Sie können die Site-to-Site-Konnektivität zwischen einem NSX-T Data Center-Edge-Gateway und Remote-Sites konfigurieren. Die Remote-Sites müssen NSX-T Data Center verwenden und über Hardwarerouter von Drittanbietern oder VPN-Gateways verfügen, die IPSec unterstützen.

VMware Cloud Director unterstützt die automatische Route Redistribution, wenn Sie IPSec-VPN auf einem NSX-T Data Center-Gateway konfigurieren.

Voraussetzungen

Stellen Sie bei Verwendung der Zertifikatsauthentifizierung zum Sichern der IPSec-VPN-Kommunikation sicher, dass der Systemadministrator das Serverzertifikat für das lokale NSX-T Data Center-Edge-Gateway und ein CA-Zertifikat für Ihre Organisation in die VMware Cloud Director-Zertifikatsbibliothek hochgeladen hat.

Prozedur

  1. Wählen Sie in der oberen Navigationsleiste Ressourcen aus und klicken Sie auf Cloud-Ressourcen.
  2. Klicken Sie im linken Bereich auf Edge-Gateways und klicken Sie auf den Namen des Ziel-Edge-Gateways.
  3. Klicken Sie unter Dienste auf IPSec-VPN.
  4. Um einen IPSec-VPN-Tunnel zu konfigurieren, klicken Sie auf Neu.
  5. Geben Sie einen Namen und, optional, eine Beschreibung für den IPSec-VPN-Tunnel ein.
  6. Zum Aktivieren des Tunnels bei der Erstellung aktivieren Sie die Umschaltoption Zustand.
  7. (Optional) Zum Aktivieren der Protokollierung wählen Sie die Option Protokollierung aus.
  8. Wählen Sie einen Peer-Authentifizierungsmodus aus.
    Option Bezeichnung
    Vorinstallierter Schlüssel Wählen Sie einen vorinstallierten Schlüssel für die Eingabe aus. Der vorinstallierte Schlüssel muss am anderen Ende des IPSec-VPN-Tunnels identisch sein.
    Zertifikat Wählen Sie Site- und CA-Zertifikate für die Authentifizierung aus.
  9. Geben Sie eine der IP-Adressen ein, die für das Edge-Gateway für den lokalen Endpoint verfügbar sind.
    Bei der IP-Adresse muss es sich entweder um die primäre IP des Edge-Gateways oder um eine IP-Adresse handeln, die dem Edge-Gateway vom externen Netzwerk separat zugeteilt wird.
  10. Geben Sie mindestens eine lokale IP-Subnetz-Adresse in CIDR-Notation ein, die für den IPSec-VPN-Tunnel verwendet werden soll.
  11. Geben Sie die IP-Adresse für den Remote-Endpoint ein.
  12. Geben Sie mindestens eine Remote-IP-Subnetz-Adresse in CIDR-Notation ein, die für den IPSec-VPN-Tunnel verwendet werden soll.
  13. Geben Sie die Remote-ID für die Peer-Site ein.
    Die Remote-ID muss gegebenenfalls mit dem SAN (Subject Alternative Name) des Remote-Endpoint-Zertifikats übereinstimmen. Wenn das Remote-Zertifikat keinen SAN enthält, muss die Remote-ID mit dem Distinguished Name des Zertifikats übereinstimmen, das zum Sichern des Remote-Endpoints verwendet wird, z. B. C=US, ST=Massachusetts, O=VMware, OU=VCD, CN=Edge1.
  14. Klicken Sie auf Weiter.
  15. Überprüfen Sie Ihre Einstellungen und klicken Sie auf Fertig stellen.
  16. Um sicherzustellen, dass der Tunnel funktioniert, wählen Sie ihn aus und klicken auf Statistik anzeigen.
    Wenn der Tunnel funktioniert, wird für die Optionen Tunnelstatus und IKE-Dienststatus die Option Erreichbar angezeigt.

Ergebnisse

Der neu erstellte IPSec-VPN-Tunnel wird in der Ansicht IPSec-VPN angezeigt. Der IPSec-VPN-Tunnel wird mit einem Standardsicherheitsprofil erstellt.

Nächste Maßnahme

  • Konfigurieren Sie den Remote-Endpoint des IPSec-VPN-Tunnels.
  • Sie können die IPSec-VPN-Tunnel-Einstellungen bearbeiten und das entsprechende Sicherheitsprofil nach Bedarf anpassen.