若要在兩個站台之間設定 IPSec,必須為這兩個 VPN 端點設定相符的屬性。本主題可協助您瞭解相關需求,以確保 IPSec VPN 裝置廠商屬性與本機 IPSec VPN 工作階段的 VPN 相關屬性相符。
每個 IPSec VPN 廠商都有自己接受組態的格式。在某些情況下,一些參數使用預設值。您可以使用 NSX-T Data Center IPSec VPN 工作階段 UI 中的下載組態功能,該功能提供了管理員可用於設定對等 VPN 廠商裝置的所有 VPN 相關組態。它基於在 NSX-T Data Center 中設定的 IPSec VPN 工作階段。該功能為 IPSec VPN 工作階段提供所有隱藏/預設屬性,以允許管理員設定對等 VPN 裝置,該裝置可能具有不同的預設值。任何組態不相符都可能導致 IPsec VPN 通道無法正常啟動。
- 確保在繼續之前已成功設定 IPSec VPN 服務和工作階段。
- 移至下載組態按鈕。 索引標籤,以存取
- 在 IPSec VPN 工作階段表中,展開您打算用於 IPSec VPN 工作階段組態的工作階段對應的資料列。例如,在 IPSec VPN 工作階段的 [下載組態] 按鈕影像中,將展開 Sample_Policy_Based 資料列。
- 按一下下載組態,然後在 [警告] 對話方塊中按一下是,以繼續下載文字檔。
- 使用下載的組態檔在對等 VPN 端點上設定以原則或路由為基礎的 IPSec VPN 工作階段屬性,以確保其中包含所需的相符值。
以下範例文字檔與下載的檔案類似。檔案名稱 Sample_Policy_Based.txt 是在 NSX-T Data Center 中設定的以原則為基礎的 IPSec VPN 工作階段。下載的檔案名稱基於工作階段名稱。例如:<session-name>.txt。
# Suggestive peer configuration for Policy IPSec Vpn Session
#
# IPSec VPN session path : /infra/tier-0s/ServerT0_AS/ipsec-vpn-services/IpsecOnServerT0/sessions/SAMPLE_POLICY_BASED
# IPSec VPN session name : SAMPLE_POLICY_BASED
# IPSec VPN session description :
# Tier 0 path : /infra/tier-0s/ServerT0_AS
#
# Enforcement point path : /infra/sites/default/enforcement-points/default
# Enforcement point type : NSX-T Data
Center
#
# Suggestive peer configuration for IPSec VPN Connection
#
# IPSecVPNSession Id : e7f34d43-c894-4dbb-b7d2-c899f81b1812
# IPSecVPNSession name : SAMPLE_POLICY_BASED
# IPSecVPNSession description:
# IPSecVPNSession enabled : true
# IPSecVPNSession type : Policy based VPN
# Logical router Id : 258b91be-b4cb-448a-856e-501d03128877
# Generated Time : Mon Apr 29 07:07:43 GMT 2024
#
# Internet Key Exchange Configuration [Phase 1]
# Configure the IKE SA as outlined below
IKE version : IKE_V2
Connection initiation mode : INITIATOR
Authentication method : PSK
Pre shared key : nsxtVPN!234
Authentication algorithm : [SHA2_256]
Encryption algorithm : [AES_128]
SA life time : 86400
Negotiation mode : Not applicable for ikev2
DH group : [GROUP14]
Prf Algorithm : [SHA2_256]
#
# IPsec_configuration [Phase 2]
# Configure the IPsec SA as outlined below
Transform Protocol : ESP
Authentication algorithm :
Sa life time : 3600
Encryption algorithm : [AES_GCM_128]
Encapsulation mode : TUNNEL_MODE
Enable perfect forward secrecy : true
Perfect forward secrecy DH group: [GROUP14]
#
# IPsec Dead Peer Detection (DPD) settings
DPD enabled : true
DPD probe interval : 60
#
# IPSec VPN Session Configuration
Peer address : 1.1.1.10 # Peer gateway public IP.
Peer id : 1.1.1.10
#
Local address : 200.200.200.1 # Local gateway public IP.
Local id : 200.200.200.1
#
# Policy Rules
#Rule1
Sources: [192.168.19.0/24]
Destinations: [172.16.18.0/24]
[IPSec VPN 工作階段組態檔屬性] 表包含在對等 VPN 裝置上設定 IPSec VPN 時使用的 Sample_Policy_Based.txt VPN 工作階段組態檔中的屬性。
類別 | 屬性名稱 | 要在對等 VPN 裝置上設定的屬性的含義和值 | 對等裝置可設定性 |
---|---|---|---|
ISAKMP 階段 1 參數 | IKE 版本 | IKE 通訊協定版本 | 強制性 |
連線初始模式 | 裝置是否起始 IKE 連線 | 可選。 如果 NSX-T Data Center IPSec 設定了連線初始模式 = "僅回應",則為強制性。 |
|
驗證方法 | IKE 的驗證模式 - 預先共用的金鑰或憑證 | 強制性 | |
預先共用的金鑰 | 驗證模式為 PSK 時共用金鑰的值 | 強制性 | |
驗證演算法 | 用於 IKE 的驗證演算法 | 強制性 | |
加密演算法 | 用於 IKE 加密演算法 | 強制性 | |
SA 存留時間 | IKE 安全性關聯 (SA) 的存留時間 (以秒為單位) | 選擇性 | |
交涉模式 | IKEv1 通訊協定模式 - 僅支援主模式。與 IKEv2 無關 | 強制性 | |
DH 群組 | 用於 IKE SA 交涉的 Diffie Hellman 群組 | 強制性 | |
PRF 演算法 | 用於 IKE SA 交涉的虛擬隨機函數 | 強制性 | |
對等位址 | NSX-T Data Center 端 VPN 端點的 IP 位址 | 強制性 | |
對等識別碼 | NSX-T Data Center 端 VPN 端點的身分識別 | 強制性 | |
本機位址 | 對等端點端 VPN 端點的位址 (在 NSX-T Data Center 端完成的組態中) |
強制性 | |
本機識別碼 | 要在對等端點端設定的 VPN 端點的身分識別 | 強制性 | |
ISAKMP 階段 2 參數 | 轉換通訊協定 | 轉換通訊協定 | 轉換通訊協定 |
驗證演算法 | IPSec 封包的完整性保護演算法 | 強制性 | |
SA 存留時間 | IPSec SA 的存留時間 (以秒為單位)。 隨著 SA 存留時間的臨近,將重新整理金鑰。 |
選擇性 | |
加密演算法 | IPSec 封包的加密保護 | 強制性 | |
封裝模式 | IPSec 通道的模式 (通道或傳輸) | 強制性。僅支援通道模式。 | |
啟用完全正向加密 | PFS (已啟用或非作用中) | 強制性 | |
完全正向加密 DH 群組 | 要用於 PFS 的 DH 群組 | 強制性 | |
來源 | 適用於原則型 VPN。這是對等 VPN 端點後面的一或多個子網路。 |
強制性 (對於原則型 VPN) | |
目的地 | 適用於原則型 VPN。這是 NSX-T Data Center VPN 端點後面的一或多個子網路,流量需要透過 IPSec 進行通道傳輸。 |
強制性 (對於原則型 VPN) | |
其他參數 | DPD 已啟用 | 是否已啟用無作用對等偵測 | 選擇性 |
執行 DPD 的頻率 (以秒為單位) | 選擇性 |