VMware Cloud Director 支持在 NSX Edge 网关实例与远程站点之间进行基于策略的和基于路由的站点到站点 IPSec VPN 通信。

IPSec VPN 在 Edge 网关和远程站点之间提供站点到站点连接,后者也使用 NSX 或具有支持 IPSec 的第三方硬件路由器或 VPN 网关。

基于策略的 IPSec VPN 要求将 VPN 策略应用于数据包,确定哪些流量受到 IPSec 保护,然后再通过 VPN 通道传递。这种类型的 VPN 被视为是静态的,因为本地网络拓扑和配置发生更改时,还必须更新 VPN 策略设置以适应所做的更改。

NSX Edge 网关支持拆分通道配置,IPSec 流量优先采用路由形式。

NSX Edge 网关上使用 IPSec VPN 时,VMware Cloud Director 支持自动路由重新分发。

从版本 10.6 开始,您可以配置基于路由的站点到站点 IPSec VPN。要对 NSX Edge 网关使用基于路由的 IPSec VPN,VMware Cloud Director 仅支持静态路由。基于路由的 IPSec VPN 使用标准路由协议,并提供更好的可扩展性。它更适合更大型、更复杂的网络。

VMware Cloud Director Service Provider Admin Portal中配置 NSX IPSec VPN

可以在 NSX Edge 网关和远程站点之间配置站点到站点连接。远程站点必须使用 NSX,并具有第三方硬件路由器或支持 IPSec 的 VPN 网关。

NSX Edge 网关上配置 IPSec VPN 时,VMware Cloud Director 支持自动路由重新分发。

前提条件

  • 如果要配置基于 NSX 路由的 IPSec VPN 通道,请配置静态路由。请参见在 VMware Cloud Director Service Provider Admin Portal 中配置 NSX Edge 网关上的静态路由
  • 如果您计划使用证书身份验证来保护 IPSec VPN 通信,请确认您的系统管理员已将本地 NSX Edge 网关的服务器证书和您所在组织的 CA 证书上载到 VMware Cloud Director 证书库。
  • 如果要限制租户可以使用的安全配置文件数量,可以使用 VMware Cloud Director 单元管理工具 (CMT) 的 manage-config 子命令。例如,如果要将列表限制为 FIPSFoundation,请运行以下 CMT 命令。 
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n networking.gatewayIpSecVpnTunnelSecurityTypeDisallowList -v PROVIDER_PREFERRED,FIPS,FOUNDATION

过程

  1. 在左侧一级导航面板中选择资源,然后在页面顶部导航栏中选择云资源
  2. 在左侧二级导航面板中,选择 Edge 网关,然后单击目标 Edge 网关的名称。
  3. 服务下,单击 IPSec VPN,然后单击新建
  4. 输入 IPSec VPN 通道的名称或可选描述。
  5. 选择 IPSec VPN 通道类型。
    从版本 10.6 开始, VMware Cloud Director 对静态路由支持基于路由的 IPSec VPN。
  6. 选择一个安全配置文件以用于保护传输的数据。
  7. 要在创建时启用通道,请打开状态开关。
  8. 要启用日志记录,请打开日志记录开关。
  9. 单击下一步
  10. 选择对等身份验证模式。
    选项 描述
    预共享密钥 选择要输入的预共享密钥。此预共享密钥必须与 IPSec VPN 通道另一端的预共享密钥相同。
    证书 选择要用于身份验证的站点和 CA 证书。
  11. 从下拉菜单中,选择可用于本地端点的 Edge 网关的一个 IP 地址。
    该 IP 地址必须是 Edge 网关的主 IP,或者是单独分配给 Edge 网关的 IP 地址。
  12. 如果要配置基于策略的 IPSec VPN,请以 CIDR 表示法输入至少一个本地 IP 子网地址,以用于 IPSec VPN 通道。
  13. 输入远程端点的 IP 地址。
  14. 如果要配置基于策略的 IPSec VPN,请以 CIDR 表示法输入至少一个远程 IP 子网地址,以用于 IPSec VPN 通道。
  15. 输入对等站点的远程 ID。
    远程 ID 必须与可用远程端点证书的 SAN(主体备用名称)匹配。如果远程证书不包含 SAN,则远程 ID 必须与用于保护远程端点的证书的标识名匹配,例如 C=US、ST=Massachusetts、O=VMware,OU=VCD、CN=Edge1。
  16. 如果要为虚拟通道接口 (VTI) 配置基于路由的 IPSec VPN,请输入有效的 IPv4 CIDR 或 IPv6 CIDR,或者两种格式各输入一个并用逗号分隔。

    虚拟通道接口 (VTI) 表示网络设备上的 IPSec 通道端点。

  17. 单击下一步
  18. 查看设置,然后单击完成

结果

新创建的 IPSec VPN 通道将在 IPSec VPN 视图中列出。

下一步做什么

  • 要验证通道是否正常工作,请选择该通道,然后单击查看统计信息

    如果通道正常工作,通道状态IKE 服务状态均显示可访问

  • 配置 IPSec VPN 通道的远程端点。
  • 您可以根据需要编辑 IPSec VPN 通道设置并自定义其安全配置文件。

VMware Cloud Director Service Provider Admin Portal 中自定义 IPSec VPN 通道的安全配置文件

如果您决定不使用创建时分配给 IPSec VPN 通道的系统生成的安全配置文件,则可以对其进行自定义。

过程

  1. 在左侧一级导航面板中选择资源,然后在页面顶部导航栏中选择云资源
  2. 在左侧二级导航面板中,选择 Edge 网关,然后单击目标 Edge 网关的名称。
  3. 服务下,单击 IPSec VPN
  4. 选择 IPSec VPN 通道,然后单击安全配置文件自定义
  5. 配置 IKE 配置文件。
    Internet 密钥交换 (IKE) 配置文件提供有关在建立 IKE 通道时用于在网络站点之间进行身份验证、加密和建立共享密钥的算法的信息。
    1. 选择 IKE 协议版本,以便在 IPSec 协议套件中设置安全关联 (SA)。
      选项 描述
      IKEv1 选择此选项时,IPSec VPN 将仅启动并响应 IKEv1 协议。
      IKEv2 默认选项。选择此版本时,IPSec VPN 将仅启动并响应 IKEv2 协议。
      IKE-Flex 选择此选项时,如果使用 IKEv2 协议建立通道失败,源站点不会回退并使用 IKEv1 协议发起连接。相反,如果远程站点使用 IKEv1 协议发起连接,则会接受连接。
    2. 选择要在 Internet 密钥交换 (IKE) 协商期间使用的受支持加密算法。
    3. 摘要下拉菜单中,选择要在 IKE 协商期间使用的安全哈希算法。
    4. Diffie-Hellman 组下拉菜单中,选择允许对等站点和 Edge 网关通过不安全的通信通道建立共享密钥的一种加密方案。
    5. (可选) 关联生命周期文本框中,修改需要重新建立 IPSec 通道之前的默认秒数。
  6. 配置 IPSec VPN 通道。
    1. 要启用完美前向保密,请启用此选项。
    2. 选择碎片整理策略。
      碎片整理策略有助于处理内部数据包中存在的碎片整理位。
      选项 描述
      复制 将碎片整理位从内部 IP 数据包复制到外部数据包。
      清除 忽略内部数据包中存在的碎片整理位。
    3. 选择要在 Internet 密钥交换 (IKE) 协商期间使用的受支持加密算法。
    4. 摘要下拉菜单中,选择要在 IKE 协商期间使用的安全哈希算法。
    5. Diffie-Hellman 组下拉菜单中,选择允许对等站点和 Edge 网关通过不安全的通信通道建立共享密钥的一种加密方案。
    6. (可选) 关联生命周期文本框中,修改需要重新建立 IPSec 通道之前的默认秒数。
  7. (可选) 探测间隔文本框中,修改对等方失效检测的默认秒数。
  8. 单击保存

结果

在 IPSec VPN 视图中,IPSec VPN 通道的安全配置文件显示为 用户定义