Wenn Sie ein routenbasiertes IPSec-VPN hinzufügen, wird Tunneling für Datenverkehr bereitgestellt, der auf Routen basiert, die dynamisch über eine virtuelle Tunnelschnittstelle (VTI) unter Verwendung eines bevorzugten Protokolls wie BGP erlernt wurden. IPSec schützt den gesamten Datenverkehr, der über die VTI geleitet wird.
Für die in diesem Thema verwendeten Schritte wird die Registerkarte IPSec-Sitzungen verwendet, um eine routenbasierte IPSec-Sitzung zu erstellen. Sie fügen auch Informationen für die Tunnel-, IKE- und DPD-Profile hinzu und wählen einen vorhandenen lokalen Endpoint aus, der mit dem routenbasierten IPSec-VPN verwendet werden soll.
Hinweis:
Sie können auch die IPSec-VPN-Sitzungen sofort, nachdem Sie den IPSec-VPN-Dienst erfolgreich konfiguriert haben, hinzufügen. Sie klicken bei Aufforderung zum Fortfahren mit der IPSec-VPN-Dienstkonfiguration auf Ja und wählen im Bereich „IPSec-Sitzung hinzufügen“ aus. Für die ersten Schritte im folgenden Verfahren wird davon ausgegangen, dass Sie Nein bei der Aufforderung zum Fortfahren mit der IPSec-VPN-Dienstkonfiguration ausgewählt haben. Falls Sie Ja ausgewählt haben, fahren Sie mit Schritt 3 in den folgenden Schritten fort, um Sie beim Rest der Konfiguration der routenbasierten IPSec-VPN-Sitzung anzuleiten.
Voraussetzungen
- Sie müssen einen IPSec-VPN-Dienst konfiguriert haben, bevor Sie fortfahren können. Siehe Hinzufügen eines IPSec-VPN-Dienstes.
- Besorgen Sie sich die Informationen für den lokalen Endpoint, die IP-Adresse für die Peer-Site und IP-Subnetz-Adresse des Tunnel-Diensts, die mit der routenbasierten IPSec-Sitzung verwendet werden soll, die Sie hinzufügen. Informationen zum Erstellen eines lokalen Endpoints finden Sie unter Hinzufügen von lokalen Endpoints.
- Wenn Sie einen vorinstallierten Schlüssel (PSK) für die Authentifizierung verwenden, rufen Sie den PSK-Wert ab.
- Wenn Sie ein Zertifikat für die Authentifizierung verwenden, stellen Sie sicher, dass die notwendigen Serverzertifikate und die entsprechenden ZS-signierten Zertifikate bereits importiert wurden. Siehe Zertifikate.
- Wenn Sie nicht die Standardwerte für den IPSec-Tunnel, IKE oder DPD-Profile (Dead Peer Detection), die von NSX-T Data Center bereitgestellt werden, verwenden möchten, konfigurieren Sie die Profile, die Sie stattdessen verwenden möchten. Weitere Informationen finden Sie unter Hinzufügen von Profilen.
Prozedur
- Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
- Navigieren Sie zu .
- Wählen Sie aus.
- Geben Sie einen Namen für die routenbasierte IPSec-Sitzung ein.
- Wählen Sie aus dem Dropdown-Menü VPN-Dienst den IPSec-VPN-Dienst aus, dem Sie diese neue IPSec-Sitzung hinzufügen möchten.
Hinweis: Wenn Sie diese IPSec-Sitzung aus dem Dialogfeld
IPSec-Sitzungen hinzufügen hinzufügen, wird der VPN-Dienst-Name bereits über der Schaltfläche
IPSec-Sitzung hinzufügen angegeben.
- Wählen Sie im Dropdown-Menü einen vorhandenen lokalen Endpoint aus.
Dieser lokale Endpoint-Wert ist erforderlich und identifiziert den lokalen
NSX Edge-Knoten. Wenn Sie einen anderen lokalen Endpoint erstellen möchten, klicken Sie auf das Drei-Punkte-Menü (
) und wählen Sie
Lokalen Endpoint hinzufügen aus.
- Geben Sie im Textfeld Remote-IP die IP-Adresse der Remote-Site ein.
Dieser Wert ist erforderlich.
- Geben Sie eine optionale Beschreibung für diese routenbasierte IPSec-VPN-Sitzung ein.
Die Längenbeschränkung beträgt 1024 Zeichen.
- Klicken Sie zum Aktivieren oder Deaktivieren der IPSec-Sitzung auf Administrativer Status.
Als Standardwert ist
Enabled
festgelegt. Das bedeutet, dass die IPSec-Sitzung bis hinunter zum
NSX Edge-Knoten konfiguriert werden muss.
- (Optional) Wählen Sie im Dropdown-Menü Übereinstimmungs-Suite eine Sicherheits-Übereinstimmungs-Suite aus.
Als Standardwert ist
None
festgelegt. Wenn Sie eine Compliance-Suite auswählen, wird der
Authentifizierungsmodus auf
Certificate
festgelegt und im Abschnitt
Erweiterte Eigenschaften werden die Werte für das
IKE-Profil und das
IPSec-Profil auf die vom System definierten Profile für die ausgewählte Compliance-Suite festgelegt. Sie können diese vom System definierten Profile nicht bearbeiten.
- Geben Sie eine IP-Subnetz-Adresse in Tunnelschnittstelle in der CIDR-Notation ein.
Diese Adresse ist erforderlich.
- Wenn die Übereinstimmungs-Suite auf
None
festgelegt ist, wählen Sie einen Modus aus dem Dropdown-Menü Authentifizierungsmodus aus.
Der verwendete Standard-Authentifizierungsmodus lautet
PSK
, d. h. ein geheimer Schlüssel, der zwischen
NSX Edge und der Remote-Site gemeinsam verwendet wird, wird für die IPSec-VPN-Sitzung benutzt. Wenn Sie
Certificate
auswählen, wird das Sitezertifikat, das zum Konfigurieren des lokalen Endpoints verwendet wurde, für die Authentifizierung verwendet.
- Wenn Sie
PSK
für den Authentifizierungsmodus ausgewählt haben, geben Sie den Schlüsselwert im Textfeld Vorinstallierter Schlüssel ein.
Dieser geheime Schlüssel kann eine Zeichenfolge mit einer Maximallänge von 128 Zeichen sein.
Vorsicht: Seien Sie beim Freigeben und Speichern eines PSK-Werts vorsichtig, da er vertrauliche Informationen enthält.
- Geben Sie einen Wert in Remote-ID ein.
Bei Peer-Sites mit PSK-Authentifizierung muss dieser ID-Wert der öffentlichen IP-Adresse oder dem FQDN der Peer-Site entsprechen. Bei Peer-Sites mit Zertifikatsauthentifizierung muss dieser ID-Wert dem allgemeinen Namen (CN) oder dem definierten Namen (DN) im Zertifikat der Peer-Site entsprechen.
Hinweis: Wenn das Zertifikat der Peer-Site eine E-Mail-Adresse in der DN-Zeichenfolge enthält, z. B.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
dann geben Sie den Wert für
Remote-ID im gleichen Format wie in dem folgenden Beispiel ein.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
Wenn das Zertifikat der lokalen Site eine E-Mail-Adresse in der DN-Zeichenfolge enthält und die Peer-Site die strongSwan-IPsec-Implementierung verwendet, geben Sie den ID-Wert der lokalen Site in dieser Peer-Site ein. Im Folgenden finden Sie ein Beispiel.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
- Wenn Sie diese IPSec-Sitzung als Teil eines bestimmten Gruppentags einschließen möchten, geben Sie den Namen des Tags in Tags ein.
- Um die Profile, den Initiierungsmodus, den Modus der TCP-MSS-Klemmung und die Tags, die von der routenbasierten IPSec-VPN-Sitzung verwendet werden, zu ändern, klicken Sie auf Erweiterte Eigenschaften.
Standardmäßig werden die vom System generierten Profile verwendet. Wählen Sie ein anderes verfügbares Profil, wenn Sie nicht die Standardoption verwenden möchten. Wenn Sie ein Profil verwenden möchten, das noch nicht konfiguriert ist, klicken Sie auf das Drei-Punkte-Menü (
), um ein anderes Profil zu erstellen. Siehe
Hinzufügen von Profilen.
- Wenn das Dropdown-Menü IKE-Profile aktiviert ist, wählen Sie das IKE-Profil aus.
- Wählen Sie das IPsec-Tunnelprofil aus, wenn das Dropdown-Menü IPSec-Profile nicht deaktiviert ist.
- Wählen Sie das bevorzugte DPD-Profil aus, wenn das Dropdown-Menü DPD-Profile aktiviert ist.
- Wählen Sie im Dropdown-Menü Initiierungsmodus der Verbindung den bevorzugten Modus aus.
Der Verbindungs-Initiierungsmodus definiert die Richtlinie, die vom lokalen Endpoint bei der Tunnel-Erstellung verwendet wird. Der Standardwert lautet
Initiator. Die folgende Tabelle beschreibt die unterschiedlichen verfügbaren Verbindungs-Initiierungsmodi.
Tabelle 1.
Verbindungs-Initiierungsmodi
Initiierungsmodus der Verbindung |
Beschreibung |
Initiator |
Der Standardwert In diesem Modus initiiert der lokale Endpoint die IPSec-VPN-Tunnel-Erstellung und reagiert auf eingehende Anforderungen des Tunnel-Setups vom Peer-Gateway. |
On Demand |
Verwenden Sie diesen Modus nicht mit dem routenbasierten VPN. Dieser Modus gilt nur für das richtlinienbasierte VPN. |
Respond Only |
Der IPSec-VPN initiiert nie eine Verbindung. Die Peer-Site initiiert immer die Verbindungsanforderung, und der lokale Endpoint reagiert auf diese Verbindungsanfrage. |
- Wenn Sie die maximale Segmentgröße (MSS) für die Nutzlast der TCP-Sitzung während der IPSec-Verbindung reduzieren möchten, aktivieren Sie TCP-MSS-Klemmung, wählen Sie den Wert für die TCP-MSS-Richtung aus und legen Sie optional den TCP-MSS-Wert fest. []
- Wenn Sie diese IPSec-Sitzung als Teil eines bestimmten Gruppentags einschließen möchten, geben Sie den Namen des Tags in Tags ein.
- Klicken Sie auf Speichern.
Ergebnisse
Wenn die neue routenbasierte IPSec-VPN-Sitzung erfolgreich konfiguriert ist, wird sie zur Liste der verfügbaren IPSec-VPN-Sitzungen hinzugefügt. Sie befindet sich im schreibgeschützten Modus.