必须在 NSX Edge 上配置至少一个外部 IP 地址才能提供 IPSec VPN 服务。

过程

  1. 登录到 vSphere Web Client。
  2. 单击网络和安全 (Networking & Security),然后单击 NSX Edge (NSX Edges)
  3. 双击一个 NSX Edge
  4. 单击管理 (Manage)选项卡,然后单击 VPN 选项卡。
  5. 单击 IPSec VPN
  6. 单击添加 (Add) (“添加”图标) 图标。
  7. 键入 IPSec VPN 的名称。
  8. 本地 ID (Local Id) 中键入 NSX Edge 实例的 IP 地址。此 ID 将成为远程站点上的对等 ID。
  9. 键入本地端点的 IP 地址。

    如果您使用预共享密钥将一个 IP 添加到 IP 隧道,则本地 ID 和本地端点 IP 可能相同。

  10. 采用 CIDR 格式键入要在站点之间共享的子网。使用逗号分隔符键入多个子网。
  11. 键入“对等 ID”以唯一标识对等站点。对于使用证书身份验证的对等站点,此 ID 必须是对等站点证书中的公用名称。对于 PSK 对等站点,此 ID 可以是任何字符串。VMware 建议您使用 VPN 的公用 IP 地址或 VPN 服务的 FQDN 作为对等 ID。
  12. 在“对等端点”中键入对等站点的 IP 地址。如果将其留空,则 NSX Edge 会等待对等设备请求连接。
  13. 采用 CIDR 格式键入对等子网的内部 IP 地址。使用逗号分隔符键入多个子网。
  14. 选择“加密算法”。
  15. 在“身份验证方法”中,选择下列选项之一:

    选项

    说明

    PSK (预共享密钥)

    表示将使用在 NSX Edge 与对等站点之间共享的私钥进行身份验证。私钥可以是最大长度为 128 字节的字符串。

    证书

    表示将使用在全局级别定义的证书进行身份验证。

  16. 如果匿名站点将连接至 VPN 服务,则键入共享密钥。
  17. 单击显示共享密钥 (Display Shared Key),以便在对等站点上显示该密钥。
  18. 在 Diffie-Hellman (DH) Group 中,选择将允许对等站点和 NSX Edge 通过非安全通信通道建立共享密钥的加密方案。
  19. 根据需要更改 MTU 阈值。
  20. 选择是启用还是禁用“完全向前保密 (PFS)”阈值。在 IPsec 协商中,完全向前保密 (PFS) 可确保每个新加密密钥都与之前的任何密钥无关。
  21. 单击确定 (OK)

    NSX Edge 创建从本地子网到对等子网的隧道。

下一步做什么

启用 IPSec VPN 服务。