必须配置本地端点以用于要配置的 IPSec VPN。

以下步骤使用 NSX Manager UI 上的本地端点选项卡。也可以在添加 IPSec VPN 会话的过程中创建本地端点,方法是单击三点菜单 (),然后选择添加本地端点。如果处于配置 IPSec VPN 会话的中间,则继续执行以下步骤中的步骤 3 以指导您创建新的本地端点。

前提条件

  • 如果要将基于证书的身份验证模式用于要使用所配置的本地端点的 IPSec VPN 会话,请获取有关本地端点必须使用的证书的信息。
  • 确保已配置要将此本地端点与之相关联的 IPSec VPN 服务。

过程

  1. 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 导航到 网络 > VPN > 本地端点,然后单击添加本地端点
  3. 输入本地端点的名称。
  4. VPN 服务下拉菜单中,选择要与该本地端点关联的 IPSec VPN 服务。
  5. 输入本地端点的 IP 地址。
    对于在 Tier-0 网关上运行的 IPSec VPN 服务,本地端点 IP 地址不能与 Tier-0 网关的上行链路接口 IP 地址相同。您提供的本地端点 IP 地址与 Tier-0 网关的环回接口关联,并且还在上行链路接口上作为可路由 IP 地址发布。对于在 Tier-1 网关上运行的 IPSec VPN 服务,为了能够路由本地端点 IP 地址,必须在 Tier-1 网关配置中启用 IPSec 本地端点的路由通告。有关详细信息,请参见 添加 Tier-1 网关
  6. 如果要将基于证书的身份验证模式用于 IPSec VPN 会话,请从站点证书下拉菜单中,选择本地端点要使用的证书。
  7. (可选) (可选)在描述中添加描述。
  8. 输入用于标识本地 NSX Edge 实例的本地 ID 值。
    此本地 ID 是远程站点上的对等 ID。本地 ID 必须是远程站点的公用 IP 地址或 FQDN。对于使用本地端点定义的基于证书的 VPN 会话,本地 ID 派生自与本地端点关联的证书。在 本地 ID 文本框中指定的 ID 将被忽略。来自 VPN 会话证书的本地 ID 取决于证书中包含的扩展。
    • 如果在证书中不包含 X509v3 扩展 X509v3 Subject Alternative Name,则将标识名 (Distinguished Name, DN) 作为本地 ID 值。
    • 如果在证书中找到 X509v3 扩展 X509v3 Subject Alternative Name,则将其中的一个主体备用名称作为本地 ID 值。
  9. 受信任的 CA 证书证书吊销列表下拉菜单中,选择本地端点所需的相应证书。
  10. 如果需要,请指定标记。
  11. 单击保存