NSX Edge 支持在 NSX Edge 实例与远程站点之间实施点对点 IPSec VPN。IPSec VPN 隧道由两个端点组成。隧道的两个端点必须保持一致,包括 IP 子网和加密标准。
必须在 IPSec VPN 隧道的所有组件上打开以下端口:
- 端口 500。当端点之间没有 NAT 设备时使用此端口。
- 端口 4500。当端点之间有 NAT 设备时使用此端口。
请确保防火墙规则允许封装式安全负载 (Encapsulating Security Payload, ESP) 数据包通过。
可能会导致 IPSec 隧道发生故障的常见配置错误问题如下所示:
- vSphere Distributed Switch 上的 MTU 配置设置过低。低 MTU 配置会引起数据包出现碎片,并导致隧道创建失败。
- 部分第三方 VPN 解决方案提供积极协商模式。NSX Data Center for vSphere 仅支持标准协商模式(主模式)。
- 虚拟机配置为通过 IPSec VPN 隧道进行 IPv6 通信。目前,NSX Data Center for vSphere 不支持 IPv6 通信。
