新增以原則為基礎的 IPSec VPN 時,會使用 IPSec 通道將位於 NSX Edge 節點後方的多個本機子網路與位於遠端 VPN 站台上的對等子網路連線。
下列步驟會使用 NSX Manager 使用者介面上的 IPSec 工作階段索引標籤,建立以原則為基礎的 IPSec 工作階段。您也可以新增通道、IKE 和 DPD 設定檔的資訊,然後選取要與以原則為基礎的 IPSec VPN 搭配使用的現有本機端點。
備註:
您也可以在成功設定 IPSec VPN 服務後立即新增 IPSec VPN 工作階段。當系統提示您繼續 IPSec VPN 服務設定時,按一下是,然後選取 [新增 IPsec 服務] 面板上的。以下程序中的前幾個步驟假設您已在系統提示您繼續 IPSec VPN 服務設定時選取否。如果您選取了是,請繼續前往下列步驟中的步驟 3,將引導您完成其餘的以原則為基礎的 IPSec VPN 工作階段組態。
必要條件
- 您必須已設定 IPSec VPN 服務,才能繼續。請參閱新增 IPSec VPN 服務。
- 取得本機端點、對等站台 IP 位址、本機網路子網路與遠端網路子網路的資訊,以與您要新增之以原則為基礎的 IPSec VPN 工作階段搭配使用。若要建立本機端點,請參閱新增本機端點。
- 如果您使用預先共用的金鑰 (PSK) 進行驗證,請取得 PSK 值。
- 如果您使用憑證進行驗證,請確保所需的伺服器憑證以及對應的 CA 簽署憑證已匯入。請參閱憑證。
- 如果您不想使用 NSX-T Data Center 針對 IPSec 通道、IKE 或無作用對等偵測 (DPD) 設定檔提供的預設值,請設定您要改用的設定檔。如需資訊,請參閱新增設定檔。
程序
- 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
- 導覽到 索引標籤。
- 選取。
- 輸入以原則為基礎的 IPSec VPN 工作階段的名稱。
- 從 VPN 服務下拉式功能表中,選取要新增此新 IPSec 工作階段的 IPSec VPN 服務。
備註: 如果您要從
新增 IPSec 工作階段對話方塊新增此 IPSec 工作階段,在
新增 IPSec 工作階段按鈕上方已指示 VPN 服務名稱。
- 從下拉式功能表中選取現有的本機端點。
此本機端點值為必填,它會識別本機
NSX Edge 節點。如果您想要建立不同的本機端點,請按一下三個點功能表 (
),然後選取
新增本機端點。
- 在遠端 IP 文字方塊中,輸入所需遠端站台的 IP 位址。
此值為必填。
- (選用) 輸入此以原則為基礎的 IPSec VPN 工作階段的說明。
長度上限為 1024 個字元。
- 若要啟用或停用 IPSec VPN 工作階段,請按一下管理狀態。
依預設,此值設為
Enabled
,這表示要向
NSX Edge 節點設定 IPSec VPN 工作階段。
- (選擇性) 從合規性套件下拉式功能表中,選取安全性合規性套件。
備註: 提供以
NSX-T Data Center 2.5 為開頭的合規性套件支援。如需詳細資訊,請參閱
關於支援的合規性套件。
所選取預設值為
None
。如果您選取合規性套件,則會將
驗證模式設定為
Certificate
,並在
進階內容區段中,
IKE 設定檔和
IPSec 設定檔的值設定為所選安全性合規性套件的系統定義設定檔。您無法編輯這些系統定義的設定檔。
- 如果合規性套件設定為
None
,請從驗證模式下拉式功能表中選取模式。
使用的預設驗證模式為
PSK
,這表示要將
NSX Edge 與遠端站台之間共用的秘密金鑰用於 IPSec VPN 工作階段。如果您選取
Certificate
,會將用於設定本機端點的站台憑證用於進行驗證。
- 在本機網路與遠端網路文字方塊中,至少輸入一個要用於此以原則為基礎的 IPSec VPN 工作階段的 IP 子網路位址。
這些子網路必須採用 CIDR 格式。
- 如果驗證模式設定為
PSK
,請在預先共用的金鑰文字方塊中輸入金鑰值。
此秘密金鑰可以是最大長度為 128 個字元的字串。
注意: 共用和儲存 PSK 值時請小心,因為它包含一些敏感資訊。
- 若要識別對等站台,請在遠端識別碼中輸入值。
對於使用 PSK 驗證的對等站台,此識別碼值必須是對等站台的公用 IP 位址或 FQDN。對於使用憑證驗證的對等站台,此識別碼值必須是對等站台的憑證中使用的一般名稱 (CN) 或辨別名稱 (DN)。
備註: 如果對等站台的憑證在 DN 字串中包含電子郵件地址,例如
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
請以下列格式輸入
遠端識別碼值,作為範例。
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
如果本機站台的憑證在 DN 字串中包含電子郵件地址,且對等站台使用 strongSwan IPsec 實作,請在該對等站台中輸入本機站台的識別碼值。以下為範例。
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
- 若要變更設定檔、起始模式、TCP MSS 鉗制模式和以原則為基礎的 IPSec VPN 工作階段所使用的標籤,請按一下進階內容。
依預設,會使用系統產生的設定檔。如果您不想使用預設設定檔,請選取另一個可用的設定檔。如果您想要使用尚未設定的設定檔,請按一下三個點功能表 (
) 來建立另一個設定檔。請參閱
新增設定檔。
- 如果已啟用 IKE 設定檔下拉式功能表,請選取 IKE 設定檔。
- 如果未停用 IPSec 設定檔下拉式功能表,請選取 IPsec 通道設定檔。
- 如果已啟用 DPD 設定檔下拉式功能表,請選取慣用的 DPD 設定檔。
- 從連線初始模式下拉式功能表中,選取慣用模式。
連線初始模式定義在通道建立程序中本機端點使用的原則。預設值為
Initiator。下表說明可用的不同連線初始模式。
表 1.
連線初始模式
連線初始模式 |
說明 |
Initiator |
預設值。在此模式下,本機端點開始建立 IPSec VPN 通道,並回應來自對等閘道的傳入通道設定要求。 |
On Demand |
在此模式下,在接收第一個符合原則規則的封包後,本機端點開始建立 IPSec VPN 通道。它也會回應傳入初始要求。 |
Respond Only |
IPSec VPN 永遠不會起始連線。對等站台永遠會起始連線要求,並且本機端點回應該連線要求。 |
- 如果您想要減少 IPSec 連線期間 TCP 工作階段的最大區段大小 (MSS) 裝載,請啟用 TCP MSS 鉗制,然後選取 TCP MSS 方向值,並選擇性地設定 TCP MSS 值。
- 如果您想要在特定群組中包含此工作階段,請在標籤中輸入標籤名稱。
- 按一下儲存。
結果
新的以原則為基礎的 IPSec VPN 工作階段在設定成功後,便會新增至可用的 IPsec VPN 工作階段清單。處於唯讀模式。
下一步
- 確認 IPSec VPN 通道狀態為 [開啟]。如需資訊,請參閱監控和疑難排解 VPN 工作階段。
- 如有必要,可透過按一下工作階段資料列左側的三個點功能表 (),來管理 IPSec VPN 工作階段資訊。選取其中一個允許您執行的動作。