Sie möchten einen routenbasierte IPSec-Tunnel zwischen einem NSX Edge auf der lokalen Site und einem Remote-VPN-Gateway auf der Peer-Site konfigurieren.

Im Gegensatz zu einer richtlinienbasierten IPSec-Tunnel-Konfiguration, bei der Sie lokale und Remote-Subnetze konfigurieren, werden in einer routenbasierten IPSec-Tunnel-Konfiguration nicht die lokalen Subnetze und Peer-Subnetze definiert, die miteinander kommunizieren sollen. In einer routenbasierten IPSec-Tunnel-Konfiguration müssen Sie sowohl auf den lokalen als auch auf den Peer-Sites eine VTI mit einer privaten IP-Adresse definieren. Der Datenverkehr von den lokalen Subnetzen wird über die VTI an die Peer-Subnetze geleitet. Verwenden Sie ein dynamisches Routing-Protokoll wie BGP, um den Datenverkehr über den IPSec-Tunnel zu leiten. Das dynamisches Routing-Protokoll entscheidet, aus welchem lokalen Subnetz der Datenverkehr mithilfe des IPSec-Tunnels an das Peer-Subnetz weitergeleitet wird.

Die folgenden Schritte erläutern das Verfahren zum Konfigurieren eines routenbasierten IPSec-Tunnels zwischen den beiden Sites:
  1. Konfigurieren Sie die IPSec-VPN-Parameter auf der lokalen NSX Edge-Instanz. In NSX Data Center 6.4.2 und höher können Sie routenbasierte IPSec-VPN-Parameter nur über REST APIs konfigurieren. Weitere Informationen finden Sie im NSX-API-Handbuch.
    • Lokale Endpoint-IP-Adresse und lokale ID zum Identifizieren des lokalen NSX Edge-Gateways
    • Peer-Endpoint-IP-Adresse und Peer-ID zum Identifizieren des Peer-VPN-Gateways
    • IKE-Version zum Einrichten einer Sicherheitsverbindung zwischen beiden Sites.
    • Digest-Algorithmus
    • Verschlüsselungsalgorithmus
    • Authentifizierungsmechanismus (vorinstallierter Schlüssel oder Zertifikat)
    • Kryptografisches Schema für öffentlichen Schlüssel der Diffie-Hellman (DH)-Gruppe
    • Aktivieren oder deaktivieren Sie Perfect Forward Secrecy.
    • Aktivieren oder deaktivieren Sie den reinen Antwortdienst-Modus.
    • Virtuelle Tunnel-Schnittstelle (VTI) auf der NSX Edge-Instanz Geben Sie eine statische private IP-Adresse für die VTI an.
    Hinweis: Die von Ihnen konfigurierte VTI ist eine statische VTI. Aus diesem Grund kann sie nicht über mehr als eine IP-Adresse verfügen. Stellen Sie gemäß Best Practice sicher, dass sich die IP-Adresse der VTI sowohl auf den lokalen Sites als auch auf den Peer-Sites im selben Subnetz befindet.
  2. Verwenden Sie die Download-API der IPSec-Konfiguration, um die Peer-Konfiguration zu Referenzzwecken abzurufen, und konfigurieren Sie das Peer-VPN-Gateway.
  3. Konfigurieren Sie das BGP-Peering zwischen den VTIs auf beiden Sites. Durch das Peering wird sichergestellt, dass BGP auf der lokalen Site die lokalen Subnetze beim Peer-VPN-Gateway ankündigt und dass BGP auf der Peer-Site gleichermaßen Remotesubnetze beim lokalen VPN-Gateway ankündigt. Weitere Informationen zum Konfigurieren von BGP finden Sie im Abschnitt „Routing“ im NSX-Administratorhandbuch.
    Wichtig: In NSX 6.4.2 und höher werden das statische Routing und das dynamische OSPF-Routing über einen IPSec-Tunnel nicht unterstützt.
  4. Wenn Sie die Tunnel-Redundanz über mehrere Tunnel konfigurieren möchten, konfigurieren Sie einen Hold Down-Timer und Keep Alive-Timer-Werte für BGP. Die Timer-Werte helfen beim Erkennen des Konnektivitätsverlusts mit dem Remote-VPN-Gateway innerhalb der erforderlichen Failover-Zeit.

Ein detailliertes Beispiel für die Konfiguration eines routenbasierten IPSec-Tunnels zwischen einer lokalen NSX Edge-Instanz und einem Cisco CSR 1000V VPN-Remote-Gateway finden Sie unter Verwenden einer Cisco CSR 1000V-Appliance.