在多租户 NSX 环境中,项目管理员可以在项目的 Tier-1 网关上配置 L2 VPN 和 IPSec VPN 服务。
要在项目的 Tier-1 网关上配置 VPN,必须将 Edge 集群分配到该项目。
项目中的 VPN 服务支持以下功能:
- 在项目的每个 Tier-1 网关上,只能配置一个 IPSec 服务和一个 L2 VPN 服务。
- 如果要配置基于路由的 IPSec VPN,则支持静态路由。项目的 Tier-1 网关不支持使用 BGP 的虚拟隧道接口 (VTI) 动态路由。
- 在项目中配置 IPSec VPN 和 L2 VPN 服务的工作流与在默认空间中配置这些服务的工作流相同。有关详细信息,请参见添加 NSX VPN 服务。
- 配置 IPSec VPN 会话时,同时支持预共享密钥身份验证和基于证书的身份验证。
- 如果需要,企业管理员可以与项目共享服务证书和证书吊销列表 (CRL)。如果为 IPSec VPN 会话配置了基于证书的身份验证,则项目管理员可以使用共享证书对 IPSec 端点进行身份验证。
- 或者,项目管理员可以在项目视图中创建、更新或管理服务证书和 CRL,然后使用这些证书和 CRL 配置项目中的 IPSec VPN 会话。
- 默认情况下,可以与系统中的所有项目共享系统创建的 VPN 配置文件。项目管理员可以使用以下默认 VPN 配置文件或创建新的配置文件,以在项目中配置 VPN 服务。
- IKE 配置文件
- IPSec 隧道配置文件
- DPD 配置文件
- L2 VPN 隧道配置文件
- 合规性套件相关配置文件
要了解如何添加 IKE、IPSec 和 DPD 配置文件,请参见添加配置文件。如果企业管理员已在默认空间中创建 VPN 配置文件,则可以根据需要与特定项目共享这些配置文件。可以在项目中以只读模式使用共享配置文件。
- 企业管理员可以通过为各种对象类型定义配额来限制可在项目下创建的 VPN 相关对象数。例如,可以在以下 VPN 对象上定义配额:
- IPSec VPN 会话
- L2 VPN 会话
- 本地端点
- IPSec VPN 服务
- L2 VPN 服务
- VPN 配置文件
此处所述仅为部分情形。要获取完整的对象列表,请转到 NSX Manager UI 上的“配额”选项卡。
- 支持在项目视图中监控 VPN 服务、VPN 会话和其他 VPN 统计信息的状态。
- 支持在同一 NSX 部署中的两个不同项目的 Tier-1 网关之间配置 L2 VPN 和 IPSec VPN 隧道。
- 支持在同一项目的 Tier-1 网关之间配置 L2 VPN 和 IPSec VPN 隧道。
在项目的 Tier-1 网关上配置 VPN 服务时,必须牢记以下几点:
- IPSec 本地端点在项目的 Tier-1 网关上作为环回 IP 实现。本地端点 IP 在整个数据中心内必须唯一。端点 IP 通告到与项目关联的 Tier-0 网关,然后通过 BGP 推送到上游网络。
- 要允许 IPSec 数据包(IKE UDP 端口 500 和 4500,ESP)传输到 Tier-1 网关,企业管理员必须在与项目关联的 Tier-0 网关上定义防火墙规则。系统不会在 Tier-0 网关上自动创建防火墙规则。但会在项目的 Tier-1 网关上自动创建防火墙规则,以在 IPSec VPN 会话中支持端点之间的 IKE 和 ESP 流量。