在基于策略的 IPSec VPN 中,您可以在本地站点上的 NSX Edge 后明确配置子网,这需要与对等站点上的远程子网进行加密的安全通信。
当本地 IPSec VPN 站点从不受保护的本地子网向对等站点上的受保护远程子网发出流量时,将丢弃该流量。
NSX Edge 后面的本地子网的 IP 地址范围不得与对等 VPN 站点上的 IP 地址重叠。如果通过 IPsec VPN 隧道连接的本地子网和远程对等子网具有重叠的 IP 地址,则跨隧道转发的流量可能不连贯。
可以在 NAT 设备后面部署 NSX Edge 代理。在此部署中,NAT 设备将 NSX Edge 实例的 VPN 地址转换为面向 Internet 的公开访问地址。远程 VPN 站点可使用此公共地址访问 NSX Edge 实例。
您也可以将远程 VPN 站点置于 NAT 设备的后面。您必须提供远程 VPN 站点的公用 IP 地址及其 ID(FQDN 或 IP 地址)以设置隧道。在通道两端,VPN 地址需要静态一对一 NAT。
ESG 大小决定着受支持隧道的最大数量,如下表所示。
ESG 大小 | IPSec 通道数量 |
---|---|
Compact | 512 |
中型 | 1600 |
大型 | 4096 |
超大型 | 6000 |
限制: 基于策略的 IPSec VPN 的内在架构会限制您设置 VPN 隧道冗余。
有关在 NSX Edge 与远程 VPN 网关之间配置基于策略的 IPSec 隧道的详细示例,请参见配置基于策略的 IPSec VPN 站点示例。