VMware Cloud Director 环境中的 NSX Data Center for vSphere Edge 网关支持站点到站点 Internet 协议安全性 (IPsec),以保护组织虚拟数据中心网络之间以及组织虚拟数据中心网络和外部 IP 地址之间的 VPN 通道。您可以在 Edge 网关上配置 IPsec VPN 服务。
最常见的方案是设置从远程网络到组织虚拟数据中心的 IPsec VPN 连接。NSX 软件提供了 Edge 网关的 IPsec VPN 功能,包括支持证书身份验证、预共享密钥模式以及自身与远程 VPN 路由器之间的 IP 单播通信。您还可以配置多个子网,以便通过 IPsec 通道连接到 Edge 网关后的内部网络。配置多个子网通过 IPsec 通道连接到内部网络时,这些子网和 Edge 网关后的内部网络不能具有重叠地址范围。
注: 如果 IPsec 通道的本地和远程对等方具有重叠 IP 地址,则跨通道的流量转发可能会不一致,具体取决于是否存在本地连接的路由和自动检测到的路由。
支持以下 IPsec VPN 算法:
- AES (AES128-CBC)
- AES256 (AES256-CBC)
- Triple DES (3DES192-CBC)
- AES-GCM (AES128-GCM)
- DH-2(Diffie-Hellman 组 2)
- DH-5(Diffie-Hellman 组 5)
- DH-14(Diffie-Hellman 组 14)
注: IPsec VPN 不支持动态路由协议。在组织虚拟数据中心的 Edge 网关与远程站点的物理网关 VPN 之间配置 IPsec VPN 通道时,无法为该连接配置动态路由。Edge 网关上行链路上的动态路由无法获知该远程站点的 IP 地址。
如《NSX 管理指南》中的“IPSec VPN 概览”主题所述,Edge 网关上支持的最大通道数取决于为其配置的大小:紧凑、大型、超大型、四倍大。
要查看 Edge 网关配置的大小,请导航到该 Edge 网关,然后单击该 Edge 网关名称。
在 Edge 网关上配置 IPsec VPN 是一个多步骤过程。
注: 如果通道端点之间存在防火墙,那么在配置 IPsec VPN 服务后,请更新防火墙规则,以便允许以下 IP 协议和 UDP 端口:
- IP 协议 ID 50 (ESP)
- IP 协议 ID 51 (AH)
- UDP 端口 500 (IKE)
- UDP 端口 4500