新增路由型 IPSec VPN 時,根據透過虛擬通道介面 (VTI) (使用慣用通訊協定,例如 BGP) 動態學習的路由來提供流量的通道。IPSec 保護流經 VTI 的所有流量。
此主題中所述的步驟使用 IPSec 工作階段索引標籤建立路由型 IPSec 工作階段。您也可以新增通道、IKE 和 DPD 設定檔的資訊,以及選取現有的本機端點,以與路由型 IPSec VPN 搭配使用。
備註:
您也可以在成功設定 IPSec VPN 服務後立即新增 IPSec VPN 工作階段。當系統提示您繼續 IPSec VPN 服務組態時,按一下是,然後選取 [新增 IPsec 服務] 面板上的。以下程序中的前幾個步驟假設您已在系統提示您繼續 IPSec VPN 服務組態時選取否。如果您已選取是,則繼續進行以下步驟中的步驟 3,以引導您進行路由型 IPSec VPN 工作階段設定的剩餘部分。
必要條件
- 您必須已設定 IPSec VPN 服務,才能繼續。請參閱新增 IPSec VPN 服務。
- 取得要與新增的路由型 IPSec 工作階段搭配使用的本機端點、對等站台的 IP 位址和通道服務 IP 子網路位址的相關資訊。若要建立本機端點,請參閱新增本機端點。
- 如果您使用預先共用的金鑰 (PSK) 進行驗證,請取得 PSK 值。
- 如果您使用憑證進行驗證,請確保所需的伺服器憑證以及對應的 CA 簽署憑證已匯入。請參閱憑證。
- 如果您不想使用由 NSX-T Data Center 提供的 IPSec 通道、IKE 或無作用對等偵測 (DPD) 設定檔的預設值,請設定要使用的設定檔。如需資訊,請參閱新增設定檔。
程序
- 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
- 導覽到 。
- 選取。
- 輸入路由型 IPSec 工作階段的名稱。
- 從 VPN 服務下拉式功能表中,選取要新增此新 IPSec 工作階段的 IPSec VPN 服務。
備註: 如果您要從
新增 IPSec 工作階段對話方塊新增此 IPSec 工作階段,在
新增 IPSec 工作階段按鈕上方已指示 VPN 服務名稱。
- 從下拉式功能表中選取現有的本機端點。
此本機端點值為必填,它會識別本機
NSX Edge 節點。如果您想要建立不同的本機端點,請按一下三個點功能表 (
),然後選取
新增本機端點。
- 在遠端 IP 文字方塊中,輸入遠端站台的 IP 位址。
此值為必填。
- 輸入此路由型 IPSec VPN 工作階段的選用說明。
長度上限為 1024 個字元。
- 若要啟用或停用 IPSec 工作階段,請按一下管理狀態。
依預設,此值設為
Enabled
,這表示要向
NSX Edge 節點設定 IPSec 工作階段。
- (選擇性) 從合規性套件下拉式功能表中,選取安全性合規性套件。
備註: 提供以
NSX-T Data Center 2.5 為開頭的合規性套件支援。如需詳細資訊,請參閱
關於支援的合規性套件。
預設值會設定為
None
。如果您選取合規性套件,則會將
驗證模式設定為
Certificate
,並在
進階內容區段中,
IKE 設定檔和
IPSec 設定檔的值設定為所選合規性套件的系統定義設定檔。您無法編輯這些系統定義的設定檔。
- 在通道介面中以 CIDR 標記法輸入 IP 子網路位址。
此位址為必填。
- 如果合規性套件設定為
None
,請從驗證模式下拉式功能表中選取模式。
使用的預設驗證模式為
PSK
,這表示要將
NSX Edge 與遠端站台之間共用的秘密金鑰用於 IPSec VPN 工作階段。如果您選取
Certificate
,會將用於設定本機端點的站台憑證用於進行驗證。
- 如果您為驗證模式選取
PSK
,請在預先共用的金鑰文字方塊中輸入金鑰值。
此秘密金鑰可以是最大長度為 128 個字元的字串。
注意: 共用和儲存 PSK 值時請小心,因為它包含一些敏感資訊。
- 在遠端識別碼中輸入值。
對於使用 PSK 驗證的對等站台,此識別碼值必須是對等站台的公用 IP 位址或 FQDN。對於使用憑證驗證的對等站台,此識別碼值必須是對等站台的憑證中使用的一般名稱 (CN) 或辨別名稱 (DN)。
備註: 如果對等站台的憑證在 DN 字串中包含電子郵件地址,例如
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
請以下列格式輸入
遠端識別碼值,作為範例。
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
如果本機站台的憑證在 DN 字串中包含電子郵件地址,且對等站台使用 strongSwan IPsec 實作,請在該對等站台中輸入本機站台的識別碼值。以下為範例。
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
- 如果您想要將此 IPSec 工作階段包含做為特定群組標籤的一部分,請在標籤中輸入標籤名稱。
- 若要變更設定檔、起始模式、TCP MSS 鉗制模式和以路由為基礎的 IPSec VPN 工作階段所使用的標籤,請按一下進階內容。
依預設會使用系統產生的設定檔。如果您不想使用預設設定檔,請選取另一個可用的設定檔。如果您想要使用尚未設定的設定檔,請按一下三個點功能表 (
) 來建立另一個設定檔。請參閱
新增設定檔。
- 如果已啟用 IKE 設定檔下拉式功能表,請選取 IKE 設定檔。
- 如果未停用 IPSec 設定檔下拉式功能表,請選取 IPsec 通道設定檔。
- 如果已啟用 DPD 設定檔下拉式功能表,請選取慣用的 DPD 設定檔。
- 從連線初始模式下拉式功能表中,選取慣用模式。
連線初始模式定義在通道建立程序中本機端點使用的原則。預設值為
Initiator。下表說明可用的不同連線初始模式。
表 1.
連線初始模式
連線初始模式 |
說明 |
Initiator |
預設值。在此模式下,本機端點開始建立 IPSec VPN 通道,並回應來自對等閘道的傳入通道設定要求。 |
On Demand |
請勿搭配使用以路由為基礎的 VPN。此模式僅適用以原則為基礎的 VPN。 |
Respond Only |
IPSec VPN 永遠不會起始連線。對等站台永遠會起始連線要求,並且本機端點回應該連線要求。 |
- 如果您想要減少 IPSec 連線期間 TCP 工作階段的最大區段大小 (MSS) 裝載,請啟用 TCP MSS 鉗制,然後選取 TCP MSS 方向值,並選擇性地設定 TCP MSS 值。[]
- 如果您想要將此 IPSec 工作階段包含做為特定群組標籤的一部分,請在標籤中輸入標籤名稱。
- 按一下儲存。
結果
已成功設定新的路由型 IPSec VPN 工作階段時,它會新增至可用的 IPsec VPN 工作階段清單。處於唯讀模式。
下一步
- 確認 IPSec VPN 通道狀態為 [開啟]。如需資訊,請參閱監控和疑難排解 VPN 工作階段。
- 使用靜態路由或 BGP 設定路由。請參閱設定靜態路由或設定 BGP。
- 如有必要,可透過按一下工作階段資料列左側的三個點功能表 (),來管理 IPSec VPN 工作階段資訊。選取您可以執行的其中一個動作。