VMware Cloud Director unterstützt richtlinien- und routenbasiertes Site-zu-Site-IPSec-VPN zwischen einer NSX Edge-Gateway-Instanz und einer Remote-Site.

IPSec-VPN bietet Site-to-Site-Konnektivität zwischen einem Edge-Gateway und Remote-Sites, die ebenfalls NSX verwenden oder mit Drittanbieter-Hardware-Routern oder VPN-Gateways, die IPSec unterstützen, konfiguriert sind.

Richtlinienbasiertes IPSec-VPN erfordert, dass eine VPN-Richtlinie auf Pakete angewendet wird, um zu ermitteln, welcher Datenverkehr vor dem Passieren eines VPN-Tunnels durch IPSec geschützt werden soll. Dieser VPN-Typ wird als statisch betrachtet, da die VPN-Richtlinieneinstellungen bei einer Änderung der lokalen Netzwerktopologie und -konfiguration ebenfalls aktualisiert werden müssen, um die Änderungen zu berücksichtigen.

NSX-Edge-Gateways unterstützen die Split-Tunnel-Konfiguration, wobei der IPSec-Datenverkehr eine Routing-Priorität hat.

VMware Cloud Director unterstützt die automatische Route Redistribution (Routenneuverteilung), wenn Sie IPSec-VPN auf einem NSX-Edge-Gateway verwenden.

Ab Version 10.6 können Sie routenbasiertes Site-zu-Site-IPSec-VPN konfigurieren. Bei routenbasiertem IPSec-VPN für NSX Edge-Gateways unterstützt VMware Cloud Director nur statische Routen. Routenbasiertes IPSec-VPN verwendet Standard-Routing-Protokolle und bietet eine bessere Skalierbarkeit. Es eignet sich besser für größere und komplexere Netzwerke.

Konfigurieren von NSX-IPSec-VPN im VMware Cloud Director Service Provider Admin Portal

Sie können die Site-to-Site-Konnektivität zwischen einem NSX-Edge-Gateway und Remote-Sites konfigurieren. Die Remote-Sites müssen NSX verwenden und über Hardwarerouter von Drittanbietern oder VPN-Gateways verfügen, die IPSec unterstützen.

VMware Cloud Director unterstützt die automatische Route Redistribution, wenn Sie IPSec-VPN auf einem NSX-Gateway konfigurieren.

Voraussetzungen

  • Wenn Sie einen routenbasierten NSX-IPSec-VPN-Tunnel konfigurieren möchten, konfigurieren Sie statisches Routing. Weitere Informationen finden Sie im Konfigurieren des statischen Routings auf einem NSX-Edge-Gateway im VMware Cloud Director Service Provider Admin Portal.
  • Stellen Sie bei Verwendung der Zertifikatsauthentifizierung zum Sichern der IPSec-VPN-Kommunikation sicher, dass der Systemadministrator das Serverzertifikat für das lokale NSX-Edge-Gateway und ein CA-Zertifikat für Ihre Organisation in die VMware Cloud Director-Zertifikatsbibliothek hochgeladen hat.
  • Wenn Sie die Anzahl der für Ihre Mandanten verfügbaren Sicherheitsprofile beschränken möchten, können Sie den manage-config-Unterbefehl des VMware Cloud Director-Zellenverwaltungstools (Cell Management Tool, CMT) verwenden. Wenn Sie beispielsweise die Liste auf FIPS und Foundation beschränken möchten, führen Sie den folgenden CMT-Befehl aus. 
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n networking.gatewayIpSecVpnTunnelSecurityTypeDisallowList -v PROVIDER_PREFERRED,FIPS,FOUNDATION

Prozedur

  1. Wählen Sie im primären linken Navigationsbereich Ressourcen und dann in der oberen Navigationsleiste der Seite die Option Cloud-Ressourcen aus.
  2. Wählen Sie im sekundären linken Bereich Edge-Gateways aus und klicken Sie auf den Namen des Ziel-Edge-Gateways.
  3. Klicken Sie unter Dienste auf IPSec-VPN und dann auf Neu.
  4. Geben Sie einen Namen und, optional, eine Beschreibung für den IPSec-VPN-Tunnel ein.
  5. Wählen Sie den IPSec-VPN-Tunneltyp aus.
    Ab Version 10.6 unterstützt VMware Cloud Director routenbasiertes IPSec-VPN für statische Routen.
  6. Wählen Sie ein Sicherheitsprofil zum Schutz der übertragenen Daten aus.
  7. Zum Aktivieren des Tunnels bei der Erstellung aktivieren Sie die Umschaltoption Zustand.
  8. Zum Aktivieren der Protokollierung aktivieren Sie die Umschaltoption Protokollierung.
  9. Klicken Sie auf Weiter.
  10. Wählen Sie einen Peer-Authentifizierungsmodus aus.
    Option Bezeichnung
    Vorinstallierter Schlüssel Wählen Sie einen vorinstallierten Schlüssel für die Eingabe aus. Der vorinstallierte Schlüssel muss am anderen Ende des IPSec-VPN-Tunnels identisch sein.
    Zertifikat Wählen Sie Site- und CA-Zertifikate für die Authentifizierung aus.
  11. Wählen Sie im Dropdown-Menü eine der IP-Adressen aus, die dem Edge-Gateway für den lokalen Endpoint zur Verfügung stehen.
    Bei der IP-Adresse muss es sich entweder um die primäre IP des Edge-Gateways oder um eine IP-Adresse handeln, die dem Edge-Gateway separat zugeteilt wird.
  12. Wenn Sie ein richtlinienbasiertes IPSec-VPN konfigurieren, geben Sie mindestens eine lokale IP-Subnetz-Adresse in CIDR-Notation ein, die für den IPSec-VPN-Tunnel verwendet werden soll.
  13. Geben Sie die IP-Adresse für den Remote-Endpoint ein.
  14. Wenn Sie ein richtlinienbasiertes IPSec-VPN konfigurieren, geben Sie mindestens eine Remote-IP-Subnetz-Adresse in CIDR-Notation ein, die für den IPSec-VPN-Tunnel verwendet werden soll.
  15. Geben Sie die Remote-ID für die Peer-Site ein.
    Die Remote-ID muss gegebenenfalls mit dem SAN (Subject Alternative Name) des Remote-Endpoint-Zertifikats übereinstimmen. Wenn das Remote-Zertifikat keinen SAN enthält, muss die Remote-ID mit dem Distinguished Name des Zertifikats übereinstimmen, das zum Sichern des Remote-Endpoints verwendet wird, z. B. C=US, ST=Massachusetts, O=VMware, OU=VCD, CN=Edge1.
  16. Wenn Sie ein routenbasiertes IPSec-VPN für die virtuelle Tunnelschnittstelle (VTI) konfigurieren, geben Sie ein gültiges IPv4-CIDR, IPv6-CIDR oder beides ein, indem Sie sie durch ein Komma trennen.

    Die virtuelle Tunnelschnittstelle (VTI) spiegelt den Endpoint eines IPSec-Tunnels auf einem Netzwerkgerät wider.

  17. Klicken Sie auf Weiter.
  18. Überprüfen Sie Ihre Einstellungen und klicken Sie auf Fertig stellen.

Ergebnisse

Der neu erstellte IPSec-VPN-Tunnel wird in der Ansicht IPSec-VPN angezeigt.

Nächste Maßnahme

  • Um sicherzustellen, dass der Tunnel funktioniert, wählen Sie ihn aus und klicken auf Statistik anzeigen.

    Wenn der Tunnel funktioniert, wird für die Optionen Tunnelstatus und IKE-Dienststatus die Option Erreichbar angezeigt.

  • Konfigurieren Sie den Remote-Endpoint des IPSec-VPN-Tunnels.
  • Sie können die IPSec-VPN-Tunnel-Einstellungen bearbeiten und das entsprechende Sicherheitsprofil nach Bedarf anpassen.

Anpassen des Sicherheitsprofils eines IPSec-VPN-Tunnels im VMware Cloud Director Service Provider Admin Portal

Wenn Sie das vom System generierte Sicherheitsprofil, das Ihrem IPSec-VPN-Tunnel bei der Erstellung zugewiesen wurde, nicht verwenden möchten, können Sie es anpassen.

Prozedur

  1. Wählen Sie im primären linken Navigationsbereich Ressourcen und dann in der oberen Navigationsleiste der Seite die Option Cloud-Ressourcen aus.
  2. Wählen Sie im sekundären linken Bereich Edge-Gateways aus und klicken Sie auf den Namen des Ziel-Edge-Gateways.
  3. Klicken Sie unter Dienste auf IPSec-VPN.
  4. Wählen Sie den IPSec-VPN-Tunnel aus und klicken Sie auf Anpassung des Sicherheitsprofils.
  5. Konfigurieren Sie die IKE-Profile.
    Die IKE-Profile (Internet Key Exchange) stellen Informationen zu den Algorithmen bereit, die zur Authentifizierung, Verschlüsselung und Einrichtung eines gemeinsamen geheimen Schlüssels zwischen Netzwerksites verwendet werden, wenn Sie einen IKE-Tunnel einrichten.
    1. Wählen Sie eine IKE-Protokollversion aus, um eine Sicherheitsverbindung (Security Association, SA) in der IPSec-Protokollsuite einzurichten.
      Option Bezeichnung
      IKEv1 Wenn Sie diese Option auswählen, initiiert das IPSec-VPN nur das IKEv1-Protokoll und antwortet auch nur auf dieses Protokoll.
      IKEv2 Die Standardoption. Wenn Sie diese Version auswählen, initiiert das IPSec-VPN nur das IKEv2-Protokoll und antwortet auch nur auf dieses Protokoll.
      IKE-Flex Wenn Sie diese Option auswählen und die Tunneleinrichtung mit dem IKEv2-Protokoll fehlschlägt, wird die Quellsite nicht zurückgesetzt und initiiert keine Verbindung mit dem IKEv1-Protokoll. Stattdessen wird die Verbindung akzeptiert, falls die Remote-Site eine Verbindung mit dem IKEv1-Protokoll initiiert.
    2. Wählen Sie einen unterstützten Verschlüsselungsalgorithmus aus, der bei der IKE-Verhandlung (Internet Key Exchange) verwendet wird.
    3. Wählen Sie im Dropdown-Menü Digest einen sicheren Hashing-Algorithmus aus, der während der IKE-Verhandlung verwendet wird.
    4. Wählen Sie im Dropdown-Menü Diffie-Hellman-Gruppe eines der Kryptografieschemata aus, die es der Peer-Site und dem Edge-Gateway ermöglichen, einen gemeinsamen geheimen Schlüssel über einen unsicheren Kommunikationskanal einzurichten.
    5. (Optional) Ändern Sie im Textfeld Gültigkeitsdauer der Zuordnung die Standardanzahl von Sekunden, bis der IPSec-Tunnel wiederhergestellt werden muss.
  6. Konfigurieren Sie den IPSec-VPN-Tunnel.
    1. Um Perfect Forward Secrecy zu aktivieren, wählen Sie die entsprechende Option aus.
    2. Wählen Sie eine Defragmentierungsrichtlinie aus.
      Die Defragmentierungsrichtlinie hilft bei der Verarbeitung von Defragmentierungsbits im inneren Paket.
      Option Bezeichnung
      Kopieren Kopiert das Defragmentierungsbit aus dem inneren IP-Paket in das äußere Paket.
      Löschen Ignoriert das im inneren Paket anwesende Defragmentierungsbit.
    3. Wählen Sie einen unterstützten Verschlüsselungsalgorithmus aus, der bei der IKE-Verhandlung (Internet Key Exchange) verwendet wird.
    4. Wählen Sie im Dropdown-Menü Digest einen sicheren Hashing-Algorithmus aus, der während der IKE-Verhandlung verwendet wird.
    5. Wählen Sie im Dropdown-Menü Diffie-Hellman-Gruppe eines der Kryptografieschemata aus, die es der Peer-Site und dem Edge-Gateway ermöglichen, einen gemeinsamen geheimen Schlüssel über einen unsicheren Kommunikationskanal einzurichten.
    6. (Optional) Ändern Sie im Textfeld Gültigkeitsdauer der Zuordnung die Standardanzahl von Sekunden, bis der IPSec-Tunnel wiederhergestellt werden muss.
  7. (Optional) Ändern Sie im Textfeld Prüfintervall die Standardanzahl der Sekunden für die Erkennung von ausgefallenen Peers.
  8. Klicken Sie auf Speichern.

Ergebnisse

In der Ansicht „IPSec-VPN“ wird das Sicherheitsprofil des IPSec-VPN-Tunnels als Benutzerdefiniert angezeigt.