要在两个站点之间设置 IPSec,必须为这两个 VPN 端点配置匹配的属性。本主题可帮助您了解相关要求,以确保 IPSec VPN 设备供应商属性与本地 IPSec VPN 会话的 VPN 相关属性匹配。
每个 IPSec VPN 供应商都有自己的接受配置的格式。在某些情况下,一些参数使用默认值。您可以使用 NSX-T Data Center IPSec VPN 会话 UI 中的下载配置功能,该功能提供了管理员可用于配置对等 VPN 供应商设备的所有 VPN 相关配置。它基于在 NSX-T Data Center 中配置的 IPSec VPN 会话。该功能为 IPSec VPN 会话提供所有隐藏/默认属性,以允许管理员配置对等 VPN 设备,该设备可能具有不同的默认值。任何配置不匹配都可能导致 IPsec VPN 隧道无法正常启动。
- 确保在继续之前已成功配置 IPSec VPN 服务和会话。
- 转到选项卡,以访问下载配置按钮。
- 在 IPSec VPN 会话表中,展开计划用于 IPSec VPN 会话配置的会话对应的行。例如,在 IPSec VPN 会话的“下载配置”按钮图像中,将展开 Sample_Policy_Based 行。
- 单击下载配置,然后在“警告”对话框中单击是,以继续下载文本文件。
- 使用下载的配置文件在对等 VPN 端点上配置基于策略或路由的 IPSec VPN 会话属性,以确保其中包含所需的匹配值。
以下示例文本文件与下载的文件类似。文件名 Sample_Policy_Based.txt 是在 NSX-T Data Center 中配置的基于策略的 IPSec VPN 会话。下载的文件的名称基于会话的名称。例如:<session-name>.txt。
# Suggestive peer configuration for Policy IPSec Vpn Session
#
# IPSec VPN session path : /infra/tier-0s/ServerT0_AS/ipsec-vpn-services/IpsecOnServerT0/sessions/SAMPLE_POLICY_BASED
# IPSec VPN session name : SAMPLE_POLICY_BASED
# IPSec VPN session description :
# Tier 0 path : /infra/tier-0s/ServerT0_AS
#
# Enforcement point path : /infra/sites/default/enforcement-points/default
# Enforcement point type : NSX-T Data
Center
#
# Suggestive peer configuration for IPSec VPN Connection
#
# IPSecVPNSession Id : e7f34d43-c894-4dbb-b7d2-c899f81b1812
# IPSecVPNSession name : SAMPLE_POLICY_BASED
# IPSecVPNSession description:
# IPSecVPNSession enabled : true
# IPSecVPNSession type : Policy based VPN
# Logical router Id : 258b91be-b4cb-448a-856e-501d03128877
# Generated Time : Mon Apr 29 07:07:43 GMT 2024
#
# Internet Key Exchange Configuration [Phase 1]
# Configure the IKE SA as outlined below
IKE version : IKE_V2
Connection initiation mode : INITIATOR
Authentication method : PSK
Pre shared key : nsxtVPN!234
Authentication algorithm : [SHA2_256]
Encryption algorithm : [AES_128]
SA life time : 86400
Negotiation mode : Not applicable for ikev2
DH group : [GROUP14]
Prf Algorithm : [SHA2_256]
#
# IPsec_configuration [Phase 2]
# Configure the IPsec SA as outlined below
Transform Protocol : ESP
Authentication algorithm :
Sa life time : 3600
Encryption algorithm : [AES_GCM_128]
Encapsulation mode : TUNNEL_MODE
Enable perfect forward secrecy : true
Perfect forward secrecy DH group: [GROUP14]
#
# IPsec Dead Peer Detection (DPD) settings
DPD enabled : true
DPD probe interval : 60
#
# IPSec VPN Session Configuration
Peer address : 1.1.1.10 # Peer gateway public IP.
Peer id : 1.1.1.10
#
Local address : 200.200.200.1 # Local gateway public IP.
Local id : 200.200.200.1
#
# Policy Rules
#Rule1
Sources: [192.168.19.0/24]
Destinations: [172.16.18.0/24]
“IPSec VPN 会话配置文件属性”表包含在对等 VPN 设备上配置 IPSec VPN 时使用的 Sample_Policy_Based.txt VPN 会话配置文件中的属性。
| 类别 | 属性名称 | 要在对等 VPN 设备上配置的属性的含义和值 | 对等设备可配置性 |
|---|---|---|---|
| ISAKMP 阶段 1 参数 | IKE 版本 | IKE 协议版本 | 强制 |
| 连接启动模式 | 设备是否启动 IKE 连接 | 可选。 如果 NSX-T Data Center IPSec 配置了连接启动模式 =“仅响应”,则为强制。 |
|
| 身份验证方法 | IKE 的身份验证模式 - 预共享密钥或证书 | 强制 | |
| 预共享密钥 | 身份验证模式为 PSK 时共享密钥的值 | 强制 | |
| 身份验证算法 | 用于 IKE 的身份验证算法 | 强制 | |
| 加密算法 | 用于 IKE 的加密算法 | 强制 | |
| SA 生命周期 | IKE 安全关联 (Security Association, SA) 的生命周期(以秒为单位) | 可选 | |
| 协商模式 | IKEv1 协议模式 - 仅支持主模式。与 IKEv2 无关 | 强制 | |
| DH 组 | 用于 IKE SA 协商的 Diffie Hellman 组 | 强制 | |
| Prf 算法 | 用于 IKE SA 协商的伪随机函数 | 强制 | |
| 对等地址 | NSX-T Data Center 端 VPN 端点的 IP 地址 | 强制 | |
| 对等 ID | NSX-T Data Center 端 VPN 端点的标识 | 强制 | |
| 本地地址 | 对等端点端 VPN 端点的地址(在 NSX-T Data Center 端完成的配置中) |
强制 | |
| 本地 ID | 要在对等端点端配置的 VPN 端点的标识 | 强制 | |
| ISAKMP 阶段 2 参数 | 转换协议 | 转换协议 | 转换协议 |
| 身份验证算法 | IPSec 数据包的完整性保护算法 | 强制 | |
| SA 生命周期 | IPSec SA 的生命周期(以秒为单位)。 SA 生存期临近时刷新密钥。 |
可选 | |
| 加密算法 | IPSec 数据包的加密保护 | 强制 | |
| 封装模式 | IPSec 隧道的模式(隧道或传输) | 强制。仅支持隧道模式。 | |
| 启用完美前向保密 | PFS(已启用或非活动) | 强制 | |
| 完美前向保密 DH 组 | 要用于 PFS 的 DH 组 | 强制 | |
| 源 | 适用于基于策略的 VPN。这是对等 VPN 端点后面的一个或多个子网。 |
强制(对于基于策略的 VPN) | |
| 目标 | 适用于基于策略的 VPN。这是 NSX-T Data Center VPN 端点后面的一个或多个子网,流量需要通过 IPSec 进行隧道传输。 |
强制(对于基于策略的 VPN) | |
| 其他参数 | DPD 已启用 | 是否已启用不活动对等检测 | 可选 |
| 执行 DPD 的频率(以秒为单位) | 可选 |
