VMware Cloud Director 支援在 NSX Edge 閘道執行個體與遠端站台之間進行以原則為基礎的和路由型站對站 IPSec VPN。

IPSec VPN 可以在 Edge 閘道與同時使用 NSX 或具有支援 IPSec 的第三方硬體路由器或 VPN 閘道的遠端站台之間提供站對站連線。

以原則為基礎的 IPSec VPN 需要將 VPN 原則套用至封包,才能確定哪些流量在透過 VPN 通道傳遞之前受到 IPSec 保護。此類型的 VPN 被視為是靜態的,因為當本機網路拓撲和組態變更時,還必須更新 VPN 原則設定才能適應變更。

NSX Edge 閘道支援分割通道組態,其中 IPSec 流量優先進行路由。

當您在 NSX Edge 閘道上使用 IPSec VPN 時,VMware Cloud Director 支援自動路由重新分配。

從版本 10.6 開始,您可以設定路由型站對站 IPSec VPN。若要對 NSX Edge 閘道使用路由型 IPSec VPN,VMware Cloud Director 僅支援靜態路由。路由型 IPSec VPN 使用標準路由通訊協定,並提供更好的擴充性。它更適合更大型、更複雜的網路。

VMware Cloud Director Service Provider Admin Portal中設定 NSX IPSec VPN

您可以設定 NSX Edge 閘道與遠端站台之間的站台間連線。遠端站台必須使用 NSX,且具有第三方硬體路由器或支援 IPSec 的 VPN 閘道。

當您在 NSX Edge 閘道上設定 IPSec VPN 時,VMware Cloud Director 支援自動路由重新分配。

必要條件

  • 如果要設定 NSX 路由型 IPSec VPN 通道,請設定靜態路由。請參閱在 VMware Cloud Director Service Provider Admin Portal中設定 NSX Edge 閘道上的靜態路由
  • 如果您計劃使用憑證驗證來保護 IPSec VPN 通訊,請確認您的系統管理員已將本機 NSX Edge 閘道的伺服器憑證和您所在組織的 CA 憑證上傳到 VMware Cloud Director 憑證程式庫。
  • 如果要限制承租人可以使用的安全性設定檔數目,可以使用 VMware Cloud Director 儲存格管理工具 (CMT) 的 manage-config 子命令。例如,如果要將清單限制為 FIPSFoundation,請執行以下 CMT 命令。 
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n networking.gatewayIpSecVpnTunnelSecurityTypeDisallowList -v PROVIDER_PREFERRED,FIPS,FOUNDATION

程序

  1. 從左側一級導覽面板中選取資源,然後在頁面頂部導覽列中選取雲端資源
  2. 從左側二級面板中,選取 Edge 閘道,然後按一下目標 Edge 閘道的名稱。
  3. 服務下,按一下 IPSec VPN,然後按一下新增
  4. 輸入 IPSec VPN 通道的名稱,並選擇性地輸入說明。
  5. 選取 IPSec VPN 通道類型。
    從版本 10.6 開始, VMware Cloud Director 對靜態路由支援路由型 IPSec VPN。
  6. 選取安全性設定檔以用於保護傳輸的資料。
  7. 若要在建立時啟用通道,請開啟狀態切換按鈕。
  8. 若要啟用記錄,請開啟記錄切換按鈕。
  9. 下一步
  10. 選取對等驗證模式。
    選項 敘述
    預先共用金鑰 選擇要輸入的預先共用金鑰。在 IPSec VPN 通道的另一端,預先共用金鑰必須相同。
    憑證 選取要用於驗證的站台和 CA 憑證。
  11. 從下拉式功能表中,選取可用於本機端點之 Edge 閘道的 IP 位址之一。
    IP 位址必須是 Edge 閘道的主要 IP,或是單獨配置給 Edge 閘道的 IP 位址。
  12. 如果要設定以原則為基礎的 IPSec VPN,請以 CIDR 標記法輸入至少一個本機 IP 子網路位址,以用於 IPSec VPN 通道。
  13. 輸入遠端端點的 IP 位址。
  14. 如果要設定以原則為基礎的 IPSec VPN,請以 CIDR 標記法輸入至少一個遠端 IP 子網路位址,以用於 IPSec VPN 通道。
  15. 輸入對等站台的遠端識別碼。
    遠端識別碼必須與遠端端點憑證 (如果可用) 的 SAN (主體別名) 相符。如果遠端憑證不包含 SAN,則遠端識別碼必須與用於保護遠端端點的憑證的辨別名稱相符,例如 C=US、ST=Massachusetts、O=VMware、OU=VCD、CN=Edge1。
  16. 如果要為虛擬通道介面 (VTI) 設定路由型 IPSec VPN,請輸入有效的 IPv4 CIDR 或 IPv6 CIDR,或者兩種格式各輸入一個並以逗號分隔。

    虛擬通道介面 (VTI) 表示網路裝置上的 IPSec 通道端點。

  17. 下一步
  18. 檢閱您的設定,然後按一下完成

結果

新建立的 IPSec VPN 通道列於 IPSec VPN 視圖中。

下一步

  • 若要確認通道是否正常運作,請選取該通道,然後按一下檢視統計資料

    如果通道正常運作,通道狀態IKE 服務狀態均顯示啟動

  • 設定 IPSec VPN 通道的遠端端點。
  • 您可以根據需要編輯 IPSec VPN 通道設定並自訂其安全性設定檔。

VMware Cloud Director Service Provider Admin Portal中自訂 IPSec VPN 通道的安全性設定檔

如果您決定不使用在建立時指派給 IPSec VPN 通道的由系統產生的安全性設定檔,可以對其進行自訂。

程序

  1. 從左側一級導覽面板中選取資源,然後在頁面頂部導覽列中選取雲端資源
  2. 從左側二級面板中,選取 Edge 閘道,然後按一下目標 Edge 閘道的名稱。
  3. 服務下,按一下 IPSec VPN
  4. 選取 IPSec VPN 通道,然後按一下安全性設定檔自訂
  5. 設定 IKE 設定檔。
    網際網路金鑰交換 (IKE) 設定檔提供了在建立 IKE 通道時,用於在站台間驗證、加密及建立共用密碼之演算法的相關資訊。
    1. 選取 IKE 通訊協定版本,以在 IPSec 通訊協定套件中設定安全性關聯 (SA)。
      選項 敘述
      IKEv1 當您選取此選項時,IPSec VPN 會起始並僅回應 IKEv1 通訊協定。
      IKEv2 預設選項。當您選取此版本時,IPSec VPN 會起始並僅回應 IKEv2 通訊協定。
      IKE-Flex 當您選取此選項時,如果使用 IKEv2 通訊協定建立通道失敗,則來源站台不會回復並使用 IKEv1 通訊協定起始連線。相反地,如果遠端站台使用 IKEv1 通訊協定起始連線,則會接受連線。
    2. 選取要在網際網路金鑰交換 (IKE) 交涉期間使用的支援加密演算法。
    3. 摘要下拉式功能表中,選取要在 IKE 交涉期間使用的安全雜湊演算法。
    4. Diffie-Hellman 群組下拉式功能表中,選取其中一個密碼編譯配置,以允許對等站台和 Edge 閘道透過不安全的通訊通道建立共用密碼。
    5. (選擇性) 關聯存留時間文字方塊中,修改 IPSec 通道需要重新建立之前的預設秒數。
  6. 設定 IPSec VPN 通道。
    1. 若要啟用完全正向加密,請開啟此選項。
    2. 選取重組原則。
      重組原則可協助處理內部封包中存在的重組位元。
      選項 敘述
      複製 將重組位元從內部 IP 封包複製到外部封包。
      清除 忽略內部封包中存在的重組位元。
    3. 選取要在網際網路金鑰交換 (IKE) 交涉期間使用的支援加密演算法。
    4. 摘要下拉式功能表中,選取要在 IKE 交涉期間使用的安全雜湊演算法。
    5. Diffie-Hellman 群組下拉式功能表中,選取其中一個密碼編譯配置,以允許對等站台和 Edge 閘道透過不安全的通訊通道建立共用密碼。
    6. (選擇性) 關聯存留時間文字方塊中,修改 IPSec 通道需要重新建立之前的預設秒數。
  7. (選擇性) 探查時間間隔文字方塊中,修改無作用對等偵測的預設秒數。
  8. 按一下儲存

結果

在 IPSec VPN 視圖中,IPSec VPN 通道的安全性設定檔會顯示為 使用者定義