NSX-T Data Center unterstützt IPSec-VPNs und Schicht-2-VPNs (L2VPNs) auf dem NSX Edge.

Hinweis: IPSec-VPNs und L2VPNs werden in der NSX-T Data Center-Version mit Exportbeschränkung nicht unterstützt.

IPSec-VPN

IPSec-VPNs sichern den Datenverkehr zwischen zwei Netzwerken, die über ein öffentliches Netzwerk über IPSec-Gateways, sogenannte Endpoints, verbunden sind. NSX Edge unterstützt nur einen Tunnelmodus, der IP-Tunneling mit Encapsulating Security Payload (ESP) verwendet.

IPSec-VPNs verwenden das IKE-Protokoll zum Aushandeln der Sicherheitsparameter. Der Standard-UDP-Port ist auf 500 festgelegt. Wenn NAT im Gateway erkannt wird, wird der Port auf 4500 festgelegt.

Hinweis: IPSec-VPNs werden nur auf dem logischen Tier-0-Router unterstützt.

NSX Edge unterstützt zwei Arten von VPNs, richtlinienbasierte VPNs und routenbasierte VPNs.

Richtlinienbasierte VPNs erfordern die Anwendung einer Richtlinie auf Pakete, die an den IPSec-Dienst weitergeleitet werden. Diese Art von VPN wird als statisch angesehen, da bei Änderungen der lokalen Netzwerktopologie und -konfiguration auch die Richtlinieneinstellungen aktualisiert werden müssen, um den Änderungen Rechnung zu tragen.

Routenbasierte VPNs bieten Tunneling auf der Grundlage der dynamisch erlernten Routen über eine spezielle Schnittstelle, das so genannte Virtual Tunnel Interface (VTI), z. B. mit BGP als Protokoll. IPSec schützt den gesamten Datenverkehr, der über die virtuelle Tunnel-Schnittstelle (VTI) geleitet wird.

L2 VPN

L2VPN-Konnektivität ermöglicht die Erweiterung der Schicht-2-Netzwerke von einem lokalen Datencenter auf eine Cloud wie zum Beispiel VMware Cloud on Amazon (VMC). Diese Verbindung wird mit dem routenbasierten IPSec-Tunnel gesichert.

Das erweiterte Netzwerk besteht aus einem einzelnen Subnetz mit einer einzigen Broadcast-Domäne, sodass Sie VMs zwischen dem lokalen Datencenter und der Public Cloud migrieren können, ohne ihre IP-Adressen ändern zu müssen.

Außer für die Unterstützung der Migration von Datencentern eignet sich ein mit einem L2VPN erweitertes lokales Netzwerk auch für die Notfallwiederherstellung und die dynamische Einbindung von nicht-lokalen Computing-Ressourcen im Falle von Bedarfsspitzen mithilfe des so genannten Cloud-Bursting.

Jede L2VPN-Sitzung verfügt über genau einen GRE-Tunnel. Tunnelredundanz wird nicht unterstützt. Eine L2VPN-Sitzung kann bis zu 4.094 Schicht-2-Netzwerke erweitern.

Hinweis: L2VPN wird zwischen NSX-T Data Center und einer NSX Edge unterstützt, die entweder nicht verwaltet oder in einem NSX Data Center for vSphere verwaltet wird.