此示例包含一个配置场景,其中描述了 NSX Edge 与另一端 Cisco 或 WatchGuard VPN 之间的基本点对点 IPSec VPN 连接(基于策略)。

对于此场景,NSX Edge 会将内部网络 192.168.5.0/24 连接到 Internet。NSX Edge 接口配置如下:

  • 上行链路接口:10.115.199.103
  • 内部接口:192.168.5.1

远程站点上的 VPN 网关将内部网络 172.15.0.0/16 连接到 Internet。远程网关接口将按如下方式进行配置:

  • 上行链路接口:10.24.120.90
  • 内部接口:172.16.0.1
图 1. 连接到远程 VPN 网关的 NSX Edge
IPSEC
注: 对于从 NSX EdgeNSX Edge 的 IPSec 隧道,可以通过将第二个 NSX Edge 设置为远程网关的方式来使用同一场景。

过程

  1. 登录到 vSphere Web Client
  2. 单击网络和安全 (Networking & Security) > NSX Edge (NSX Edges)
  3. 双击一个 NSX Edge
  4. 单击管理 > VPN > IPSec VPN
  5. 单击添加 (Add)
  6. 名称 (Name)文本框中,键入 IPSec VPN 站点的名称。
  7. 本地 ID (Local Id) 文本框中,键入 10.115.199.103 作为 NSX Edge 实例的 IP 地址。此本地 ID 将成为远程站点上的对等 ID。
  8. 本地端点 (Local Endpoint)文本框中,键入 10.115.199.103
    如果您使用预共享密钥将一个 IP 添加到 IP 隧道,则本地 ID 和本地端点 IP 可能相同。
  9. 本地子网 (Local Subnets)文本框中,键入 192.168.5.0/24
  10. 对等 ID (Peer Id) 中,键入 10.24.120.90 以唯一标识对等站点。
  11. 对等端点 (Peer Endpoint)文本框中,键入 10.24.120.90
  12. 对等子网 (Peer Subnets)文本框中,键入 172.15.0.0/16
  13. 选择 IKE 版本 (IKE Version)。例如,选择 IKEv2
  14. 选择摘要算法 (Digest Algorithm)。例如,选择 SHA_256
  15. 选择加密算法 (Encryption Algorithm)。例如,选择 AES
  16. 选择身份验证方法 (Authentication Method)。例如,选择 PSK
  17. 键入预共享密钥 (Pre-shared Key)
  18. 要在对等站点上显示预共享密钥,请单击显示预共享密钥 (“显示”图标。) 图标,或者选中显示共享密钥 (Display Shared Key)复选框。
  19. 选择 Diffie-hellman (DH) 组 (Diffie-Hellman (DH) Group)加密方案。例如,选择 DH14
  20. 单击添加确定 (OK)
    IPSec VPN 站点配置将保存在 NSX Edge 上。

后续步骤

启用 IPSec VPN 服务。