VMware Cloud Director unterstützt richtlinien- und routenbasiertes Site-zu-Site-IPSec-VPN zwischen einer NSX Edge-Gateway-Instanz und einer Remote-Site.
IPSec-VPN bietet Site-to-Site-Konnektivität zwischen einem Edge-Gateway und Remote-Sites, die ebenfalls NSX verwenden oder mit Drittanbieter-Hardware-Routern oder VPN-Gateways, die IPSec unterstützen, konfiguriert sind.
Richtlinienbasiertes IPSec-VPN erfordert, dass eine VPN-Richtlinie auf Pakete angewendet wird, um zu ermitteln, welcher Datenverkehr vor dem Passieren eines VPN-Tunnels durch IPSec geschützt werden soll. Dieser VPN-Typ wird als statisch betrachtet, da die VPN-Richtlinieneinstellungen bei einer Änderung der lokalen Netzwerktopologie und -konfiguration ebenfalls aktualisiert werden müssen, um die Änderungen zu berücksichtigen.
NSX-Edge-Gateways unterstützen die Split-Tunnel-Konfiguration, wobei der IPSec-Datenverkehr eine Routing-Priorität hat.
VMware Cloud Director unterstützt die automatische Route Redistribution (Routenneuverteilung), wenn Sie IPSec-VPN auf einem NSX-Edge-Gateway verwenden.
Ab Version 10.6 können Sie routenbasiertes Site-zu-Site-IPSec-VPN konfigurieren. Bei routenbasiertem IPSec-VPN für NSX Edge-Gateways unterstützt VMware Cloud Director nur statische Routen. Routenbasiertes IPSec-VPN verwendet Standard-Routing-Protokolle und bietet eine bessere Skalierbarkeit. Es eignet sich besser für größere und komplexere Netzwerke.
Konfigurieren von NSX-IPSec-VPN im VMware Cloud Director Service Provider Admin Portal
Sie können die Site-to-Site-Konnektivität zwischen einem NSX-Edge-Gateway und Remote-Sites konfigurieren. Die Remote-Sites müssen NSX verwenden und über Hardwarerouter von Drittanbietern oder VPN-Gateways verfügen, die IPSec unterstützen.
VMware Cloud Director unterstützt die automatische Route Redistribution, wenn Sie IPSec-VPN auf einem NSX-Gateway konfigurieren.
Voraussetzungen
- Wenn Sie einen routenbasierten NSX-IPSec-VPN-Tunnel konfigurieren möchten, konfigurieren Sie statisches Routing. Weitere Informationen finden Sie im Konfigurieren des statischen Routings auf einem NSX-Edge-Gateway im VMware Cloud Director Service Provider Admin Portal.
- Stellen Sie bei Verwendung der Zertifikatsauthentifizierung zum Sichern der IPSec-VPN-Kommunikation sicher, dass der Systemadministrator das Serverzertifikat für das lokale NSX-Edge-Gateway und ein CA-Zertifikat für Ihre Organisation in die VMware Cloud Director-Zertifikatsbibliothek hochgeladen hat.
-
Wenn Sie die Anzahl der für Ihre Mandanten verfügbaren Sicherheitsprofile beschränken möchten, können Sie den
manage-config
-Unterbefehl des VMware Cloud Director-Zellenverwaltungstools (Cell Management Tool, CMT) verwenden. Wenn Sie beispielsweise die Liste aufFIPS
undFoundation
beschränken möchten, führen Sie den folgenden CMT-Befehl aus./opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n networking.gatewayIpSecVpnTunnelSecurityTypeDisallowList -v PROVIDER_PREFERRED,FIPS,FOUNDATION
Prozedur
Ergebnisse
Nächste Maßnahme
- Um sicherzustellen, dass der Tunnel funktioniert, wählen Sie ihn aus und klicken auf Statistik anzeigen.
Wenn der Tunnel funktioniert, wird für die Optionen Tunnelstatus und IKE-Dienststatus die Option Erreichbar angezeigt.
- Konfigurieren Sie den Remote-Endpoint des IPSec-VPN-Tunnels.
- Sie können die IPSec-VPN-Tunnel-Einstellungen bearbeiten und das entsprechende Sicherheitsprofil nach Bedarf anpassen.
Anpassen des Sicherheitsprofils eines IPSec-VPN-Tunnels im VMware Cloud Director Service Provider Admin Portal
Wenn Sie das vom System generierte Sicherheitsprofil, das Ihrem IPSec-VPN-Tunnel bei der Erstellung zugewiesen wurde, nicht verwenden möchten, können Sie es anpassen.