添加基于路由的 IPSec VPN 时,会在流量上提供隧道,而流量基于使用首选协议(如 BGP)通过虚拟隧道接口 (VTI) 动态学习的路由。IPSec 会保护流经 VTI 的所有流量。

本主题中所述的步骤使用 IPSec 会话选项卡创建基于路由的 IPSec 会话。也可以添加有关隧道、IKE 和 DPD 配置文件的信息,然后选择现有的本地端点以用于基于路由的 IPSec VPN。

注:

也可以在成功配置 IPSec VPN 服务后立即添加 IPSec VPN 会话。在系统提示您继续进行 IPSec VPN 服务配置时单击,然后在“添加 IPSec 服务”面板上选择会话 > 添加会话。在以下过程的前几步中,假定系统提示您继续进行 IPSec VPN 服务配置时您选择了。如果选择,则继续执行步骤 3,以指导您进行基于路由的 IPSec VPN 会话配置的其余部分。

前提条件

  • 必须先配置 IPSec VPN 服务才能继续操作。请参见添加 IPSec VPN 服务
  • 获取本地端点、对等站点的 IP 地址和隧道服务 IP 子网地址的信息以用于要添加的基于路由的 IPSec 会话。要创建本地端点,请参见添加本地端点
  • 如果要使用预共享密钥 (PSK) 进行身份验证,请获取 PSK 值。
  • 如果要使用证书进行身份验证,请确保已导入必要的服务器证书和对应的 CA 签名证书。请参见证书
  • 如果不希望使用 NSX-T Data Center 提供的 IPSec 隧道、IKE 或失效对等检测 (DPD) 配置文件的默认值,则改为配置要使用的配置文件。请参见添加配置文件,了解相关信息。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 导航到 网络 > VPN > IPSec 会话
  3. 选择添加 IPSec 会话 > 基于路由
  4. 为基于路由的 IPSec 会话输入名称。
  5. VPN 服务下拉菜单中,选择要向其添加此新的 IPSec 会话的 IPSec VPN 服务。
    注: 如果要从 添加 IPSec 会话对话框中添加此 IPSec 会话,则 添加 IPSec 会话按钮上方会指示 VPN 服务名称。
  6. 从下拉菜单中选择现有本地端点。
    需要输入该本地端点值,它标识本地 NSX Edge 节点。如果要创建不同的本地端点,请单击三点菜单 ( 三个垂直对齐的黑点。单击该图标将显示子命令菜单。),然后选择 添加本地端点
  7. 远程 IP 文本框中,输入远程站点的 IP 地址。
    这是必填值。
  8. 输入此基于路由的 IPSec VPN 会话的可选说明。
    最大长度为 1024 个字符。
  9. 要启用或禁用 IPSec 会话,请单击管理状态
    默认情况下,该值设置为 Enabled,这意味着将配置到 NSX Edge 节点的 IPSec 会话。
  10. (可选) 合规性套件下拉菜单中,选择一个安全合规性套件。
    注:NSX-T Data Center 2.5 开始,将提供合规性套件支持。有关详细信息,请参见 关于支持的合规性套件
    默认值设置为 None。如果选择一个合规性套件,则 身份验证模式设置为 Certificate,并且 高级属性部分中的 IKE 配置文件IPSec 配置文件值设置为系统为选定合规性套件定义的配置文件。您无法编辑这些系统定义的配置文件。
  11. 使用 CIDR 表示法在隧道接口中输入 IP 子网地址。
    需要输入此地址。
  12. 如果合规性套件设置为None,请从身份验证模式下拉菜单中选择一种模式。
    使用的默认身份验证模式为 PSK,这意味着将 NSX Edge 和远程站点之间共享的私钥用于 IPSec VPN 会话。如果选择 Certificate,则使用用于配置本地端点的站点证书进行身份验证。

    有关基于证书的身份验证的详细信息,请参见在 IPSec VPN 会话中使用基于证书的身份验证

  13. 如果选择 PSK 身份验证模式,则在预共享密钥文本框中输入密钥值。
    此私钥可以是最大长度为 128 个字符的字符串。
    小心: 在共享和存储 PSK 值时要格外小心,因为它包含一些非常敏感的信息。
  14. 远程 ID 中输入值。
    对于使用 PSK 身份验证的对等站点,该 ID 值必须是对等站点的 IP 地址或 FQDN。对于使用证书身份验证的对等站点,该 ID 值必须是在对等站点的证书中使用的公用名称 (Common Name, CN) 或标识名 (Distinguished Name, DN)。
    注: 如果对等站点的证书在 DN 字符串中包含电子邮件地址,例如,
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
    则使用以下格式输入 远程 ID 值以作为一个示例。
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
    如果本地站点的证书在 DN 字符串中包含电子邮件地址,并且对等站点使用 strongSwan IPsec 实施,请在该对等站点中输入本地站点的 ID 值。以下是一个示例。
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
  15. 如果要将此 IPSec 会话作为特定组标记的一部分包括,请在标记中输入标记名称。
  16. 要更改配置文件、启动模式、TCP MSS 限制模式以及基于路由的 IPSec VPN 会话使用的标记,请单击高级属性
    默认情况下,将使用系统生成的配置文件。如果不希望使用默认配置文件,则选择其他可用的配置文件。如果要使用尚未配置的配置文件,请单击三点菜单 ( 三个垂直对齐的黑点。单击该图标将显示子命令菜单。) 以创建其他配置文件。请参见 添加配置文件
    1. 如果启用了 IKE 配置文件下拉菜单,请选择 IKE 配置文件。
    2. 如果未禁用 IPSec 配置文件下拉菜单,请选择 IPsec 隧道配置文件。
    3. 如果启用了 DPD 配置文件下拉菜单,请选择首选的 DPD 配置文件。
    4. 连接启动模式下拉菜单中,选择首选模式。
      连接启动模式定义在隧道创建过程中由本地端点使用的策略。默认值为 Initiator。下表介绍了不同的可用连接启动模式。
      表 1. 连接启动模式
      连接启动模式 描述
      Initiator 默认值。在此模式下,本地端点启动 IPSec VPN 隧道创建,并对来自对等网关的入站隧道设置请求进行响应。
      On Demand 不要与基于路由的 VPN 一起使用。该模式仅适用于基于策略的 VPN。
      Respond Only IPSec VPN 从不启动连接。对等站点始终启动连接请求,本地端点会对该连接请求进行响应。
  17. 如果要在 IPSec 连接期间减少 TCP 会话的最大分段大小 (MSS) 负载,请启用 TCP MSS 限制,选择 TCP MSS 方向值,并且可以选择设置 TCP MSS 值
    有关详细信息,请参见 了解 TCP MSS 限制
  18. 如果要将此 IPSec 会话作为特定组标记的一部分包括,请在标记中输入标记名称。
  19. 单击保存 (Save)

结果

成功配置新的基于路由的 IPSec VPN 会话后,会将它添加到可用 IPsec VPN 会话的列表。它处于只读模式。

下一步做什么

  • 确认 IPSec VPN 隧道状态为“已启动”。请参见监控 VPN 会话和排除其故障,了解相关信息。
  • 使用静态路由或 BGP 配置路由。请参见配置静态路由配置 BGP
  • 如有必要,请单击会话行左侧的三点菜单 (三个垂直对齐的黑点。单击该图标将显示子命令菜单。) 以管理 IPSec VPN 会话信息。选择您可以执行的操作之一。