NSX Edge unterstützt Site-to-Site-IPSec-VPN zwischen einer NSX Edge-Instanz und Remote-Sites. Zertifikatsauthentifizierung, Pre-Shared Key-Modus, IP-Unicast-Datenverkehr und kein dynamisches Routing-Protokoll werden zwischen der NSX Edge-Instanz und Remote-VPN-Routern unterstützt.

Sie können hinter jedem Remote-VPN-Router mehrere Subnetze konfigurieren, um hinter einer NSX Edge-Instanz über IPSec-Tunnel eine Verbindung mit dem internen Netzwerk herzustellen.

Anmerkung:

Subnetze und das interne Netzwerk hinter einer NSX Edge-Instanz dürfen keine überlappenden Adressbereiche aufweisen.

Wenn der lokale und der Remote-Peer eines IPSec-VPN sich überlappende IP-Adressen aufweisen, ist der über den Tunnel weitergeleitete Datenverkehr eventuell nicht konsistent, je nachdem, ob lokal verbundene oder Auto-Plumbed-Routen vorhanden sind.

Sie können einen NSX Edge-Agenten hinter einem NAT-Gerät bereitstellen. In dieser Bereitstellung übersetzt das NAT-Gerät die VPN-Adresse einer NSX Edge-Instanz in eine aus dem Internet zugängliche öffentliche Adresse. Remote-VPN-Router verwenden diese öffentliche Adresse für den Zugriff auf die NSX Edge-Instanz.

Sie können Remote-VPN-Router auch hinter einem NAT-Gerät platzieren. Zur Einrichtung des Tunnels müssen Sie sowohl die systemeigene VPN-Adresse als auch die VPN-Gateway-ID angeben. Für die VPN-Adresse ist auf beiden Seiten eine statische 1:1-Netzwerkadressübersetzung erforderlich.

Multiplizieren Sie zum Berechnen der Anzahl der benötigten Tunnel die Anzahl der lokalen Subnetze mit der Anzahl der Peer-Subnetze. Sind z. B. 10 lokale Subnetze und 10 Peer-Subnetze vorhanden, benötigen Sie 100 Tunnel. Die maximale Anzahl der unterstützten Tunnel wird durch die ESG-Größe bestimmt, wie nachfolgend dargestellt.

Tabelle 1. Anzahl der IPSec-Tunnel pro ESG

ESG

Anzahl der IPSec-Tunnel

Kompakt

512

Groß

1600

Quad Large

4096

Sehr groß

6000

Die folgenden IPSec-VPN-Algorithmen werden unterstützt:

  • AES (AES128-CBC)

  • AES256 (AES256-CBC)

  • Triple DES (3DES192-CBC)

  • AES-GCM (AES128-GCM)

  • DH-2 (Diffie–Hellman Group 2)

  • DH-5 (Diffie–Hellman Group 5)

Weitere Informationen zu den Beispielen für die Konfiguration von IPSec-VPN finden Sie unter NSX Edge Beispiele für VPN-Konfiguration.

Erläuterungen zur IPSec-VPN-Fehlerbehebung erhalten Sie unter https://kb.vmware.com/kb/2123580.