使用 VMware Cloud Director 租户门户中的 IPsec VPN 站点屏幕,配置通过 Edge 网关 IPsec VPN 功能在您的组织虚拟数据中心和另一站点之间创建 IPsec VPN 连接所需的设置。

当配置站点之间的 IPsec VPN 连接时,可以从当前位置的角度配置连接。设置连接要求您了解 VMware Cloud Director 环境上下文中的概念,以便正确配置 VPN 连接。

  • 本地和对等子网指定 VPN 连接到的网络。在 IPsec VPN 站点配置中指定这些子网时,输入网络范围而不是特定的 IP 地址。请使用 CIDR 格式,例如 192.168.99.0/24
  • 对等 ID 是唯一标识终止 VPN 连接的远程设备的标识符,通常是其公用 IP 地址。对于使用证书身份验证的对等站点,此 ID 必须是对等站点证书中设置的标识名。对于 PSK 对等站点,此 ID 可以是任何字符串。NSX 最佳做法是,使用远程设备的公用 IP 地址或 FQDN 作为对等 ID。如果对等 IP 地址来自其他组织虚拟数据中心网络,则请输入对等站点的本地 IP 地址。如果为对等站点配置了 NAT,则输入对等站点的专用 IP 地址。
  • 对等端点指定您要连接到的远程设备的公用 IP 地址。如果不能从 Internet 直接访问对等站点的网关,而是通过另一个设备连接,则对等端点的地址可能与对等 ID 的地址不同。如果为对等站点配置了 NAT,则输入设备用于 NAT 的公用 IP 地址。
  • 本地 ID 指定组织虚拟数据中心的 Edge 网关的公用 IP 地址。您可以输入 IP 地址或主机名以及 Edge 网关的防火墙。
  • 本地端点指定在您的组织虚拟数据中心中 Edge 网关在其上传输数据的网络。通常情况下,Edge 网关的外部网络是本地端点。

前提条件

过程

  1. 打开 Edge 网关服务。
    1. 在顶部导航栏中,单击网络,然后单击 Edge 网关
    2. 选择要编辑的 Edge 网关,然后单击服务
  2. IPsec VPN 选项卡上,单击 IPsec VPN 站点
  3. 单击添加 (创建按钮) 按钮。
  4. 配置 IPsec VPN 连接设置。
    选项 操作
    已启用 在两个 VPN 端点之间启用此连接。
    启用完全向前保密 (PFS) 启用此选项可以使系统为用户启动的所有 IPsec VPN 会话生成唯一的公钥。

    启用 PFS 可确保系统不会在 Edge 网关的私钥和每个会话密钥之间创建链接。

    会话密钥的泄露不会影响由该特定密钥保护的特定会话中交换的数据以外的数据。服务器私钥的泄露不能用于解密存档的会话或未来的会话。

    启用 PFS 后,与此 Edge 网关的 IPsec VPN 连接会遇到轻微的处理开销。

    重要说明: 唯一的会话密钥不得用于派生任何其他密钥。此外,IPsec VPN 通道的两端都必须支持 PFS,它才能正常工作。
    名称 (可选)输入此连接的名称。
    本地 ID 输入 Edge 网关实例的外部 IP 地址,它是 Edge 网关的公用 IP 地址。

    此 IP 地址将用于远程站点上 IPsec VPN 配置中的对等 ID。

    本地端点 输入此连接的本地端点网络。

    本地端点指定在您的组织虚拟数据中心中 Edge 网关在其上传输数据的网络。通常情况下,外部网络是本地端点。

    如果您使用预共享密钥添加 IP 到 IP 通道,则本地 ID 和本地端点 IP 可以相同。

    本地子网 输入要在站点之间共享的网络,并使用逗号作为分隔符输入多个子网。

    通过使用 CIDR 格式输入 IP 地址来输入网络范围(而不是特定 IP 地址);例如 192.168.99.0/24
    对等 ID 输入对等 ID 以唯一标识对等站点。

    对等 ID 是唯一标识终止 VPN 连接的远程设备的标识符,通常是其公用 IP 地址。

    对于使用证书身份验证的对等站点,ID 必须是对等站点证书中的标识名。对于 PSK 对等站点,此 ID 可以是任何字符串。NSX 最佳做法是,使用远程设备的公用 IP 地址或 FQDN 作为对等 ID。

    如果对等 IP 地址来自其他组织虚拟数据中心网络,则请输入对等站点的本地 IP 地址。如果为对等站点配置了 NAT,则输入对等站点的专用 IP 地址。

    对等端点 输入对等站点的 IP 地址或 FQDN,即您要连接的远程设备的公用地址。
    注: 如果为对等站点配置了 NAT,则输入设备用于 NAT 的公用 IP 地址。
    对等子网 输入 VPN 连接的远程网络,并使用逗号作为分隔符输入多个子网。

    通过使用 CIDR 格式输入 IP 地址来输入网络范围(而不是特定 IP 地址);例如 192.168.99.0/24
    加密算法 从下拉菜单中选择加密算法类型。
    注: 您选择的加密类型必须与远程站点 VPN 设备上配置的加密类型相匹配。
    身份验证 选择身份验证。选项包括:
    • PSK

      预共享密钥 (Pre Shared Key, PSK) 指定在 Edge 网关和对等站点之间共享的密钥将用于身份验证。

    • 证书

      证书身份验证指定在全局级别定义的证书将用于身份验证。除非您在 IPsec VPN 选项卡的全局配置屏幕上配置了全局证书,否则此选项不可用。

    更改共享密钥 (可选)当您更新现有连接的设置时,可以启用此选项以使预共享密钥字段可用,以便可以更新共享密钥。
    预共享密钥 如果您选择 PSK 作为身份验证类型,请键入一个字母数字密码字符串,该字符串的最大长度不得超过 128 字节。
    注: 共享密钥必须与远程站点 VPN 设备上配置的密钥相匹配。最佳做法是在匿名站点连接到 VPN 服务时配置共享密钥。
    显示共享密钥 (可选)启用此选项以使共享密钥在屏幕中可见。
    Diffie-Hellman 组 选择将允许对等站点和此 Edge 网关通过不安全的通信通道建立共享密钥的加密方案。
    注: Diffie-Hellman 组必须与远程站点 VPN 设备上的配置相匹配。
    扩展 (可选)键入以下选项之一:
    • securelocaltrafficbyip=IPAddress,用于通过 IPsec VPN 通道重定向 Edge 网关本地流量。

      这是默认值。

    • passthroughSubnets=PeerSubnetIPAddress,支持重叠的子网。
  5. 单击保留
  6. 单击保存更改

下一步做什么

配置远程站点的连接。您必须在连接的两端(您的组织虚拟数据中心和对等站点)配置 IPsec VPN 连接。

在此 Edge 网关上启用 IPsec VPN 服务。在配置了至少一个 IPsec VPN 连接时,您可以启用该服务。请参见在 NSX Data Center for vSphere Edge 网关上启用 IPsec VPN 服务