Ein richtlinienbasiertes VPN erstellt einen IPSec-Tunnel und eine Richtlinie, die festlegt, wie der Datenverkehr ihn verwendet. Wenn Sie ein richtlinienbasiertes VPN verwenden, müssen Sie die Routing-Tabellen an beiden Enden des Netzwerks aktualisieren, wenn neue Routen hinzugefügt werden.
In diesem Thema wird erläutert, wie Sie ein richtlinienbasiertes VPN erstellen, über das eine Verbindung mit der standardmäßigen öffentlichen oder privaten IP des SDDC hergestellt wird. Wenn Sie über ein SDDC mit zusätzlichen Tier-1-Gateways verfügen (siehe Hinzufügen eines benutzerdefinierten Tier-1-Gateways zu einem VMware Cloud on AWS-SDDC), können Sie auf NSX MANAGER ÖFFNEN klicken und VPN-Dienste hinzufügen, die auf diesen Gateways beendet werden. Weitere Informationen finden Sie im Administratorhandbuch für NSX Data Center unter Hinzufügen von VPN-Diensten.
In VMware Cloud on AWS bieten VPN-Dienste für ein Tier-1-Gateway keine Unterstützung für BGP.
Richtlinienbasierte VPNs in Ihrem VMware Cloud on AWS-SDDC verwenden ein IPSec-Protokoll, um den Datenverkehr zu sichern. Um ein richtlinienbasiertes VPN zu erstellen, konfigurieren Sie den lokalen Endpoint (SDDC) und dann einen übereinstimmenden Remote-Endpoint (lokal). Da jedes richtlinienbasierte VPN eine neue IPSec-Sicherheitsverbindung für jedes Netzwerk erstellen muss, muss ein Administrator die Routing-Informationen vor Ort und im SDDC aktualisieren, sobald ein neues richtlinienbasiertes VPN erstellt wird. Ein richtlinienbasiertes VPN kann eine geeignete Wahl sein, wenn an beiden Enden des VPN nur wenige Netzwerke vorhanden sind oder wenn Ihre lokale Netzwerkhardware BGP nicht unterstützt (was für routenbasierte VPNs erforderlich ist).
Wenn Ihr SDDC sowohl ein richtlinienbasiertes VPN als auch eine andere Verbindung wie ein routenbasiertes VPN enthält, kann über das richtlinienbasierte VPN keine DX- oder VTGW-Konnektivität hergestellt werden, wenn eine dieser anderen Verbindungen die Standardroute (0.0.0.0/0) für das SDDC ankündigt. Wenn keine dieser anderen Verbindungen die Standardroute ankündigen, wird der gesamte Datenverkehr, der der VPN-Richtlinie entspricht, über das VPN geleitet, selbst wenn die anderen Verbindungen eine spezifischere Route bereitstellen. Im Falle einer Überschneidung wird eine routenbasierte VPN-Route gegenüber einer richtlinienbasierten VPN-Richtlinienüberstimmung bevorzugt.
Prozedur
Ergebnisse
- Klicken Sie auf KONFIGURATION HERUNTERLADEN, um eine Datei herunterzuladen, die die VPN-Konfigurationsdetails enthält. Sie können diese Details verwenden, um ein lokales Ende dieses VPN zu konfigurieren.
- Klicken Sie auf STATISTIKEN ANZEIGEN, um die Paketdatenverkehr-Statistiken für dieses VPN anzuzeigen. Weitere Informationen hierzu finden Sie unter Anzeigen von VPN-Tunnel-Statusinformationen und -Statistiken.
Nächste Maßnahme
Erstellen oder aktualisieren Sie Firewallregeln nach Bedarf. Um Datenverkehr über das richtlinienbasierte VPN zuzulassen, geben Sie im Feld Angewendet auf Internet-Schnittstelle an.