通过 VMware Cloud Director 环境中 NSX Data Center for vSphere Edge 网关的 SSL VPN-Plus 服务,远程用户可以安全地连接到该 Edge 网关支持的组织虚拟数据中心中的专用网络和应用程序。您可以在 Edge 网关上配置各种 SSL VPN-Plus 服务。

VMware Cloud Director 环境中,Edge 网关的 SSL VPN-Plus 功能支持网络访问模式。远程用户必须安装 SSL 客户端才能建立安全连接并访问 Edge 网关后面的网络和应用程序。在 Edge 网关的 SSL VPN-Plus 配置中,您可以添加适用于操作系统的安装软件包并配置某些参数。有关详细信息,请参见添加 SSL VPN-Plus 客户端安装软件包

配置 Edge 网关上的 SSL VPN-Plus 是一个多步骤过程。

前提条件

确认已将 SSL VPN-Plus 所需的所有 SSL 证书都添加到证书屏幕中。请参见NSX Data Center for vSphere Edge 网关上的 SSL 证书管理

注: 在 Edge 网关上,端口 443 是 HTTPS 的默认端口。对于 SSL VPN 功能,Edge 网关的 HTTPS 端口必须可从外部网络访问。SSL VPN 客户端要求可从客户端系统访问在 SSL VPN-Plus 选项卡的“服务器设置”屏幕中配置的 Edge 网关 IP 地址和端口。请参见 配置 SSL VPN 服务器设置

导航到 SSL-VPN Plus 屏幕

您可以导航到“SSL-VPN Plus”屏幕,以便开始为 NSX Data Center for vSphere Edge 网关配置 SSL-VPN Plus 服务。

过程

  1. 打开 Edge 网关服务。
    1. 在顶部导航栏中,单击网络,然后单击 Edge 网关
    2. 选择要编辑的 Edge 网关,然后单击服务
  2. 单击 SSL VPN-Plus 选项卡。

下一步做什么

常规屏幕上,配置默认 SSL VPN-Plus 设置。请参见自定义 NSX Data Center for vSphere Edge 网关的常规 SSL VPN-Plus 设置

配置 SSL VPN 服务器设置

这些服务器设置可配置 SSL VPN 服务器,例如服务侦听的 IP 地址和端口、服务的密码列表及其服务证书。连接到 NSX Data Center for vSphere Edge 网关时,远程用户会指定您在这些服务器设置中设置的相同 IP 地址和端口。

如果您的 Edge 网关在其外部接口上配置了多个覆盖 IP 地址网络,则您为 SSL VPN 服务器选择的 IP 地址可以不同于 Edge 网关的默认外部接口。

配置 SSL VPN 服务器设置时,必须选择要为 SSL VPN 通道使用哪个加密算法。可以选择一个或多个密码。请根据所选择加密算法的优缺点谨慎选择密码。

默认情况下,系统使用系统为每个 Edge 网关生成的默认自签名证书作为 SSL VPN 通道的默认服务器身份证书。可以选择使用在证书屏幕上添加到系统的数字证书来代替此默认证书。

前提条件

过程

  1. SSL VPN-Plus 屏幕上,单击服务器设置
  2. 单击已启用
  3. 从下拉菜单中选择 IP 地址。
  4. (可选) 输入 TCP 端口号。
    此 TCP 端口号由 SSL 客户端安装软件包使用。默认情况下,系统使用端口 443,它是 HTTPS/SSL 流量的默认端口。即使需要提供端口号,您也可以设置任何 TCP 端口进行通信。
    注: SSL VPN 客户端需要可从远程用户的客户端系统访问在此处配置的 IP 地址和端口。如果您要更改默认端口号,请确保可从目标用户的系统访问该 IP 地址和端口组合。
  5. 从密码列表中选择一种加密方法。
  6. 配置服务的 Syslog 日志记录策略。
    默认情况下激活日志记录。您可以更改要记录的消息级别或停用日志记录。
  7. (可选) 如果要使用服务证书,而非系统生成的默认自签名证书,请单击更改服务器证书,选择证书,然后单击确定
  8. 单击保存更改

下一步做什么

注: 您设置的 Edge 网关 IP 地址和 TCP 端口号必须可由您的远程用户访问。添加 Edge 网关防火墙规则,以允许访问在此过程中配置的 SSL VPN-Plus IP 地址和端口。请参见 添加 NSX Data Center for vSphere Edge 网关防火墙规则

添加 IP 池,以便在远程用户使用 SSL VPN-Plus 连接时向他们分配 IP 地址。请参见创建 IP 池以与 NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配合使用

创建 IP 池以与 NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配合使用

将从使用 SSL VPN-Plus 选项卡上的 IP 池屏幕配置的静态 IP 池中为远程用户分配虚拟 IP 地址。

在此屏幕中添加的每个 IP 池都会导致在 Edge 网关上配置一个 IP 地址子网。在这些 IP 池中使用的 IP 地址范围必须不同于在 Edge 网关上配置的所有其他网络。

注: SSL VPN-Plus 会根据 IP 池在屏幕上的表中显示的顺序将 IP 池中的 IP 地址分配给远程用户。将 IP 池添加到屏幕上的表中后,您可以使用向上和向下箭头调整它们在表中的位置。

前提条件

过程

  1. SSL VPN-Plus 选项卡上,单击 IP 池
  2. 单击创建 (创建按钮) 按钮。
  3. 配置 IP 池设置。
    选项 操作
    IP 范围 输入此 IP 池的 IP 地址范围,例如 127.0.0.1-127.0.0.9

    当 VPN 客户端在进行身份验证后连接到 SSL VPN 通道时,将向它们分配这些 IP 地址。

    网络掩码 输入 IP 池的网络掩码,例如 255.255.255.0
    网关 输入您要让 Edge 网关创建并分配为此 IP 池的网关地址的 IP 地址。

    创建 IP 池后,将在 Edge 网关虚拟机上创建一个虚拟适配器,并在该虚拟接口上配置此 IP 地址。此 IP 地址可以是子网内的任何 IP,但同时不属于 IP 范围字段中的范围内。

    描述 (可选)输入此 IP 池的描述。
    状态 选择是激活还是停用此 IP 池。
    主 DNS (可选)输入将用于对这些虚拟 IP 地址进行名称解析的主 DNS 服务器的名称。
    辅助 DNS (可选)输入要使用的辅助 DNS 服务器的名称。
    DNS 后缀 (可选)输入托管客户端系统的域的 DNS 后缀,用于按域解析主机名。
    WINS 服务器 (可选)根据组织需求输入 WINS 服务器地址。
  4. 单击保留

结果

IP 池配置将添加到屏幕上的表中。

下一步做什么

添加您希望使用 SSL VPN-Plus 连接的远程用户可以访问的专用网络。请参见添加专用网络以与 NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配合使用

添加专用网络以与 NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配合使用

使用 SSL VPN-Plus 选项卡上的“专用网络”屏幕配置专用网络。当远程用户使用自己的 VPN 客户端和 SSL VPN 通道连接时,专用网络是您希望 VPN 客户端有权访问的网络。激活的专用网络将安装在 VPN 客户端的路由表中。

专用网络是 Edge 网关后面您要加密 VPN 客户端的流量,或者拒绝加密的所有可访问 IP 网络的列表。必须将需要通过 SSL VPN 通道访问的每个专用网络添加为单独的条目。您可以使用路由汇总技术限制条目数。
  • 通过 SSL VPN-Plus,远程用户将基于 IP 池在屏幕上的表中显示的自上而下的顺序访问专用网络。将专用网络添加到屏幕上的表后,您可以使用向上和向下箭头调整它们在表中的位置。
  • 如果您选择为某个专用网络激活 TCP 优化,则某些应用程序(例如主动模式下的 FTP)可能无法在该子网中正常运行。要添加在主动模式下配置的 FTP 服务器,必须为该 FTP 服务器添加其他专用网络并针对该专用网络停用 TCP 优化。此外,适用于该 FTP 服务器的专用网络必须激活并显示在屏幕上的表中的 TCP 优化专用网络上方。

前提条件

过程

  1. SSL VPN-Plus 选项卡上,单击专用网络
  2. 单击添加 (创建按钮) 按钮。
  3. 配置此专用网络设置。
    选项 操作
    网络 采用 CIDR 格式键入专用网络 IP 地址,例如 192.169.1.0/24
    描述 (可选)键入网络描述。
    发送流量 指定希望 VPN 客户端发送专用网络和 Internet 流量的方式。
    • 通过通道

      VPN 客户端将通过激活了 SSL VPN-Plus 的 Edge 网关发送专用网络和 Internet 流量。

    • 绕过通道

      VPN 客户端绕过 Edge 网关,直接将流量发送到专用服务器。

    启用 TCP 优化 (可选)要更好地优化 Internet 速度,则在选择通过通道发送流量的同时,也必须选择启用 TCP 优化

    选择此选项可提高 VPN 通道内 TCP 数据包的性能,但不会提高 UDP 流量的性能。

    常规完全访问 SSL VPN 通道会借助于第二个 TCP/IP 堆栈发送 TCP/IP 数据以通过 Internet 进行加密。此常规方法将应用程序层数据封装在两个单独的 TCP 流中。丢失数据包(在最佳的 Internet 条件下也会发生)时,将发生性能降级影响,称为 TCP-over-TCP 危机。在 TCP-over-TCP 危机中,两个 TCP 设备更正同一个 IP 数据包,这会削弱网络吞吐量,并导致连接超时。选择启用 TCP 优化可消除发生此 TCP-over-TCP 问题的风险。

    注: 激活 TCP 优化时:
    • 必须输入要针对其优化 Internet 流量的端口号。
    • SSL VPN 服务器会代表 VPN 客户端打开 TCP 连接。SSL VPN 服务器打开 TCP 连接时,将应用第一个自动生成的 Edge 防火墙规则,以允许从 Edge 网关打开的所有连接通过。未优化的流量将通过常规 Edge 防火墙规则进行评估。默认生成的 TCP 规则将允许任何连接。
    端口 选择通过通道后,键入希望打开的端口号范围以便远程用户访问内部服务器,例如 20-21(适用于 FTP 流量),80-81(适用于 HTTP 流量)。

    要向用户授予无限制访问权限,请将此字段留空。

    状态 激活或停用专用网络。
  4. 单击保留
  5. 单击保存更改将配置保存到系统。

下一步做什么

添加身份验证服务器。请参见为 NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配置身份验证服务

重要说明: 添加相应的防火墙规则,以允许流入在此屏幕中添加的专用网络的网络流量。请参见 添加 NSX Data Center for vSphere Edge 网关防火墙规则

NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配置身份验证服务

使用 SSL VPN-Plus 选项卡上的身份验证屏幕为 Edge 网关 SSL VPN 服务设置本地身份验证服务器,然后选择性启用客户端证书身份验证。使用此身份验证服务器对连接的用户进行身份验证。将对本地身份验证服务器中配置的所有用户进行身份验证。

您只能在 Edge 网关上配置一个本地 SSL VPN-Plus 身份验证服务器。如果单击 + 本地并指定其他身份验证服务器,则尝试保存配置时会显示一条错误消息。

通过 SSL VPN 进行身份验证的最长时间为三 (3) 分钟。此最大值由非身份验证超时确定,该超时值默认为 3 分钟且无法进行配置。因此,如果您一连串的授权中有多个身份验证服务器,且用户身份验证用时超过 3 分钟,那么将不会对该用户进行身份验证。

前提条件

过程

  1. 单击 SSL VPN-Plus 选项卡和身份验证
  2. 单击本地
  3. 配置身份验证服务器设置。
    1. (可选) 启用和配置密码策略。
      选项 描述
      启用密码策略 启用您在此处配置的密码策略设置的实施。
      密码长度 输入密码长度允许的最少和最多字符数。
      最少字母数 (可选)键入密码中需要的最少字母字符数。
      最少数字数 (可选)键入密码中需要的最少数字字符数。
      最少特殊字符数 (可选)键入密码中需要的最少特殊字符数,如与号 (&)、井号 (#)、百分号 (%) 等。
      密码不应包含用户 ID (可选)启用后可以强制密码不得包含用户 ID。
      密码到期时间 (可选)键入用户必须更改密码前密码可存在的最大天数。
      到期通知时间 (可选)键入密码到期时间前的天数,在该日期会向用户发送密码即将到期通知。
    2. (可选) 启用和配置帐户锁定策略。
      选项 描述
      启用帐户锁定策略 启用您在此处配置的帐户锁定策略设置的实施。
      重试次数 输入用户可以尝试访问其帐户的次数。
      重试持续时间 输入登录尝试失败后锁定用户帐户的时间段(以分钟为单位)。

      例如,如果将重试次数指定为 5,将重试持续时间指定为 1 分钟,则当用户在 1 分钟内尝试登录 5 次均失败后,其帐户将被锁定。

      锁定持续时间 输入用户帐户保持锁定的时间段。

      在此时间过后,该帐户将自动解锁。

    3. 在“状态”部分中,启用此身份验证服务器。
    4. (可选) 配置辅助身份验证。
      选项 描述
      使用此服务器进行辅助身份验证 (可选)指定是否使用此服务器作为第二级身份验证。
      如果身份验证失败,则终止会话 (可选)指定在身份验证失败时是否结束 VPN 会话。
    5. 单击保留
  4. (可选) 要启用客户端证书身份验证,请单击更改证书,然后打开启用开关,选择要使用的 CA 证书并单击确定

下一步做什么

将本地用户添加到本地身份验证服务器,以便他们可以使用 SSL VPN-Plus 连接。请参见将 SSL VPN-Plus 用户添加到本地 SSL VPN-Plus 身份验证服务器

创建包含 SSL 客户端的安装软件包,以便远程用户可以在自己的本地系统上进行安装。请参见添加 SSL VPN-Plus 客户端安装软件包

将 SSL VPN-Plus 用户添加到本地 SSL VPN-Plus 身份验证服务器

可使用 SSL VPN-Plus 选项卡上的用户屏幕,将远程用户的帐户添加到 NSX Data Center for vSphere Edge 网关 SSL VPN 服务的本地身份验证服务器。

注: 如果尚未配置本地身份验证服务器,则在 用户屏幕上添加用户会自动使用默认值添加本地身份验证服务器。然后,可以使用 身份验证屏幕上的编辑按钮查看和编辑默认值。有关使用 身份验证屏幕的信息,请参见 为 NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配置身份验证服务

前提条件

导航到 SSL-VPN Plus 屏幕

过程

  1. SSL VPN-Plus 选项卡上,单击用户
  2. 单击创建 (创建按钮) 按钮。
  3. 为用户配置以下选项。
    选项 描述
    用户 ID 输入用户 ID。
    密码 输入用户的密码。
    重新键入密码 重新输入密码。
    (可选)输入用户的名字。
    (可选)输入用户的姓氏。
    描述 (可选)输入用户描述。
    已启用 指定是激活还是停用此用户。
    密码永不过期 (可选)指定是否始终对此用户使用相同的密码。
    允许更改密码 (可选)指定是否允许用户更改密码。
    下次登录时更改密码 (可选)指定是否希望此用户在下次用户登录时更改密码。
  4. 单击保留
  5. 重复这些步骤以添加其他用户。

下一步做什么

将本地用户添加到本地身份验证服务器,以便他们可以使用 SSL VPN-Plus 连接。请参见将 SSL VPN-Plus 用户添加到本地 SSL VPN-Plus 身份验证服务器

创建包含 SSL 客户端的安装软件包,以便远程用户可以在自己的本地系统上进行安装。请参见添加 SSL VPN-Plus 客户端安装软件包

添加 SSL VPN-Plus 客户端安装软件包

使用 SSL VPN-Plus 选项卡上的“安装软件包”屏幕为远程用户创建 SSL VPN-Plus 客户端的指定安装软件包。

可以将 SSL VPN-Plus 客户端安装软件包添加到 NSX Data Center for vSphere Edge 网关。新用户首次登录使用 VPN 连接时,会收到下载并安装此软件包的提示。添加后,这些客户端安装软件包可从 Edge 网关公共接口的 FQDN 进行下载。

您可以创建在 Windows、Linux 和 Mac 操作系统上运行的安装软件包。如果每个 SSL VPN 客户端需要不同的安装参数,请为每个配置创建一个安装软件包。

前提条件

导航到 SSL-VPN Plus 屏幕

过程

  1. 在租户门户的 SSL VPN-Plus 选项卡上,单击安装软件包
  2. 单击添加 (创建按钮) 按钮。
  3. 配置安装软件包的设置。
    选项 描述
    配置文件名称 输入此安装软件包的配置文件名称。

    此名称将显示给远程用户,以标识与 Edge 网关的此 SSL VPN 连接。

    网关 输入 Edge 网关公共接口的 IP 地址或 FQDN。

    所输入的 IP 地址或 FQDN 将绑定到 SSL VPN 客户端。在远程用户的本地系统上安装客户端后,该 IP 地址或 FQDN 将显示在此 SSL VPN 客户端上。

    要将其他 Edge 网关上行链路接口绑定到此 SSL VPN 客户端,请单击添加 (创建按钮) 按钮添加行,然后键入其接口 IP 地址或 FQDN 以及端口。

    端口 (可选)要修改显示的默认端口值,请双击该值并输入一个新值。

    Windows

    Linux

    Mac

    选择操作系统以创建适用的安装软件包。
    描述 (可选)为用户键入描述。
    已启用 指定是激活还是停用此软件包。
  4. 选择适用于 Windows 的安装参数。
    选项 描述
    登录时启动客户端 远程用户登录到自己的本地系统时启动 SSL VPN 客户端。
    允许记住密码 让客户端记住用户密码。
    启用静默模式安装 向远程用户隐藏安装命令。
    隐藏 SSL 客户端网络适配器 隐藏与 SSL VPN 客户端安装软件包一起安装在远程用户计算机上的 VMware SSL VPN-Plus 适配器。
    隐藏客户端系统托盘图标 隐藏指示 VPN 连接是否处于活动状态的 SSL VPN 托盘图标。
    创建桌面图标 在用户桌面上创建一个用于调用 SSL 客户端的图标。
    启用静默模式操作 隐藏指示安装已完成的窗口。
    服务器安全证书验证 在建立安全连接前,SSL VPN 客户端会验证 SSL VPN 服务器证书。
  5. 单击保留

下一步做什么

编辑客户端配置。请参见编辑 SSL VPN-Plus 客户端配置

编辑 SSL VPN-Plus 客户端配置

使用 SSL VPN-Plus 选项卡上的客户端配置屏幕自定义 SSL VPN 客户端通道在远程用户登录到 SSL VPN 时的响应方式。

前提条件

导航到 SSL-VPN Plus 屏幕

过程

  1. SSL VPN-Plus 选项卡上,单击客户端配置
  2. 选择通道模式
    • 在拆分通道模式中,只有 VPN 流量会流过 Edge 网关。
    • 在全通道模式中,Edge 网关将成为远程用户的默认网关,且所有流量(例如 VPN、本地和 Internet)都将流过 Edge 网关。
  3. 如果选择全通道模式,请输入远程用户的客户端使用的默认网关的 IP 地址,并且可以选择是否阻止本地子网流量流过 VPN 通道。
  4. (可选) 停用自动重新连接。
    默认情况下激活 启用自动重新连接。如果已激活自动重新连接,SSL VPN 客户端将在用户断开连接时自动重新连接这些用户。
  5. (可选) (可选)启用可以升级客户端时客户端通知远程用户的功能。
    默认情况下停用此选项。如果您激活此选项,远程用户可以选择安装升级。
  6. 单击保存更改

自定义 NSX Data Center for vSphere Edge 网关的常规 SSL VPN-Plus 设置

默认情况下,系统会在 VMware Cloud Director 环境中的 Edge 网关上设置一些 SSL VPN-Plus 设置。您可以使用 VMware Cloud Director 租户门户 SSL VPN-Plus 选项卡上的常规设置屏幕自定义这些设置。

前提条件

导航到 SSL-VPN Plus 屏幕

过程

  1. SSL VPN-Plus 选项卡上,单击常规设置
  2. 根据组织需求编辑常规设置。
    选项 描述
    禁止使用相同用户名进行多次登录 开启后可将远程用户限制为使用同一用户名仅能建立一个活动登录会话。
    压缩 开启后可启用基于 TCP 的智能数据压缩并提高数据传输速度。
    启用日志记录 启用后可维护通过 SSL VPN 网关的流量日志。

    默认情况下启用日志记录。

    强制使用虚拟键盘 启用后可要求远程用户仅使用虚拟(屏幕)键盘输入登录信息。
    使虚拟键盘的按键随机排列 启用后可让虚拟键盘使用随机键布局。
    会话空闲超时 输入会话空闲超时(以分钟为单位)。

    如果用户会话在指定时间段内没有任何活动,系统将断开用户会话的连接。系统默认值为 10 分钟。

    用户通知 键入要在远程用户登录后为其显示的消息。
    启用公用 URL 访问 启用后可允许远程用户访问您没有显式配置为让远程用户访问的站点。
    启用强制超时 启用后可让系统在强制超时字段中指定的时间段结束后断开远程用户的连接。
    强制超时 键入超时期限(以分钟为单位)。

    打开启用强制超时开关时显示此字段。

  3. 单击保存更改