NSX-T Data Center unterstützt einen Site-to-Site-IPSec-VPN-Dienst zwischen einem Tier-0- oder Tier-1-Gateway und Remote-Sites. Sie können einen richtlinienbasierten oder einen routenbasierten IPSec-VPN-Dienst erstellen. Sie müssen zuerst den IPSec-VPN-Dienst erstellen, bevor Sie entweder eine richtlinienbasierte oder eine routenbasierte IPSec-VPN-Sitzung konfigurieren können.

Hinweis: IPSec-VPNs werden in der NSX-T Data Center Limited Export-Version nicht unterstützt.

IPSec-VPN wird nicht unterstützt, wenn die IP-Adresse des lokalen Endpoints über NAT in denselben logischen Router geht, auf dem die IPSec-VPN-Sitzung konfiguriert ist.

Voraussetzungen

  • Machen Sie sich mit dem IPSec-VPN-Konzept vertraut. Siehe Grundlegendes zu IPSec-VPNs.
  • Mindestens ein Tier-0- oder Tier-1-Gateway muss konfiguriert und zur Verwendung verfügbar sein. Weitere Informationen hierzu finden Sie unter Hinzufügen eines Tier-0-Gateways oder Tier-1-Gateway hinzufügen.
  • Bei der Konfiguration von NSX-T Data Center ist es sowohl bei NAT als auch bei IPSec wichtig, die richtige Abfolge der Schritte einzuhalten, um ordnungsgemäße Funktion zu gewährleisten. Konfigurieren Sie insbesondere NAT, bevor Sie die VPN-Verbindung einrichten. Wenn Sie das VPN versehentlich vor NAT konfigurieren, z. B. indem Sie eine NAT-Regel hinzufügen, nachdem Ihre VPN-Sitzung konfiguriert wurde, bleibt der VPN-Tunnelstatus inaktiv. Sie müssen die VPN-Konfiguration erneut aktivieren oder neu starten, um den VPN-Tunnel wiederherzustellen. Um dieses Problem zu vermeiden, konfigurieren Sie immer NAT, bevor Sie die VPN-Verbindung in NSX-T Data Center einrichten, oder nutzen Sie die Problemumgehung, um das Problem zu beheben.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Navigieren Sie zu Netzwerk > VPN > VPN-Dienste.
  3. Wählen Sie Dienst hinzufügen > IPSec aus.
  4. Geben Sie einen Namen für den IPSec-Dienst ein.
    Dieser Name ist erforderlich.
  5. Wählen Sie im Dropdown-Menü Tier-0-/Tier-1-Gateway das Tier-0- oder Tier-1-Gateway aus, das diesem IPSec-VPN-Dienst zugeordnet werden soll.
  6. Aktivieren oder deaktivieren Sie Administrativer Status.
    Standardmäßig ist der Wert auf Enabled festgelegt. Dies bedeutet, dass der IPSec-VPN-Dienst auf dem Tier-0- oder Tier-1-Gateway aktiviert wird, nachdem der neue IPSec-VPN-Dienst konfiguriert wurde.
  7. Legen Sie den Wert für IKE-Protokollebene fest.
    Als Standardeinstellung ist die Ebene Info festgelegt.
  8. Geben Sie einen Wert für Tags ein, wenn Sie diesen Dienst in eine Tag-Gruppe aufnehmen möchten.
  9. Wenn Sie die statusbehaftete Synchronisierung von VPN-Sitzungen aktivieren oder deaktivieren möchten, schalten Sie Sitzungssynchronisierung um.
    Standardmäßig ist der Wert auf Enabled festgelegt.
  10. Klicken Sie auf Globale Umgehungsregeln, wenn Sie zulassen möchten, dass Datenpakete zwischen den angegebenen lokalen und Remote-IP-Adressen ohne IPSec-Schutz ausgetauscht werden. Geben Sie in den Textfeldern Lokale Netzwerke und Remotenetzwerke die Liste der lokalen Subnetze und der Remote-Subnetze ein, zwischen denen die Umgehungsregeln angewendet werden.
    Wenn Sie diese Regeln aktivieren, werden Datenpakete auch dann zwischen den angegebenen lokalen und Remote-IP-Sites ausgetauscht, wenn Ihre IP-Adressen in den IPSec-Sitzungsregeln angegeben sind. Standardmäßig wird der IPSec-Schutz verwendet, wenn Daten zwischen lokalen Sites und Remote-Sites ausgetauscht werden. Diese Regeln gelten für alle IPSec-VPN-Sitzungen, die innerhalb dieses IPSec-VPN-Diensts erstellt werden.
  11. Klicken Sie auf Speichern.
    Nachdem der neue IPSec-VPN-Dienst erfolgreich erstellt wurde, werden Sie gefragt, ob Sie mit der restlichen IPSec-VPN-Konfiguration fortfahren möchten. Wenn Sie auf Ja klicken, gelangen Sie wieder zum Bereich „IPSec-VPN-Dienst hinzufügen“. Der Link Sitzungen ist jetzt aktiviert und Sie können darauf klicken, um eine IPSec-VPN-Sitzung hinzuzufügen.

Ergebnisse

Nachdem eine oder mehrere IPSec-VPN-Sitzungen hinzugefügt wurden, wird die Sitzungsanzahl für jeden VPN-Dienst auf der Registerkarte VPN-Dienste angezeigt. Sie können Sitzungen neu konfigurieren oder hinzufügen, indem Sie in der Spalte Sitzungen auf die Zahl klicken. Sie müssen den Dienst nicht bearbeiten. Wenn die Zahl Null beträgt, können Sie nicht darauf klicken und müssen den Dienst stattdessen bearbeiten, um Sitzungen hinzuzufügen.

Nächste Maßnahme

Die Informationen in Hinzufügen von IPSec-VPN-Sitzungen können Ihnen beim Hinzufügen einer IPSec-VPN-Sitzung als Anleitung dienen. Außerdem geben Sie Informationen zu den Profilen und zum lokalen Endpoint an, die erforderlich sind, um die IPSec-VPN-Konfiguration abzuschließen.