您可以使用在内部 NSX-T Data Center 部署中显示为自动创建的 Tier-0 网关的 PCG 来设置 VPN。这些说明特定于在NSX 实施模式下管理的工作负载虚拟机。
如果两个端点位于公有云中并由 PCG 管理,您可以使用 CSM API 在 NSX-T Data Center 中配置 VPN。请参见使用 API 自动设置公有云端点的 VPN。
前提条件
- 确认已在 VPC/VNet 中部署一个 PCG 或一个 PCG HA 对。
- 确认远程对等体支持基于路由的 VPN 和 BGP。
过程
- 在公有云中,找到 PCG 的由 NSX 分配的本地端点,并根据需要为其分配公共 IP 地址:
- 在 NSX Manager 中,为显示为 Tier-0 网关(名称类似于 cloud-t0-vpc/vnet-<vpc/vnet-id>)的 PCG 启用 IPSec VPN,并在此 Tier-0 网关的端点与所需 VPN 对等体的远程 IP 地址之间创建基于路由的 IPSec 会话。有关其他详细信息,请参见添加 IPSec VPN 服务。
- 导航到
。提供以下详细信息:
选项 描述 名称 输入 VPN 服务的描述性名称,例如 <VPC-ID>-AWS_VPN 或 <VNet-ID>-AZURE_VPN。 Tier-0/Tier-1 网关 在公有云中选择 PCG 的 Tier-0 网关。 - 导航到添加本地端点以了解其他详细信息:
。提供以下信息,并查看注: 如果您具有 PCG 实例的 HA 对,请在公有云中使用已附加到每个实例的相应本地端点 IP 地址为每个实例创建一个本地端点。
选项 描述 名称 输入本地端点的描述性名称,例如 <VPC-ID>-PCG-preferred-LE 或 <VNET-ID>-PCG-preferred-LE VPN 服务 选择您在步骤 2.a 中创建的 PCG Tier-0 网关的 VPN 服务。 IP 地址 输入您在步骤 1.b 中记录的 PCG 本地端点 IP 地址的值。 - 导航到添加基于路由的 IPSec 会话以了解其他详细信息:
。提供以下信息,并查看注: 如果要在 VPC 中部署的 PCG 与 VNet 中部署的 PCG 之间创建 VPN 隧道,则必须为 VPC 中每个 PCG 的本地端点和 VNet 中 PCG 的远程 IP 地址创建一个隧道,相反,从 VNet 中的 PCG 到 VPC 中 PCG 的远程 IP 地址亦是如此。您必须为活动 PCG 和备用 PCG 创建单独的隧道。这将在两个公有云之间生成全网状 IPSec 会话。
选项 描述 名称 输入 IPSec 会话的描述性名称,例如 <VPC--ID>-PCG1-to-remote_edge VPN 服务 选择在步骤 2.a 中创建的 VPN 服务。 本地端点 选择在步骤 2.b 中创建的本地端点。 远程 IP 输入要与其创建 VPN 隧道的远程对等体的公共 IP 地址。 注: 远程 IP 可以是专用 IP 地址,前提是您能够访问该专用 IP 地址,例如使用 DirectConnect 或 ExpressRoute 进行访问。隧道接口 以 CIDR 格式输入隧道接口。必须对远程对等方使用同一子网才能建立 IPSec 会话。
- 导航到
。提供以下详细信息:
- 展开 BGP,在您在步骤 2 中建立的 IPSec VPN 隧道接口上设置 BGP 邻居。有关更多详细信息,请参见配置 BGP。
- 导航到 。
- 选择为其创建 IPSec 会话的自动创建的 Tier-0 网关,然后单击编辑。
- 单击 BGP 部分下 BGP 邻居旁边的编号或图标,并提供以下详细信息:
选项 描述 IP 地址 使用在 IPSec 会话中的隧道接口上为 VPN 对等体配置的远程 VTI 的 IP 地址。
远程 AS 编号 此编号必须与远程对等体的 AS 编号相匹配。
- 展开路由重新分发,使用重新分发配置文件通告要用于 VPN 的前缀。在 NSX 实施模式下,连接重新分发配置文件中启用了 Tier-1 的路由。