基于策略的 IPSec VPN 要求将 VPN 策略应用到数据包,以确定哪些流量将受到 IPSec 的保护,然后通过 VPN 隧道。

这种类型的 VPN 视为静态的,因为当本地网络拓扑和配置更改时,还必须更新 VPN 策略设置以适应更改。

在将基于策略的 IPSec VPN 与 NSX-T Data Center 一起使用时,您可以使用 IPSec 隧道将 NSX Edge 节点后面的一个或多个本地子网连接到远程 VPN 站点上的对等子网。

使用 NAT 和 IPSec 配置 NSX 时,请务必遵循正确的步骤顺序以确保正常运行。具体来说,在设置 VPN 连接之前配置 NAT。如果无意中在 NAT 之前配置 VPN,例如,在配置 VPN 会话后添加 NAT 规则,VPN 隧道将保持关闭状态。您必须重新启用或重新启动 VPN 配置,才能重新建立 VPN 隧道。为避免出现此问题,请始终在 NSX 中设置 VPN 连接之前配置 NAT,否则请执行此解决办法。

您可以在 NAT 设备后面部署 NSX Edge 节点。在该部署中,NAT 设备将 NSX Edge 节点的 VPN 地址转换为面向 Internet 的公开访问地址。远程 VPN 站点使用该公共地址访问 NSX Edge 节点。

您也可以将远程 VPN 站点置于 NAT 设备的后面。您必须提供远程 VPN 站点的公用 IP 地址及其 ID(FQDN 或 IP 地址)才能设置 IPSec 隧道。在通道两端,VPN 地址需要静态一对一 NAT。

注: 配置了基于策略的 IPSec VPN 的 Tier-0 或 Tier-1 网关上不支持 DNAT。

IPSec VPN 可在内部部署网络和云软件定义的数据中心 (SDDC) 中的网络之间提供安全通信隧道。对于基于策略的 IPSec VPN,必须在两个端点上以对称方式配置会话中提供的本地和对等网络。例如,如果云 SDDC 的本地网络配置为 X、Y、Z 子网,并且对等网络为 A,则内部部署 VPN 配置必须使用 A 作为本地网络,使用 X、Y、Z 作为对等网络。即使 A 设置为 ANY (0.0.0.0/0),也会出现此情况。例如,如果云 SDDC 基于策略的 VPN 会话将本地网络配置为 10.1.1.0/24,并将对等网络配置为 0.0.0.0/0,则在内部部署 VPN 端点上,VPN 配置必须使用 0.0.0.0/0 作为本地网络,并使用 10.1.1.0/24 作为对等网络。如果配置不正确,则 IPSec VPN 隧道协商可能会失败。

NSX Edge 节点大小决定了支持的最大隧道数,如下表中所示。
表 1. 支持的 IPSec 隧道数量
Edge 节点大小 每个 VPN 会话的 IPSec

隧道数量(基于策略)

每个 VPN 服务的会话数量 每个 VPN 服务的 IPSec 隧道数量

(每个会话 16 个隧道)

小型 不适用(仅 POC/Lab) 不适用(仅 POC/Lab) 不适用(仅 POC/Lab)
中等 128 128 2048
大型 128(软限制) 256 4096
裸机 128(软限制) 512 6000
限制: 基于策略的 IPSec VPN 的内在架构会限制您设置 VPN 隧道冗余。

有关配置基于策略的 IPSec VPN 的信息,请参见添加 IPSec VPN 服务