在 PCG 和服务设备之间设置 IPSec VPN 会话。
前提条件
- 必须在转换 VPC/VNet 中部署一个或一对(实现 HA)PCG。
- 必须在公有云中设置服务设备,最好在转换 VPC/VNet 中进行设置。
过程
- 导航到网络 > VPN
- 添加类型为 IPSec 的 VPN 服务并注意以下特定于 NSX Cloud 的配置选项。有关其他详细信息,请参见添加 IPSec VPN 服务。
选项 描述 名称 此 VPN 服务的名称用于设置本地端点和 IPSec VPN 会话。请将其记录下来。 服务类型 确认此值设置为 IPSec。 Tier-0 网关 选择为转换 VPC/VNet 自动创建的 Tier-0 网关。其名称包含 VPC/VNet ID,例如,cloud-t0-vpc-6bcd2c13。 - 为 PCG 添加本地端点。本地端点的 IP 地址为在转换 VPC/VNet 中部署的 PCG 的标记 nsx:local_endpoint_ip 的值。登录到转换 VPC/VNet,查看此值。请注意以下特定于 NSX Cloud 的配置。有关其他详细信息,请参见添加本地端点。
选项 描述 名称 本地端点名称用于设置 IPSec VPN 会话。请将其记录下来。 VPN 服务 选择在步骤 2 中添加的 VPN 服务。 IP 地址 登录到 AWS 控制台或 Microsoft Azure 门户可查找此值。它是应用于 PCG 的上行链路接口的标记 nsx:local_endpoint_ip 的值。 - 在 PCG 和公有云中的服务设备(最好是在转换 VPC/VNet 中托管的服务设备)之间创建基于路由的 IPSec 会话。
选项 描述 类型 确认此值设置为基于路由。 VPN 服务 选择在步骤 2 中添加的 VPN 服务。 本地端点 选择在步骤 3 中创建的本地端点。 远程 IP 输入服务设备的专用 IP 地址。 注: 如果可使用公共 IP 地址访问服务设备,则将本地端点 IP 的公共 IP 地址(也称为辅助 IP)分配给 PCG 的上行链路接口。隧道接口 此子网必须与 VPN 隧道的服务设备子网一致。输入在服务设备中为 VPN 隧道设置的子网值,或记下在此处输入的值并确保在服务设备中设置 VPN 隧道时使用同一子网。 注: 在此隧道接口上配置 BGP。请参见 配置 BGP 和路由重新分发。远程 ID 输入公有云中服务设备的专用 IP 地址。 IKE 配置文件 IPSec VPN 会话必须与 IKE 配置文件相关联。如果创建了配置文件,请从下拉菜单中选择该配置文件。也可以使用默认配置文件。