必须配置本地端点以用于要配置的 IPSec VPN。
以下步骤使用 NSX Manager UI 上的本地端点选项卡。您也可以在添加 IPSec VPN 会话的过程中创建本地端点,方法是单击三点菜单 (),然后选择添加本地端点。如果处于配置 IPSec VPN 会话的中间,则继续执行以下步骤中的步骤 3 以指导您创建新的本地端点。
前提条件
- 如果要将基于证书的身份验证模式用于要使用所配置的本地端点的 IPSec VPN 会话,请获取有关本地端点必须使用的证书的信息。
- 确保您已配置要将此本地端点关联到的 IPSec VPN 服务。
过程
- 使用 admin 特权登录到 NSX Manager。
- 导航到 ,然后单击添加本地端点。
- 输入本地端点的名称。
- 从 VPN 服务下拉菜单中,选择要与该本地端点关联的 IPSec VPN 服务。
- 输入本地端点的 IP 地址。
对于在 Tier-0 网关上运行的 IPSec VPN 服务,本地端点 IP 地址不能与 Tier-0 网关的上行链路接口 IP 地址相同。您提供的本地端点 IP 地址与 Tier-0 网关的环回接口关联,并且还在上行链路接口上作为可路由 IP 地址发布。
对于在 Tier-1 网关上运行的 IPSec VPN 服务,本地端点 IP 地址不能与 Tier-1 网关的上行链路接口 IP 地址相同。为使本地端点 IP 地址可以路由,必须在 Tier-1 网关配置中启用 IPSec 本地端点的路由通告。有关详细信息,请参见 添加 Tier-1 网关。
- 如果要将基于证书的身份验证模式用于 IPSec VPN 会话,请从站点证书下拉菜单中,选择本地端点要使用的证书。
- (可选) (可选)在描述中添加描述。
- 输入用于标识本地 NSX Edge 实例的本地 ID 值。
此本地 ID 将在远程站点上配置为远程 ID。本地 ID 必须是本地站点的 IP 地址或 FQDN。对于使用基于证书的身份验证并与本地端点关联的 IPSec VPN 会话,
本地 ID 派生自与本地端点关联的证书。在
本地 ID 文本框中指定的 ID 将被忽略。来自 VPN 会话证书的本地 ID 取决于证书中包含的扩展。
-
如果在证书中不包含 X509v3 扩展 X509v3 Subject Alternative Name,则将标识名 (Distinguished Name, DN) 作为本地 ID 值。
例如,如果证书不包含任何主体备用名称 (SAN) 字段,并且其 DN 字符串为:
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123
则将该 DN 字符串作为本地 ID。此本地 ID 是远程站点上的对等 ID。
-
如果在证书中找到 X509v3 扩展 X509v3 Subject Alternative Name,则将其中的一个 SAN 字段作为本地 ID 值。
如果证书具有多个 SAN 字段,则使用以下顺序选择本地 ID。
顺序 |
SAN 字段 |
1 |
IP 地址 |
2 |
DNS |
3 |
电子邮件地址 |
例如,如果配置的站点证书具有以下 SAN 字段:
x509v3 Subject Alternative Name:
DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1
则将 IP 地址 1.1.1.1
作为本地 ID。如果 IP 地址不可用,则使用 DNS 字符串。如果 IP 地址和 DNS 都不可用,则使用电子邮件地址。
要查看用于 IPSec VPN 会话的本地 ID,请执行以下操作:
- 导航到,然后单击 IPSec 会话选项卡。
- 展开 IPSec VPN 会话。
- 单击下载配置以下载配置文件,其中包含将在远程 VPN 端点配置为远程 ID 的本地 ID。
- 从受信任的 CA 证书和证书吊销列表下拉菜单中,选择本地端点所需的相应证书。
- (可选) 指定标记。
- 单击保存 (Save)。