Verwenden Sie die Schritte in diesem Thema, um IPSec-VPN auf der NSX Edge-Instanz zu aktivieren.

Voraussetzungen

Um die Zertifikatsauthentifizierung zu aktivieren, müssen Serverzertifikate und die entsprechenden, von einer Zertifizierungsstelle signierten Zertifikate importiert werden. Optional können Sie ein Open-Source-Befehlszeilen-Tool, wie z. B. OpenSSL, verwenden, um Zertifikate einer Zertifizierungsstelle zu generieren.

Selbstsignierte Zertifikate können nicht für IPSec-VPN verwendet werden. Sie können nur beim Lastenausgleich und für SSL-VPN verwendet werden.

Prozedur

  1. Melden Sie sich beim vSphere Web Client an.
  2. Klicken Sie auf Netzwerk und Sicherheit (Networking & Security) > NSX Edges.
  3. Doppelklicken Sie auf eine NSX Edge-Instanz.
  4. Klicken Sie auf Verwalten > VPN > IPSec-VPN.
  5. Klicken Sie neben Globale Konfiguration auf Bearbeiten oder Ändern (Change).
  6. Geben Sie einen globalen vorinstallierten Schlüssel für die Sites ein, deren Peer-Endpoint auf „Alle“ festgelegt ist.
    Um den vorinstallierten Schlüssel anzuzeigen, klicken Sie auf das Symbol Vorinstallierten Schlüssel anzeigen ( Symbol „Anzeigen“.) oder aktivieren Sie das Kontrollkästchen Gemeinsam verwendeten Schlüssel anzeigen (Display shared key) aus.
  7. Konfigurieren Sie die globalen Erweiterungen.
    In der folgenden Tabelle sind die globalen Erweiterungen erläutert.
    Erweiterung Beschreibung
    add_spd

    Zulässige Werte sind on und off. Der Standardwert ist on, selbst wenn Sie diese Erweiterung nicht konfigurieren.

    Bei add_spd=off:
    • Sicherheitsrichtlinien werden nur installiert, wenn der Tunnel aktiv ist.
    • Wenn der Tunnel aktiv ist, werden Pakete verschlüsselt durch den Tunnel gesendet.
    • Wenn der Tunnel nicht verfügbar ist, werden die Pakete – wenn eine Route verfügbar ist – nicht verschlüsselt gesendet.
    Bei add_spd=on:
    • Unabhängig davon, ob der Tunnel eingerichtet ist, werden Sicherheitsrichtlinien installiert.
    • Wenn der Tunnel aktiv ist, werden Pakete verschlüsselt durch den Tunnel gesendet.
    • Wenn der Tunnel nicht verfügbar ist, werden die Pakete verworfen.
    ike_fragment_size Wenn die maximale Übertragungseinheit (MTU) klein ist, können Sie die IKE-Fragmentgröße mithilfe dieser Erweiterung festlegen, um Fehler bei der IKE-Verhandlung zu verhindern. Beispiel: ike_fragment_size=900
    ignore_df
    Zulässige Werte sind on und off. Der Standardwert ist off.
    • Bei ignore_df=off kopiert NSX Edge den Wert des DF-Bits („don't-fragment“) aus dem Paket mit Klartext in das verschlüsselte Paket. Wenn für das Paket mit Klartext das DF-Bit festgelegt ist, ist für das Paket daher nach der Verschlüsselung auch das DF-Bit festgelegt.
    • Bei ignore_df=on ignoriert NSX Edge den Wert der des DF-Bits im Paket mit Klartext, und das DF-Bit ist im verschlüsselten Paket immer 0.

    • Legen Sie dieses Flag auf on fest, wenn das DF-Bit im Paket mit Klartext festgelegt ist und die Größe des Pakets nach der Verschlüsselung den MTU-Wert des TCP-Pakets überschreitet. Wenn das DF-Bit festgelegt ist, wird das Paket verworfen, doch wenn das Bit gelöscht wird, wird das Paket fragmentiert.

  8. Aktivieren Sie Zertifikatsauthentifizierung und wählen Sie dann das geeignete Dienstzertifikat, CA-Zertifikat und die Zertifikatswiderrufsliste (CRL) aus.
  9. Klicken Sie auf Speichern oder auf OK und anschließend auf Änderungen veröffentlichen (Publish Changes).