NSX 在 Tier-0 或 Tier-1 网关和远程站点之间支持站点到站点 IPSec VPN 服务。您可以创建基于策略或基于路由的 IPSec VPN 服务。在可以配置基于策略或基于路由的 IPSec VPN 会话之前,您必须首先创建 IPSec VPN 服务。

注: IPSec VPN 在 NSX Limited Export 版本中不受支持。

在本地端点 IP 地址在配置了 IPSec VPN 会话的同一逻辑路由器中执行 NAT 时,不支持 IPSec VPN。

前提条件

  • 熟悉 IPSec VPN。请参见了解 IPSec VPN
  • 您必须配置了至少一个 Tier-0 或 Tier-1 网关,并且可以使用这些网关。有关详细信息,请参见添加 NSX Tier-0 网关添加 NSX Tier-1 网关
  • 使用 NAT 和 IPSec 配置 NSX 时,请务必遵循正确的步骤顺序以确保正常运行。具体来说,在设置 VPN 连接之前配置 NAT。如果无意中在 NAT 之前配置 VPN,例如,在配置 VPN 会话后添加 NAT 规则,VPN 隧道将保持关闭状态。您必须重新启用或重新启动 VPN 配置,才能重新建立 VPN 隧道。要避免出现此问题,请始终在 NSX 中设置 VPN 连接之前配置 NAT,否则请执行相应解决办法以解决该问题。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 导航到 网络 > VPN > VPN 服务
  3. 选择添加服务 > IPSec
  4. 输入 IPSec 服务的名称。
    此名称是必填字段。
  5. Tier-0/Tier-1 网关下拉菜单中,选择要与该 IPSec VPN 服务关联的 Tier-0 或 Tier-1 网关。
  6. 启用或禁用管理状态
    默认情况下,该值设置为 Enabled,这意味着在配置新的 IPSec VPN 服务后在 Tier-0 或 Tier-1 网关上启用了 IPSec VPN 服务。
  7. 设置 IKE 日志级别的值。
    默认值设置为 Info 级别。
  8. 如果您希望在标记组中包括此服务,请输入标记的值。
  9. 要启用或禁用 VPN 会话的有状态同步,请切换会话同步
    默认情况下,该值设置为 Enabled
  10. 如果要允许在没有任何 IPSec 保护的情况下在指定的本地和远程 IP 地址之间交换数据包,请单击全局绕过规则。在本地网络远程网络文本框中,输入要在之间应用绕过规则的本地和远程子网列表。
    如果启用这些规则,即使在 IPSec 会话规则中指定了本地和远程 IP 站点的 IP 地址,也会在指定的本地和远程 IP 站点之间交换数据包。默认设置是在本地和远程站点之间交换数据时使用 IPSec 保护。这些规则适用于在该 IPSec VPN 服务中创建的所有 IPSec VPN 会话。
  11. 如果要允许在没有任何 IPSec 保护的情况下在指定的本地和远程 IP 地址之间交换数据包,请单击全局绕过规则。在本地网络远程网络文本框中,输入要在之间应用绕过规则的本地和远程子网列表。
    如果启用这些规则,即使在 IPSec 会话规则中指定了本地和远程 IP 站点的 IP 地址,也会在指定的本地和远程 IP 站点之间交换数据包。默认设置是在本地和远程站点之间交换数据时使用 IPSec 保护。这些规则适用于在该 IPSec VPN 服务中创建的所有 IPSec VPN 会话。
  12. 单击保存 (Save)
    成功创建新 IPSec VPN 服务后,系统会询问您是否要继续进行其余的 IPSec VPN 配置。如果单击 ,您将返回到“添加 IPSec VPN 服务”面板。 会话链接现已启用,您可以单击该链接以添加 IPSec VPN 会话。

结果

在添加一个或多个 IPSec VPN 会话后,每个 VPN 服务的会话数将显示在 VPN 服务选项卡中。您可以单击 会话列中的数字以重新配置或添加会话。您不需要编辑服务。如果数字为零,则无法单击该数字,您必须编辑服务以添加会话。

下一步做什么

使用添加 IPSec VPN 会话中的信息引导您添加 IPSec VPN 会话。您还将提供完成 IPSec VPN 配置所需的配置文件和本地端点的信息。