PCG 和服务设备之间设置 IPSec VPN 会话。

前提条件

  • 必须在转换 VPC/VNet 中部署一个或一对(实现 HA)PCG
  • 必须在公有云中设置服务设备,最好在转换 VPC/VNet 中进行设置。

过程

  1. 导航到网络 > VPN
  2. 添加类型为 IPSec 的 VPN 服务并注意以下特定于 NSX Cloud 的配置选项。有关其他详细信息,请参见添加 IPSec VPN 服务
    选项 说明
    名称 此 VPN 服务的名称用于设置本地端点和 IPSec VPN 会话。请将其记录下来。
    服务类型 确认此值设置为 IPSec。
    Tier-0 网关 选择为转换 VPC/VNet 自动创建的 Tier-0 网关。其名称包含 VPC/VNet ID,例如,cloud-t0-vpc-6bcd2c13
  3. PCG 添加本地端点。本地端点的 IP 地址为在转换 VPC/VNet 中部署的 PCG 的标记 nsx:local_endpoint_ip 的值。登录到转换 VPC/VNet,查看此值。请注意以下特定于 NSX Cloud 的配置。有关其他详细信息,请参见添加本地端点
    选项 说明
    名称 本地端点名称用于设置 IPSec VPN 会话。请将其记录下来。
    VPN 服务 选择在步骤 2 中添加的 VPN 服务。
    IP 地址 登录到 AWS 控制台或 Microsoft Azure 门户可查找此值。它是应用于 PCG 的上行链路接口的标记 nsx:local_endpoint_ip 的值。
  4. PCG 和公有云中的服务设备(最好是在转换 VPC/VNet 中托管的服务设备)之间创建基于路由的 IPSec 会话
    选项 说明
    类型 确认此值设置为基于路由
    VPN 服务 选择在步骤 2 中添加的 VPN 服务。
    本地端点 选择在步骤 3 中创建的本地端点。
    远程 IP 输入服务设备的专用 IP 地址。
    注: 如果可使用公共 IP 地址访问服务设备,则将本地端点 IP 的公共 IP 地址(也称为辅助 IP)分配给 PCG 的上行链路接口。
    隧道接口 此子网必须与 VPN 隧道的服务设备子网一致。输入在服务设备中为 VPN 隧道设置的子网值,或记下在此处输入的值并确保在服务设备中设置 VPN 隧道时使用同一子网。
    注: 在此隧道接口上配置 BGP。请参见 配置 BGP 和路由重新分发
    远程 ID 输入公有云中服务设备的专用 IP 地址。
    IKE 配置文件 IPSec VPN 会话必须与 IKE 配置文件相关联。如果创建了配置文件,请从下拉菜单中选择该配置文件。也可以使用默认配置文件。

后续步骤

配置 BGP 和路由重新分发