Sie können die Site-to-Site-Konnektivität zwischen einem NSX-T Data Center-Edge-Gateway und Remote-Sites konfigurieren. Die Remote-Sites müssen NSX-T Data Center verwenden und über Hardwarerouter von Drittanbietern oder VPN-Gateways verfügen, die IPSec unterstützen.
VMware Cloud Director unterstützt die automatische Route Redistribution, wenn Sie IPSec-VPN auf einem NSX-T Data Center-Gateway konfigurieren.
Voraussetzungen
Stellen Sie bei Verwendung der Zertifikatsauthentifizierung zum Sichern der IPSec-VPN-Kommunikation sicher, dass der
Systemadministrator das Serverzertifikat für das lokale
NSX-T Data Center-Edge-Gateway und ein CA-Zertifikat für Ihre Organisation in die
VMware Cloud Director-Zertifikatsbibliothek hochgeladen hat.
Prozedur
- Wählen Sie in der oberen Navigationsleiste Ressourcen aus und klicken Sie auf Cloud-Ressourcen.
- Klicken Sie im linken Bereich auf Edge-Gateways und klicken Sie auf den Namen des Ziel-Edge-Gateways.
- Klicken Sie unter Dienste auf IPSec-VPN.
- Um einen IPSec-VPN-Tunnel zu konfigurieren, klicken Sie auf Neu.
- Geben Sie einen Namen und, optional, eine Beschreibung für den IPSec-VPN-Tunnel ein.
- Zum Aktivieren des Tunnels bei der Erstellung aktivieren Sie die Umschaltoption Zustand.
- (Optional) Zum Aktivieren der Protokollierung wählen Sie die Option Protokollierung aus.
- Wählen Sie einen Peer-Authentifizierungsmodus aus.
Option |
Bezeichnung |
Vorinstallierter Schlüssel |
Wählen Sie einen vorinstallierten Schlüssel für die Eingabe aus. Der vorinstallierte Schlüssel muss am anderen Ende des IPSec-VPN-Tunnels identisch sein. |
Zertifikat |
Wählen Sie Site- und CA-Zertifikate für die Authentifizierung aus. |
- Geben Sie eine der IP-Adressen ein, die für das Edge-Gateway für den lokalen Endpoint verfügbar sind.
Bei der IP-Adresse muss es sich entweder um die primäre IP des Edge-Gateways oder um eine IP-Adresse handeln, die dem Edge-Gateway vom externen Netzwerk separat zugeteilt wird.
- Geben Sie mindestens eine lokale IP-Subnetz-Adresse in CIDR-Notation ein, die für den IPSec-VPN-Tunnel verwendet werden soll.
- Geben Sie die IP-Adresse für den Remote-Endpoint ein.
- Geben Sie mindestens eine Remote-IP-Subnetz-Adresse in CIDR-Notation ein, die für den IPSec-VPN-Tunnel verwendet werden soll.
- Geben Sie die Remote-ID für die Peer-Site ein.
Die Remote-ID muss gegebenenfalls mit dem SAN (Subject Alternative Name) des Remote-Endpoint-Zertifikats übereinstimmen. Wenn das Remote-Zertifikat keinen SAN enthält, muss die Remote-ID mit dem Distinguished Name des Zertifikats übereinstimmen, das zum Sichern des Remote-Endpoints verwendet wird, z. B. C=US, ST=Massachusetts, O=VMware, OU=VCD, CN=Edge1.
- Klicken Sie auf Weiter.
- Überprüfen Sie Ihre Einstellungen und klicken Sie auf Fertig stellen.
- Um sicherzustellen, dass der Tunnel funktioniert, wählen Sie ihn aus und klicken auf Statistik anzeigen.
Wenn der Tunnel funktioniert, wird für die Optionen
Tunnelstatus und
IKE-Dienststatus die Option
Erreichbar angezeigt.
Ergebnisse
Der neu erstellte IPSec-VPN-Tunnel wird in der Ansicht
IPSec-VPN angezeigt. Der IPSec-VPN-Tunnel wird mit einem Standardsicherheitsprofil erstellt.
Nächste Maßnahme
- Konfigurieren Sie den Remote-Endpoint des IPSec-VPN-Tunnels.
- Sie können die IPSec-VPN-Tunnel-Einstellungen bearbeiten und das entsprechende Sicherheitsprofil nach Bedarf anpassen.