Sie müssen mindestens eine externe IP-Adresse in NSX Edge konfigurieren, um den IPSec-VPN-Dienst bereitstellen zu können.

Prozedur

  1. Melden Sie sich beim vSphere Web Client an.
  2. Klicken Sie auf Networking & Security und anschließend auf NSX Edges.
  3. Doppelklicken Sie auf eine NSX Edge-Instanz.
  4. Klicken Sie auf die Registerkarte Verwalten (Manage) und anschließend auf die Registerkarte VPN.
  5. Klicken Sie auf IPSec-VPN (IPSec VPN).
  6. Klicken Sie auf das Symbol Hinzufügen (Add) (Symbol „Hinzufügen“).
  7. Geben Sie einen Namen für das IPSec-VPN ein.
  8. Geben Sie die IP-Adresse der NSX Edge-Instanz im Feld Lokale ID (Local Id) ein. Diese wird zur Peer-ID auf der Remote-Site.
  9. Geben Sie die IP-Adresse des lokalen Endpunkts ein.

    Wenn Sie unter Verwendung eines vorinstallierten Schlüssels (Pre-Shared Key) eine IP-Adresse zum IP-Tunnel hinzufügen, können die lokale ID und die ID des lokalen Endpunkts identisch sein.

  10. Geben Sie die Subnetze, die von den Sites gemeinsam genutzt werden sollen, im CIDR-Format ein. Trennen Sie mehrere Subnetze jeweils durch ein Komma.
  11. Geben Sie die Peer-ID ein, um die Peer-Site eindeutig zu identifizieren. Bei Peers mit Zertifikatsauthentifizierung muss diese ID der allgemeine Name (Common Name) im Peer-Zertifikat sein. Bei PSK-Peers kann diese ID eine beliebige Zeichenfolge sein. VMware empfiehlt, dass Sie die öffentliche IP-Adresse des VPN oder einen FQDN für den VPN-Dienst als Peer-ID verwenden.
  12. Geben Sie im Feld „Peer-Endpoint“ die IP-Adresse der Peer-Site ein. Falls Sie das Feld leer lassen, wartet NSX Edge auf das Peer-Gerät, um eine Verbindung anzufordern.
  13. Geben Sie die interne IP-Adresse des Peer-Subnetzes im CIDR-Format ein. Trennen Sie mehrere Subnetze jeweils durch ein Komma.
  14. Wählen Sie den Verschlüsselungsalgorithmus aus.
  15. Wählen Sie unter „Authentifizierungsmodell“ eine der folgenden Authentifizierungsmethoden aus:

    Option

    Beschreibung

    PSK (Pre Shared Key)

    Gibt an, dass der von NSX Edge und der Peer-Site gemeinsam genutzte geheime Schlüssel für die Authentifizierung verwendet wird. Der geheime Schlüssel kann eine Zeichenfolge mit einer Maximallänge von 128 Byte sein.

    Zertifikat

    Gibt an, dass das auf globaler Ebene definierte Zertifikat für die Authentifizierung verwendet wird.

  16. Geben Sie den Shared Key ein, wenn anonyme Sites eine Verbindung zum VPN-Dienst herstellen sollen.
  17. Klicken Sie auf Gemeinsam verwendeten Schlüssel anzeigen (Display Shared Key), um den Schlüssel auf der Peer-Site anzuzeigen.
  18. Wählen Sie unter „Diffie-Hellman (DH)-Gruppe“ das kryptographische Schema aus, das es der Peer-Site und NSX Edge ermöglicht, über einen ungesicherten Kommunikationskanal einen gemeinsamen geheimen Schlüssel einzurichten.
  19. Ändern Sie den MTU-Schwellenwert, falls erforderlich.
  20. Wählen Sie aus, ob der Schwellenwert für die perfekte Weiterleitungsgeheimhaltung (Perfect Forward Secrecy, PFS) aktiviert oder deaktiviert werden soll. Bei IPsec-Aushandlungen stellt Perfect Forward Secrecy (PFS) sicher, dass kein neuer kryptographischer Schlüssel eine Beziehung zu einem vorherigen Schlüssel hat.
  21. Klicken Sie auf OK.

    NSX Edge erstellt einen Tunnel vom lokalen Subnetz zum Peer-Subnetz.

Nächste Maßnahme

Aktivieren Sie den IPSec-VPN-Dienst.