端点之间存在防火墙,那么在配置 IPsec VPN 服务后,请更新防火墙规则,以便允许以下 IP 协议和 UDP 端口:
  • IP 协议 ID 50 (ESP)
  • IP 协议 ID 51 (AH)
  • UDP 端口 500 (IKE)
  • UDP 端口 4500

导航到“IPsec VPN”屏幕

IPsec VPN 屏幕中,可以开始为 NSX Data Center for vSphere Edge 网关配置 IPsec VPN 服务。

过程

  1. 打开 Edge 网关服务。
    1. 在顶部导航栏中,单击网络,然后单击 Edge 网关
    2. 选择要编辑的 Edge 网关,然后单击服务
  2. 导航到 VPN > IPsec VPN

下一步做什么

使用 IPsec VPN 站点屏幕配置 IPsec VPN 连接。必须配置至少一个连接,才能在 Edge 网关上启用 IPsec VPN 服务。请参见为 NSX Data Center for vSphere Edge 网关配置 IPsec VPN 站点连接

NSX Data Center for vSphere Edge 网关配置 IPsec VPN 站点连接

使用 VMware Cloud Director 租户门户中的 IPsec VPN 站点屏幕,配置通过 Edge 网关 IPsec VPN 功能在您的组织虚拟数据中心和另一站点之间创建 IPsec VPN 连接所需的设置。

当配置站点之间的 IPsec VPN 连接时,可以从当前位置的角度配置连接。设置连接要求您了解 VMware Cloud Director 环境上下文中的概念,以便正确配置 VPN 连接。

  • 本地和对等子网指定 VPN 连接到的网络。在 IPsec VPN 站点配置中指定这些子网时,输入网络范围而不是特定的 IP 地址。请使用 CIDR 格式,例如 192.168.99.0/24
  • 对等 ID 是唯一标识终止 VPN 连接的远程设备的标识符,通常是其公用 IP 地址。对于使用证书身份验证的对等站点,此 ID 必须是对等站点证书中设置的标识名。对于 PSK 对等站点,此 ID 可以是任何字符串。NSX 最佳做法是,使用远程设备的公用 IP 地址或 FQDN 作为对等 ID。如果对等 IP 地址来自其他组织虚拟数据中心网络,则请输入对等站点的本地 IP 地址。如果为对等站点配置了 NAT,则输入对等站点的专用 IP 地址。
  • 对等端点指定您要连接到的远程设备的公用 IP 地址。如果不能从 Internet 直接访问对等站点的网关,而是通过另一个设备连接,则对等端点的地址可能与对等 ID 的地址不同。如果为对等站点配置了 NAT,则输入设备用于 NAT 的公用 IP 地址。
  • 本地 ID 指定组织虚拟数据中心的 Edge 网关的公用 IP 地址。您可以输入 IP 地址或主机名以及 Edge 网关的防火墙。
  • 本地端点指定在您的组织虚拟数据中心中 Edge 网关在其上传输数据的网络。通常情况下,Edge 网关的外部网络是本地端点。

前提条件

过程

  1. 打开 Edge 网关服务。
    1. 在顶部导航栏中,单击网络,然后单击 Edge 网关
    2. 选择要编辑的 Edge 网关,然后单击服务
  2. IPsec VPN 选项卡上,单击 IPsec VPN 站点
  3. 单击添加 (创建按钮) 按钮。
  4. 配置 IPsec VPN 连接设置。
    选项 操作
    已启用 在两个 VPN 端点之间启用此连接。
    启用完全向前保密 (PFS) 启用此选项可以使系统为用户启动的所有 IPsec VPN 会话生成唯一的公钥。

    启用 PFS 可确保系统不会在 Edge 网关的私钥和每个会话密钥之间创建链接。

    会话密钥的泄露不会影响由该特定密钥保护的特定会话中交换的数据以外的数据。服务器私钥的泄露不能用于解密存档的会话或未来的会话。

    启用 PFS 后,与此 Edge 网关的 IPsec VPN 连接会遇到轻微的处理开销。

    重要说明: 唯一的会话密钥不得用于派生任何其他密钥。此外,IPsec VPN 通道的两端都必须支持 PFS,它才能正常工作。
    名称 (可选)输入此连接的名称。
    本地 ID 输入 Edge 网关实例的外部 IP 地址,它是 Edge 网关的公用 IP 地址。

    此 IP 地址将用于远程站点上 IPsec VPN 配置中的对等 ID。

    本地端点 输入此连接的本地端点网络。

    本地端点指定在您的组织虚拟数据中心中 Edge 网关在其上传输数据的网络。通常情况下,外部网络是本地端点。

    如果您使用预共享密钥添加 IP 到 IP 通道,则本地 ID 和本地端点 IP 可以相同。

    本地子网 输入要在站点之间共享的网络,并使用逗号作为分隔符输入多个子网。

    通过使用 CIDR 格式输入 IP 地址来输入网络范围(而不是特定 IP 地址);例如 192.168.99.0/24

    对等 ID 输入对等 ID 以唯一标识对等站点。

    对等 ID 是唯一标识终止 VPN 连接的远程设备的标识符,通常是其公用 IP 地址。

    对于使用证书身份验证的对等站点,ID 必须是对等站点证书中的标识名。对于 PSK 对等站点,此 ID 可以是任何字符串。NSX 最佳做法是,使用远程设备的公用 IP 地址或 FQDN 作为对等 ID。

    如果对等 IP 地址来自其他组织虚拟数据中心网络,则请输入对等站点的本地 IP 地址。如果为对等站点配置了 NAT,则输入对等站点的专用 IP 地址。

    对等端点 输入对等站点的 IP 地址或 FQDN,即您要连接的远程设备的公用地址。
    注: 如果为对等站点配置了 NAT,则输入设备用于 NAT 的公用 IP 地址。
    对等子网 输入 VPN 连接的远程网络,并使用逗号作为分隔符输入多个子网。

    通过使用 CIDR 格式输入 IP 地址来输入网络范围(而不是特定 IP 地址);例如 192.168.99.0/24

    加密算法 从下拉菜单中选择加密算法类型。
    注: 您选择的加密类型必须与远程站点 VPN 设备上配置的加密类型相匹配。
    身份验证 选择身份验证。选项包括:
    • PSK

      预共享密钥 (Pre Shared Key, PSK) 指定在 Edge 网关和对等站点之间共享的密钥将用于身份验证。

    • 证书

      证书身份验证指定在全局级别定义的证书将用于身份验证。除非您在 IPsec VPN 选项卡的全局配置屏幕上配置了全局证书,否则此选项不可用。

    更改共享密钥 (可选)当您更新现有连接的设置时,可以启用此选项以使预共享密钥字段可用,以便可以更新共享密钥。
    预共享密钥 如果您选择 PSK 作为身份验证类型,请键入一个字母数字密码字符串,该字符串的最大长度不得超过 128 字节。
    注: 共享密钥必须与远程站点 VPN 设备上配置的密钥相匹配。最佳做法是在匿名站点连接到 VPN 服务时配置共享密钥。
    显示共享密钥 (可选)启用此选项以使共享密钥在屏幕中可见。
    Diffie-Hellman 组 选择将允许对等站点和此 Edge 网关通过不安全的通信通道建立共享密钥的加密方案。
    注: Diffie-Hellman 组必须与远程站点 VPN 设备上的配置相匹配。
    扩展 (可选)键入以下选项之一:
    • securelocaltrafficbyip=IPAddress,用于通过 IPsec VPN 通道重定向 Edge 网关本地流量。

      这是默认值。

    • passthroughSubnets=PeerSubnetIPAddress,支持重叠的子网。
  5. 单击保留
  6. 单击保存更改

下一步做什么

配置远程站点的连接。您必须在连接的两端(您的组织虚拟数据中心和对等站点)配置 IPsec VPN 连接。

在此 Edge 网关上启用 IPsec VPN 服务。在配置了至少一个 IPsec VPN 连接时,您可以启用该服务。请参见在 NSX Data Center for vSphere Edge 网关上启用 IPsec VPN 服务

NSX Data Center for vSphere Edge 网关上启用 IPsec VPN 服务

配置了至少一个 IPsec VPN 连接时,您可以在 Edge 网关上启用 IPsec VPN 服务。

前提条件

过程

  1. IPsec VPN 选项卡上,单击激活状态
  2. 单击 IPsec VPN 服务状态以启用 IPsec VPN 服务。
  3. 单击保存更改

结果

Edge 网关 IPsec VPN 服务即处于活动状态。

指定全局 IPsec VPN 设置

可以使用全局配置屏幕在 Edge 网关级别配置 IPsec VPN 身份验证设置。在此屏幕上,您可以设置全局预共享密钥,并启用证书身份验证。

全局预共享密钥用于对等端点设置为任何的站点。

前提条件

过程

  1. 打开 Edge 网关服务。
    1. 在顶部导航栏中,单击网络,然后单击 Edge 网关
    2. 选择要编辑的 Edge 网关,然后单击服务
  2. IPsec VPN 选项卡上,单击全局配置
  3. (可选) 设置全局预共享密钥:
    1. 启用更改共享密钥选项。
    2. 输入预共享密钥。
      全局预共享密钥 (PSK) 由对等端点设置为 any 的所有站点共享。如果已设置全局 PSK,则将 PSK 更改为空值并保存不会对现有设置产生任何影响。
    3. (可选) (可选)启用显示共享密钥,以显示此预共享密钥。
    4. 单击保存更改
  4. 配置证书身份验证:
    1. 打开启用证书身份验证
    2. 选择相应的服务证书、CA 证书和 CRL。
    3. 单击保存更改

下一步做什么

您可以选择对 Edge 网关的 IPsec VPN 服务启用日志记录。请参见NSX Data Center for vSphere Edge 网关的统计信息和日志