Wenn Sie ein richtlinienbasiertes IPSec-VPN hinzufügen, werden mithilfe von IPSec-Tunneln mehrere lokale Subnetze, die sich hinter dem NSX Edge-Knoten befinden, mit Peer-Subnetzen in der Remote-VPN-Site verbunden.

Bei den folgenden Schritten wird die Registerkarte IPSec-Sitzungen in der Benutzeroberfläche von NSX Manager verwendet, um eine richtlinienbasierte IPSec-Sitzung zu erstellen. Sie fügen außerdem Informationen für den Tunnel, IKE und DPD-Profile hinzu und wählen einen vorhandenen lokalen Endpoint aus, der mit dem richtlinienbasierten IPSec-VPN verwendet werden soll.

Hinweis:

Sie können auch die IPSec-VPN-Sitzungen sofort, nachdem Sie den IPSec-VPN-Dienst erfolgreich konfiguriert haben, hinzufügen. Sie klicken bei Aufforderung zum Fortfahren mit der IPSec-VPN-Dienstkonfiguration auf Ja und wählen im Bereich „IPSec-Sitzung hinzufügen“ Sitzungen > Sitzungen hinzufügen aus. Für die ersten Schritte im folgenden Verfahren wird davon ausgegangen, dass Sie Nein bei der Aufforderung zum Fortfahren mit der IPSec-VPN-Dienstkonfiguration ausgewählt haben. Wenn Sie Ja ausgewählt haben, gehen Sie in den folgenden Schritten weiter zu Schritt 3. Sie werden dann durch die restliche Konfiguration der richtlinienbasierten IPSec-VPN-Sitzung geführt.

Voraussetzungen

  • Sie müssen einen IPSec-VPN-Dienst konfiguriert haben, bevor Sie fortfahren können. Siehe Hinzufügen eines IPSec-VPN-Dienstes.
  • Holen Sie die Informationen für den lokalen Endpoint, die IP-Adresse für die Peer-Site, das lokale Netzwerk-Subnetz und das Remote-Netzwerk-Subnetz ein, die in der richtlinienbasierten IPSec-VPN-Sitzung verwendet werden sollen, die Sie hinzufügen. Informationen zum Erstellen eines lokalen Endpoints finden Sie unter Hinzufügen von lokalen Endpoints.
  • Wenn Sie einen vorinstallierten Schlüssel (PSK) für die Authentifizierung verwenden, rufen Sie den PSK-Wert ab.
  • Wenn Sie ein Zertifikat für die Authentifizierung verwenden, stellen Sie sicher, dass die notwendigen Serverzertifikate und die entsprechenden ZS-signierten Zertifikate bereits importiert wurden. Siehe Zertifikate.
  • Wenn Sie die von NSX-T Data Center bereitgestellten Standardeinstellungen für den IPSec-Tunnel, IKE oder Dead Peer Detection(DPD)-Profile nicht verwenden möchten, können Sie stattdessen die gewünschten Profile konfigurieren. Weitere Informationen finden Sie unter Hinzufügen von Profilen.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Navigieren zur Registerkarte Netzwerk > VPN > IPSec-Sitzungen.
  3. Wählen Sie IPSec-Sitzung hinzufügen > Richtlinienbasiert aus.
  4. Geben Sie einen Namen für die richtlinienbasierte IPSec-VPN-Sitzung ein.
  5. Wählen Sie aus dem Dropdown-Menü VPN-Dienst den IPSec-VPN-Dienst aus, dem Sie diese neue IPSec-Sitzung hinzufügen möchten.
    Hinweis: Wenn Sie diese IPSec-Sitzung aus dem Dialogfeld IPSec-Sitzungen hinzufügen hinzufügen, wird der VPN-Dienst-Name bereits über der Schaltfläche IPSec-Sitzung hinzufügen angegeben.
  6. Wählen Sie im Dropdown-Menü einen vorhandenen lokalen Endpoint aus.
    Dieser lokale Endpoint-Wert ist erforderlich und identifiziert den lokalen NSX Edge-Knoten. Wenn Sie einen anderen lokalen Endpoint erstellen möchten, klicken Sie auf das Drei-Punkte-Menü ( ) und wählen Sie Lokalen Endpoint hinzufügen.
  7. Geben Sie in das Textfeld Remote-IP die erforderliche IP-Adresse der Remote-Site ein.
    Dieser Wert ist erforderlich.
  8. Geben Sie eine optionale Beschreibung für diese richtlinienbasierte IPSec-VPN-Sitzung ein.
    Die Längenbeschränkung beträgt 1024 Zeichen.
  9. Klicken Sie zum Aktivieren oder Deaktivieren der IPSec-VPN-Sitzung auf Administrativer Status.
    Als Standardwert ist Enabled festgelegt. Das bedeutet, dass die IPSec-VPN-Sitzung bis hinunter zum NSX Edge-Knoten konfiguriert werden muss.
  10. (Optional) Wählen Sie im Dropdown-Menü Übereinstimmungs-Suite eine Sicherheits-Übereinstimmungs-Suite aus.
    Hinweis: Übereinstimmungs-Suites werden ab NSX-T Data Center 2.5 unterstützt. Weitere Informationen finden Sie unter Informationen zu unterstützten Compliance-Suites.
    Der ausgewählte Standardwert ist None. Wenn Sie eine Compliance-Suite auswählen, wird der Authentifizierungsmodus auf Certificate festgelegt und im Abschnitt Erweiterte Eigenschaften werden die Werte für das IKE-Profil und das IPSec-Profil auf die vom System definierten Profile für die ausgewählte Sicherheits-Compliance-Suite festgelegt. Sie können diese vom System definierten Profile nicht bearbeiten.
  11. Wenn die Übereinstimmungs-Suite auf None festgelegt ist, wählen Sie einen Modus aus dem Dropdown-Menü Authentifizierungsmodus aus.
    Der verwendete Standard-Authentifizierungsmodus lautet PSK, d. h. ein geheimer Schlüssel, der zwischen NSX Edge und der Remote-Site gemeinsam verwendet wird, wird für die IPSec-VPN-Sitzung benutzt. Wenn Sie Certificate auswählen, wird das Sitezertifikat, das zum Konfigurieren des lokalen Endpoints verwendet wurde, für die Authentifizierung verwendet.
  12. Geben Sie in die Textfelder „Lokale Netzwerke“ und „Remote-Netzwerke“ mindestens eine IP-Subnetzadresse ein, die für diese richtlinienbasierte IPSec-VPN-Sitzung verwendet werden soll.
    Diese Subnetze müssen im CIDR-Format vorliegen.
  13. Wenn der Authentifizierungsmodus auf PSK festgelegt ist, geben Sie den Schlüsselwert im Textfeld Vorinstallierter Schlüssel ein.
    Dieser geheime Schlüssel kann eine Zeichenfolge mit einer Maximallänge von 128 Zeichen sein.
    Vorsicht: Seien Sie beim Freigeben und Speichern eines PSK-Werts vorsichtig, da er vertrauliche Informationen enthält.
  14. Geben Sie in Remote-ID einen Wert ein, um die Peer-Site anzugeben.
    Bei Peer-Sites mit PSK-Authentifizierung muss dieser ID-Wert der öffentlichen IP-Adresse oder dem FQDN der Peer-Site entsprechen. Bei Peer-Sites mit Zertifikatsauthentifizierung muss dieser ID-Wert dem allgemeinen Namen (CN) oder dem definierten Namen (DN) im Zertifikat der Peer-Site entsprechen.
    Hinweis: Wenn das Zertifikat der Peer-Site eine E-Mail-Adresse in der DN-Zeichenfolge enthält, z. B. 
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
    dann geben Sie den Wert für Remote-ID im gleichen Format wie in dem folgenden Beispiel ein. 
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
    Wenn das Zertifikat der lokalen Site eine E-Mail-Adresse in der DN-Zeichenfolge enthält und die Peer-Site die strongSwan-IPsec-Implementierung verwendet, geben Sie den ID-Wert der lokalen Site in dieser Peer-Site ein. Im Folgenden finden Sie ein Beispiel. 
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
  15. Um die Profile, den Initiierungsmodus, den Modus der TCP-MSS-Klemmung und die Tags, die von der richtlinienbasierten IPSec-VPN-Sitzung verwendet werden, zu ändern, klicken Sie auf Erweiterte Eigenschaften.
    Standardmäßig werden die vom System generierte Profile verwendet. Wählen Sie ein anderes verfügbares Profil, wenn Sie nicht die Standardoption verwenden möchten. Wenn Sie ein Profil verwenden möchten, das noch nicht konfiguriert ist, klicken Sie auf das Drei-Punkte-Menü ( ), um ein anderes Profil zu erstellen. Siehe Hinzufügen von Profilen.
    1. Wenn das Dropdown-Menü IKE-Profile aktiviert ist, wählen Sie das IKE-Profil aus.
    2. Wählen Sie das IPsec-Tunnelprofil aus, wenn das Dropdown-Menü IPSec-Profile nicht deaktiviert ist.
    3. Wählen Sie das bevorzugte DPD-Profil aus, wenn das Dropdown-Menü DPD-Profile aktiviert ist.
    4. Wählen Sie im Dropdown-Menü Initiierungsmodus der Verbindung den bevorzugten Modus aus.
      Der Verbindungs-Initiierungsmodus definiert die Richtlinie, die vom lokalen Endpoint bei der Tunnel-Erstellung verwendet wird. Der Standardwert lautet Initiator. Die folgende Tabelle beschreibt die unterschiedlichen verfügbaren Verbindungs-Initiierungsmodi.
      Tabelle 1. Verbindungs-Initiierungsmodi
      Initiierungsmodus der Verbindung Beschreibung
      Initiator Der Standardwert In diesem Modus initiiert der lokale Endpoint die IPSec-VPN-Tunnel-Erstellung und reagiert auf eingehende Anforderungen des Tunnel-Setups vom Peer-Gateway.
      On Demand In diesem Modus initiiert der lokale Endpoint die IPSec-VPN-Tunnel-Erstellung, nachdem das erste Paket, das mit der Richtlinienregel übereinstimmt, empfangen wird. Er reagiert auch auf die eingehende Initiierungsanforderung.
      Respond Only

      Der IPSec-VPN initiiert nie eine Verbindung. Die Peer-Site initiiert immer die Verbindungsanforderung, und der lokale Endpoint reagiert auf diese Verbindungsanfrage.

    5. Wenn Sie die maximale Segmentgröße (MSS) für die Nutzlast der TCP-Sitzung während der IPSec-Verbindung reduzieren möchten, aktivieren Sie TCP-MSS-Klemmung, wählen Sie den Wert TCP-MSS-Richtung aus und legen Sie optional den TCP-MSS-Wert fest.
      Weitere Informationen hierzu finden Sie unter Grundlegendes zum TCP-MSS Clamping.
    6. Wenn Sie diese Sitzung als Teil einer bestimmten Gruppe aufnehmen möchten, geben Sie den Namen des Tags in Tags ein.
  16. Klicken Sie auf Speichern.

Ergebnisse

Wenn die neue richtlinienbasierte IPSec-VPN-Sitzung erfolgreich konfiguriert wurde, wird sie der Liste verfügbarer IPSec-VPN-Sitzungen hinzugefügt. Sie befindet sich im schreibgeschützten Modus.

Nächste Maßnahme

  • Stellen Sie sicher, dass der IPSec VPN-Tunnel-Status Aktiv ist. Weitere Informationen finden Sie unter Überwachung und Fehlerbehebung von VPN-Sitzungen.
  • Verwalten Sie bei Bedarf die Sitzungsinformationen für die IPSec-VPN, indem Sie auf das Drei-Punkte-Menü () auf der linken Seite der Sitzung Zeile klicken. Wählen Sie eine der Aktionen, die Sie berechtigt sind, durchführen.