新增路由型 IPSec VPN 時,根據透過虛擬通道介面 (VTI) (使用慣用通訊協定,例如 BGP) 動態學習的路由來提供流量的通道。IPSec 保護流經 VTI 的所有流量。

此主題中所述的步驟使用 IPSec 工作階段索引標籤建立路由型 IPSec 工作階段。您也可以新增通道、IKE 和 DPD 設定檔的資訊,以及選取現有的本機端點,以與路由型 IPSec VPN 搭配使用。

備註:

您也可以在成功設定 IPSec VPN 服務後立即新增 IPSec VPN 工作階段。當系統提示您繼續 IPSec VPN 服務組態時,按一下,然後選取 [新增 IPsec 服務] 面板上的工作階段 > 新增工作階段。以下程序中的前幾個步驟假設您已在系統提示您繼續 IPSec VPN 服務組態時選取。如果您已選取,則繼續進行以下步驟中的步驟 3,以引導您進行路由型 IPSec VPN 工作階段設定的剩餘部分。

必要條件

  • 您必須已設定 IPSec VPN 服務,才能繼續。請參閱新增 IPSec VPN 服務
  • 取得要與新增的路由型 IPSec 工作階段搭配使用的本機端點、對等站台的 IP 位址和通道服務 IP 子網路位址的相關資訊。若要建立本機端點,請參閱新增本機端點
  • 如果您使用預先共用的金鑰 (PSK) 進行驗證,請取得 PSK 值。
  • 如果您使用憑證進行驗證,請確保所需的伺服器憑證以及對應的 CA 簽署憑證已匯入。請參閱憑證
  • 如果您不想使用由 NSX-T Data Center 提供的 IPSec 通道、IKE 或無作用對等偵測 (DPD) 設定檔的預設值,請設定要使用的設定檔。如需資訊,請參閱新增設定檔

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
  2. 導覽至網路 > VPN > IPSec 工作階段
  3. 選取新增 IPSec 工作階段 > 以路由為基礎
  4. 輸入路由型 IPSec 工作階段的名稱。
  5. VPN 服務下拉式功能表中,選取要新增此新 IPSec 工作階段的 IPSec VPN 服務。
    備註: 如果您要從 新增 IPSec 工作階段對話方塊新增此 IPSec 工作階段,在 新增 IPSec 工作階段按鈕上方已指示 VPN 服務名稱。
  6. 從下拉式功能表中選取現有的本機端點。
    此本機端點值為必填,它會識別本機 NSX Edge 節點。如果您想要建立不同的本機端點,請按一下三個點功能表 ( 垂直排列的三個黑點。按一下此圖示會顯示子命令的功能表。),然後選取 新增本機端點
  7. 遠端 IP 文字方塊中,輸入遠端站台的 IP 位址。
    此值為必填。
  8. 輸入此路由型 IPSec VPN 工作階段的選用說明。
    長度上限為 1024 個字元。
  9. 若要啟用或停用 IPSec 工作階段,請按一下管理狀態
    依預設,此值設為 Enabled,這表示要向 NSX Edge 節點設定 IPSec 工作階段。
  10. (選擇性) 合規性套件下拉式功能表中,選取安全性合規性套件。
    備註: 提供以 NSX-T Data Center 2.5 為開頭的合規性套件支援。如需詳細資訊,請參閱 關於支援的合規性套件
    預設值會設定為 None。如果您選取合規性套件,則會將 驗證模式設定為 Certificate,並在 進階內容區段中, IKE 設定檔IPSec 設定檔的值設定為所選合規性套件的系統定義設定檔。您無法編輯這些系統定義的設定檔。
  11. 通道介面中以 CIDR 標記法輸入 IP 子網路位址。
    此位址為必填。
  12. 如果合規性套件設定為 None,請從驗證模式下拉式功能表中選取模式。
    使用的預設驗證模式為 PSK,這表示要將 NSX Edge 與遠端站台之間共用的秘密金鑰用於 IPSec VPN 工作階段。如果您選取 Certificate,會將用於設定本機端點的站台憑證用於進行驗證。
  13. 如果您為驗證模式選取 PSK,請在預先共用的金鑰文字方塊中輸入金鑰值。
    此秘密金鑰可以是最大長度為 128 個字元的字串。
    注意: 共用和儲存 PSK 值時請小心,因為它包含一些敏感資訊。
  14. 遠端識別碼中輸入值。
    對於使用 PSK 驗證的對等站台,此識別碼值必須是對等站台的 IP 位址或 FQDN。對於使用憑證驗證的對等站台,此識別碼值必須是對等站台的憑證中使用的一般名稱 (CN) 或辨別名稱 (DN)。
    備註: 如果對等站台的憑證在 DN 字串中包含電子郵件地址,例如
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
    請以下列格式輸入 遠端識別碼值,作為範例。
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
    如果本機站台的憑證在 DN 字串中包含電子郵件地址,且對等站台使用 strongSwan IPsec 實作,請在該對等站台中輸入本機站台的識別碼值。以下為範例。
    C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]"
  15. 如果您想要將此 IPSec 工作階段包含做為特定群組標籤的一部分,請在標籤中輸入標籤名稱。
  16. 若要變更設定檔、起始模式、TCP MSS 鉗制模式和以路由為基礎的 IPSec VPN 工作階段所使用的標籤,請按一下進階內容
    依預設會使用系統產生的設定檔。如果您不想使用預設設定檔,請選取另一個可用的設定檔。如果您想要使用尚未設定的設定檔,請按一下三個點功能表 ( 垂直排列的三個黑點。按一下此圖示會顯示子命令的功能表。) 來建立另一個設定檔。請參閱 新增設定檔
    1. 如果已啟用 IKE 設定檔下拉式功能表,請選取 IKE 設定檔。
    2. 如果未停用 IPSec 設定檔下拉式功能表,請選取 IPsec 通道設定檔。
    3. 如果已啟用 DPD 設定檔下拉式功能表,請選取慣用的 DPD 設定檔。
    4. 連線初始模式下拉式功能表中,選取慣用模式。
      連線初始模式定義在通道建立程序中本機端點使用的原則。預設值為 Initiator。下表說明可用的不同連線初始模式。
      表 1. 連線初始模式
      連線初始模式 說明
      Initiator 預設值。在此模式下,本機端點開始建立 IPSec VPN 通道,並回應來自對等閘道的傳入通道設定要求。
      On Demand 請勿搭配使用以路由為基礎的 VPN。此模式僅適用以原則為基礎的 VPN。
      Respond Only IPSec VPN 永遠不會起始連線。對等站台永遠會起始連線要求,並且本機端點回應該連線要求。
  17. 如果您想要減少 IPSec 連線期間 TCP 工作階段的最大區段大小 (MSS) 裝載,請啟用 TCP MSS 鉗制,然後選取 TCP MSS 方向值,並選擇性地設定 TCP MSS 值。[]
    如需詳細資訊,請參閱 瞭解 TCP MSS 鉗制
  18. 如果您想要將此 IPSec 工作階段包含做為特定群組標籤的一部分,請在標籤中輸入標籤名稱。
  19. 按一下儲存

結果

已成功設定新的路由型 IPSec VPN 工作階段時,它會新增至可用的 IPsec VPN 工作階段清單。處於唯讀模式。

下一步

  • 確認 IPSec VPN 通道狀態為 [開啟]。如需資訊,請參閱監控和疑難排解 VPN 工作階段
  • 使用靜態路由或 BGP 設定路由。請參閱設定靜態路由設定 BGP
  • 如有必要,您可以按一下工作階段資料列左側的三個點功能表 (垂直排列的三個黑點。按一下此圖示會顯示子命令的功能表。),來管理 IPSec VPN 工作階段資訊。選取您可以執行的其中一個動作。