必须配置本地端点以用于要配置的 IPSec VPN。

以下步骤使用 NSX Manager UI 上的本地端点选项卡。您也可以在添加 IPSec VPN 会话的过程中创建本地端点,方法是单击三点菜单 (三个垂直对齐的黑点。单击该图标将显示子命令菜单。),然后选择添加本地端点。如果处于配置 IPSec VPN 会话的中间,则继续执行以下步骤中的步骤 3 以指导您创建新的本地端点。

前提条件

  • 如果要将基于证书的身份验证模式用于要使用所配置的本地端点的 IPSec VPN 会话,请获取有关本地端点必须使用的证书的信息。
  • 确保您已配置要将此本地端点关联到的 IPSec VPN 服务。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 导航到 网络 > VPN > 本地端点,然后单击添加本地端点
  3. 输入本地端点的名称。
  4. VPN 服务下拉菜单中,选择要与该本地端点关联的 IPSec VPN 服务。
  5. 输入本地端点的 IP 地址。

    对于在 Tier-0 网关上运行的 IPSec VPN 服务,本地端点 IP 地址不能与 Tier-0 网关的上行链路接口 IP 地址相同。您提供的本地端点 IP 地址与 Tier-0 网关的环回接口关联,并且还在上行链路接口上作为可路由 IP 地址发布。

    对于在 Tier-1 网关上运行的 IPSec VPN 服务,本地端点 IP 地址不能与 Tier-1 网关的上行链路接口 IP 地址相同。为使本地端点 IP 地址可以路由,必须在 Tier-1 网关配置中启用 IPSec 本地端点的路由通告。有关详细信息,请参见 添加 Tier-1 网关

  6. 如果要将基于证书的身份验证模式用于 IPSec VPN 会话,请从站点证书下拉菜单中,选择本地端点要使用的证书。
  7. (可选) (可选)在描述中添加描述。
  8. 输入用于标识本地 NSX Edge 实例的本地 ID 值。
    此本地 ID 将在远程站点上配置为远程 ID。本地 ID 必须是本地站点的 IP 地址或 FQDN。对于使用基于证书的身份验证并与本地端点关联的 IPSec VPN 会话, 本地 ID 派生自与本地端点关联的证书。在 本地 ID 文本框中指定的 ID 将被忽略。来自 VPN 会话证书的本地 ID 取决于证书中包含的扩展。
    • 如果在证书中不包含 X509v3 扩展 X509v3 Subject Alternative Name,则将标识名 (Distinguished Name, DN) 作为本地 ID 值。

      例如,如果证书不包含任何主体备用名称 (SAN) 字段,并且其 DN 字符串为:

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123

      则将该 DN 字符串作为本地 ID。此本地 ID 是远程站点上的对等 ID。

    • 如果在证书中找到 X509v3 扩展 X509v3 Subject Alternative Name,则将其中的一个 SAN 字段作为本地 ID 值。

      如果证书具有多个 SAN 字段,则使用以下顺序选择本地 ID。

      顺序 SAN 字段
      1 IP 地址
      2 DNS
      3 电子邮件地址

      例如,如果配置的站点证书具有以下 SAN 字段:

      x509v3 Subject Alternative Name:
      DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1

      则将 IP 地址 1.1.1.1 作为本地 ID。如果 IP 地址不可用,则使用 DNS 字符串。如果 IP 地址和 DNS 都不可用,则使用电子邮件地址。

    要查看用于 IPSec VPN 会话的本地 ID,请执行以下操作:

    1. 导航到网络 > VPN,然后单击 IPSec 会话选项卡。
    2. 展开 IPSec VPN 会话。
    3. 单击下载配置以下载配置文件,其中包含将在远程 VPN 端点配置为远程 ID 的本地 ID。
  9. 受信任的 CA 证书证书吊销列表下拉菜单中,选择本地端点所需的相应证书。
  10. (可选) 指定标记。
  11. 单击保存 (Save)