您必須設定本機端點,以與您要設定的 IPSec VPN 搭配使用。
下列步驟使用 NSX Manager 使用者介面上的本機端點索引標籤。您也可以在新增 IPSec VPN 工作階段的程序中建立本機端點,方法是按一下三個點功能表 (),然後選取新增本機端點。如果您正在設定 IPSec VPN 工作階段,請跳至下列步驟中的步驟 3,以引導您建立新的本機端點。
必要條件
- 如果您正為 IPSec VPN 工作階段 (將使用您要設定的本機端點) 使用憑證式驗證模式,請取得本機端點必須使用的憑證相關資訊。
- 確保您已設定要與此本機端點建立關聯的 IPSec VPN 服務。
程序
- 使用 admin 權限來登入 NSX Manager。
- 導覽至 ,然後按一下新增本機端點。
- 輸入本機端點的名稱。
- 從 VPN 服務下拉式功能表中,選取要與此本機端點建立關聯的 IPSec VPN 用戶端服務。
- 輸入本機端點的 IP 位址。
對於在第 0 層閘道上執行的 IPSec VPN 服務,本機端點 IP 位址必須與第 0 層閘道的上行介面 IP 位址不同。您提供的本機端點 IP 位址與第 0 層閘道的回送介面相關聯,也已發佈為上行介面上的可路由 IP 位址。
對於在第 1 層閘道上執行的 IPSec VPN 服務,本機端點 IP 位址必須與第 1 層閘道的上行介面 IP 位址不同。為使本機端點 IP 位址可以路由,必須在第 1 層閘道組態中啟用 IPSec 本機端點的路由通告。如需詳細資訊,請參閱新增 NSX 第 1 層閘道。
- 如果您正為 IPSec VPN 工作階段使用憑證式驗證模式,請從站台憑證下拉式功能表中,選取將由本機端點使用的憑證。
- (選擇性) 選擇性地在說明中新增說明。
- 輸入用來識別本機 NSX Edge 執行個體的本機識別碼值。
此本機識別碼將在遠端站台上設定為遠端識別碼。本機識別碼必須是本機站台的 IP 位址或 FQDN。對於使用憑證式驗證並與本機端點相關聯的 IPSec VPN 工作階段,
本機識別碼衍生自與本機端點相關聯的驗證。系統將忽略在
本機識別碼文字方塊中指定的識別碼。自 VPN 工作階段憑證衍生的本機識別碼取決於憑證中的延伸。
-
如果憑證中不存在 X509v3 延伸 X509v3 Subject Alternative Name,則會使用辨別名稱 (DN) 做為本機識別碼值。
例如,如果憑證不包含任何主體別名 (SAN) 欄位,且其 DN 字串為:
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123
則會以 DN 字串作為本機識別碼。此本機識別碼是遠端站台上的對等識別碼。
-
如果在憑證中找到 X509v3 延伸 X509v3 Subject Alternative Name,則會使用其中一個 SAN 欄位作為本機識別碼值。
如果憑證有多個 SAN 欄位,會依以下順序選取本機識別碼。
順序 |
SAN 欄位 |
1 |
IP 位址 |
2 |
DNS |
3 |
電子郵件地址 |
例如,如果所設定的站台憑證有以下 SAN 欄位:
x509v3 Subject Alternative Name:
DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1
則會以 IP 位址 1.1.1.1
作為本機識別碼。如果 IP 位址無法使用,則會使用 DNS 字串。如果 IP 位址和 DNS 無法使用,則會使用電子郵件地址。
若要查看用於 IPSec VPN 工作階段的本機識別碼,請執行下列操作:
- 導覽至,然後按一下 IPSec 工作階段索引標籤。
- 展開 IPSec VPN 工作階段。
- 按一下下載組態以下載組態檔,其中包含將在遠端 VPN 端點設定為遠端識別碼的本機識別碼。
- 從受信任的 CA 憑證和憑證撤銷清單下拉式功能表中,選取本機端點所需的適當憑證。
- (選擇性) 指定標籤。
- 按一下儲存。