Wenn Sie ein routenbasiertes IPSec-VPN hinzufügen, wird Tunneling für Datenverkehr bereitgestellt, der auf Routen basiert, die dynamisch über eine virtuelle Tunnelschnittstelle (VTI) unter Verwendung eines bevorzugten Protokolls wie BGP erlernt wurden. IPSec schützt den gesamten Datenverkehr, der über die VTI geleitet wird.

Für die in diesem Thema verwendeten Schritte wird die Registerkarte IPSec-Sitzungen verwendet, um eine routenbasierte IPSec-Sitzung zu erstellen. Sie fügen auch Informationen für die Tunnel-, IKE- und DPD-Profile hinzu und wählen einen vorhandenen lokalen Endpoint aus, der mit dem routenbasierten IPSec-VPN verwendet werden soll.

Hinweis:

Sie können auch die IPSec-VPN-Sitzungen sofort, nachdem Sie den IPSec-VPN-Dienst erfolgreich konfiguriert haben, hinzufügen. Sie klicken bei Aufforderung zum Fortfahren mit der IPSec-VPN-Dienstkonfiguration auf Ja und wählen im Bereich „IPSec-Sitzung hinzufügen“ Sitzungen > Sitzungen hinzufügen aus. Für die ersten Schritte im folgenden Verfahren wird davon ausgegangen, dass Sie Nein bei der Aufforderung zum Fortfahren mit der IPSec-VPN-Dienstkonfiguration ausgewählt haben. Falls Sie Ja ausgewählt haben, fahren Sie mit Schritt 3 in den folgenden Schritten fort, um Sie beim Rest der Konfiguration der routenbasierten IPSec-VPN-Sitzung anzuleiten.

Voraussetzungen

  • Sie müssen einen IPSec-VPN-Dienst konfiguriert haben, bevor Sie fortfahren können. Siehe Hinzufügen eines IPSec-VPN-Dienstes.
  • Besorgen Sie sich die Informationen für den lokalen Endpoint, die IP-Adresse für die Peer-Site und IP-Subnetz-Adresse des Tunnel-Diensts, die mit der routenbasierten IPSec-Sitzung verwendet werden soll, die Sie hinzufügen. Informationen zum Erstellen eines lokalen Endpoints finden Sie unter Hinzufügen von lokalen Endpoints.
  • Wenn Sie einen vorinstallierten Schlüssel (PSK) für die Authentifizierung verwenden, rufen Sie den PSK-Wert ab.
  • Wenn Sie ein Zertifikat für die Authentifizierung verwenden, stellen Sie sicher, dass die notwendigen Serverzertifikate und die entsprechenden ZS-signierten Zertifikate bereits importiert wurden. Siehe Zertifikate.
  • Wenn Sie nicht die Standardwerte für den IPSec-Tunnel, IKE oder DPD-Profile (Dead Peer Detection), die von NSX-T Data Center bereitgestellt werden, verwenden möchten, konfigurieren Sie die Profile, die Sie stattdessen verwenden möchten. Weitere Informationen finden Sie unter Hinzufügen von Profilen.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Navigieren Sie zu Netzwerk > VPN > IPSec-Sitzungen.
  3. Wählen Sie IPSec-Sitzung hinzufügen > Routenbasiert aus.
  4. Geben Sie einen Namen für die routenbasierte IPSec-Sitzung ein.
  5. Wählen Sie aus dem Dropdown-Menü VPN-Dienst den IPSec-VPN-Dienst aus, dem Sie diese neue IPSec-Sitzung hinzufügen möchten.
    Hinweis: Wenn Sie diese IPSec-Sitzung aus dem Dialogfeld IPSec-Sitzungen hinzufügen hinzufügen, wird der VPN-Dienst-Name bereits über der Schaltfläche IPSec-Sitzung hinzufügen angegeben.
  6. Wählen Sie im Dropdown-Menü einen vorhandenen lokalen Endpoint aus.
    Dieser lokale Endpoint-Wert ist erforderlich und identifiziert den lokalen NSX Edge-Knoten. Wenn Sie einen anderen lokalen Endpoint erstellen möchten, klicken Sie auf das Drei-Punkte-Menü ( Drei schwarze Punkte, die vertikal ausgerichtet sind. Wenn Sie auf dieses Symbol klicken, wird ein Menü mit Unterbefehlen angezeigt.) und wählen Sie Lokalen Endpoint hinzufügen aus.
  7. Geben Sie im Textfeld Remote-IP die IP-Adresse der Remote-Site ein.
    Dieser Wert ist erforderlich.
  8. Geben Sie eine optionale Beschreibung für diese routenbasierte IPSec-VPN-Sitzung ein.
    Die Längenbeschränkung beträgt 1024 Zeichen.
  9. Klicken Sie zum Aktivieren oder Deaktivieren der IPSec-Sitzung auf Administrativer Status.
    Als Standardwert ist Enabled festgelegt. Das bedeutet, dass die IPSec-Sitzung bis hinunter zum NSX Edge-Knoten konfiguriert werden muss.
  10. (Optional) Wählen Sie im Dropdown-Menü Übereinstimmungs-Suite eine Sicherheits-Übereinstimmungs-Suite aus.
    Hinweis: Übereinstimmungs-Suites werden ab NSX-T Data Center 2.5 unterstützt. Weitere Informationen finden Sie unter Informationen zu unterstützten Compliance-Suites.
    Als Standardwert ist None festgelegt. Wenn Sie eine Compliance-Suite auswählen, wird der Authentifizierungsmodus auf Certificate festgelegt und im Abschnitt Erweiterte Eigenschaften werden die Werte für das IKE-Profil und das IPSec-Profil auf die vom System definierten Profile für die ausgewählte Compliance-Suite festgelegt. Sie können diese vom System definierten Profile nicht bearbeiten.
  11. Geben Sie eine IP-Subnetz-Adresse in Tunnelschnittstelle in der CIDR-Notation ein.
    Diese Adresse ist erforderlich.
  12. Wenn die Übereinstimmungs-Suite auf None festgelegt ist, wählen Sie einen Modus aus dem Dropdown-Menü Authentifizierungsmodus aus.
    Der verwendete Standard-Authentifizierungsmodus lautet PSK, d. h. ein geheimer Schlüssel, der zwischen NSX Edge und der Remote-Site gemeinsam verwendet wird, wird für die IPSec-VPN-Sitzung benutzt. Wenn Sie Certificate auswählen, wird das Sitezertifikat, das zum Konfigurieren des lokalen Endpoints verwendet wurde, für die Authentifizierung verwendet.
  13. Wenn Sie PSK für den Authentifizierungsmodus ausgewählt haben, geben Sie den Schlüsselwert im Textfeld Vorinstallierter Schlüssel ein.
    Dieser geheime Schlüssel kann eine Zeichenfolge mit einer Maximallänge von 128 Zeichen sein.
    Vorsicht: Seien Sie beim Freigeben und Speichern eines PSK-Werts vorsichtig, da er vertrauliche Informationen enthält.
  14. Geben Sie einen Wert in Remote-ID ein.
    Bei Peer-Sites mit PSK-Authentifizierung muss dieser ID-Wert der öffentlichen IP-Adresse oder dem FQDN der Peer-Site entsprechen. Bei Peer-Sites mit Zertifikatsauthentifizierung muss dieser ID-Wert dem allgemeinen Namen (CN) oder dem definierten Namen (DN) im Zertifikat der Peer-Site entsprechen.
    Hinweis: Wenn das Zertifikat der Peer-Site eine E-Mail-Adresse in der DN-Zeichenfolge enthält, z. B.
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/emailAddress=user1@mycompany.com
    dann geben Sie den Wert für Remote-ID im gleichen Format wie in dem folgenden Beispiel ein.
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, MAILTO=user1@mycompany.com"
    Wenn das Zertifikat der lokalen Site eine E-Mail-Adresse in der DN-Zeichenfolge enthält und die Peer-Site die strongSwan-IPsec-Implementierung verwendet, geben Sie den ID-Wert der lokalen Site in dieser Peer-Site ein. Im Folgenden finden Sie ein Beispiel.
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, E=user1@mycompany.com"
  15. Wenn Sie diese IPSec-Sitzung als Teil eines bestimmten Gruppentags einschließen möchten, geben Sie den Namen des Tags in Tags ein.
  16. Um die Profile, den Initiierungsmodus, den Modus der TCP-MSS-Klemmung und die Tags, die von der routenbasierten IPSec-VPN-Sitzung verwendet werden, zu ändern, klicken Sie auf Erweiterte Eigenschaften.
    Standardmäßig werden die vom System generierten Profile verwendet. Wählen Sie ein anderes verfügbares Profil, wenn Sie nicht die Standardoption verwenden möchten. Wenn Sie ein Profil verwenden möchten, das noch nicht konfiguriert ist, klicken Sie auf das Drei-Punkte-Menü ( Drei schwarze Punkte, die vertikal ausgerichtet sind. Wenn Sie auf dieses Symbol klicken, wird ein Menü mit Unterbefehlen angezeigt.), um ein anderes Profil zu erstellen. Siehe Hinzufügen von Profilen.
    1. Wenn das Dropdown-Menü IKE-Profile aktiviert ist, wählen Sie das IKE-Profil aus.
    2. Wählen Sie das IPsec-Tunnelprofil aus, wenn das Dropdown-Menü IPSec-Profile nicht deaktiviert ist.
    3. Wählen Sie das bevorzugte DPD-Profil aus, wenn das Dropdown-Menü DPD-Profile aktiviert ist.
    4. Wählen Sie im Dropdown-Menü Initiierungsmodus der Verbindung den bevorzugten Modus aus.
      Der Verbindungs-Initiierungsmodus definiert die Richtlinie, die vom lokalen Endpoint bei der Tunnel-Erstellung verwendet wird. Der Standardwert lautet Initiator. Die folgende Tabelle beschreibt die unterschiedlichen verfügbaren Verbindungs-Initiierungsmodi.
      Tabelle 1. Verbindungs-Initiierungsmodi
      Initiierungsmodus der Verbindung Beschreibung
      Initiator Der Standardwert In diesem Modus initiiert der lokale Endpoint die IPSec-VPN-Tunnel-Erstellung und reagiert auf eingehende Anforderungen des Tunnel-Setups vom Peer-Gateway.
      On Demand Verwenden Sie diesen Modus nicht mit dem routenbasierten VPN. Dieser Modus gilt nur für das richtlinienbasierte VPN.
      Respond Only Der IPSec-VPN initiiert nie eine Verbindung. Die Peer-Site initiiert immer die Verbindungsanforderung, und der lokale Endpoint reagiert auf diese Verbindungsanfrage.
  17. Wenn Sie die maximale Segmentgröße (MSS) für die Nutzlast der TCP-Sitzung während der IPSec-Verbindung reduzieren möchten, aktivieren Sie TCP-MSS-Klemmung, wählen Sie den Wert für die TCP-MSS-Richtung aus und legen Sie optional den TCP-MSS-Wert fest. []
    Weitere Informationen finden Sie unter Grundlegendes zu TCP-MSS Clamping.
  18. Wenn Sie diese IPSec-Sitzung als Teil eines bestimmten Gruppentags einschließen möchten, geben Sie den Namen des Tags in Tags ein.
  19. Klicken Sie auf Speichern.

Ergebnisse

Wenn die neue routenbasierte IPSec-VPN-Sitzung erfolgreich konfiguriert ist, wird sie zur Liste der verfügbaren IPSec-VPN-Sitzungen hinzugefügt. Sie befindet sich im schreibgeschützten Modus.

Nächste Maßnahme