您可以使用 NSX Manager 用户界面 (UI) 添加 IPSec VPN(基于策略或基于路由)或 L2 VPN。
以下几节提供了有关在设置 VPN 服务时需要使用的工作流的信息。这些章节后面的主题提供有关如何使用 NSX Manager UI 添加 IPSec VPN 或 L2 VPN 的详细信息。
基于策略的 IPSec VPN 配置工作流
配置基于策略的 IPSec VPN 服务工作流需要执行以下汇总步骤。
- 使用现有 Tier-0 或 Tier-1 网关创建并启用一个 IPSec VPN 服务。请参见添加 IPSec VPN 服务。
- 如果您不希望使用系统默认值,请创建 DPD(不活动对等检测)配置文件。请参见添加 DPD 配置文件。
- 要使用非系统默认 IKE 配置文件,请定义 IKE(Internet 密钥交换)配置文件。请参见添加 IKE 配置文件。
- 使用添加 IPSec 配置文件配置 IPSec 配置文件。
- 使用添加本地端点在 NSX Edge 的网关上为 IPSec VPN 会话创建 VPN 端点。
- 配置基于策略的 IPSec VPN 会话,应用配置文件,并向其附加本地端点。请参见添加基于策略的 IPSec 会话。指定要用于隧道的本地和对等子网。从本地子网传输到对等子网的流量使用会话中定义的隧道进行保护。
- 要在远程 VPN 端点上获取 VPN 的代表性配置,请使用下载配置。此文件包含从步骤 6 中配置的 IPSec VPN 会话派生的参数,将用于配置 VPN 会话的远程端点。
基于路由的 IPSec VPN 配置工作流
基于路由的 IPSec VPN 配置工作流需要执行以下汇总步骤。
- 使用现有 Tier-0 或 Tier-1 网关配置并启用一个 IPSec VPN 服务。请参见添加 IPSec VPN 服务。
- 如果您不希望使用默认 IKE 配置文件,请定义 IKE 配置文件。请参见添加 IKE 配置文件。
- 如果您决定不使用系统默认的 IPSec 配置文件,请使用添加 IPSec 配置文件创建一个。
- 如果不希望使用默认 DPD 配置文件,请创建一个 DPD 配置文件。请参见添加 DPD 配置文件。
- 使用添加本地端点在 NSX Edge 的网关上为 IPSec VPN 会话创建 VPN 端点。
- 配置一个基于路由的 IPSec VPN 会话,应用配置文件,并将本地端点附加到该会话。在配置中提供一个 VTI IP,并使用相同的 IP 配置路由。路由可能是静态或动态的(使用 BGP)。请参见添加基于路由的 IPSec 会话。
- 要在远程 VPN 端点上获取 VPN 的代表性配置,请使用下载配置。此文件包含从步骤 6 中配置的 IPSec VPN 会话派生的参数,将用于配置 VPN 会话的远程端点。
L2 VPN 配置工作流
配置 L2 VPN 需要在服务器模式下配置 L2 VPN 服务,然后在客户端模式下配置另一个 L2 VPN 服务。您还必须为 L2 VPN 服务器配置会话,并使用 L2 VPN 服务器生成的对等代码为 L2 VPN 客户端配置会话。下面是配置 L2 VPN 服务的汇总工作流。
- 在服务器模式下创建 L2 VPN 服务。
- 使用 Tier-0 或 Tier-1 网关配置基于路由的 IPSec VPN 隧道,然后使用该基于路由的 IPSec 隧道配置 L2 VPN 服务器服务。请参见添加 L2 VPN 服务器服务。
- 配置 L2 VPN 服务器会话,将新创建的基于路由的 IPSec VPN 服务和 L2 VPN 服务器服务绑定在一起,并自动分配 GRE IP 地址。请参见添加 L2 VPN 服务器会话。
- 将分段添加到 L2 VPN 服务器会话。此步骤在添加 L2 VPN 服务器会话中也进行了介绍。
- 使用下载远程端 L2 VPN 配置文件获取 L2 VPN 服务器服务会话的对等代码,必须在远程站点上应用该代码并用于自动配置 L2 VPN 客户端会话。
- 在客户端模式下创建 L2 VPN 服务。
- 使用不同的 Tier-0 或 Tier-1 网关配置另一个基于路由的 IPSec VPN 服务,然后使用刚刚配置的 Tier-0 或 Tier-1 网关配置 L2 VPN 客户端服务。请参见添加 L2 VPN 客户端服务,了解相关信息。
- 通过导入 L2 VPN 服务器服务生成的对等代码定义 L2 VPN 客户端会话。请参见添加 L2 VPN 客户端会话。
- 将分段添加到上一步定义的 L2 VPN 客户端会话。此步骤在添加 L2 VPN 客户端会话中进行了介绍。