Sie müssen einen lokalen Endpoint konfigurieren, der mit der IPSec-VPN verwendet werden soll, die Sie gerade konfigurieren.

Für die folgenden Schritte wird die Registerkarte Lokale Endpoints auf der NSX Manager-Benutzeroberfläche verwendet. Während Sie eine IPSec-VPN-Sitzung hinzufügen, können Sie auch einen lokalen Endpoint erstellen, indem Sie auf das Drei-Punkte-Menü ( ) klicken und Lokalen Endpoint hinzufügen auswählen. Wenn Sie gerade dabei sind, eine IPSec-VPN-Sitzung zu konfigurieren, fahren Sie mit Schritt 3 in den folgenden Schritten fort, die Sie bei der Erstellung eines neuen lokalen Endpoints anleiten sollen.

Voraussetzungen

  • Wenn Sie einen zertifikatbasierten Authentifizierungsmodus für die IPSec-VPN-Sitzung verwenden, der den lokalen Endpoint verwenden soll, welchen Sie gerade konfigurieren, rufen Sie die Information über das Zertifikat ab, das der lokale Endpoint verwenden muss.
  • Stellen Sie sicher, dass Sie einen IPSec-VPN-Dienst konfiguriert haben, dem dieser lokale Endpoint zugeordnet werden soll.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Wechseln Sie zu Netzwerk > VPN > Lokale Endpoints und klicken Sie auf Lokalen Endpoint hinzufügen.
  3. Geben Sie einen Namen für den lokalen Endpoint ein.
  4. Wählen Sie im Dropdown-Menü VPN-Dienst den IPSec-VPN-Dienst aus, dem dieser lokale Endpoint zugeordnet werden soll.
  5. Geben Sie eine IP-Adresse oder einen lokalen Endpoint ein.
    Bei einem IPSec-VPN-Dienst, der auf einem Tier-0-Gateway ausgeführt wird, muss sich die lokale Endpoint-IP-Adresse von der IP-Adresse der Uplink-Schnittstelle des Tier-0-Gateways unterscheiden. Die von Ihnen angegebene lokale Endpoint-IP-Adresse ist der Loopback-Schnittstelle für das Tier-0-Gateway zugeordnet und wird auch als routingfähige IP-Adresse über die Uplink-Schnittstelle veröffentlicht. Damit der IPSec-VPN-Dienst auf einem Tier-1-Gateway läuft und die lokale Endpoint-IP-Adresse routingfähig ist, muss das Routen-Advertisement für lokale IPSec-Endpoints in der Tier-1-Gateway-Konfiguration aktiviert sein. Weitere Informationen hierzu finden Sie unter Tier-1-Gateway hinzufügen.
  6. Wenn Sie einen zertifikatbasierten Authentifizierungsmodus für die IPSec-VPN-Sitzung verwenden, wählen Sie aus dem Dropdown-Menü Site-Zertifikat das Zertifikat aus, das vom lokalen Endpoint verwendet werden soll.
  7. (Optional) Optional können Sie eine Beschreibung hinzufügen.
  8. Geben Sie den Wert für die Lokale ID ein, die zum Identifizieren der lokalen NSX Edge-Instanz verwendet werden soll.
    Diese lokale ID ist die Peer-ID auf der Remote-Site. Die lokale ID muss entweder die öffentliche IP-Adresse oder der FQDN der Remote-Site sein. Für zertifikatsbasierte VPN-Verbindungen, die mithilfe des lokalen Endpoint definiert sind, wird die lokale ID aus dem Zertifikat abgeleitet, das dem lokalen Endpoint zugeordnet ist. Die ID, die im Textfeld Lokale ID angegeben ist, wird ignoriert. Die vom Zertifikat für eine VPN-Sitzung abgeleitete lokale ID hängt von den im Zertifikat vorhandenen Erweiterungen ab.
    • Wenn die X509v3-Erweiterung X509v3 Subject Alternative Name nicht im Zertifikat vorhanden ist, wird der Distinguished Name (DN) als lokaler ID-Wert verwendet.
    • Wenn die X509v3-Erweiterung X509v3 Subject Alternative Name im Zertifikat gefunden wird, wird einer der alternativen Antragstellernamen als lokaler ID-Wert verwendet.
  9. Wählen Sie aus den Dropdown-Menüs Vertrauenswürdige CA-Zertifikate und Zertifikatswiderrufsliste die entsprechenden Zertifikate aus, die für den lokalen Endpoint erforderlich sind.
  10. Geben Sie bei Bedarf ein Tag an.
  11. Klicken Sie auf Speichern.