VMware Cloud Director 支持在 NSX Edge 网关实例与远程站点之间进行基于策略的和基于路由的站点到站点 IPSec VPN 通信。
IPSec VPN 在 Edge 网关和远程站点之间提供站点到站点连接,后者也使用 NSX 或具有支持 IPSec 的第三方硬件路由器或 VPN 网关。
基于策略的 IPSec VPN 要求将 VPN 策略应用于数据包,确定哪些流量受到 IPSec 保护,然后再通过 VPN 通道传递。这种类型的 VPN 被视为是静态的,因为本地网络拓扑和配置发生更改时,还必须更新 VPN 策略设置以适应所做的更改。
NSX Edge 网关支持拆分通道配置,IPSec 流量优先采用路由形式。
在 NSX Edge 网关上使用 IPSec VPN 时,VMware Cloud Director 支持自动路由重新分发。
从版本 10.6 开始,您可以配置基于路由的站点到站点 IPSec VPN。要对 NSX Edge 网关使用基于路由的 IPSec VPN,VMware Cloud Director 仅支持静态路由。基于路由的 IPSec VPN 使用标准路由协议,并提供更好的可扩展性。它更适合更大型、更复杂的网络。
在 VMware Cloud Director Service Provider Admin Portal中配置 NSX IPSec VPN
可以在 NSX Edge 网关和远程站点之间配置站点到站点连接。远程站点必须使用 NSX,并具有第三方硬件路由器或支持 IPSec 的 VPN 网关。
在 NSX Edge 网关上配置 IPSec VPN 时,VMware Cloud Director 支持自动路由重新分发。
前提条件
- 如果要配置基于 NSX 路由的 IPSec VPN 通道,请配置静态路由。请参见在 VMware Cloud Director Service Provider Admin Portal 中配置 NSX Edge 网关上的静态路由。
- 如果您计划使用证书身份验证来保护 IPSec VPN 通信,请确认您的系统管理员已将本地 NSX Edge 网关的服务器证书和您所在组织的 CA 证书上载到 VMware Cloud Director 证书库。
-
如果要限制租户可以使用的安全配置文件数量,可以使用 VMware Cloud Director 单元管理工具 (CMT) 的
manage-config
子命令。例如,如果要将列表限制为FIPS
和Foundation
,请运行以下 CMT 命令。/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n networking.gatewayIpSecVpnTunnelSecurityTypeDisallowList -v PROVIDER_PREFERRED,FIPS,FOUNDATION
过程
结果
下一步做什么
- 要验证通道是否正常工作,请选择该通道,然后单击查看统计信息。
如果通道正常工作,通道状态和 IKE 服务状态均显示可访问。
- 配置 IPSec VPN 通道的远程端点。
- 您可以根据需要编辑 IPSec VPN 通道设置并自定义其安全配置文件。
在 VMware Cloud Director Service Provider Admin Portal 中自定义 IPSec VPN 通道的安全配置文件
如果您决定不使用创建时分配给 IPSec VPN 通道的系统生成的安全配置文件,则可以对其进行自定义。