必须在 NSX Edge 上至少配置一个外部 IP 地址才能提供 IPSec VPN 服务。

过程

  1. 登录到 vSphere Web Client
  2. 单击网络和安全 (Networking & Security) > NSX Edge (NSX Edges)
  3. 双击一个 NSX Edge
  4. 单击管理 > VPN > IPSec VPN
  5. 单击添加 (Add)
  6. 输入 IPSec VPN 站点的名称。
  7. 配置 IPSec VPN 站点的端点参数。
    1. 输入本地 ID 以标识本地 NSX Edge 实例。此本地 ID 是远程站点上的对等 ID。
      本地 ID 可以是任何字符串。最好是使用 VPN 的公用 IP 地址或者 VPN 服务的完全限定域名 (FQDN) 作为本地 ID。
    2. 输入本地端点的 IP 地址或 FQDN。
      如果您添加的 IP 到 IP 隧道使用预共享密钥,则本地 ID 和本地端点 IP 可以相同。
    3. 采用 CIDR 格式输入要在 IPSec VPN 站点之间共享的子网。使用逗号分隔符输入多个子网。
    4. 输入“对等 ID”以标识对等站点。
      • 对于使用证书身份验证的对等站点,此 ID 必须是对等站点证书中的标识名 (DN)。采用逗号分隔的值串形式(不含空格)按以下顺序输入证书的 DN:C=xxx,ST=xxx,L=xxx,O=xxx,OU=xxx,CN=xxx,E=xxx
      • 对于 PSK 对等站点,对等 ID 可以是任何字符串。最好是使用 VPN 的公用 IP 地址或者 VPN 服务的 FQDN 作为对等 ID。
    5. 输入对等端点的 IP 地址或 FQDN。默认值是任意 (any)。如果保留默认值,则必须配置全局 PSK。
    6. 采用 CIDR 格式输入对等子网的内部 IP 地址。使用逗号分隔符键入多个子网。
  8. 配置隧道参数。
    1. (可选) 选择一个安全合规性套件,以使用该套件定义的预定义值配置 IPSec VPN 站点的安全配置文件。
      默认选择为 ,这意味着您必须手动为身份验证方法、IKE 配置文件和隧道配置文件指定配置值。选择合规性套件后,将自动分配该标准合规性套件中预定义的值,并且无法编辑这些值。有关合规性套件的详细信息,请参见 受支持的合规性套件
      注:
      • NSX Data Center 6.4.5 或更高版本支持合规性套件。
      • 如果在 Edge 上启用了 FIPS 模式,则无法指定合规性套件。
    2. 选择以下 Internet 密钥交换 (Internet Key Exchange, IKE) 协议之一,以在 IPSec 协议套件中设置安全关联 (Security Association, SA)。
      选项 说明
      IKEv1 如果选择此选项,IPSec VPN 将会启动并且仅响应 IKEv1 协议。
      IKEv2 如果选择此选项,IPSec VPN 将会启动并且仅响应 IKEv2 协议。
      IKE-Flex 如果选择此选项,当使用 IKEv2 协议建立隧道失败时,源站点不会改为使用 IKEv1 协议启动连接。不过,如果远程站点使用 IKEv1 协议启动连接,则会接受该连接。
      重要事项: 如果使用相同的本地和远程端点配置多个站点,请确保在所有这些 IPSec VPN 站点中选择相同的 IKE 版本和 PSK。
    3. 摘要算法 (Digest Algorithm)下拉菜单中,选择以下安全哈希算法之一:
      • SHA1
      • SHA_256
    4. 加密算法 (Encryption Algorithm)下拉菜单中,选择以下支持的加密算法之一:
      • AES (AES128-CBC)
      • AES256 (AES256-CBC)
      • 三重 DES (3DES192-CBC)。
      • AES-GCM (AES128-GCM)
      注:
      • AES-GCM 加密算法不符合 FIPS 标准要求。
      • NSX 6.4.5 开始,三重 DES 加密算法将在 IPSec VPN 服务中被弃用。

      下表介绍了一些加密设置,在对等 VPN 网关上会将这些加密设置用于可在本地 NSX Edge 上选择的加密设置。

      表 1. 加密设置
      NSX Edge 上的加密设置 对等 VPN 网关上的 IKE 设置 对等 VPN 网关上的 IPSec 设置
      AES-256 AES-256 AES-256
      AES-128 AES-128 AES-128
      3DES 3DES 3DES
      AES-GCM、IKEv1 AES-128 AES-GCM
      AES-GCM、IKEv2 AES-128 或 AES-GCM AES-GCM
    5. 在“身份验证方法”中,选择下列选项之一:
      选项 说明
      PSK (预共享密钥) 表示将使用在 NSX Edge 与对等站点之间共享的私钥进行身份验证。私钥可以是最大长度为 128 字节的字符串。

      PSK 身份验证在 FIPS 模式下将被禁用。

      证书 表示将使用在全局级别定义的证书进行身份验证。
    6. (可选) 输入对等 IPSec VPN 站点的预共享密钥。
    7. 要在对等站点上显示该密钥,请单击显示预共享密钥 (“显示”图标。) 图标,或者选中显示共享密钥 (Display Shared Key)复选框。
    8. Diffie-hellman (DH) 组 (Diffie-Hellman (DH) Group)下拉菜单中,选择以下允许对等站点和 NSX Edge 通过不安全通信通道建立共享密钥的加密方案之一。
      • DH-2
      • DH-5
      • DH-14
      • DH-15
      • DH-16
      DH14 是 FIPS 和非 FIPS 模式的默认选择。在启用 FIPS 模式时,DH2 和 DH5 不可用。
  9. 配置高级参数。
    1. 如果远程 IPSec VPN 站点不支持 PFS,请禁用完美前向保密 (PFS) (Perfect forward secrecy (PFS)) 选项。默认情况下,将启用 PFS。
    2. (可选) 要在仅响应者模式下运行 IPSec VPN,请选中仅响应者 (Responder only)复选框。
      在此模式下,IPSec VPN 从不启动连接。
    3. (可选) 扩展 (Extension)文本框中,键入以下内容之一:
      • securelocaltrafficbyip=IPAddress 通过 IPSec VPN 隧道重定向 Edge 的本地流量。IP 地址是默认值。有关详细信息,请参见 http://kb.vmware.com/kb/20080007
      • passthroughSubnets=PeerSubnetIPAddress 支持重叠子网。
  10. 单击添加确定 (OK),然后单击发布更改 (Publish Changes)
    IPSec VPN 配置将保存到 NSX Edge 上。

后续步骤

启用 IPSec VPN 服务。

提示:vSphere Web Client 中,您可以在 IPSec VPN 页面上执行以下步骤以生成对等 VPN 网关的配置脚本。
  • NSX 6.4.6 和更高版本中,选择 IPSec VPN 站点,然后单击操作 > 生成对等配置
  • NSX 6.4.5 和更低版本中,选择 IPSec VPN 站点,然后单击生成对等配置图标。在打开的对话框中,单击生成对等配置

    此时将生成配置脚本。您可以将该脚本作为参考,以便在对等 VPN 网关上配置 IPSec VPN 参数。