Sie müssen mindestens eine externe IP-Adresse für NSX Edgekonfigurieren, um den IPSec-VPN-Dienst bereitstellen zu können.

Prozedur

  1. Melden Sie sich beim vSphere Web Client an.
  2. Klicken Sie auf Netzwerk und Sicherheit (Networking & Security) > NSX Edges.
  3. Doppelklicken Sie auf eine NSX Edge-Instanz.
  4. Klicken Sie auf Verwalten > VPN > IPSec-VPN.
  5. Klicken Sie auf Hinzufügen (Add).
  6. Geben Sie einen Namen für die IPSec-VPN-Site ein.
  7. Konfigurieren Sie die Endpoint-Parameter der IPSec-VPN-Site.
    1. Geben Sie die lokale ID zum Identifizieren der lokalen NSX Edge-Instanz ein. Diese lokale ID ist die Peer-ID auf der Remote-Site.
      Die lokale ID kann eine beliebige Zeichenfolge sein. Verwenden Sie vorzugsweise die öffentliche IP-Adresse des VPN oder einen vollqualifizierten Domänennamen (FQDN) für den VPN-Dienst als lokale ID.
    2. Geben Sie eine IP-Adresse oder einen FQDN des lokalen Endpunkts ein.
      Wenn Sie unter Verwendung eines vorinstallierten Schlüssels eine IP-Adresse zum IP-Tunnel hinzufügen, können die lokale ID und die ID des lokalen Endpunkts identisch sein.
    3. Geben Sie die Subnetze im CIDR-Format ein, die von den IPSec-VPN-Sites gemeinsam genutzt werden. Geben Sie mehrere Subnetze mithilfe eines Kommatrennzeichens ein.
    4. Geben Sie die Peer-ID ein, um die Peer-Site zu identifizieren.
      • Bei Peers mit Zertifikatsauthentifizierung muss diese ID der Distinguished Name (DN) im Peer-Zertifikat sein. Geben Sie den DN des Zertifikats als eine Zeichenfolge von durch Kommas getrennten Werten in der folgenden Reihenfolge ohne Leerzeichen ein: C=xxx,ST=xxx,L=xxx,O=xxx,OU=xxx,CN=xxx,E=xxx.
      • Bei PSK-Peers kann die Peer-ID eine beliebige Zeichenfolge sein. Verwenden Sie vorzugsweise die öffentliche IP-Adresse des VPN oder einen FQDN für den VPN-Dienst als Peer-ID.
      Hinweis: Wenn der Edge mehr als eine Uplink-Schnittstelle hat, die den entfernten IPSec-Peer erreichen kann, sollte das Routing so erfolgen, dass der IPSec-Verkehr von der Edge-Schnittstelle ausgeht, die mit einer lokalen Peer-IP konfiguriert ist.
    5. Geben Sie eine IP-Adresse oder einen FQDN für den Peer-Endpoint ein. Der Standardwert lautet any. Wenn Sie den Standardwert beibehalten, müssen Sie den globalen PSK konfigurieren.
    6. Geben Sie die interne IP-Adresse des Peer-Subnetzes im CIDR-Format ein. Trennen Sie mehrere Subnetze jeweils durch ein Komma.
  8. Konfigurieren Sie die Tunnel-Parameter.
    1. (Optional) Wählen Sie eine Sicherheits-Compliance-Suite, um das Sicherheitsprofil der IPSec-VPN-Site mit vordefinierten Werten zu konfigurieren, die durch diese Suite definiert werden.
      Die Standardeinstellung ist keine, was bedeutet, dass Sie die Konfigurationswerte für die Authentifizierungsmethode, das IKE-Profil und das Tunnel-Profil manuell angeben müssen. Wenn Sie eine Compliance-Suite auswählen, werden Werte, die in dieser Standard-Compliance-Suite vordefiniert sind, automatisch zugewiesen, und Sie können diese Werte nicht bearbeiten. Weitere Informationen zu den Compliance-Suites finden Sie unter Unterstützte Compliance-Suites.
      Hinweis:
      • Compliance-Suite wird ab NSX Data Center 6.4.5 unterstützt.
      • Wenn der FIPS-Modus auf dem Edge aktiviert ist, können Sie keine Compliance-Suite angeben.
    2. Wählen Sie eines der folgenden Internet Key Exchange-Protokolle (IKE) aus, um eine Sicherheitszuordnung in der IPSec-Protokoll-Suite einzurichten.
      Option Beschreibung
      IKEv1 Wenn Sie diese Option auswählen, wird VPN von IPSec initiiert und reagiert nur auf das IKEv1-Protokoll.
      IKEv2 Wenn Sie diese Option auswählen, wird VPN von IPSec initiiert und reagiert nur auf das IKEv2-Protokoll.
      IKE-Flex Wenn Sie diese Option auswählen und der Tunnelaufbau mit dem IKEv2-Protokoll fehlschlägt, wird nicht auf die Quell-Site zurückgegriffen und es wird auch keine Verbindung mit dem IKEv1-Protokoll initiiert. Stattdessen wird die Verbindung akzeptiert, wenn die Remote-Site eine Verbindung mit dem IKEv1-Protokoll initiiert.
      Wichtig: Wenn Sie mehrere Sites mit gleichen lokalen und Remoteendpunkten konfigurieren, stellen Sie sicher, dass Sie dieselbe IKE-Version und denselben PSK für alle IPSec-VPN-Sites auswählen.
    3. Wählen Sie im Dropdown-Menü Digest-Algorithmus (Digest Algorithm) einen der folgenden sicheren Hashing-Algorithmen aus:
      • SHA1
      • SHA_256
    4. Wählen Sie im Dropdown-Menü Verschlüsselungsalgorithmus (Encryption Algorithm) einen der folgenden unterstützten Verschlüsselungsalgorithmen aus:
      • AES (AES128-CBC)
      • AES256 (AES256-CBC)
      • Triple DES (3DES192-CBC).
      • AES-GCM (AES128-GCM)
      Hinweis:
      • Der AES-GCM-Verschlüsselungsalgorithmus ist nicht FIPS-konform.
      • Ab der Version NSX 6.4.5 ist der Triple DES-Schlüssel-Algorithmus im IPSec-VPN-Dienst veraltet.

      Die folgende Tabelle erläutert die Verschlüsselungseinstellungen, die auf dem Peer-VPN-Gateway für die Verschlüsselungseinstellungen verwendet werden, die Sie auf der lokalen NSX Edge auswählen.

      Tabelle 1. Verschlüsselungseinstellungen
      Verschlüsselungseinstellungen auf NSX Edge IKE-Einstellungen auf Peer-VPN-Gateway IPSec-Einstellungen auf Peer-VPN-Gateway
      AES-256 AES-256 AES-256
      AES-128 AES-128 AES-128
      3DES 3DES 3DES
      AES-GCM, IKEv1 AES-128 AES-GCM
      AES-GCM, IKEv2 AES-128 oder AES-GCM AES-GCM
    5. Wählen Sie unter „Authentifizierungsmodell“ eine der folgenden Optionen aus:
      Option Beschreibung
      PSK (Pre Shared Key) Gibt an, dass der von NSX Edge und der Peer-Site gemeinsam genutzte geheime Schlüssel für die Authentifizierung verwendet wird. Der geheime Schlüssel kann eine Zeichenfolge mit einer Maximallänge von 128 Byte sein.

      Im FIPS-Modus ist die PSK-Authentifizierung deaktiviert.

      Zertifikat Gibt an, dass das auf globaler Ebene definierte Zertifikat für die Authentifizierung verwendet wird.
    6. (Optional) Geben Sie den vorinstallierten Schlüssel der Peer-IPSec-VPN-Site ein.
    7. Um den Schlüssel auf der Peer-Seite anzuzeigen, klicken Sie auf das Symbol Vorinstallierten Schlüssel anzeigen (Symbol „Anzeigen“.) oder aktivieren Sie das Kontrollkästchen Gemeinsam verwendeten Schlüssel anzeigen (Display Shared Key).
    8. Wählen Sie im Dropdown-Menü Diffie-Hellman (DH)-Gruppe (Diffie-Hellman (DH) Group) eines der folgenden Kryptografieschemen aus, das zulässt, dass die Peer-Site und der NSX Edge über einen unsicheren Kommunikationskanal einen gemeinsamen geheimen Schlüssel einrichten.
      • DH-2
      • DH-5
      • DH-14
      • DH-15
      • DH-16
      DH14 ist die Standardauswahl für den FIPS- und Nicht-FIPS-Modus. Bei aktiviertem FIPS-Modus sind DH2 und DH5 nicht verfügbar.
  9. Konfigurieren Sie die erweiterten Parameter.
    1. Wenn die Remote-IPSec-VPN-Site PFS nicht unterstützt, deaktivieren Sie die Option Perfect Forward Secrecy (PFS) . Standardmäßig ist PFS aktiviert.
    2. (Optional) Um IPSec-VPN im Modus „Nur Antwortdienst“ ausführen zu können, aktivieren Sie das Kontrollkästchen Nur Antwortdienst (Responder only).
      In diesem Modus wird von IPSec-VPN keine Verbindung initiiert.
    3. (Optional) Geben Sie im Textfeld Erweiterung (Extension) einen der folgenden Ausdrücke ein:
      • securelocaltrafficbyip=IPAddress, um den lokalen Edge-Datenverkehr über den IPSec-VPN-Tunnel umzuleiten. Die IP-Adresse ist der Standardwert. Weitere Informationen finden Sie unter http://kb.vmware.com/kb/20080007.
      • passthroughSubnets=PeerSubnetIPAddress zum Unterstützen überlappender Subnetze.
  10. Klicken Sie auf Hinzufügen oder auf OK und anschließend auf Änderungen veröffentlichen (Publish Changes).
    Die IPSec-VPN-Konfiguration wird auf dem NSX Edge gespeichert.

Nächste Maßnahme

Aktivieren Sie den IPSec-VPN-Dienst.

Tipp: Im vSphere Web Clientkönnen Sie diese Schritte auf der Seite IPSec-VPN ausführen, um das Konfigurationsskript für das Peer-VPN-Gateway zu generieren.
  • Wählen Sie in NSX 6.4.6 und höher die IPSec-VPN-Site aus und klicken Sie dann auf Aktionen > Peer-Konfiguration generieren.
  • Wählen Sie in NSX 6.4.5 und früher die IPSec-VPN-Site aus und klicken Sie dann auf das Symbol Peer-Konfiguration generieren. Klicken Sie im sich öffnenden Dialogfeld auf Peer-Konfiguration generieren.

    Das Konfigurationsskript wird generiert. Sie können dieses Skript als Referenz zum Konfigurieren der IPSec-VPN-Parameter auf dem Peer-VPN-Gateway verwenden.