基于路由的 IPSec VPN 根据静态路由或通过特殊接口(称为虚拟隧道接口 (VTI))使用 BGP 等协议动态学习的路由提供流量隧道。IPSec 会保护流经 VTI 的所有流量。
- 通过 IPSec VPN 隧道进行路由时不支持 OSPF 动态路由。
- 在基于 Tier-1 网关的 VPN 上不支持 VTI 动态路由。
- 目的地为 Tier-1 网关的基于路由的 VPN,不支持基于 IPSec VPN 的负载均衡器。
- 使用 NAT 和 IPSec 配置 NSX 时,请务必遵循正确的步骤顺序以确保正常运行。具体来说,在设置 VPN 连接之前配置 NAT。如果无意中在 NAT 之前配置 VPN,例如,在配置 VPN 会话后添加 NAT 规则,VPN 隧道将保持关闭状态。您必须重新启用或重新启动 VPN 配置,才能重新建立 VPN 隧道。为避免出现此问题,请始终在 NSX 中设置 VPN 连接之前配置 NAT,否则请执行此解决办法。
基于路由的 IPSec VPN 类似于通过 IPSec 的常规路由封装 (Generic Routing Encapsulation, GRE),区别在于应用 IPSec 处理之前不会向数据包添加额外的封装。
在该 VPN 隧道方法中,将在 NSX Edge 节点上创建 VTI。每个 VTI 都与一个 IPSec 隧道相关联。加密流量通过 VTI 接口从一个站点路由到另一个站点。IPSec 处理仅在 VTI 进行。
VPN 隧道冗余
您可以使用在 Tier-0 网关上配置的基于路由的 IPSec VPN 会话配置 VPN 隧道冗余。通过使用隧道冗余,可以在两个站点之间设置多个隧道,将一个隧道作为主隧道并在主隧道变得不可用时故障切换到其他隧道。在站点具有多个连接选项(例如,连接到不同的 ISP 以提供链路冗余)时,该功能是非常有用的。
- 在 NSX-T Data Center 中,仅支持通过 BGP 提供 IPSec VPN 隧道冗余。
- 在基于路由的 IPSec VPN 隧道中,请勿使用静态路由来实现 VPN 隧道冗余。
下图显示了两个站点之间的 IPSec VPN 隧道冗余的逻辑表示。在此图中,站点 A 和站点 B 表示两个数据中心。对于此示例,假设 NSX-T Data Center 不在站点 A 中管理 Edge VPN 网关,NSX-T Data Center 在站点 B 中管理 Edge 网关虚拟设备。
如图所示,您可以使用 VTI 配置两个独立的 IPSec VPN 隧道。使用 BGP 协议配置动态路由,以实现隧道冗余。如果这两个 IPSec VPN 隧道都可用,将一直提供服务。通过 NSX Edge 节点从站点 A 传输到站点 B 的所有流量是通过 VTI 路由的。数据流量将进行 IPSec 处理,然后从关联的 NSX Edge 节点上行链路接口中传出。从 NSX Edge 节点上行链路接口上的站点 B VPN 网关收到的所有入站 IPSec 流量将在解密后转发到 VTI,然后进行正常路由。
必须配置 BGP HoldDown 定时器和 KeepAlive 定时器值,以检测在所需的故障切换时间内与对等站点的连接是否中断。请参见配置 BGP。