添加基于路由的 IPSec VPN 时,会在流量上提供隧道,而流量基于使用首选协议(如 BGP)通过虚拟隧道接口 (VTI) 动态学习的路由。IPSec 会保护流经 VTI 的所有流量。
本主题中所述的步骤使用 IPSec 会话选项卡创建基于路由的 IPSec 会话。也可以添加有关隧道、IKE 和 DPD 配置文件的信息,然后选择现有的本地端点以用于基于路由的 IPSec VPN。
注:
也可以在成功配置 IPSec VPN 服务后立即添加 IPSec VPN 会话。在系统提示您继续进行 IPSec VPN 服务配置时单击是,然后在“添加 IPSec 服务”面板上选择。在以下过程的前几步中,假定系统提示您继续进行 IPSec VPN 服务配置时您选择了否。如果选择是,则继续执行步骤 3,以指导您进行基于路由的 IPSec VPN 会话配置的其余部分。
前提条件
- 必须先配置 IPSec VPN 服务才能继续操作。请参见添加 IPSec VPN 服务。
- 获取本地端点、对等站点的 IP 地址和隧道服务 IP 子网地址的信息以用于要添加的基于路由的 IPSec 会话。要创建本地端点,请参见添加本地端点。
- 如果要使用预共享密钥 (PSK) 进行身份验证,请获取 PSK 值。
- 如果要使用证书进行身份验证,请确保已导入必要的服务器证书和对应的 CA 签名证书。请参见证书。
- 如果不希望使用 NSX-T Data Center 提供的 IPSec 隧道、IKE 或失效对等检测 (DPD) 配置文件的默认值,则改为配置要使用的配置文件。请参见添加配置文件,了解相关信息。
过程
- 使用 admin 特权登录到 NSX Manager。
- 导航到 。
- 选择。
- 为基于路由的 IPSec 会话输入名称。
- 从 VPN 服务下拉菜单中,选择要向其添加此新的 IPSec 会话的 IPSec VPN 服务。
注: 如果要从
添加 IPSec 会话对话框中添加此 IPSec 会话,则
添加 IPSec 会话按钮上方会指示 VPN 服务名称。
- 从下拉菜单中选择现有本地端点。
需要输入该本地端点值,它标识本地
NSX Edge 节点。如果要创建不同的本地端点,请单击三点菜单 (
),然后选择
添加本地端点。
- 在远程 IP 文本框中,输入远程站点的 IP 地址。
这是必填值。
- 输入此基于路由的 IPSec VPN 会话的可选说明。
最大长度为 1024 个字符。
- 要启用或禁用 IPSec 会话,请单击管理状态。
默认情况下,该值设置为
Enabled
,这意味着将配置到
NSX Edge 节点的 IPSec 会话。
- (可选) 从合规性套件下拉菜单中,选择一个安全合规性套件。
注: 从
NSX-T Data Center 2.5 开始,将提供合规性套件支持。有关详细信息,请参见
关于支持的合规性套件。
默认值设置为
None
。如果选择一个合规性套件,则
身份验证模式设置为
Certificate
,并且
高级属性部分中的
IKE 配置文件和
IPSec 配置文件值设置为系统为选定合规性套件定义的配置文件。您无法编辑这些系统定义的配置文件。
- 使用 CIDR 表示法在隧道接口中输入 IP 子网地址。
需要输入此地址。
- 如果合规性套件设置为
None
,请从身份验证模式下拉菜单中选择一种模式。
使用的默认身份验证模式为
PSK
,这意味着将
NSX Edge 和远程站点之间共享的私钥用于 IPSec VPN 会话。如果选择
Certificate
,则使用用于配置本地端点的站点证书进行身份验证。
有关基于证书的身份验证的详细信息,请参见在 IPSec VPN 会话中使用基于证书的身份验证。
- 如果选择
PSK
身份验证模式,则在预共享密钥文本框中输入密钥值。
此私钥可以是最大长度为 128 个字符的字符串。
小心: 在共享和存储 PSK 值时要格外小心,因为它包含一些非常敏感的信息。
- 在远程 ID 中输入值。
对于使用 PSK 身份验证的对等站点,该 ID 值必须是对等站点的 IP 地址或 FQDN。对于使用证书身份验证的对等站点,该 ID 值必须是在对等站点的证书中使用的公用名称 (Common Name, CN) 或标识名 (Distinguished Name, DN)。
注: 如果对等站点的证书在 DN 字符串中包含电子邮件地址,例如,
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
则使用以下格式输入
远程 ID 值以作为一个示例。
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
如果本地站点的证书在 DN 字符串中包含电子邮件地址,并且对等站点使用 strongSwan IPsec 实施,请在该对等站点中输入本地站点的 ID 值。以下是一个示例。
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
- 如果要将此 IPSec 会话作为特定组标记的一部分包括,请在标记中输入标记名称。
- 要更改配置文件、启动模式、TCP MSS 限制模式以及基于路由的 IPSec VPN 会话使用的标记,请单击高级属性。
默认情况下,将使用系统生成的配置文件。如果不希望使用默认配置文件,则选择其他可用的配置文件。如果要使用尚未配置的配置文件,请单击三点菜单 (
) 以创建其他配置文件。请参见
添加配置文件。
- 如果启用了 IKE 配置文件下拉菜单,请选择 IKE 配置文件。
- 如果未禁用 IPSec 配置文件下拉菜单,请选择 IPsec 隧道配置文件。
- 如果启用了 DPD 配置文件下拉菜单,请选择首选的 DPD 配置文件。
- 从连接启动模式下拉菜单中,选择首选模式。
连接启动模式定义在隧道创建过程中由本地端点使用的策略。默认值为
Initiator。下表介绍了不同的可用连接启动模式。
表 1.
连接启动模式
连接启动模式 |
描述 |
Initiator |
默认值。在此模式下,本地端点启动 IPSec VPN 隧道创建,并对来自对等网关的入站隧道设置请求进行响应。 |
On Demand |
不要与基于路由的 VPN 一起使用。该模式仅适用于基于策略的 VPN。 |
Respond Only |
IPSec VPN 从不启动连接。对等站点始终启动连接请求,本地端点会对该连接请求进行响应。 |
- 如果要在 IPSec 连接期间减少 TCP 会话的最大分段大小 (MSS) 负载,请启用 TCP MSS 限制,选择 TCP MSS 方向值,并且可以选择设置 TCP MSS 值。
- 如果要将此 IPSec 会话作为特定组标记的一部分包括,请在标记中输入标记名称。
- 单击保存 (Save)。
结果
成功配置新的基于路由的 IPSec VPN 会话后,会将它添加到可用 IPsec VPN 会话的列表。它处于只读模式。
下一步做什么
- 确认 IPSec VPN 隧道状态为“已启动”。请参见监控 VPN 会话和排除其故障,了解相关信息。
- 使用静态路由或 BGP 配置路由。请参见配置静态路由或配置 BGP。
- 如有必要,请单击会话行左侧的三点菜单 () 以管理 IPSec VPN 会话信息。选择您可以执行的操作之一。