使用 VMware Cloud Director 租用戶入口網站中的 IPsec VPN 站台 畫面,可設定透過 Edge 閘道的 IPsec VPN 功能建立組織虛擬資料中心與另一個站台之間的 IPsec VPN 連線所需的設定。

當您設定站台之間的 IPsec VPN 連線時,可以從目前位置設定連線。設定連線需要您瞭解 VMware Cloud Director 環境中的概念,以便正確設定 VPN 連線。

  • 本機和對等子網路會指定 VPN 連線的網路。當您在 IPsec VPN 站台組態中指定這些子網路時,請輸入網路範圍而非特定的 IP 位址。使用 CIDR 格式,例如 192.168.99.0/24
  • 對等識別碼是唯一識別終止 VPN 連線之遠端裝置的識別碼,通常是其公用 IP 位址。對於使用憑證驗證的對等,此識別碼必須為對等憑證中所設定的辨別名稱。對於 PSK 對等,此識別碼可以是任何字串。NSX 最佳做法是使用遠端裝置的公用 IP 位址或 FQDN 做為對等識別碼。如果對等 IP 位址來自另一個組織虛擬資料中心網路,您可以輸入對等的原生 IP 位址。如果為對等設定 NAT,您可以輸入對等的私人 IP 位址。
  • 對等端點會指定要連線的遠端裝置的公用 IP 位址。如果對等的閘道無法從網際網路直接存取,但透過另一台裝置連線,則對等端點可能為不同於對等識別碼的其他位址。如果為對等設定 NAT,您可以輸入裝置用於 NAT 的公用 IP 位址。
  • 本機識別碼指定組織虛擬資料中心之 Edge 閘道的公用 IP 位址。您可以輸入 IP 位址或主機名稱,以及 Edge 閘道防火牆。
  • 本機端點可指定 Edge 閘道傳輸所在的組織虛擬資料中心的網路。通常,Edge 閘道的外部網路為本機端點。

必要條件

程序

  1. IPsec VPN 索引標籤上,按一下 IPsec VPN 站台
  2. 按一下新增 (建立按鈕) 按鈕。
  3. 設定 IPsec VPN 連線設定。
    選項 動作
    已啟用 在兩個 VPN 端點之間啟用此連線。
    啟用完整轉寄密碼 (PFS) 啟用此選項可讓系統針對您的使用者起始的所有 IPsec VPN 工作階段產生唯一公開金鑰。

    啟用 PFS 可確保系統不會建立 Edge 閘道的私密金鑰和每個工作階段金鑰之間的連結。

    損壞工作階段金鑰將不會影響除在受到特定金鑰保護之特定工作階段中交換的資料以外的資料。無法透過損壞伺服器的私密金鑰,來解密已封存的工作階段或未來工作階段。

    啟用 PFS 時,此 Edge 閘道的 IPsec VPN 連線會產生輕微的處理額外負荷。

    重要: 唯一工作階段金鑰不得用於衍生任何其他金鑰。此外,IPsec VPN 通道的兩端都必須支援 PFS 才能使其運作。
    名稱 (選擇性) 輸入連線的名稱。
    本機識別碼 輸入 Edge 閘道執行個體的外部 IP 位址,此為 Edge 閘道的公用 IP 位址。

    此 IP 位址將用於遠端站台上的 IPsec VPN 組態中的對等識別碼。

    本機端點 輸入做為此連線之本機端點的網路。

    本機端點可指定 Edge 閘道傳輸所在的組織虛擬資料中心的網路。通常,外部網路為本機端點。

    如果使用預先共用金鑰新增 IP 至 IP 通道,本機識別碼可與本機端點 IP 相同。

    本機子網路 輸入要在站台之間共用的網路,並使用逗號做為分隔符號輸入多個子網路。

    透過使用 CIDR 格式輸入 IP 位址,以輸入網路範圍 (非特定 IP 位址)。例如,192.168.99.0/24
    對等識別碼 輸入唯一識別對等站台的對等識別碼。

    對等識別碼是唯一識別終止 VPN 連線之遠端裝置的識別碼,通常是其公用 IP 位址。

    對於使用憑證驗證的對等,識別碼必須為對等憑證中的辨別名稱。對於 PSK 對等,此識別碼可以是任何字串。NSX 最佳做法是使用遠端裝置的公用 IP 位址或 FQDN 做為對等識別碼。

    如果對等 IP 位址來自另一個組織虛擬資料中心網路,您可以輸入對等的原生 IP 位址。如果為對等設定 NAT,您可以輸入對等的私人 IP 位址。

    對等端點 輸入對等站台的 IP 位址或 FQDN,此為要連線的遠端裝置的公用位址。
    備註: 為對等設定 NAT 時,可以輸入裝置用於 NAT 的公用 IP 位址。
    對等子網路 輸入 VPN 連線的遠端網路,並使用逗號做為分隔符號輸入多個子網路。

    透過使用 CIDR 格式輸入 IP 位址,以輸入網路範圍 (非特定 IP 位址)。例如,192.168.99.0/24
    加密演算法 從下拉式功能表中選取加密演算法類型。
    備註: 您選取的加密類型必須符合在遠端站台 VPN 裝置上設定的加密類型。
    驗證 選取驗證。選項包括:
    • PSK

      預先共用金鑰 (PSK) 可指定 Edge 閘道和對等站台之間共用的秘密金鑰將用於驗證。

    • 憑證

      憑證可指定在全域層級定義的憑證將用於驗證。此選項無法使用,除非您已在 IPsec VPN 索引標籤的全域組態畫面上設定全域憑證。

    變更共用金鑰 (選擇性) 當您更新現有連線的設定時,您可以開啟此選項使預先共用金鑰欄位可供使用,以便您可以更新共用金鑰。
    預先共用金鑰 如果您選取 PSK 做為驗證類型,請輸入英數密碼字串,該字串的長度上限為 128 個位元組。
    備註: 共用金鑰必須符合在遠端站台 VPN 裝置上設定的金鑰。最佳做法是在匿名站台連線至 VPN 服務時設定共用金鑰。
    顯示共用金鑰 (選擇性) 啟用此選項,使共用金鑰顯示在畫面中。
    Diffie-Hellman 群組 選取允許對等站台與此 Edge 閘道透過不安全的通訊通道建立共用密碼的加密編譯配置。
    備註: Diffie-Hellman 群組必須符合在遠端站台 VPN 裝置上設定的內容。
    延伸 (選擇性) 輸入下列其中一個選項:
    • securelocaltrafficbyip=IPAddress,可透過 IPsec VPN 通道重新導向 Edge 閘道的本機流量。

      這是預設值。

    • passthroughSubnets=PeerSubnetIPAddress,支援重疊的子網路。
  4. 按一下保留
  5. 按一下儲存變更

下一步

設定遠端站台的連線。您必須在連線的兩端 (組織虛擬資料中心和對等站台) 設定 IPsec VPN 連線。

啟用此 Edge 閘道上的 IPsec VPN 服務。如果已至少設定一個 IPsec VPN 連線,您可以啟用此服務。請參閱啟用 NSX Data Center for vSphere Edge 閘道上的 IPsec VPN 服務