新增以原則為基礎的 IPSec VPN 時,會使用 IPSec 通道將位於 NSX Edge 節點後方的多個本機子網路與位於遠端 VPN 站台上的對等子網路連線。

下列步驟會使用 NSX Manager 使用者介面上的 IPSec 工作階段索引標籤,建立以原則為基礎的 IPSec 工作階段。您也可以新增通道、IKE 和 DPD 設定檔的資訊,然後選取要與以原則為基礎的 IPSec VPN 搭配使用的現有本機端點。

備註:

您也可以在成功設定 IPSec VPN 服務後立即新增 IPSec VPN 工作階段。當系統提示您繼續 IPSec VPN 服務設定時,按一下,然後選取 [新增 IPsec 服務] 面板上的工作階段 > 新增工作階段。以下程序中的前幾個步驟假設您已在系統提示您繼續 IPSec VPN 服務設定時選取。如果您選取了,請繼續前往下列步驟中的步驟 3,將引導您完成其餘的以原則為基礎的 IPSec VPN 工作階段組態。

必要條件

  • 您必須已設定 IPSec VPN 服務,才能繼續。請參閱新增 IPSec VPN 服務
  • 取得本機端點、對等站台 IP 位址、本機網路子網路與遠端網路子網路的資訊,以與您要新增之以原則為基礎的 IPSec VPN 工作階段搭配使用。若要建立本機端點,請參閱新增本機端點
  • 如果您使用預先共用的金鑰 (PSK) 進行驗證,請取得 PSK 值。
  • 如果您使用憑證進行驗證,請確保所需的伺服器憑證以及對應的 CA 簽署憑證已匯入。請參閱憑證
  • 如果您不想使用 NSX-T Data Center 針對 IPSec 通道、IKE 或無作用對等偵測 (DPD) 設定檔提供的預設值,請設定您要改用的設定檔。如需資訊,請參閱新增設定檔

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
  2. 導覽到 網路 > VPN > IPSec 工作階段 索引標籤。
  3. 選取新增 IPSec 工作階段 > 以原則為基礎
  4. 輸入以原則為基礎的 IPSec VPN 工作階段的名稱。
  5. VPN 服務下拉式功能表中,選取要新增此新 IPSec 工作階段的 IPSec VPN 服務。
    備註: 如果您要從 新增 IPSec 工作階段對話方塊新增此 IPSec 工作階段,在 新增 IPSec 工作階段按鈕上方已指示 VPN 服務名稱。
  6. 從下拉式功能表中選取現有的本機端點。
    此本機端點值為必填,它會識別本機 NSX Edge 節點。如果您想要建立不同的本機端點,請按一下三個點功能表 ( ),然後選取 新增本機端點
  7. 遠端 IP 文字方塊中,輸入所需遠端站台的 IP 位址。
    此值為必填。
  8. (選用) 輸入此以原則為基礎的 IPSec VPN 工作階段的說明。
    長度上限為 1024 個字元。
  9. 若要啟用或停用 IPSec VPN 工作階段,請按一下管理狀態
    依預設,此值設為 Enabled,這表示要向 NSX Edge 節點設定 IPSec VPN 工作階段。
  10. (選擇性) 合規性套件下拉式功能表中,選取安全性合規性套件。
    備註: 提供以 NSX-T Data Center 2.5 為開頭的合規性套件支援。如需詳細資訊,請參閱 關於支援的合規性套件
    所選取預設值為 None。如果您選取合規性套件,則會將 驗證模式設定為 Certificate,並在 進階內容區段中, IKE 設定檔IPSec 設定檔的值設定為所選安全性合規性套件的系統定義設定檔。您無法編輯這些系統定義的設定檔。
  11. 如果合規性套件設定為 None,請從驗證模式下拉式功能表中選取模式。
    使用的預設驗證模式為 PSK,這表示要將 NSX Edge 與遠端站台之間共用的秘密金鑰用於 IPSec VPN 工作階段。如果您選取 Certificate,會將用於設定本機端點的站台憑證用於進行驗證。
  12. 在本機網路與遠端網路文字方塊中,至少輸入一個要用於此以原則為基礎的 IPSec VPN 工作階段的 IP 子網路位址。
    這些子網路必須採用 CIDR 格式。
  13. 如果驗證模式設定為 PSK,請在預先共用的金鑰文字方塊中輸入金鑰值。
    此秘密金鑰可以是最大長度為 128 個字元的字串。
    注意: 共用和儲存 PSK 值時請小心,因為它包含一些敏感資訊。
  14. 若要識別對等站台,請在遠端識別碼中輸入值。
    對於使用 PSK 驗證的對等站台,此識別碼值必須是對等站台的公用 IP 位址或 FQDN。對於使用憑證驗證的對等站台,此識別碼值必須是對等站台的憑證中使用的一般名稱 (CN) 或辨別名稱 (DN)。
    備註: 如果對等站台的憑證在 DN 字串中包含電子郵件地址,例如
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
    請以下列格式輸入 遠端識別碼值,作為範例。
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
    如果本機站台的憑證在 DN 字串中包含電子郵件地址,且對等站台使用 strongSwan IPsec 實作,請在該對等站台中輸入本機站台的識別碼值。以下為範例。
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
  15. 若要變更設定檔、起始模式、TCP MSS 鉗制模式和以原則為基礎的 IPSec VPN 工作階段所使用的標籤,請按一下進階內容
    依預設,會使用系統產生的設定檔。如果您不想使用預設設定檔,請選取另一個可用的設定檔。如果您想要使用尚未設定的設定檔,請按一下三個點功能表 ( ) 來建立另一個設定檔。請參閱 新增設定檔
    1. 如果已啟用 IKE 設定檔下拉式功能表,請選取 IKE 設定檔。
    2. 如果未停用 IPSec 設定檔下拉式功能表,請選取 IPsec 通道設定檔。
    3. 如果已啟用 DPD 設定檔下拉式功能表,請選取慣用的 DPD 設定檔。
    4. 連線初始模式下拉式功能表中,選取慣用模式。
      連線初始模式定義在通道建立程序中本機端點使用的原則。預設值為 Initiator。下表說明可用的不同連線初始模式。
      表 1. 連線初始模式
      連線初始模式 說明
      Initiator 預設值。在此模式下,本機端點開始建立 IPSec VPN 通道,並回應來自對等閘道的傳入通道設定要求。
      On Demand 在此模式下,在接收第一個符合原則規則的封包後,本機端點開始建立 IPSec VPN 通道。它也會回應傳入初始要求。
      Respond Only

      IPSec VPN 永遠不會起始連線。對等站台永遠會起始連線要求,並且本機端點回應該連線要求。

    5. 如果您想要減少 IPSec 連線期間 TCP 工作階段的最大區段大小 (MSS) 裝載,請啟用 TCP MSS 鉗制,然後選取 TCP MSS 方向值,並選擇性地設定 TCP MSS 值
      如需詳細資訊,請參閱 瞭解 TCP MSS 鉗制
    6. 如果您想要在特定群組中包含此工作階段,請在標籤中輸入標籤名稱。
  16. 按一下儲存

結果

新的以原則為基礎的 IPSec VPN 工作階段在設定成功後,便會新增至可用的 IPsec VPN 工作階段清單。處於唯讀模式。

下一步

  • 確認 IPSec VPN 通道狀態為 [開啟]。如需資訊,請參閱監控和疑難排解 VPN 工作階段
  • 如有必要,可透過按一下工作階段資料列左側的三個點功能表 (),來管理 IPSec VPN 工作階段資訊。選取其中一個允許您執行的動作。