在虚拟数据中心边缘网关与内部部署 VPN 网关之间创建 VPN
本教程可能会发生成本。 使用 成本估算器,根据您的预计使用量生成成本估算。
目标
本教程的目标是演示将 IBM Cloud® for VMware Cloud Foundation as a Service 单租户或多租户实例与 Juniper ® vSRX连接的基本步骤。 连接通过虚拟专用网 (VPN) 进行。vSRX 可以部署在 IBM Cloud 经典基础架构或客户机数据中心内。 以下步骤创建基本工作环境,提供 VPN,基本防火墙实现和端到端网络连接。
在本教程中,您将学到
- 如何在虚拟数据中心 (VDC) 边缘网关与 vSRX之间创建 VPN。
- 如何创建和配置匹配的 IKE 和 IPsec 隧道建议和概要文件。
- 如何在 VDC 边缘网关和 vSRX 上配置防火墙规则以允许 VPN 流量。
下图显示了要部署的解决方案的概述。
{: caption="*
准备工作
本教程需要:
- IBM Cloud 计费帐户。
- 必需的用户许可权。 确保您的用户帐户具有足够的许可权 来创建和管理 VMware Cloud Foundation (VCF) as a Service 资源。
- 预供应的 VCF as a Service 实例。
- VCF as a Service 上的预供应 VDC。
- IBM Cloud CLI。
- IBM Cloud API 密钥。
收集信息和需求
要建立基于策略的隧道,您需要从部署和设计中收集各种信息,例如网关端点以及本地和远程网络。 此外,您还需要定义 IKE 和 IPsec 的隧道安全策略。
请仔细收集并记录此处列出和提及的信息。 双方的隧道配置值必须完全一致。
使用 IBM Cloud 门户网站和 vSRX 防火墙配置来收集以下信息,然后根据安全性需求为隧道定义 IPsec 和 IKE 策略参数:
-
收集基于策略的隧道的本地和远程网络信息。
vSRX 的专用接口通常配置如下:
set interfaces reth2 unit <vlan-id> description "Your private network routed through Gateway Appliance" set interfaces reth2 unit <vlan-id> vlan-id <vlan-id> set interfaces reth2 unit <vlan-id> family inet address <private-IP address-of-the-vsrx>/26您可能在 vSRX 接口上有多个辅助 IP 地址,因此请收集隧道的所有必需网络信息。
收集隧道的所有必需 VDC 网络信息。 使用 VMware Cloud Director™ 控制台或从网络设计文档中收集信息(VDC 上部署了哪些网络)。
示例值如下所示:
在配置 VPN 之前需要查看的站点前缀或子网列表。 前缀 值 vSRX 后的子网 10.95.1.0/26VDC 上的子网 192.168.100.0/24由于解决方案可能不同,请使用网络设计和部署中的子网。
-
收集 IPsec 隧道的本地和远程网关 IP 地址信息。
vSRX 的公共接口 IP 地址通常在 IBM Cloud中配置如下:
set interfaces reth1 unit 0 description "SL PUBLIC VLAN INTERFACE" set interfaces reth1 unit 0 family inet address <public-IP address-of-the-vsrx>/29从 VDC 收集 VDC Edge Gateway 的公共 IP 地址。 公共 IP 地址在 VDC 实例下的 IBM Cloud 门户网站中可用。
下表显示了此示例中使用的值:
配置 VPN 前需要查看的网关 IP 地址列表。 网关 IP 地址 值 边缘网关的公共 IP 地址 <public-IP address-of-the-vdc-edge-gateway>vSRX 的公共 IP 地址 <public-IP address-of-the-vsrx>由于解决方案可能不同,请使用与部署匹配的端点 IP 地址。
-
创建预先共享的密钥。 为 IPsec 隧道生成预先共享的密钥
your-psk。 该密钥用于防火墙和 VDC IPsec 配置。 -
定义隧道的 IKE 策略。 下表显示了此示例中使用的值:
配置 VPN 前需要查看的 IKE 策略参数列表。 IKE 策略 值 版本 IKE v2 加密 AES 256 摘要 SHA 2-256 Diffie-Hellman 组 第 14 组 关联生存时间 (秒) 28800 由于您的需求可能不同,请使用部署中的值。
-
定义隧道的 IPsec (或隧道) 策略。 下表显示了此示例中使用的值:
配置 VPN 前需要检查的 IPsec(或隧道)策略参数列表。 IPsec (或隧道) 策略 值 完全向前保密 已启用 碎片整理策略 复制 加密 AES 256 摘要 SHA 2-256 Diffie-Hellman 组 第 14 组 关联生存时间 (秒) 3600 由于您的需求可能不同,请使用部署中的值。
-
定义隧道的死同级检测 (DPD) 策略。 下表显示了此示例中使用的值:
配置 VPN 前需要查看的死点检测 (DPD) 策略参数列表。 DPD 值 探测器时间间隔 (秒) 60 由于您的需求可能不同,请使用部署中的值。
配置 vSRX
以下配置使用先前提供的示例策略值。 您的环境和策略可能不同,因此请调整配置命令。
-
配置 IKE 建议,IKE 策略和预共享密钥:
set security ike proposal ike-phase1-vmwaas authentication-method pre-shared-keys set security ike proposal ike-phase1-vmwaas dh-group group14 set security ike proposal ike-phase1-vmwaas authentication-algorithm sha-256 set security ike proposal ike-phase1-vmwaas encryption-algorithm aes-256-cbc set security ike proposal ike-phase1-vmwaas lifetime-seconds 28800 set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-vmwaas set security ike policy ike-phase1-policy pre-shared-key ascii-text <your-psk> -
配置 IKE 网关:
set security ike gateway vmwaas ike-policy ike-phase1-policy set security ike gateway vmwaas address <public-IP address-of-the-vdc-edge-gateway> set security ike gateway vmwaas external-interface reth1.0 set security ike gateway vmwaas version v2-only -
配置 IPsec 策略和建议:
set security ipsec proposal ipsec-phase2-vmwaas protocol esp set security ipsec proposal ipsec-phase2-vmwaas authentication-algorithm hmac-sha-256-128 set security ipsec proposal ipsec-phase2-vmwaas encryption-algorithm aes-256-cbc set security ipsec proposal ipsec-phase2-vmwaas lifetime-seconds 3600 set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group14 set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-vmwaas -
配置 IPsec VPN:
set interfaces st0 unit 0 family inet set security ipsec vpn vmwaas-vpn-1 bind-interface st0.0 set security ipsec vpn vmwaas-vpn-1 ike gateway vmwaas set security ipsec vpn vmwaas-vpn-1 ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vmwaas-vpn-1 traffic-selector pair1 local-ip 10.95.1.0/26 set security ipsec vpn vmwaas-vpn-1 traffic-selector pair1 remote-ip 192.168.100.0/24 set security ipsec vpn vmwaas-vpn-1 establish-tunnels immediately set security ipsec vpn vmwaas-vpn-1 df-bit copy -
配置控制平面防火墙:
set firewall filter PROTECT-IN term PING from destination-address 10.95.1.1/32 set firewall filter PROTECT-IN term PING from protocol icmp set firewall filter PROTECT-IN term IPSec-IKE from destination-address `<public-IP address-of-the-vsrx>/32` # Alternative way to use source-address # set firewall filter PROTECT-IN term IPSec-IKE from source-address `<public-IP address-of-the-vdc-edge-gateway>/32` set firewall filter PROTECT-IN term IPSec-IKE from protocol udp set firewall filter PROTECT-IN term IPSec-IKE from port 500 set firewall filter PROTECT-IN term IPSec-IKE then accept set firewall filter PROTECT-IN term IPSec-ESP from destination-address `<public-IP address-of-the-vsrx>/32` # Alternative way to use source-address # set firewall filter PROTECT-IN term IPSec-ESP from source-address `<public-IP address-of-the-vdc-edge-gateway>/32` set firewall filter PROTECT-IN term IPSec-ESP from protocol esp set firewall filter PROTECT-IN term IPSec-ESP then accept set firewall filter PROTECT-IN term IPSec-4500 from destination-address `<public-IP address-of-the-vsrx>/32` # Alternative way to use source-address # set firewall filter PROTECT-IN term IPSec-4500 from source-address `<public-IP address-of-the-vdc-edge-gateway>/32` set firewall filter PROTECT-IN term IPSec-4500 from protocol udp set firewall filter PROTECT-IN term IPSec-4500 from port 4500 set firewall filter PROTECT-IN term IPSec-4500 then accept -
配置安全区域和区域策略:
set security zones security-zone vpn-vmwaas-tunnel interfaces st0.0 set security zones security-zone vsrx-vlan interfaces reth2.2498 set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match source-address any set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match destination-address any set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match application any set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas then permit set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match source-address any set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match destination-address any set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match application any set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan then permit -
配置 TCP 最大段大小 (MSS):
set security flow tcp-mss ipsec-vpn mss 1360
配置VCF as a Service实例边缘网关
登录到 VCF as a Service 实例,配置网络子网,防火墙规则和 IPsec 隧道。
登录 VCF as a Service 控制台
-
使用具有
Organization Administrator角色的用户登录到 VCF as a Service 实例。 -
从左侧导航面板单击网络。
-
在 Edge Gateway 下,选择 Edge Gateway 的
name。
VCF as a Service VDC 边缘网关选择 -
在侧菜单中,单击 IP 集,然后单击新建创建一个新的 IP 集。
-
创建两个 IP 集。
IP 设置详情 IP 集 名称 IP 地址 IPSET 1 防火墙-网络 10.95.1.0/26IPSET 2 VMWaaS-VDC-Network 192.168.100.0/24
VCF as a Service VDC IP 集 -
单击保存。
创建 VDC 网关防火墙规则
将为 VCF as a Service 租户实例供应缺省防火墙规则,该规则会删除所有流量以确保安全性。
您必须添加两个额外的规则,以允许进出 VPN 连接的流量。
-
选择边缘网关后,从左侧导航面板单击防火墙。
-
单击 编辑规则,然后单击 在顶部新建。
-
对每个规则重复此操作,然后单击 保存。
VCF as a ServiceVDC 防火墙规则 防火墙规则 名称 源地址 目标地址 防火墙规则 1 VMWaaS-to-FWVMWaaS-VDC-NetworkFirewall-Network防火墙规则 2 FW-to-VMWaaSFirewall-NetworkVMWaaS-VDC-Network
VCF as a Service VDC 防火墙规则
创建 VDCIPSec VPN隧道
下一步是在本地和远程端点之间创建 IPSec VPN 隧道。
-
选择边缘网关后,单击 IPSec VPN。
-
单击 新建 以启动向导。
-
在 常规设置下,填充 名称 字段,例如
VMWaaS-to-FW-VPN,然后单击 下一步。 -
在 对等认证方式下,填充预先共享的密钥。 此密钥必须与防火墙匹配。 单击下一步。
-
在 端点配置下,设置以下值:
VCF as a ServiceVDC 防火墙规则 端点配置 IP 地址 网络 远程标识 本地端点 <public-IP address-of-the-vdc-edge-gateway>192.168.100.0/24n/a远程端点 <public-IP address-of-the-vsrx>10.95.1.1/26<public-IP address-of-the-vsrx> -
单击“完成”完成。
VCF as a Service VDC IPSEC VPN 配置
验证 IPsec 隧道和连接
如果成功完成所有步骤,那么将建立 VPN 隧道并在两个网络之间进行流量流动。
您可以通过 CLI with ping 在用户界面 (UI) 或经典方法上测试连接。
在 UI 上验证 IPsec 隧道和连接
-
选择边缘网关后,单击 IPSec VPN。
-
在列表中,选择“已配置 VPN”。
-
通过列 状态,查找隧道的状态。
-
通过单击 查看统计信息对其进行详细检查。
-
如果状态不是“绿色”,那么隧道可能存在问题。
VCF as a Service VDC IPSEC VPN 首次验证
如果隧道不工作,您可以通过以下方法进行检查:
-
选择边缘网关后,单击 IPSec VPN。
-
在列表中,选择“已配置 VPN”。
-
通过单击 安全概要文件定制对其进行详细检查。
-
更改有关 IKE 概要文件详细信息,隧道配置或 DPD 配置的特定详细信息。
VCF as a Service VDC IPSEC VPN 第二次验证
如果您的设置正确,并单击 保存,那么隧道正在工作,您可以使用与以前相同的步骤对其进行检查,唯一的更改是 状态 列应该为绿色,而 查看统计信息 也应该显示为绿色。
-
选择边缘网关后,单击 IPSec VPN。
-
在列表中,选择“已配置 VPN”。
-
通过“列 状态”,如果它显示 已启用 并且为绿色,那么它正在工作。
-
通过单击 查看统计信息对其进行详细检查。
VCF as a Service VDC IPSEC VPN 第三次验证
在 CLI 上验证 IPsec 隧道和连接
您可以使用 VMware 虚拟机控制台登录在 VDC 上运行的一个虚拟机,测试与内部网络虚拟机的连接。
例如,如果您的 vSRX 允许 ICMP,您可以使用 ping 命令 ping 到 vSRX, 的 IP 地址。
ping 10.95.1.1
或者使用 netcat 尝试 TCP 端口 443 到远程 IP 地址 10.95.1.10 (假定服务器在 TCP 端口 443 上托管 Web 服务器)。
nc -vz 10.95.1.10 443
Connection to 10.95.1.10 port 443 [tcp/https] succeeded!