通过 VMware Cloud Director 环境中 NSX Data Center for vSphere Edge 网关的 SSL VPN-Plus 服务,远程用户可以安全地连接到该 Edge 网关支持的组织虚拟数据中心中的专用网络和应用程序。您可以在 Edge 网关上配置各种 SSL VPN-Plus 服务。
在 VMware Cloud Director 环境中,Edge 网关的 SSL VPN-Plus 功能支持网络访问模式。远程用户必须安装 SSL 客户端才能建立安全连接并访问 Edge 网关后面的网络和应用程序。在 Edge 网关的 SSL VPN-Plus 配置中,您可以添加适用于操作系统的安装软件包并配置某些参数。有关详细信息,请参见添加 SSL VPN-Plus 客户端安装软件包。
配置 Edge 网关上的 SSL VPN-Plus 是一个多步骤过程。
前提条件
确认已将 SSL VPN-Plus 所需的所有 SSL 证书都添加到证书屏幕中。请参见NSX Data Center for vSphere Edge 网关上的 SSL 证书管理。
导航到 SSL-VPN Plus 屏幕
您可以导航到“SSL-VPN Plus”屏幕,以便开始为 NSX Data Center for vSphere Edge 网关配置 SSL-VPN Plus 服务。
过程
- 打开 Edge 网关服务。
- 在顶部导航栏中,单击网络,然后单击 Edge 网关。
- 选择要编辑的 Edge 网关,然后单击服务。
- 单击 SSL VPN-Plus 选项卡。
下一步做什么
在常规屏幕上,配置默认 SSL VPN-Plus 设置。请参见自定义 NSX Data Center for vSphere Edge 网关的常规 SSL VPN-Plus 设置。
配置 SSL VPN 服务器设置
这些服务器设置可配置 SSL VPN 服务器,例如服务侦听的 IP 地址和端口、服务的密码列表及其服务证书。连接到 NSX Data Center for vSphere Edge 网关时,远程用户会指定您在这些服务器设置中设置的相同 IP 地址和端口。
如果您的 Edge 网关在其外部接口上配置了多个覆盖 IP 地址网络,则您为 SSL VPN 服务器选择的 IP 地址可以不同于 Edge 网关的默认外部接口。
配置 SSL VPN 服务器设置时,必须选择要为 SSL VPN 通道使用哪个加密算法。可以选择一个或多个密码。请根据所选择加密算法的优缺点谨慎选择密码。
默认情况下,系统使用系统为每个 Edge 网关生成的默认自签名证书作为 SSL VPN 通道的默认服务器身份证书。可以选择使用在证书屏幕上添加到系统的数字证书来代替此默认证书。
前提条件
- 确认您已满足配置 SSL VPN-Plus中所述的必备条件。
- 如果您选择使用不同于默认服务证书的证书,请将所需的证书导入到系统。请参见将服务证书添加到 Edge 网关。
- 导航到 SSL-VPN Plus 屏幕。
过程
下一步做什么
添加 IP 池,以便在远程用户使用 SSL VPN-Plus 连接时向他们分配 IP 地址。请参见创建 IP 池以与 NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配合使用。
创建 IP 池以与 NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配合使用
将从使用 SSL VPN-Plus 选项卡上的 IP 池屏幕配置的静态 IP 池中为远程用户分配虚拟 IP 地址。
在此屏幕中添加的每个 IP 池都会导致在 Edge 网关上配置一个 IP 地址子网。在这些 IP 池中使用的 IP 地址范围必须不同于在 Edge 网关上配置的所有其他网络。
前提条件
过程
- 在 SSL VPN-Plus 选项卡上,单击 IP 池。
- 单击创建 () 按钮。
- 配置 IP 池设置。
选项 操作 IP 范围 输入此 IP 池的 IP 地址范围,例如 127.0.0.1-127.0.0.9。 当 VPN 客户端在进行身份验证后连接到 SSL VPN 通道时,将向它们分配这些 IP 地址。
网络掩码 输入 IP 池的网络掩码,例如 255.255.255.0。 网关 输入您要让 Edge 网关创建并分配为此 IP 池的网关地址的 IP 地址。 创建 IP 池后,将在 Edge 网关虚拟机上创建一个虚拟适配器,并在该虚拟接口上配置此 IP 地址。此 IP 地址可以是子网内的任何 IP,但同时不属于 IP 范围字段中的范围内。
描述 (可选)输入此 IP 池的描述。 状态 选择是激活还是停用此 IP 池。 主 DNS (可选)输入将用于对这些虚拟 IP 地址进行名称解析的主 DNS 服务器的名称。 辅助 DNS (可选)输入要使用的辅助 DNS 服务器的名称。 DNS 后缀 (可选)输入托管客户端系统的域的 DNS 后缀,用于按域解析主机名。 WINS 服务器 (可选)根据组织需求输入 WINS 服务器地址。 - 单击保留。
结果
下一步做什么
添加您希望使用 SSL VPN-Plus 连接的远程用户可以访问的专用网络。请参见添加专用网络以与 NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配合使用。
添加专用网络以与 NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配合使用
使用 SSL VPN-Plus 选项卡上的“专用网络”屏幕配置专用网络。当远程用户使用自己的 VPN 客户端和 SSL VPN 通道连接时,专用网络是您希望 VPN 客户端有权访问的网络。激活的专用网络将安装在 VPN 客户端的路由表中。
- 通过 SSL VPN-Plus,远程用户将基于 IP 池在屏幕上的表中显示的自上而下的顺序访问专用网络。将专用网络添加到屏幕上的表后,您可以使用向上和向下箭头调整它们在表中的位置。
- 如果您选择为某个专用网络激活 TCP 优化,则某些应用程序(例如主动模式下的 FTP)可能无法在该子网中正常运行。要添加在主动模式下配置的 FTP 服务器,必须为该 FTP 服务器添加其他专用网络并针对该专用网络停用 TCP 优化。此外,适用于该 FTP 服务器的专用网络必须激活并显示在屏幕上的表中的 TCP 优化专用网络上方。
前提条件
过程
- 在 SSL VPN-Plus 选项卡上,单击专用网络。
- 单击添加 () 按钮。
- 配置此专用网络设置。
选项 操作 网络 采用 CIDR 格式键入专用网络 IP 地址,例如 192.169.1.0/24。 描述 (可选)键入网络描述。 发送流量 指定希望 VPN 客户端发送专用网络和 Internet 流量的方式。 - 通过通道
VPN 客户端将通过激活了 SSL VPN-Plus 的 Edge 网关发送专用网络和 Internet 流量。
- 绕过通道
VPN 客户端绕过 Edge 网关,直接将流量发送到专用服务器。
启用 TCP 优化 (可选)要更好地优化 Internet 速度,则在选择通过通道发送流量的同时,也必须选择启用 TCP 优化 选择此选项可提高 VPN 通道内 TCP 数据包的性能,但不会提高 UDP 流量的性能。
常规完全访问 SSL VPN 通道会借助于第二个 TCP/IP 堆栈发送 TCP/IP 数据以通过 Internet 进行加密。此常规方法将应用程序层数据封装在两个单独的 TCP 流中。丢失数据包(在最佳的 Internet 条件下也会发生)时,将发生性能降级影响,称为 TCP-over-TCP 危机。在 TCP-over-TCP 危机中,两个 TCP 设备更正同一个 IP 数据包,这会削弱网络吞吐量,并导致连接超时。选择启用 TCP 优化可消除发生此 TCP-over-TCP 问题的风险。
注: 激活 TCP 优化时:- 必须输入要针对其优化 Internet 流量的端口号。
- SSL VPN 服务器会代表 VPN 客户端打开 TCP 连接。SSL VPN 服务器打开 TCP 连接时,将应用第一个自动生成的 Edge 防火墙规则,以允许从 Edge 网关打开的所有连接通过。未优化的流量将通过常规 Edge 防火墙规则进行评估。默认生成的 TCP 规则将允许任何连接。
端口 选择通过通道后,键入希望打开的端口号范围以便远程用户访问内部服务器,例如 20-21(适用于 FTP 流量),80-81(适用于 HTTP 流量)。 要向用户授予无限制访问权限,请将此字段留空。
状态 激活或停用专用网络。 - 通过通道
- 单击保留。
- 单击保存更改将配置保存到系统。
下一步做什么
添加身份验证服务器。请参见为 NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配置身份验证服务。
为 NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配置身份验证服务
使用 SSL VPN-Plus 选项卡上的身份验证屏幕为 Edge 网关 SSL VPN 服务设置本地身份验证服务器,然后选择性启用客户端证书身份验证。使用此身份验证服务器对连接的用户进行身份验证。将对本地身份验证服务器中配置的所有用户进行身份验证。
您只能在 Edge 网关上配置一个本地 SSL VPN-Plus 身份验证服务器。如果单击 + 本地并指定其他身份验证服务器,则尝试保存配置时会显示一条错误消息。
通过 SSL VPN 进行身份验证的最长时间为三 (3) 分钟。此最大值由非身份验证超时确定,该超时值默认为 3 分钟且无法进行配置。因此,如果您一连串的授权中有多个身份验证服务器,且用户身份验证用时超过 3 分钟,那么将不会对该用户进行身份验证。
前提条件
- 导航到 SSL-VPN Plus 屏幕。
- 添加专用网络以与 NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配合使用。
- 如果您打算启用客户端证书身份验证,请确认已将 CA 证书添加到 Edge 网关。请参见将 CA 证书添加到 Edge 网关进行 SSL 证书信任验证。
过程
- 单击 SSL VPN-Plus 选项卡和身份验证。
- 单击本地。
- 配置身份验证服务器设置。
- (可选) 启用和配置密码策略。
选项 描述 启用密码策略 启用您在此处配置的密码策略设置的实施。 密码长度 输入密码长度允许的最少和最多字符数。 最少字母数 (可选)键入密码中需要的最少字母字符数。 最少数字数 (可选)键入密码中需要的最少数字字符数。 最少特殊字符数 (可选)键入密码中需要的最少特殊字符数,如与号 (&)、井号 (#)、百分号 (%) 等。 密码不应包含用户 ID (可选)启用后可以强制密码不得包含用户 ID。 密码到期时间 (可选)键入用户必须更改密码前密码可存在的最大天数。 到期通知时间 (可选)键入密码到期时间前的天数,在该日期会向用户发送密码即将到期通知。 - (可选) 启用和配置帐户锁定策略。
选项 描述 启用帐户锁定策略 启用您在此处配置的帐户锁定策略设置的实施。 重试次数 输入用户可以尝试访问其帐户的次数。 重试持续时间 输入登录尝试失败后锁定用户帐户的时间段(以分钟为单位)。 例如,如果将重试次数指定为 5,将重试持续时间指定为 1 分钟,则当用户在 1 分钟内尝试登录 5 次均失败后,其帐户将被锁定。
锁定持续时间 输入用户帐户保持锁定的时间段。 在此时间过后,该帐户将自动解锁。
- 在“状态”部分中,启用此身份验证服务器。
- (可选) 配置辅助身份验证。
选项 描述 使用此服务器进行辅助身份验证 (可选)指定是否使用此服务器作为第二级身份验证。 如果身份验证失败,则终止会话 (可选)指定在身份验证失败时是否结束 VPN 会话。 - 单击保留。
- (可选) 启用和配置密码策略。
- (可选) 要启用客户端证书身份验证,请单击更改证书,然后打开启用开关,选择要使用的 CA 证书并单击确定。
下一步做什么
将本地用户添加到本地身份验证服务器,以便他们可以使用 SSL VPN-Plus 连接。请参见将 SSL VPN-Plus 用户添加到本地 SSL VPN-Plus 身份验证服务器。
创建包含 SSL 客户端的安装软件包,以便远程用户可以在自己的本地系统上进行安装。请参见添加 SSL VPN-Plus 客户端安装软件包。
将 SSL VPN-Plus 用户添加到本地 SSL VPN-Plus 身份验证服务器
可使用 SSL VPN-Plus 选项卡上的用户屏幕,将远程用户的帐户添加到 NSX Data Center for vSphere Edge 网关 SSL VPN 服务的本地身份验证服务器。
前提条件
过程
- 在 SSL VPN-Plus 选项卡上,单击用户。
- 单击创建 () 按钮。
- 为用户配置以下选项。
选项 描述 用户 ID 输入用户 ID。 密码 输入用户的密码。 重新键入密码 重新输入密码。 名 (可选)输入用户的名字。 姓 (可选)输入用户的姓氏。 描述 (可选)输入用户描述。 已启用 指定是激活还是停用此用户。 密码永不过期 (可选)指定是否始终对此用户使用相同的密码。 允许更改密码 (可选)指定是否允许用户更改密码。 下次登录时更改密码 (可选)指定是否希望此用户在下次用户登录时更改密码。 - 单击保留。
- 重复这些步骤以添加其他用户。
下一步做什么
将本地用户添加到本地身份验证服务器,以便他们可以使用 SSL VPN-Plus 连接。请参见将 SSL VPN-Plus 用户添加到本地 SSL VPN-Plus 身份验证服务器。
创建包含 SSL 客户端的安装软件包,以便远程用户可以在自己的本地系统上进行安装。请参见添加 SSL VPN-Plus 客户端安装软件包。
添加 SSL VPN-Plus 客户端安装软件包
使用 SSL VPN-Plus 选项卡上的“安装软件包”屏幕为远程用户创建 SSL VPN-Plus 客户端的指定安装软件包。
可以将 SSL VPN-Plus 客户端安装软件包添加到 NSX Data Center for vSphere Edge 网关。新用户首次登录使用 VPN 连接时,会收到下载并安装此软件包的提示。添加后,这些客户端安装软件包可从 Edge 网关公共接口的 FQDN 进行下载。
您可以创建在 Windows、Linux 和 Mac 操作系统上运行的安装软件包。如果每个 SSL VPN 客户端需要不同的安装参数,请为每个配置创建一个安装软件包。
前提条件
过程
- 在租户门户的 SSL VPN-Plus 选项卡上,单击安装软件包。
- 单击添加 () 按钮。
- 配置安装软件包的设置。
选项 描述 配置文件名称 输入此安装软件包的配置文件名称。 此名称将显示给远程用户,以标识与 Edge 网关的此 SSL VPN 连接。
网关 输入 Edge 网关公共接口的 IP 地址或 FQDN。 所输入的 IP 地址或 FQDN 将绑定到 SSL VPN 客户端。在远程用户的本地系统上安装客户端后,该 IP 地址或 FQDN 将显示在此 SSL VPN 客户端上。
要将其他 Edge 网关上行链路接口绑定到此 SSL VPN 客户端,请单击添加 () 按钮添加行,然后键入其接口 IP 地址或 FQDN 以及端口。
端口 (可选)要修改显示的默认端口值,请双击该值并输入一个新值。 Windows
Linux
Mac
选择操作系统以创建适用的安装软件包。 描述 (可选)为用户键入描述。 已启用 指定是激活还是停用此软件包。 - 选择适用于 Windows 的安装参数。
选项 描述 登录时启动客户端 远程用户登录到自己的本地系统时启动 SSL VPN 客户端。 允许记住密码 让客户端记住用户密码。 启用静默模式安装 向远程用户隐藏安装命令。 隐藏 SSL 客户端网络适配器 隐藏与 SSL VPN 客户端安装软件包一起安装在远程用户计算机上的 VMware SSL VPN-Plus 适配器。 隐藏客户端系统托盘图标 隐藏指示 VPN 连接是否处于活动状态的 SSL VPN 托盘图标。 创建桌面图标 在用户桌面上创建一个用于调用 SSL 客户端的图标。 启用静默模式操作 隐藏指示安装已完成的窗口。 服务器安全证书验证 在建立安全连接前,SSL VPN 客户端会验证 SSL VPN 服务器证书。 - 单击保留。
下一步做什么
编辑客户端配置。请参见编辑 SSL VPN-Plus 客户端配置。
编辑 SSL VPN-Plus 客户端配置
自定义 NSX Data Center for vSphere Edge 网关的常规 SSL VPN-Plus 设置
默认情况下,系统会在 VMware Cloud Director 环境中的 Edge 网关上设置一些 SSL VPN-Plus 设置。您可以使用 VMware Cloud Director 租户门户 SSL VPN-Plus 选项卡上的常规设置屏幕自定义这些设置。
前提条件
过程
- 在 SSL VPN-Plus 选项卡上,单击常规设置。
- 根据组织需求编辑常规设置。
选项 描述 禁止使用相同用户名进行多次登录 开启后可将远程用户限制为使用同一用户名仅能建立一个活动登录会话。 压缩 开启后可启用基于 TCP 的智能数据压缩并提高数据传输速度。 启用日志记录 启用后可维护通过 SSL VPN 网关的流量日志。 默认情况下启用日志记录。
强制使用虚拟键盘 启用后可要求远程用户仅使用虚拟(屏幕)键盘输入登录信息。 使虚拟键盘的按键随机排列 启用后可让虚拟键盘使用随机键布局。 会话空闲超时 输入会话空闲超时(以分钟为单位)。 如果用户会话在指定时间段内没有任何活动,系统将断开用户会话的连接。系统默认值为 10 分钟。
用户通知 键入要在远程用户登录后为其显示的消息。 启用公用 URL 访问 启用后可允许远程用户访问您没有显式配置为让远程用户访问的站点。 启用强制超时 启用后可让系统在强制超时字段中指定的时间段结束后断开远程用户的连接。 强制超时 键入超时期限(以分钟为单位)。 打开启用强制超时开关时显示此字段。
- 单击保存更改。