在添加基于策略的 IPSec VPN 时,可以使用 IPSec 隧道将 NSX Edge 节点后面的多个本地子网连接到远程 VPN 站点上的对等子网。
以下步骤使用 NSX Manager UI 上的 IPSec 会话选项卡创建基于策略的 IPSec 会话。还可以添加隧道、IKE 和 DPD 配置文件的信息,然后选择现有的本地端点用于基于策略的 IPSec VPN。
注:
也可以在成功配置 IPSec VPN 服务后立即添加 IPSec VPN 会话。在系统提示您继续进行 IPSec VPN 服务配置时单击是,然后在“添加 Ipsec 服务”面板上选择。在以下过程的前几步中,假定系统提示您继续进行 IPSec VPN 服务配置时您选择了否。如果您已选择是,请继续执行以下步骤中的步骤 3,以引导您完成其余基于策略的 IPSec VPN 会话配置。
前提条件
- 必须先配置 IPSec VPN 服务才能继续操作。请参见添加 IPSec VPN 服务。
- 获取本地端点的信息以及对等站点、本地网络子网和远程网络子网的 IP 地址,以用于要添加的基于策略的 IPSec VPN 会话。要创建本地端点,请参见添加本地端点。
- 如果要使用预共享密钥 (PSK) 进行身份验证,请获取 PSK 值。
- 如果要使用证书进行身份验证,请确保已导入必要的服务器证书和对应的 CA 签名证书。请参见证书。
- 如果不希望为 NSX-T Data Center 提供的 IPSec 隧道、IKE 或不活动对等检测 (DPD) 配置文件使用默认设置,请改为配置您要使用的配置文件。请参见添加配置文件,了解相关信息。
过程
- 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
- 导航到 选项卡。
- 选择。
- 输入基于策略的 IPSec VPN 会话的名称。
- 从 VPN 服务下拉菜单中,选择要向其添加此新的 IPSec 会话的 IPSec VPN 服务。
注: 如果要从
添加 IPSec 会话对话框中添加此 IPSec 会话,则
添加 IPSec 会话按钮上方会指示 VPN 服务名称。
- 从下拉菜单中选择现有本地端点。
需要输入该本地端点值,它标识本地
NSX Edge 节点。如果要创建不同的本地端点,请单击三点菜单 (
),然后选择
添加本地端点。
- 在远程 IP 文本框中,输入远程站点的所需 IP 地址。
需要输入此值。
- 输入此基于策略的 IPSec VPN 会话的可选说明。
最大长度为 1024 个字符。
- 要启用或禁用 IPSec VPN 会话,请单击管理状态。
默认情况下,该值设置为
Enabled
,这意味着将配置到
NSX Edge 节点的 IPSec VPN 会话。
- (可选) 从合规性套件下拉菜单中,选择一个安全合规性套件。
注: 从
NSX-T Data Center 2.5 开始,将提供合规性套件支持。有关详细信息,请参见
关于支持的合规性套件。
选择的默认值为
None
。如果选择一个合规性套件,则
身份验证模式设置为
Certificate
,并且
高级属性部分中的
IKE 配置文件和
IPSec 配置文件值设置为系统为选定安全合规性套件定义的配置文件。您无法编辑这些系统定义的配置文件。
- 如果合规性套件设置为
None
,请从身份验证模式下拉菜单中选择一种模式。
使用的默认身份验证模式为
PSK
,这意味着将
NSX Edge 和远程站点之间共享的私钥用于 IPSec VPN 会话。如果选择
Certificate
,则使用用于配置本地端点的站点证书进行身份验证。
- 在“本地网络”和“远程网络”文本框中,至少输入一个 IP 子网地址以用于该基于策略的 IPSec VPN 会话。
这些子网必须采用 CIDR 格式。
- 如果身份验证模式设置为
PSK
,请在预共享密钥文本框中输入密钥值。
此私钥可以是最大长度为 128 个字符的字符串。
小心: 在共享和存储 PSK 值时要格外小心,因为它包含一些非常敏感的信息。
- 要标识对等站点,请在远程 ID 中输入值。
对于使用 PSK 身份验证的对等站点,该 ID 值必须是对等站点的 IP 地址或 FQDN。对于使用证书身份验证的对等站点,该 ID 值必须是在对等站点的证书中使用的公用名称 (Common Name, CN) 或标识名 (Distinguished Name, DN)。
注: 如果对等站点的证书在 DN 字符串中包含电子邮件地址,例如,
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
则使用以下格式输入
远程 ID 值以作为一个示例。
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
如果本地站点的证书在 DN 字符串中包含电子邮件地址,并且对等站点使用 strongSwan IPsec 实施,请在该对等站点中输入本地站点的 ID 值。以下是一个示例。
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
- 要更改配置文件、启动模式、TCP MSS 限制模式以及基于策略的 IPSec VPN 会话使用的标记,请单击高级属性。
默认情况下,使用系统生成的配置文件。如果不希望使用默认配置文件,则选择其他可用的配置文件。如果要使用尚未配置的配置文件,请单击三点菜单 (
) 以创建其他配置文件。请参见
添加配置文件。
- 如果启用了 IKE 配置文件下拉菜单,请选择 IKE 配置文件。
- 如果未禁用 IPSec 配置文件下拉菜单,请选择 IPsec 隧道配置文件。
- 如果启用了 DPD 配置文件下拉菜单,请选择首选的 DPD 配置文件。
- 从连接启动模式下拉菜单中,选择首选模式。
连接启动模式定义在隧道创建过程中由本地端点使用的策略。默认值为
Initiator。下表说明可用的不同连接启动模式。
表 1.
连接启动模式
连接启动模式 |
描述 |
Initiator |
默认值。在此模式下,本地端点启动 IPSec VPN 隧道创建,并对来自对等网关的入站隧道设置请求进行响应。 |
On Demand |
在此模式下,在收到与策略规则匹配的第一个数据包后,本地端点启动 IPSec VPN 隧道创建。它还对入站启动请求进行响应。 |
Respond Only |
IPSec VPN 从不启动连接。对等站点始终启动连接请求,本地端点会对该连接请求进行响应。 |
- 如果要在 IPSec 连接期间减少 TCP 会话的最大分段大小 (MSS) 负载,请启用 TCP MSS 限制,选择 TCP MSS 方向值,并且可以选择设置 TCP MSS 值。
- 如果要将此会话包含在特定组中,请在标记中输入标记名称。
- 单击保存 (Save)。
结果
成功配置基于策略的新 IPSec VPN 会话后,它将添加到可用 IPsec VPN 会话列表中。它处于只读模式。
下一步做什么
- 确认 IPSec VPN 隧道状态为“已启动”。请参见监控 VPN 会话和排除其故障,了解相关信息。
- 如有必要,请单击会话行左侧的三点菜单 () 以管理 IPSec VPN 会话信息。选择允许执行的操作之一。