可以使用本主题中的步骤在 NSX Edge 实例上启用 IPSec VPN。

前提条件

要启用证书身份验证,您必须导入服务器证书和相应的 CA 签名证书。或者,您也可以使用诸如 OpenSSL 等开源命令行工具生成 CA 签名证书。

自签名证书不能用于 IPSec VPN,只能用于负载平衡和 SSL VPN。

过程

  1. 登录到 vSphere Web Client
  2. 单击网络和安全 (Networking & Security) > NSX Edge (NSX Edges)
  3. 双击一个 NSX Edge
  4. 单击管理 > VPN > IPSec VPN
  5. 全局配置旁边,单击编辑更改 (Change)
  6. 为对等端点设置为“任意”的站点输入全局预共享密钥。
    要查看预共享密钥,请单击 显示预共享密钥 ( “显示”图标。) 图标,或者选中 显示共享密钥 (Display shared key)复选框。
  7. 配置全局扩展。
    下表介绍了全局扩展。
    扩展 说明
    add_spd

    允许的值为 onoff。默认值为 on,即使在您没有配置此扩展时。

    add_spd=off 时:
    • 仅当隧道已启动时才会安装安全策略。
    • 如果隧道已启动,将通过隧道发送加密的数据包。
    • 如果隧道已关闭,将在有路由可用的情况下发送未加密的数据包。
    add_spd=on 时:
    • 无论是否建立了隧道,都会安装安全策略。
    • 如果隧道已启动,将通过隧道发送加密的数据包。
    • 如果隧道已关闭,将丢弃数据包。
    ike_fragment_size 如果最大传输单元 (MTU) 较小,您可以使用此扩展设置 IKE 分段大小,以避免 IKE 协商失败。例如,ike_fragment_size=900
    ignore_df
    允许的值为 onoff。默认值为 off
    • ignore_df=off 时,NSX Edge 将“不分段 (DF)”位值从明文数据包复制到加密数据包中。这意味着,如果明文数据包设置了 DF 位,在加密后,数据包也会设置 DF 位。
    • ignore_df=on 时,NSX Edge 忽略明文数据包中的 DF 位值,并且加密数据包中的 DF 位始终为 0。

    • 如果在明文数据包中设置了 DF 位,并且加密后的数据包大小超过 TCP 数据包的 MTU,请将该标记设置为 on。如果设置了 DF 位,将丢弃数据包,但如果清除了该位,则会将数据包分段。

  8. 启用证书身份验证,然后选择相应的服务证书、CA 证书和证书吊销列表 (CRL)。
  9. 单击保存确定 (OK),然后单击发布更改 (Publish Changes)