NSX Edge 支持在 NSX Edge 实例与远程站点之间实施点对点 IPSec VPN。在 NSX Edge 实例与远程 VPN 路由器之间,支持证书身份验证、预共享密钥模式、IP 单播通信和非动态路由协议。

在每个远程 VPN 路由器后面,您可以将多个子网配置为通过 IPSec 通道连接到位于 NSX Edge 后面的内部网络。

注:

子网和位于 NSX Edge 后面的内部网络的地址范围不能重叠。

如果通过 IPsec VPN 连接的本地网络和远程对等子网具有重叠的 IP 地址,则跨通道转发的流量可能不连贯,具体取决于是否存在本地连接的路由和自动检测到的路由。

可以在 NAT 设备后面部署 NSX Edge 代理。在此部署中,NAT 设备将 NSX Edge 实例的 VPN 地址转换为面向 Internet 的公开访问地址。远程 VPN 路由器可使用此公共地址访问 NSX Edge 实例。

您也可以将远程 VPN 路由器置于 NAT 设备的后面。您必须同时提供 VPN 本地地址和 VPN 网关 ID 以设置隧道。在通道两端,VPN 地址需要静态一对一 NAT。

所需的通道数量由本地子网数量乘以对等子网数量计算而得。例如,如果有 10 个本地子网和 10 个对等子网,则需要 100 个通道。支持的最大通道数量由 ESG 大小决定,如下所示。

表 1. 每个 ESG 的 IPSec 通道数量

ESG

IPSec 通道数量

精简

512

中型

1600

大型

4096

超大型

6000

支持以下 IPSec VPN 算法:

  • AES (AES128-CBC)

  • AES256 (AES256-CBC)

  • 三重 DES (3DES192-CBC)

  • AES-GCM (AES128-GCM)

  • DH-2 (Diffie–Hellman group 2)

  • DH-5 (Diffie–Hellman group 5)

  • DH-14 (Diffie–Hellman group 14)

  • DH-15 (Diffie–Hellman group 15)

  • DH-16 (Diffie–Hellman group 16)

有关 IPSec VPN 配置示例,请参见IPSec VPN 配置示例

有关 IPSec VPN 故障排除,请参见https://kb.vmware.com/kb/2123580