NSX-T Data CenterNSX Edge 上支持 IPSec VPN 和第 2 层 VPN (L2VPN)。

注: IPSec VPN 和 L2VPN 在 NSX-T Data Center Limited Export 版本中不受支持。

IPSEC VPN

IPSec VPN 可以保护经 IPSec 网关(称为端点)在通过公共网络连接的两个网络之间流动的流量。NSX Edge 仅支持隧道模式,该模式将 IP 隧道与封装安全负载 (Encapsulating Security Payload, ESP) 结合使用。

IPSec VPN 使用 IKE 协议来协商安全参数。默认 UDP 端口设置为 500。如果在网关中检测到 NAT,则该端口设置为 4500。

注: IPSec VPN 仅在第 0 层逻辑路由器上受支持。

NSX Edge 支持两种类型的 VPN:基于策略的 VPN 和基于路由的 VPN。

基于策略的 VPN 要求对转发到 IPSec 服务的数据包应用策略。这种类型的 VPN 视为静态的,因为当本地网络拓扑和配置更改时,还必须更新策略设置以适应相关更改。

基于路由的 VPN 根据通过特殊接口(称为虚拟隧道接口 (VTI))使用 BGP 等协议动态学习的路由提供流量隧道。IPSec 会保护流经虚拟隧道接口 (VTI) 的所有流量。

L2VPN

借助 L2VPN 连接,可以将第 2 层网络从内部部署数据中心扩展至诸如 VMware Cloud on Amazon (VMC) 等云。该连接受基于路由的 IPSec 隧道保护。

扩展的网络是具有单个广播域的单个子网,因此您可以在内部部署数据中心和公有云之间迁移虚拟机,而不必更改其 IP 地址。

除了支持数据中心迁移,还可以使用借助 L2VPN 扩展的内部部署网络来进行灾难恢复以及动态预留外部部署计算资源,以满足云突发需求增加。

每个 L2VPN 会话都有一个 GRE 隧道。不支持隧道冗余。一个 L2VPN 会话最多可以扩展至 4094 个第 2 层网络。

注:NSX-T Data CenterNSX Data Center for vSphere 中管理或未管理的 NSX Edge 之间支持 L2VPN。