Dieses Beispiel enthält ein Konfigurationsszenario für eine einfache richtlinienbasierte IPSec-VPN-Verbindung von Punkt zu Punkt zwischen einer NSX Edge-Instanz und einem Cisco- oder WatchGuard-VPN am anderen Ende.

In diesem Szenario verbindet NSX Edge das interne Netzwerk 192.168.5.0/24 mit dem Internet. Die NSX Edge-Schnittstellen sind wie folgt konfiguriert:

  • Uplink-Schnittstelle: 10.115.199.103
  • Interne Schnittstelle: 192.168.5.1

Das VPN-Gateway auf der Remote-Site verbindet das interne Netzwerk 172.15.0.0/16 mit dem Internet. Die Remote-Gateway-Schnittstellen sind wie folgt konfiguriert:

  • Uplink-Schnittstelle: 10.24.120.90
  • Interne Schnittstelle: 172.16.0.1
Abbildung 1. NSX Edge Herstellen einer Verbindung mit einem Remote-VPN-Gateway
IPSEC
Hinweis: Für Tunnel zwischen NSX Edge und NSX Edge IPSec können Sie dasselbe Szenario verwenden, indem Sie die zweite NSX Edge-Instanz als Remote-Gateway einrichten.

Prozedur

  1. Melden Sie sich beim vSphere Web Client an.
  2. Klicken Sie auf Netzwerk und Sicherheit (Networking & Security) > NSX Edges.
  3. Doppelklicken Sie auf eine NSX Edge-Instanz.
  4. Klicken Sie auf Verwalten > VPN > IPSec-VPN.
  5. Klicken Sie auf Hinzufügen (Add).
  6. Geben Sie im Textfeld Name einen Namen für die IPSec-VPN-Site ein.
  7. Geben Sie im Textfeld Lokale ID (Local Id) den Eintrag 10.115.199.103 als IP-Adresse der NSX Edge-Instanz ein. Diese lokale ID wird zur Peer-ID auf der Remote-Site.
  8. Geben Sie im Textfeld Lokaler Endpoint (Local Endpoint) den Eintrag 10.115.199.103 ein.
    Wenn Sie unter Verwendung eines vorinstallierten Schlüssels (Pre-Shared Key) eine IP-Adresse zum IP-Tunnel hinzufügen, können die lokale ID und die ID des lokalen Endpunkts identisch sein.
  9. Geben Sie im Textfeld Lokale Subnetze (Local Subnets) den Eintrag 192.168.5.0/24 ein.
  10. Geben Sie unter Peer-ID (Peer Id) den Eintrag 10.24.120.90 ein, um die Peer-Site eindeutig zu identifizieren.
  11. Geben Sie im Textfeld Peer-Endpoint (Peer Endpoint) den Eintrag 10.24.120.90 ein.
  12. Geben Sie im Textfeld für den Peer-Subnetze (Peer Subnets) den Eintrag 172.15.0.0/16 ein.
  13. Wählen Sie die IKE-Version (IKE Version) aus. Wählen Sie z. B. IKEv2 aus.
  14. Wählen Sie den Digest-Algorithmus (Digest Algorithm) aus. Wählen Sie z. B. SHA_256 aus.
  15. Wählen Sie den Verschlüsselungsalgorithmus (Encryption Algorithm) aus. Wählen Sie z. B. AES aus.
  16. Wählen Sie eine Authentifizierungsmethode (Authentication Method) aus. Wählen Sie z. B. PSK aus.
  17. Geben Sie unter Vorinstallierter Schlüssel (Pre-shared Key) den Schlüssel ein.
  18. Um den vorinstallierten Schlüssel auf der Peer-Seite anzuzeigen, klicken Sie auf das Symbol Vorinstallierten Schlüssel anzeigen (Symbol „Anzeigen“.) oder aktivieren Sie das Kontrollkästchen Gemeinsam verwendeten Schlüssel anzeigen (Display Shared Key).
  19. Wählen Sie das kryptografische Schema Diffie-Hellman (DH)-Gruppe (Diffie-Hellman (DH) Group) aus. Wählen Sie z. B. DH14 aus.
  20. Klicken Sie auf Hinzufügen oder OK.
    Die IPSec-VPN-Site-Konfiguration wird auf dem NSX Edge gespeichert.

Nächste Maßnahme

Aktivieren Sie den IPSec-VPN-Dienst.