您必須設定本機端點,以與您要設定的 IPSec VPN 搭配使用。

下列步驟使用 NSX Manager 使用者介面上的本機端點索引標籤。您也可以在新增 IPSec VPN 工作階段的程序中建立本機端點,方法是按一下三個點功能表 (垂直排列的三個黑點。按一下此圖示會顯示子命令的功能表。),然後選取新增本機端點。如果您正在設定 IPSec VPN 工作階段,請跳至下列步驟中的步驟 3,以引導您建立新的本機端點。

必要條件

  • 如果您正為 IPSec VPN 工作階段 (將使用您要設定的本機端點) 使用憑證式驗證模式,請取得本機端點必須使用的憑證相關資訊。
  • 確保您已設定要與此本機端點建立關聯的 IPSec VPN 服務。

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
  2. 導覽至 網路 > VPN > 本機端點,然後按一下新增本機端點
  3. 輸入本機端點的名稱。
  4. VPN 服務下拉式功能表中,選取要與此本機端點建立關聯的 IPSec VPN 用戶端服務。
  5. 輸入本機端點的 IP 位址。

    對於在第 0 層閘道上執行的 IPSec VPN 服務,本機端點 IP 位址必須與第 0 層閘道的上行介面 IP 位址不同。您提供的本機端點 IP 位址與第 0 層閘道的回送介面相關聯,也已發佈為上行介面上的可路由 IP 位址。

    對於在第 1 層閘道上執行的 IPSec VPN 服務,本機端點 IP 位址必須與第 1 層閘道的上行介面 IP 位址不同。為使本機端點 IP 位址可以路由,必須在第 1 層閘道組態中啟用 IPSec 本機端點的路由通告。如需詳細資訊,請參閱新增第 1 層閘道

  6. 如果您正為 IPSec VPN 工作階段使用憑證式驗證模式,請從站台憑證下拉式功能表中,選取將由本機端點使用的憑證。
  7. (選擇性) 選擇性地在說明中新增說明。
  8. 輸入用來識別本機 NSX Edge 執行個體的本機識別碼值。
    此本機識別碼將在遠端站台上設定為遠端識別碼。本機識別碼必須是本機站台的 IP 位址或 FQDN。對於使用憑證式驗證並與本機端點相關聯的 IPSec VPN 工作階段, 本機識別碼衍生自與本機端點相關聯的驗證。系統將忽略在 本機識別碼文字方塊中指定的識別碼。自 VPN 工作階段憑證衍生的本機識別碼取決於憑證中的延伸。
    • 如果憑證中不存在 X509v3 延伸 X509v3 Subject Alternative Name,則會使用辨別名稱 (DN) 做為本機識別碼值。

      例如,如果憑證不包含任何主體別名 (SAN) 欄位,且其 DN 字串為:

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123

      則會以 DN 字串作為本機識別碼。此本機識別碼是遠端站台上的對等識別碼。

    • 如果在憑證中找到 X509v3 延伸 X509v3 Subject Alternative Name,則會使用其中一個 SAN 欄位作為本機識別碼值。

      如果憑證有多個 SAN 欄位,會依以下順序選取本機識別碼。

      順序 SAN 欄位
      1 IP 位址
      2 DNS
      3 電子郵件地址

      例如,如果所設定的站台憑證有以下 SAN 欄位:

      x509v3 Subject Alternative Name:
      DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1

      則會以 IP 位址 1.1.1.1 作為本機識別碼。如果 IP 位址無法使用,則會使用 DNS 字串。如果 IP 位址和 DNS 無法使用,則會使用電子郵件地址。

    若要查看用於 IPSec VPN 工作階段的本機識別碼,請執行下列操作:

    1. 導覽至網路 > VPN,然後按一下 IPSec 工作階段索引標籤。
    2. 展開 IPSec VPN 工作階段。
    3. 按一下下載組態以下載包含本機識別碼的組態檔。
  9. 受信任的 CA 憑證憑證撤銷清單下拉式功能表中,選取本機端點所需的適當憑證。
  10. (選擇性) 指定標籤。
  11. 按一下儲存