Sie können das VMware Cloud Director Service Provider Admin Portal verwenden, um die Site-zu-Site-Konnektivität zwischen einem dedizierten Providergateway und Remote-Sites zu konfigurieren.

Voraussetzungen

Der routenbasierte IPSec-VPN-Tunnel auf einem dedizierten Providergateway funktioniert nur mit Border Gateway Protocol (BGP). Konfigurieren Sie BGP vor oder nach der Konfiguration des IPSec-VPN-Tunnels. Weitere Informationen finden Sie im Konfigurieren allgemeiner BGP-Einstellungen für ein NSX-Edge-Gateway im VMware Cloud Director Service Provider Admin Portal.

Prozedur

  1. Wählen Sie im primären linken Navigationsbereich Ressourcen und dann in der oberen Navigationsleiste der Seite die Option Cloud-Ressourcen aus.
  2. Klicken Sie im sekundären linken Bereich auf Providergateways und klicken Sie auf den Namen des privaten Ziel-Providergateways.
  3. Wählen Sie im linken Navigationsbereich auf Seitenebene unter Dienste die Option IPSec-VPN aus und klicken Sie auf Neu.
  4. Geben Sie einen Namen und, optional, eine Beschreibung für den IPSec-VPN-Tunnel ein.
  5. Wählen Sie den IPSec-VPN-Tunneltyp aus.
  6. Wählen Sie ein Sicherheitsprofil zum Schutz der übertragenen Daten aus.

    Sie können die VMware Cloud Director-API verwenden, um die Anzahl der Sicherheitsprofile zu beschränken, die Ihren Mandanten zur Verfügung stehen, wenn sie NSX-IPSec-VPN konfigurieren. Weitere Informationen finden Sie unter VMware Cloud Director OpenAPI.

  7. Zum Aktivieren des Tunnels bei der Erstellung aktivieren Sie die Umschaltoption Zustand.
  8. Zum Aktivieren der Protokollierung aktivieren Sie die Umschaltoption Protokollierung.
  9. Klicken Sie auf Weiter.
  10. Wählen Sie einen Peer-Authentifizierungsmodus aus.
    Option Bezeichnung
    Vorinstallierter Schlüssel Wählen Sie einen vorinstallierten Schlüssel für die Eingabe aus. Der vorinstallierte Schlüssel muss am anderen Ende des IPSec-VPN-Tunnels identisch sein.
    Zertifikat Wählen Sie Site- und CA-Zertifikate für die Authentifizierung aus.
  11. Wählen Sie im Dropdown-Menü eine der IP-Adressen aus, die dem Edge-Gateway für den lokalen Endpoint zur Verfügung stehen.
    Bei der IP-Adresse muss es sich entweder um die primäre IP des Edge-Gateways oder um eine IP-Adresse handeln, die dem Edge-Gateway separat zugeteilt wird.
  12. Wenn Sie ein richtlinienbasiertes IPSec-VPN konfigurieren, geben Sie mindestens eine lokale IP-Subnetz-Adresse in CIDR-Notation ein, die für den IPSec-VPN-Tunnel verwendet werden soll.
  13. Geben Sie die IP-Adresse für den Remote-Endpoint ein.
  14. Wenn Sie ein richtlinienbasiertes IPSec-VPN konfigurieren, geben Sie mindestens eine Remote-IP-Subnetz-Adresse in CIDR-Notation ein, die für den IPSec-VPN-Tunnel verwendet werden soll.
  15. Geben Sie die Remote-ID für die Peer-Site ein.
    Die Remote-ID muss gegebenenfalls mit dem SAN (Subject Alternative Name) des Remote-Endpoint-Zertifikats übereinstimmen. Wenn das Remote-Zertifikat keinen SAN enthält, muss die Remote-ID mit dem Distinguished Name des Zertifikats übereinstimmen, das zum Sichern des Remote-Endpoints verwendet wird, z. B. C=US, ST=Massachusetts, O=VMware, OU=VCD, CN=Edge1.
  16. Wenn Sie ein routenbasiertes IPSec-VPN für die virtuelle Tunnelschnittstelle (VTI) konfigurieren, geben Sie ein gültiges IPv4-CIDR, IPv6-CIDR oder beides ein, indem Sie sie durch ein Komma trennen.

    Die virtuelle Tunnelschnittstelle spiegelt den Endpoint eines IPSec-Tunnels auf einem Netzwerkgerät wider.

  17. Klicken Sie auf Weiter.
  18. Überprüfen Sie Ihre Einstellungen und klicken Sie auf Fertig stellen.

Ergebnisse

Der neu erstellte IPSec-VPN-Tunnel wird in der Ansicht IPSec-VPN angezeigt.

Nächste Maßnahme

  • Um sicherzustellen, dass der Tunnel funktioniert, wählen Sie ihn aus und klicken auf Statistik anzeigen.

    Wenn der Tunnel funktioniert, wird für die Optionen Tunnelstatus und IKE-Dienststatus die Option Erreichbar angezeigt.

  • Konfigurieren Sie den Remote-Endpoint des IPSec-VPN-Tunnels.
  • Sie können die IPSec-VPN-Tunnel-Einstellungen bearbeiten und das entsprechende Sicherheitsprofil nach Bedarf anpassen.
  • Um die Verwaltung von IPSec-VPN-Tunneln nur auf Providergateways, auf Edge-Gateways oder auf beiden zuzulassen, wählen Sie unter Topologieabsichten die Option IPSec-VPN aus und bearbeiten Sie die Absicht des IPSec-VPN-Dienstes.