您希望在本地站点上的 NSX Edge 与对等站点上的远程 VPN 网关之间配置基于路由的 IPSec 隧道。

与用于配置本地和远程子网的基于策略的 IPSec 隧道配置不同,在基于路由的 IPSec 隧道配置中,您不需要定义要相互通信的本地和对等子网。在基于路由的 IPSec 隧道配置中,必须在本地站点和对等站点上定义具有专用 IP 地址的 VTI。来自本地子网的流量将通过该 VTI 路由到对等子网。可使用动态路由协议(如 BGP)来通过 IPSec 隧道路由流量。动态路由协议决定使用 IPSec 隧道将来自哪个本地子网的流量路由到对等子网。

以下步骤介绍了在两个站点之间配置基于路由的 IPSec 隧道的过程:
  1. 在本地 NSX Edge 上配置 IPSec VPN 参数。在 NSX Data Center 6.4.2 和更高版本中,您只能使用 REST API 配置基于路由的 IPSec VPN 参数。有关详细信息,请参见NSX API 指南》
    • 本地端点 IP 地址和本地 ID,用于标识本地 NSX Edge 网关。
    • 对等端点 IP 地址和对等 ID,用于标识对等 VPN 网关。
    • IKE 版本,用于在两个站点之间建立安全关联。
    • 摘要算法。
    • 加密算法。
    • 身份验证机制(预共享密钥或者证书)。
    • Diffie-hellman (DH) 组公钥加密方案。
    • 启用或禁用完美前向保密。
    • 启用或禁用“仅响应者”模式。
    • NSX Edge 上的虚拟隧道接口 (VTI)。请为 VTI 提供静态专用 IP 地址。
    注: 您配置的 VTI 是静态 VTI。因此,它不能拥有多个 IP 地址。最佳做法是确保本地和对等站点上的 VTI IP 地址位于同一子网上。
  2. 使用 IPSec 配置下载 API 获取对等配置以供参考,并配置对等 VPN 网关。
  3. 在两个站点的 VTI 之间配置 BGP 对等项。对等项可确保本地站点上的 BGP 将本地子网播发给对等 VPN 网关,对等站点上的 BGP 同样可将远程子网播发给本地 VPN 网关。有关配置 BGP 的更多详细信息,请参见NSX 管理指南》中的“路由”部分。
    重要说明:NSX 6.4.2 和更高版本中,不支持通过 IPSec 隧道进行静态路由和 OSPF 动态路由。
  4. 如果您想要通过多个隧道配置隧道冗余,请配置 BGP 抑制 (Hold Down)定时器和保持活动 (Keep Alive)定时器值。定时器值有助于在所需的故障切换时间内检测与远程 VPN 网关的连接是否中断。

有关在本地 NSX Edge 与远程 Cisco CSR 1000V VPN 网关之间配置基于路由的 IPSec 隧道的详细示例,请参见使用 Cisco CSR 1000V 设备