在添加基于策略的 IPSec VPN 时,可以使用 IPSec 隧道将 NSX Edge 节点后面的多个本地子网连接到远程 VPN 站点上的对等子网。

以下步骤使用 NSX Manager UI 上的 IPSec 会话选项卡创建基于策略的 IPSec 会话。还可以添加隧道、IKE 和 DPD 配置文件的信息,然后选择现有的本地端点用于基于策略的 IPSec VPN。

注:

也可以在成功配置 IPSec VPN 服务后立即添加 IPSec VPN 会话。在系统提示您继续进行 IPSec VPN 服务配置时单击,然后在“添加 Ipsec 服务”面板上选择会话 > 添加会话。在以下过程的前几步中,假定系统提示您继续进行 IPSec VPN 服务配置时您选择了。如果您已选择,请继续执行以下步骤中的步骤 3,以引导您完成其余基于策略的 IPSec VPN 会话配置。

前提条件

  • 必须先配置 IPSec VPN 服务才能继续操作。请参见添加 IPSec VPN 服务
  • 获取本地端点的信息以及对等站点、本地网络子网和远程网络子网的 IP 地址,以用于要添加的基于策略的 IPSec VPN 会话。要创建本地端点,请参见添加本地端点
  • 如果要使用预共享密钥 (PSK) 进行身份验证,请获取 PSK 值。
  • 如果要使用证书进行身份验证,请确保已导入必要的服务器证书和对应的 CA 签名证书。请参见证书
  • 如果不希望为 NSX-T Data Center 提供的 IPSec 隧道、IKE 或不活动对等检测 (DPD) 配置文件使用默认设置,请改为配置您要使用的配置文件。请参见添加配置文件,了解相关信息。

过程

  1. 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 导航到 网络 > VPN > IPSec 会话 选项卡。
  3. 选择添加 IPSec 会话 > 基于策略
  4. 输入基于策略的 IPSec VPN 会话的名称。
  5. VPN 服务下拉菜单中,选择要向其添加此新的 IPSec 会话的 IPSec VPN 服务。
    注: 如果要从 添加 IPSec 会话对话框中添加此 IPSec 会话,则 添加 IPSec 会话按钮上方会指示 VPN 服务名称。
  6. 从下拉菜单中选择现有本地端点。
    需要输入该本地端点值,它标识本地 NSX Edge 节点。如果要创建不同的本地端点,请单击三点菜单 ( 带有三个垂直对齐的黑点的图标。单击该图标将显示子命令菜单。),然后选择 添加本地端点
  7. 远程 IP 文本框中,输入远程站点的所需 IP 地址。
    需要输入此值。
  8. 输入此基于策略的 IPSec VPN 会话的可选说明。
    最大长度为 1024 个字符。
  9. 要启用或禁用 IPSec VPN 会话,请单击管理状态
    默认情况下,该值设置为 Enabled,这意味着将配置到 NSX Edge 节点的 IPSec VPN 会话。
  10. (可选) 合规性套件下拉菜单中,选择一个安全合规性套件。
    注:NSX-T Data Center 2.5 开始,将提供合规性套件支持。有关详细信息,请参见 关于支持的合规性套件
    选择的默认值为 None。如果选择一个合规性套件,则 身份验证模式设置为 Certificate,并且 高级属性部分中的 IKE 配置文件IPSec 配置文件值设置为系统为选定安全合规性套件定义的配置文件。您无法编辑这些系统定义的配置文件。
  11. 如果合规性套件设置为None,请从身份验证模式下拉菜单中选择一种模式。
    使用的默认身份验证模式为 PSK,这意味着将 NSX Edge 和远程站点之间共享的私钥用于 IPSec VPN 会话。如果选择 Certificate,则使用用于配置本地端点的站点证书进行身份验证。
  12. 在“本地网络”和“远程网络”文本框中,至少输入一个 IP 子网地址以用于该基于策略的 IPSec VPN 会话。
    这些子网必须采用 CIDR 格式。
  13. 如果身份验证模式设置为PSK,请在预共享密钥文本框中输入密钥值。
    此私钥可以是最大长度为 128 个字符的字符串。
    小心: 在共享和存储 PSK 值时要格外小心,因为它包含一些非常敏感的信息。
  14. 要标识对等站点,请在远程 ID 中输入值。
    对于使用 PSK 身份验证的对等站点,该 ID 值必须是对等站点的公用 IP 地址或 FQDN。对于使用证书身份验证的对等站点,该 ID 值必须是在对等站点的证书中使用的公用名称 (Common Name, CN) 或标识名 (Distinguished Name, DN)。
    注: 如果对等站点的证书在 DN 字符串中包含电子邮件地址,例如,
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/emailAddress=user1@mycompany.com
    则使用以下格式输入 远程 ID 值以作为一个示例。
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, MAILTO=user1@mycompany.com"
    如果本地站点的证书在 DN 字符串中包含电子邮件地址,并且对等站点使用 strongSwan IPsec 实施,请在该对等站点中输入本地站点的 ID 值。以下是一个示例。
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, E=user1@mycompany.com"
  15. 要更改配置文件、启动模式、TCP MSS 限制模式以及基于策略的 IPSec VPN 会话使用的标记,请单击高级属性
    默认情况下,使用系统生成的配置文件。如果不希望使用默认配置文件,则选择其他可用的配置文件。如果要使用尚未配置的配置文件,请单击三点菜单 ( 三个垂直对齐的黑点。单击该图标将显示子命令菜单。) 以创建其他配置文件。请参见 添加配置文件
    1. 如果启用了 IKE 配置文件下拉菜单,请选择 IKE 配置文件。
    2. 如果未禁用 IPSec 配置文件下拉菜单,请选择 IPsec 隧道配置文件。
    3. 如果启用了 DPD 配置文件下拉菜单,请选择首选的 DPD 配置文件。
    4. 连接启动模式下拉菜单中,选择首选模式。
      连接启动模式定义在隧道创建过程中由本地端点使用的策略。默认值为 Initiator。下表说明可用的不同连接启动模式。
      表 1. 连接启动模式
      连接启动模式 说明
      Initiator 默认值。在此模式下,本地端点启动 IPSec VPN 隧道创建,并对来自对等网关的入站隧道设置请求进行响应。
      On Demand 在此模式下,在收到与策略规则匹配的第一个数据包后,本地端点启动 IPSec VPN 隧道创建。它还对入站启动请求进行响应。
      Respond Only

      IPSec VPN 从不启动连接。对等站点始终启动连接请求,本地端点会对该连接请求进行响应。

    5. 如果要在 IPSec 连接期间减少 TCP 会话的最大分段大小 (MSS) 负载,请启用 TCP MSS 限制,选择 TCP MSS 方向值,并且可以选择设置 TCP MSS 值
      有关详细信息,请参见 了解 TCP MSS 限制
    6. 如果要将此会话包含在特定组中,请在标记中输入标记名称。
  16. 单击保存

结果

成功配置基于策略的新 IPSec VPN 会话后,它将添加到可用 IPsec VPN 会话列表中。它处于只读模式。

后续步骤

  • 确认 IPSec VPN 隧道状态为“已启动”。请参见监控 VPN 会话和排除其故障,了解相关信息。
  • 如有必要,请单击会话行左侧的三点菜单 (三个垂直对齐的黑点。单击该图标将显示子命令菜单。) 以管理 IPSec VPN 会话信息。选择允许执行的操作之一。