若要在兩個站台之間設定 IPSec,必須為這兩個 VPN 端點設定相符的屬性。本主題可協助您瞭解相關需求,以確保 IPSec VPN 裝置廠商屬性與本機 IPSec VPN 工作階段的 VPN 相關屬性相符。

每個 IPSec VPN 廠商都有自己接受組態的格式。在某些情況下,一些參數使用預設值。您可以使用 NSX IPSec VPN 工作階段 UI 中的下載組態功能,該功能提供了管理員可用於設定對等 VPN 廠商裝置的所有 VPN 相關組態。它基於在 NSX 中設定的 IPSec VPN 工作階段。該功能為 IPSec VPN 工作階段提供所有隱藏/預設屬性,以允許管理員設定對等 VPN 裝置,該裝置可能具有不同的預設值。任何組態不相符都可能導致 IPsec VPN 通道無法正常啟動。

按一下 下載組態 (如 IPSec VPN 工作階段的 [下載組態] 按鈕影像中所示),將下載一個文字檔,其中包含在對等 VPN 裝置上設定對應 IPSec VPN 工作階段所需的相關屬性。
圖 1. IPSec VPN 工作階段的 [下載組態] 按鈕
位於最左側的 [IPSec VPN 工作階段] 頁面中的 [下載組態] 按鈕
程序
  1. 確保在繼續之前已成功設定 IPSec VPN 服務和工作階段。
  2. 移至網路 > VPN > IPSec 工作階段索引標籤,以存取下載組態按鈕。
  3. 在 IPSec VPN 工作階段表中,展開您打算用於 IPSec VPN 工作階段組態的工作階段對應的資料列。例如,在 IPSec VPN 工作階段的 [下載組態] 按鈕影像中,將展開 Sample_Policy_Based 資料列。
  4. 按一下下載組態,然後在 [警告] 對話方塊中按一下,以繼續下載文字檔。
  5. 使用下載的組態檔在對等 VPN 端點上設定以原則或路由為基礎的 IPSec VPN 工作階段屬性,以確保其中包含所需的相符值。

以下範例文字檔與下載的檔案類似。檔案名稱 Sample_Policy_Based.txt 是在 NSX 中設定的以原則為基礎的 IPSec VPN 工作階段。下載的檔案名稱基於工作階段名稱。例如:<session-name>.txt。

 # Suggestive peer configuration for Policy IPSec Vpn Session
#
# IPSec VPN session path          : /infra/tier-0s/ServerT0_AS/ipsec-vpn-services/IpsecOnServerT0/sessions/SAMPLE_POLICY_BASED
# IPSec VPN session name          : SAMPLE_POLICY_BASED
# IPSec VPN session description   : 
# Tier 0 path                     : /infra/tier-0s/ServerT0_AS
#
# Enforcement point path    : /infra/sites/default/enforcement-points/default
# Enforcement point type    : NSX
#
# Suggestive peer configuration for IPSec VPN Connection
#
# IPSecVPNSession Id         : e7f34d43-c894-4dbb-b7d2-c899f81b1812
# IPSecVPNSession name       : SAMPLE_POLICY_BASED
# IPSecVPNSession description: 
# IPSecVPNSession enabled    : true
# IPSecVPNSession type       : Policy based VPN
# Logical router Id          : 258b91be-b4cb-448a-856e-501d03128877
# Generated Time             : Mon Apr 29 07:07:43 GMT 2024
#
# Internet Key Exchange Configuration [Phase 1]
# Configure the IKE SA as outlined below
IKE version                  : IKE_V2
Connection initiation mode   : INITIATOR
Authentication method        : PSK
Pre shared key               : nsxtVPN!234
Authentication algorithm     : [SHA2_256]
Encryption algorithm         : [AES_128]
SA life time                 : 86400
Negotiation mode             : Not applicable for ikev2
DH group                     : [GROUP14]
Prf Algorithm                : [SHA2_256]
#
# IPsec_configuration [Phase 2]
# Configure the IPsec SA as outlined below
Transform Protocol              : ESP
Authentication algorithm        : 
Sa life time                    : 3600
Encryption algorithm            : [AES_GCM_128]
Encapsulation mode              : TUNNEL_MODE
Enable perfect forward secrecy  : true
Perfect forward secrecy DH group: [GROUP14]
#
# IPsec Dead Peer Detection (DPD) settings
DPD enabled         : true
DPD probe interval  : 60
#
# IPSec VPN Session Configuration
Peer address    : 1.1.1.10 # Peer gateway public IP.
Peer id         : 1.1.1.10
#
Local address   : 200.200.200.1 # Local gateway public IP.
Local id        : 200.200.200.1
#
# Policy Rules
#Rule1
Sources: [192.168.19.0/24]
Destinations: [172.16.18.0/24]

[IPSec VPN 工作階段組態檔屬性] 表包含在對等 VPN 裝置上設定 IPSec VPN 時使用的 Sample_Policy_Based.txt VPN 工作階段組態檔中的屬性。

表 1. IPSec VPN 工作階段組態檔屬性
類別 屬性名稱 要在對等 VPN 裝置上設定的屬性的含義和值 對等裝置可設定性
ISAKMP 階段 1 參數 IKE 版本 IKE 通訊協定版本 強制性
連線初始模式 裝置是否起始 IKE 連線

可選。

如果 NSX IPSec 設定了連線初始模式 = "僅回應",則為強制性。

驗證方法 IKE 的驗證模式 - 預先共用的金鑰或憑證 強制性
預先共用的金鑰 驗證模式為 PSK 時共用金鑰的值 強制性
驗證演算法 用於 IKE 的驗證演算法 強制性
加密演算法 用於 IKE 加密演算法 強制性
SA 存留時間 IKE 安全性關聯 (SA) 的存留時間 (以秒為單位) 選擇性
交涉模式 IKEv1 通訊協定模式 - 僅支援主模式。與 IKEv2 無關 強制性
DH 群組 用於 IKE SA 交涉的 Diffie Hellman 群組 強制性
PRF 演算法 用於 IKE SA 交涉的虛擬隨機函數 強制性
對等位址 NSX 端 VPN 端點的 IP 位址 強制性
對等識別碼 NSX 端 VPN 端點的身分識別 強制性
本機位址

對等端點端 VPN 端點的位址 (在 NSX 端完成的組態中)

強制性
本機識別碼 要在對等端點端設定的 VPN 端點的身分識別 強制性
ISAKMP 階段 2 參數 轉換通訊協定 轉換通訊協定 轉換通訊協定
驗證演算法 IPSec 封包的完整性保護演算法 強制性
SA 存留時間

IPSec SA 的存留時間 (以秒為單位)。

隨著 SA 存留時間的臨近,將重新整理金鑰。

選擇性
加密演算法 IPSec 封包的加密保護 強制性
封裝模式 IPSec 通道的模式 (通道或傳輸) 強制性。僅支援通道模式。
啟用完全正向加密 PFS (已啟用或非作用中) 強制性
完全正向加密 DH 群組 要用於 PFS 的 DH 群組 強制性
來源

適用於原則型 VPN。這是對等 VPN 端點後面的一或多個子網路。

強制性 (對於原則型 VPN)
目的地

適用於原則型 VPN。這是 NSX VPN 端點後面的一或多個子網路,流量需要透過 IPSec 進行通道傳輸。

強制性 (對於原則型 VPN)
其他參數 DPD 已啟用 是否已啟用無作用對等偵測 選擇性
執行 DPD 的頻率 (以秒為單位) 選擇性