IPsec VPN cung cấp kết nối site-to-site giữa HI GIO và các site từ xa với các bộ định tuyến phần cứng bên thứ ba hoặc các VPN Gateway hỗ trợ IPsec.
Trên HI GIO, bạn có thể tạo các tunnel VPN giữa:
Organization virtual data center networks trong cùng một organization
Organization virtual data center networks trong các organization khác nhau.
Giữa organization's virtual data center network và external network
Quy trình
Hoàn tất các tham số .
Bước 1: Trên thanh điều hướng trên cùng, nhấp vào Networking và chọn tab Edge Gateways.
Bước 2: Nhấp vào edge gateway.
Bước 3: Trong mục Services, nhấp vào IPSec VPN.
Bước 4: Để cấu hình một tunnel IPSec VPN, nhấp vào New.
Bước 5: Nhập Name và mô tả (tùy chọn) cho tunnel IPSec VPN.
Bước 6: Để kích hoạt tunnel ngay khi tạo, bật tùy chọn Status.
Đối với Security Profile – giữ nguyên mặc định và cấu hình sau khi tunnel VPN được tạo.
Bước 7: Nhấp NEXT để chọn chế độ xác thực.
Bước 8: Chọn chế độ xác thực đối tác (peer authentication) và nhấp NEXT.
HI GIO hỗ trợ 02 tùy chọn cho Authentication Mode:
Lựa chọn
Mô tả
Pre-Shared Key
Chọn pre-shared key để nhập. Pre-shared key phải giống nhau trên cả 2 đầu PSec VPN tunnel.
Certificate
Lựa chọn site và chứng chỉ CA để xác thực
IP address [Local Endpoint]:Nhập địa chỉ IP công khai (public IP) của HI GIO.
Networks [Local Endpoint]: Nhập ít nhất một địa chỉ IP subnet mạng nội bộ của HI GIO cho tunnel IPSec VPN.
IP address [Remote Endpoint]:Nhập địa chỉ IP công khai (public IP) của site từ xa, ví dụ: IP công khai của văn phòng.
Networks [Remote Endpoint]: Nhập ít nhất một địa chỉ IP subnet mạng từ xa, ví dụ: mạng của văn phòng cho tunnel IPSec VPN.
Bước 10: Nhập remote ID (tùy chọn) cho site đối tác.
Trong trường hợp sử dụng Certificate cho Authentication mode
Remote ID phải khớp với SAN (Subject Alternative Name) của chứng chỉ endpoint từ xa (nếu có). Nếu chứng chỉ từ xa không chứa SAN, remote ID phải khớp với tên phân biệt (distinguished name) của chứng chỉ được sử dụng để bảo mật endpoint từ xa, ví dụ: C=US, ST=Massachusetts, O=VMware, OU=VCD, CN=Edge1.
Bước 11: Nhấp Next.
Bước 12: Xem lại cài đặt và nhấp Finish.
Tunnel IPSec VPN vừa tạo sẽ được liệt kê trong giao diện IPSec VPN view. Tunnel IPSec VPN được tạo với cấu hình bảo mật mặc định.
Bước 13: Để kiểm tra xem tunnel có hoạt động hay không, chọn tunnel và nhấp View Statistics.
Nếu tunnel hoạt động, Tunnel Status và IKE Service Status sẽ hiển thị trạng thái Up.
Sau khi tunnel IPSec VPN đã được tạo, bạn có thể thay đổi cấu hình IPSec VPN bằng Security Profile, đảm bảo rằng cấu hình phải phù hợp với site từ xa (remote)
Bước 1: Trên thanh điều hướng trên cùng, nhấp vào Networking và chọn tab Edge Gateways.
Bước 2: Nhấp vào Edge Gateways.
Bước 3: Trong mục Services, nhấp vào IPSec VPN.
Bước 4: Chọn tunnel IPSec VPN và nhấp vào Security Profile Customization.
RemLưu ý: Các thiết lập bảo mật phải khớp với các thiết lập bảo mật của site từ xa (remote).
Chi tiết IP set:
Bước 2: Tạo 02 firewall rules (Edge gateway firewall) cho tunnel IPSec:
+ HI GIO to Local (remote site)
+ And Local (remote site) to HI GIO
Nếu bạn sử dụng Distributed firewall, bạn cũng cần tạo firewall rules để cho phép lưu lượng VPN (từ site từ xa đến HI GIO).
*** Lưu ý: Hãy cấu hình firewall rules cho lưu lượng VPN trên các router từ xa.
XÁC NHẬN: Kiểm tra trạng thái của tunnel là UP và có Traffic.
Bước 9: Trong cửa sổ Endpoint Configuration, nhập một số tham số (theo các tham số đã chuẩn bị):
Bước 5: Thay đổi các cấu hình của tunnel VPN theo các tham số () mà bạn đã chuẩn bị.
Bước 1: Chuẩn bị IP set cho firewall rule (có thể sử dụng nhóm dynamic/static). .
