VMware Cloud Director 環境中 NSX Data Center for vSphere Edge 閘道的 SSL VPN-Plus 服務,可讓遠端使用者安全地連線至該 Edge 閘道所支援的組織虛擬資料中心內的私人網路和應用程式。您可以在 Edge 閘道上設定各種 SSL VPN-Plus 服務。
在 VMware Cloud Director 環境中,Edge 閘道的 SSL VPN-Plus 功能支援網路存取模式。遠端使用者必須安裝 SSL 用戶端才能進行安全連線,以及存取 Edge 閘道後方的網路和應用程式。做為 Edge 閘道的 SSL VPN-Plus 組態的一部分,您可以新增適用於作業系統的安裝套件並設定特定參數。如需詳細資訊,請參閱使用 VMware Cloud Director Service Provider Admin Portal在 NSX Data Center for vSphere Edge 閘道上新增 SSL VPN-Plus 用戶端安裝套件。
在 Edge 閘道上設定 SSL VPN-Plus 的程序包含多個步驟。
必要條件
確認 SSL VPN-Plus 所需的所有 SSL 憑證已新增至憑證畫面。請參閱使用 VMware Cloud Director Service Provider Admin Portal在 NSX Data Center for vSphere Edge 閘道上進行 SSL 憑證管理。
在 VMware Cloud Director Service Provider Admin Portal中導覽至 NSX Data Center for vSphere Edge 閘道的 SSL-VPN Plus 畫面
您可以導覽至 SSL-VPN Plus 畫面,開始在 VMware Cloud Director 中為 NSX Data Center for vSphere Edge 閘道設定 SSL-VPN Plus 服務。
程序
- 開啟 Edge 閘道服務。
- 從左側一級導覽面板中選取資源,然後在頁面頂部導覽列中選取雲端資源索引標籤。
- 從左側二級面板中,選取 Edge 閘道。
- 按一下目標 Edge 閘道名稱旁邊的選項按鈕,然後按一下服務。
- 按一下 SSL VPN-Plus 索引標籤。
下一步
在一般畫面上,設定預設 SSL VPN-Plus 設定。請參閱在 VMware Cloud Director Service Provider Admin Portal中針對 NSX Data Center for vSphere Edge 閘道自訂一般 SSL VPN-Plus 設定。
使用 VMware Cloud Director Service Provider Admin Portal在 NSX Data Center for vSphere Edge 閘道上設定 SSL VPN 伺服器設定
這些伺服器設定可設定 SSL VPN 伺服器,例如服務接聽的 IP 位址和連接埠、服務的加密清單及其服務憑證。在 VMware Cloud Director 中連線至 NSX Data Center for vSphere Edge 閘道時,遠端使用者會指定您在這些伺服器設定中設定的相同 IP 位址和連接埠。
如果 Edge 閘道的外部介面上已設定多個覆疊 IP 位址網路,則選取用於 SSL VPN 伺服器的 IP 位址可能不同於 Edge 閘道的預設外部介面。
設定 SSL VPN 伺服器設定時,您必須選擇將哪種加密演算法用於 SSL VPN 通道。您可以選擇一或多種加密。請根據選取項目的優缺點謹慎選擇加密。
依預設,系統會將針對每個 Edge 閘道產生的預設自我簽署憑證,用作 SSL VPN 通道的預設伺服器身分識別憑證。您可以選擇使用您已在憑證畫面上新增至系統的數位憑證,而不是使用此預設憑證。
必要條件
- 確認已滿足使用 VMware Cloud Director Service Provider Admin Portal在 NSX Data Center for vSphere Edge 閘道上設定 SSL VPN-Plus中所述的必要條件。
- 如果您選擇使用與預設憑證不同的服務憑證,請將所需憑證匯入系統中。請參閱使用 VMware Cloud Director Service Provider Admin Portal將服務憑證新增至 Edge 閘道。
- 在 VMware Cloud Director Service Provider Admin Portal中導覽至 NSX Data Center for vSphere Edge 閘道的 SSL-VPN Plus 畫面。
程序
下一步
新增 IP 集區,以便遠端使用者在使用 SSL VPN-Plus 進行連線時獲指派 IP 位址。請參閱使用 VMware Cloud Director Service Provider Admin Portal在 NSX Data Center for vSphere Edge 閘道上建立 IP 集區以搭配 SSL VPN-Plus 使用。
使用 VMware Cloud Director Service Provider Admin Portal在 NSX Data Center for vSphere Edge 閘道上建立 IP 集區以搭配 SSL VPN-Plus 使用
遠端使用者會獲指派靜態 IP 集區中的虛擬 IP 位址,這些集區是您在 VMware Cloud Director Service Provider Admin Portal中使用 SSL VPN-Plus 索引標籤上的 IP 集區畫面所設定。
在此畫面中每新增一個 IP 集區,就會在 Edge 閘道上設定一個 IP 位址子網路。這些 IP 集區中使用的 IP 位址範圍必須不同於 Edge 閘道上設定的所有其他網路。
必要條件
程序
- 在 SSL VPN-Plus 索引標籤上,按一下 IP 集區。
- 按一下建立 () 按鈕。
- 設定 IP 集區設定。
選項 動作 IP 範圍 輸入此 IP 集區的 IP 位址範圍,例如 127.0.0.1-127.0.0.9。 當 VPN 用戶端驗證並連線至 SSL VPN 通道時,將為其指派這些 IP 位址。
網路遮罩 輸入 IP 集區的網路遮罩,例如 255.255.255.0。 閘道 輸入您想要 Edge 閘道建立並指派為此 IP 集區之閘道位址的 IP 位址。 建立 IP 集區時,會在 Edge 閘道虛擬機器上建立虛擬介面卡,並在該虛擬介面上設定此 IP 位址。此 IP 位址可以是子網路內的任何 IP,但此 IP 並非同時存在於 IP 範圍欄位中的範圍內。
描述 (選擇性) 輸入此 IP 集區的說明。 狀態 選取是啟用還是停用此 IP 集區。 主要 DNS (選擇性) 輸入將用於這些虛擬 IP 位址之名稱解析的主要 DNS 伺服器的名稱。 次要 DNS (選擇性) 輸入要使用之次要 DNS 伺服器的名稱。 DNS 尾碼 (選擇性) 輸入主控用戶端系統之網域的 DNS 尾碼 (用於以網域為基礎的主機名稱解析)。 WINS 伺服器 (選擇性) 根據您組織的需求,輸入 WINS 伺服器位址。 - 按一下保留。
結果
下一步
新增您想要可供使用 SSL VPN-Plus 進行連線之遠端使用者存取的私人網路。請參閱使用 VMware Cloud Director Service Provider Admin Portal在 NSX Data Center for vSphere Edge 閘道上新增私人網路以搭配 SSL VPN-Plus 使用。
使用 VMware Cloud Director Service Provider Admin Portal在 NSX Data Center for vSphere Edge 閘道上新增私人網路以搭配 SSL VPN-Plus 使用
在 VMware Cloud Director Service Provider Admin Portal中使用 SSL VPN-Plus 索引標籤上的 [私人網路] 畫面設定私人網路。私人網路是您想讓 VPN 用戶端在遠端使用者使用其 VPN 用戶端和 SSL VPN 通道進行連線時可存取的網路。將在 VPN 用戶端的路由表中安裝已啟用的私人網路。
- SSL VPN-Plus 可讓遠端使用者根據 IP 集區在畫面上的資料表中所顯示的自上而下順序來存取私人網路。新增私人網路至畫面上的資料表後,您可以使用向上和向下箭頭調整其在資料表中的位置。
- 如果您選取以針對私人網路啟用 TCP 最佳化,處於主動模式的一些應用程式 (例如 FTP) 可能在該子網路內無法運作。若要新增在主動模式下設定的 FTP 伺服器,必須為該 FTP 伺服器新增其他私人網路,並針對該私人網路停用 TCP 最佳化。此外,該 FTP 伺服器的私人網路必須處於啟用狀態,並顯示在畫面上的資料表中 TCP 最佳化私人網路上方。
必要條件
程序
- 在 SSL VPN-Plus 索引標籤上,按一下私人網路。
- 按一下新增 () 按鈕。
- 設定私人網路設定。
選項 動作 網路 以 CIDR 格式輸入私人網路 IP 位址,例如 192169.1.0/24。 描述 (選擇性) 輸入網路的說明。 傳送流量 指定想要讓 VPN 用戶端傳送私人網路和網際網路流量的方式。 - 透過通道
VPN 用戶端會透過已啟用 SSL VPN-Plus 的 Edge 閘道傳送私人網路和網際網路流量。
- 略過通道
VPN 用戶端略過 Edge 閘道,直接將流量傳送至私人伺服器。
啟用 TCP 最佳化 (選擇性) 若要最佳化網際網路速度,則在選取透過通道傳送流量的同時,也必須選取啟用 TCP 最佳化 選取此選項可提高 VPN 通道內 TCP 封包的效能,但無法改善 UDP 流量的效能。
傳統的完整存取 SSL VPN 通道會透過網際網路傳送第二個 TCP/IP 堆疊中的 TCP/IP 資料以進行加密。此傳統方法會將應用程式層資料封裝在兩個單獨的 TCP 資料流中。如果發生封包遺失 (即使在最佳網際網路條件下仍會發生),會產生稱為 TCP-over-TCP 潰敗的效能降低影響。在 TCP-over-TCP 潰敗過程中,兩個 TCP 儀器會更正相同的單一 IP 資料封包,從而減弱網路輸送量並導致連線逾時。選取啟用 TCP 最佳化可降低此 TCP-over-TCP 問題發生的風險。
備註: 啟用 TCP 最佳化時:- 您必須輸入想要最佳化網際網路流量的連接埠號碼。
- SSL VPN 伺服器會代表 VPN 用戶端開啟 TCP 連線。當 SSL VPN 伺服器開啟 TCP 連線時,會套用第一個自動產生的 Edge 防火牆規則,以允許從 Edge 閘道開啟的所有連線均可傳遞。未最佳化的流量將由一般 Edge 防火牆規則進行評估。預設產生的 TCP 規則為允許任何連線。
連接埠 選取透過通道時,輸入您要開啟供遠端使用者存取內部伺服器的連接埠號碼範圍,例如 20-21 (針對 FTP 流量) 和 80-81 (針對 HTTP 流量)。 若要為使用者提供無限制的存取權,請將此欄位保留空白。
狀態 啟用或停用私人網路。 - 透過通道
- 按一下保留。
- 按一下儲存變更,將組態儲存至系統。
下一步
使用 VMware Cloud Director Service Provider Admin Portal在 NSX Data Center for vSphere Edge 閘道上設定 SSL VPN-Plus 的驗證服務
使用 SSL VPN-Plus 索引標籤上的驗證畫面,可設定 Edge 閘道之 SSL VPN 服務的本機驗證伺服器,並選擇性地啟用用戶端憑證驗證。VMware Cloud Director 將使用此驗證伺服器對連線使用者進行驗證。將驗證在本機驗證伺服器中設定的所有使用者。
在 Edge 閘道上只能設定一個本機 SSL VPN-Plus 驗證伺服器。如果您按一下 + 本機,並指定其他驗證伺服器,則當您嘗試儲存組態時會顯示錯誤訊息。
透過 SSL VPN 進行驗證的時間上限為三 (3) 分鐘。此上限值取決於非驗證逾時,預設為 3 分鐘且無法設定。因此,如果鏈結授權中有多個驗證伺服器,且使用者驗證需要超過 3 分鐘,則使用者將無法進行驗證。
必要條件
- 在 VMware Cloud Director Service Provider Admin Portal中導覽至 NSX Data Center for vSphere Edge 閘道的 SSL-VPN Plus 畫面。
- 使用 VMware Cloud Director Service Provider Admin Portal在 NSX Data Center for vSphere Edge 閘道上新增私人網路以搭配 SSL VPN-Plus 使用。
- 如果您打算啟用用戶端憑證驗證,請確認已將 CA 憑證新增至 Edge 閘道。請參閱使用 VMware Cloud Director Service Provider Admin Portal將 CA 憑證新增至 Edge 閘道進行 SSL 憑證信任驗證。
程序
- 按一下 SSL VPN-Plus 索引標籤和驗證。
- 按一下本機。
- 設定驗證伺服器設定。
- (選擇性) 啟用和設定密碼原則。
選項 描述 啟用密碼原則 開啟您在此處設定的密碼原則設定強制執行。 密碼長度 輸入密碼長度允許的字元數目下限和上限。 最少字母數 (選擇性) 輸入密碼中所需的字母字元數目下限。 最少數字數 (選擇性) 輸入密碼中所需的數字字元數目下限。 特殊字元數目下限 (選擇性) 輸入密碼中所需的特殊字元數目下限,例如 & 符號 (&)、雜湊標記 (#)、百分號 (%) 等。 密碼不應包含使用者識別碼 (選擇性) 啟用以強制密碼不得包含使用者識別碼。 密碼到期時間 (選擇性) 輸入使用者必須變更密碼前密碼可存在的天數上限。 到期通知時間 (選擇性) 輸入在密碼到期時間值之前,使用者會收到密碼即將到期通知的天數。 - (選擇性) 啟用和設定帳戶鎖定原則。
選項 描述 啟用帳戶鎖定原則 開啟您在此處設定的帳戶鎖定原則設定強制執行。 重試計數 輸入使用者可嘗試存取其帳戶的次數。 重試持續時間 輸入使用者帳戶在登入嘗試失敗後被鎖定的期間 (以分鐘為單位)。 例如,如果指定重試計數為 5 次且重試持續時間為 1 分鐘,則在 1 分鐘內出現 5 次登入失敗嘗試後,會鎖定使用者帳戶。
鎖定持續時間 輸入使用者帳戶保持鎖定的期間。 此時間之後,該帳戶會自動解除鎖定。
- 在 [狀態] 區段中,啟用此驗證伺服器。
- (選擇性) 設定次要驗證。
選項 描述 將此伺服器用於次要驗證 (選擇性) 指定是否將伺服器用作第二個層級的驗證。 如果驗證失敗,則終止工作階段 (選擇性) 指定是否在驗證失敗時結束 VPN 工作階段。 - 按一下保留。
- (選擇性) 啟用和設定密碼原則。
- (選擇性) 若要啟用用戶端憑證驗證,請按一下變更憑證,然後開啟啟用切換按鈕、選取要使用的 CA 憑證,並按一下確定。
下一步
將本機使用者新增至本機驗證伺服器,使其能夠透過 SSL VPN-Plus 進行連線。請參閱使用 VMware Cloud Director Service Provider Admin Portal將 SSL VPN-Plus 使用者新增至 NSX Data Center for vSphere Edge 閘道上的本機 SSL VPN-Plus 驗證伺服器。
建立包含 SSL 用戶端的安裝套件,以便遠端使用者可將其安裝在本機系統上。請參閱使用 VMware Cloud Director Service Provider Admin Portal在 NSX Data Center for vSphere Edge 閘道上新增 SSL VPN-Plus 用戶端安裝套件。
使用 VMware Cloud Director Service Provider Admin Portal將 SSL VPN-Plus 使用者新增至 NSX Data Center for vSphere Edge 閘道上的本機 SSL VPN-Plus 驗證伺服器
若要將遠端使用者的帳戶新增至 NSX Data Center for vSphere Edge 閘道 SSL VPN 服務的本機驗證伺服器,請使用 VMware Cloud Director Service Provider Admin Portal中 SSL VPN-Plus 索引標籤上的使用者畫面。
必要條件
程序
- 在 SSL VPN-Plus 索引標籤上,按一下使用者。
- 按一下建立 () 按鈕。
- 針對使用者設定下列選項。
選項 描述 使用者識別碼 輸入使用者識別碼。 密碼 輸入使用者的密碼。 重新輸入密碼 重新輸入密碼。 名字 (選擇性) 輸入使用者的名字。 姓氏 (選擇性) 輸入使用者的姓氏。 描述 (選擇性) 輸入使用者的說明。 已啟用 指定此使用者已啟用還是已停用。 密碼永久有效 (選擇性) 指定是否為此使用者永遠保留相同密碼。 允許變更密碼 (選擇性) 指定是否允許使用者變更密碼。 下一次登入時變更密碼 (選擇性) 指定是否要讓此使用者在下次使用者登入時變更密碼。 - 按一下保留。
- 重複上述步驟,新增其他使用者。
下一步
將本機使用者新增至本機驗證伺服器,使其能夠透過 SSL VPN-Plus 進行連線。請參閱使用 VMware Cloud Director Service Provider Admin Portal將 SSL VPN-Plus 使用者新增至 NSX Data Center for vSphere Edge 閘道上的本機 SSL VPN-Plus 驗證伺服器。
建立包含 SSL 用戶端的安裝套件,以便遠端使用者可將其安裝在本機系統上。請參閱使用 VMware Cloud Director Service Provider Admin Portal在 NSX Data Center for vSphere Edge 閘道上新增 SSL VPN-Plus 用戶端安裝套件。
使用 VMware Cloud Director Service Provider Admin Portal在 NSX Data Center for vSphere Edge 閘道上新增 SSL VPN-Plus 用戶端安裝套件
若要為遠端使用者建立 SSL VPN-Plus 用戶端的具名安裝套件,請使用 VMware Cloud Director Service Provider Admin Portal中 SSL VPN-Plus 索引標籤上的 [安裝套件] 畫面。
您可以將 SSL VPN-Plus 用戶端安裝套件新增至 NSX Data Center for vSphere Edge 閘道。新使用者首次登入以使用 VPN 連線時,會收到下載並安裝此套件的提示。新增後,這些用戶端安裝套件便可從 Edge 閘道公用介面的 FQDN 進行下載。
您可以建立在 Windows、Linux 和 Mac 作業系統上執行的安裝套件。如果每個 SSL VPN 用戶端需要不同的安裝參數,請針對各個組態建立安裝套件。
必要條件
程序
- 在租用戶入口網站的 SSL VPN-Plus 索引標籤上,按一下安裝套件。
- 按一下新增 () 按鈕。
- 設定安裝套件設定。
選項 描述 設定檔名稱 輸入此安裝套件的設定檔名稱。 此名稱會向遠端使用者顯示,以識別 Edge 閘道的此 SSL VPN 連線。
閘道 輸入 Edge 閘道公用介面的 IP 位址或 FQDN。 所輸入的 IP 位址或 FQDN 將繫結至 SSL VPN 用戶端。在遠端使用者的本機系統上安裝用戶端時,會在該 SSL VPN 用戶端上顯示此 IP 位址或 FQDN。
若要將其他 Edge 閘道上行介面繫結至此 SSL VPN 用戶端,請按一下新增 () 按鈕新增資料列並輸入其介面 IP 位址或 FQDN 和連接埠。
連接埠 (選擇性) 若要從顯示的預設值修改連接埠值,請按兩下該值並輸入新值。 Windows
Linux
Mac
選取您要針對其建立安裝套件的作業系統。 描述 (選擇性) 輸入使用者的說明。 已啟用 指定此套件已啟用還是已停用。 - 選取適用於 Windows 的安裝參數。
選項 描述 登入時啟動用戶端 當遠端使用者登入其本機系統時,啟動 SSL VPN 用戶端。 允許記住密碼 可讓用戶端記住使用者密碼。 啟用無訊息模式安裝 向遠端使用者隱藏安裝命令。 隱藏 SSL 用戶端網路介面卡 隱藏 VMware SSL VPN-Plus 介面卡,此介面卡隨 SSL VPN 用戶端安裝套件一起安裝在遠端使用者的電腦上。 隱藏用戶端系統匣圖示 隱藏用於指示 VPN 連線是否處於作用中狀態的 SSL VPN 系統匣圖示。 建立桌面圖示 在使用者桌面上建立一個用於叫用 SSL 用戶端的圖示。 啟用無訊息模式作業 隱藏用於指示該安裝已完成的視窗。 伺服器安全性憑證驗證 SSL VPN 用戶端會在建立安全連線之前驗證 SSL VPN 伺服器憑證。 - 按一下保留。
下一步
使用 VMware Cloud Director Service Provider Admin Portal編輯 NSX Data Center for vSphere Edge 閘道上的 SSL VPN-Plus 用戶端組態
若要自訂 SSL VPN 用戶端通道在遠端使用者登入 SSL VPN 時的回應方式,請使用 VMware Cloud Director Service Provider Admin Portal中 SSL VPN-Plus 索引標籤上的用戶端組態畫面。
必要條件
程序
在 VMware Cloud Director Service Provider Admin Portal中針對 NSX Data Center for vSphere Edge 閘道自訂一般 SSL VPN-Plus 設定
依預設,系統會在 VMware Cloud Director 環境中的 Edge 閘道上設定一些 SSL VPN-Plus 設定。您可以使用 VMware Cloud Director 租用戶入口網站之 SSL VPN-Plus 索引標籤上的一般設定畫面,自訂這些設定。
必要條件
程序
- 在 SSL VPN-Plus 索引標籤上,按一下一般設定。
- 根據您組織的需求,編輯所需的一般設定。
選項 描述 防止使用相同使用者名稱多次登入 開啟此項可將遠端使用者限制為在相同使用者名稱下僅有一個作用中的登入工作階段。 壓縮 開啟此項可啟用以 TCP 為基礎的智慧型資料壓縮並提高資料傳輸速度。 啟用記錄 開啟此項可維護通過 SSL VPN 閘道的流量記錄。 預設會啟用記錄。
強制虛擬鍵盤 開啟此項可要求遠端使用者僅使用虛擬 (畫面上) 鍵盤來輸入登入資訊。 虛擬鍵盤的隨機按鍵 開啟此項可讓虛擬鍵盤使用隨機按鍵配置。 工作階段閒置逾時 輸入工作階段閒置逾時 (以分鐘為單位)。 如果使用者工作階段在指定的時段內沒有任何活動,系統將中斷與使用者工作階段的連線。系統預設值為 10 分鐘。
使用者通知 輸入在遠端使用者登入後向其顯示的訊息。 啟用公用 URL 存取 開啟此項可允許遠端使用者存取您未明確設定用於遠端使用者存取的站台。 啟用強制逾時 開啟此項可讓系統在強制逾時欄位中指定的期間結束後中斷與遠端使用者的連線。 強制逾時 輸入逾時期間 (以分鐘為單位)。 當啟用強制逾時切換按鈕開啟時,會顯示此欄位。
- 按一下儲存變更。