Über die Benutzeroberfläche von NSX Manager können Sie entweder ein (richtlinienbasiertes oder routenbasiertes) IPSec-VPN oder ein L2-VPN hinzufügen.

In den folgenden Abschnitten finden Sie Informationen zu den Workflows, die zum Einrichten Ihres VPN-Dienstes erforderlich sind. In den auf diese Abschnitte folgenden Themen wird beschrieben, wie Sie über die Benutzeroberfläche von NSX Manager entweder ein IPSec-VPN oder ein L2-VPN hinzufügen.

Workflow für die Konfiguration eines richtlinienbasierten IPSec-VPN

Im Rahmen des Workflows für die Konfiguration eines richtlinienbasierten IPSec-VPN-Dienstes müssen Sie die folgenden allgemeinen Schritte ausführen:
  1. Erstellen und aktivieren Sie einen IPSec-VPN-Dienst mithilfe eines vorhandenen Tier-0- oder Tier-1-Gateways. Siehe Hinzufügen eines IPSec-VPN-Dienstes.
  2. Erstellen Sie ein DPD-Profil (Dead Peer Detection), sofern Sie den Systemstandard nicht verwenden möchten. Siehe Hinzufügen von DPD-Profilen.
  3. Um ein IKE-Profil (Internet Key Exchange) zu verwenden, das sich vom Systemstandard unterscheidet, definieren Sie ein IKE-Profil. Siehe Hinzufügen von IKE-Profilen.
  4. Konfigurieren Sie ein IPSec-Profil mithilfe von Hinzufügen von IPSec-Profilen.
  5. Verwenden Sie Hinzufügen von lokalen Endpoints, um auf dem Gateway am NSX Edge einen VPN-Endpoint für die IPSec-VPN-Sitzung zu erstellen.
  6. Konfigurieren Sie eine richtlinienbasierte IPSec-VPN-Sitzung, wenden Sie die Profile an und hängen Sie den lokalen Endpoint dort an. Siehe Hinzufügen einer richtlinienbasierten IPSec-Sitzung. Geben Sie die lokalen Subnetze und Peer-Subnetze an, die für den Tunnel verwendet werden sollen. Der Datenverkehr von einem lokalen Subnetz an ein Peer-Subnetz wird mithilfe des Tunnels geschützt, der in der Sitzung definiert wird.
  7. Um eine repräsentative VPN-Konfiguration auf dem Remote-VPN-Endpoint zu erhalten, verwenden Sie Konfiguration herunterladen. Diese Datei enthält Parameter, die aus der in Schritt 6 konfigurierten IPSec-VPN-Sitzung abgeleitet werden und zum Konfigurieren des Remote-Endpoints der VPN-Sitzung verwendet werden.

Workflow für die Konfiguration eines routenbasierten IPSec-VPN

Im Rahmen des Workflows für die Konfiguration eines routenbasierten IPSec-VPN-Dienstes müssen Sie die folgenden allgemeinen Schritte ausführen:
  1. Konfigurieren und aktivieren Sie einen IPSec-VPN-Dienst mithilfe eines vorhandenen Tier-0- oder Tier-1-Gateways. Siehe Hinzufügen eines IPSec-VPN-Dienstes.
  2. Definieren Sie ein IKE-Profil, sofern Sie das standardmäßige IKE-Profil nicht verwenden möchten. Siehe Hinzufügen von IKE-Profilen.
  3. Wenn Sie das standardmäßige IPSec-Profil des Systems nicht verwenden möchten, erstellen Sie eines mit Hinzufügen von IPSec-Profilen.
  4. Erstellen Sie ein DPD-Profil, wenn Sie das Standard-DPD-Profil nicht verwenden möchten. Siehe Hinzufügen von DPD-Profilen.
  5. Verwenden Sie Hinzufügen von lokalen Endpoints, um auf dem Gateway am NSX Edge einen VPN-Endpoint für die IPSec-VPN-Sitzung zu erstellen.
  6. Konfigurieren Sie eine routenbasierte IPSec-VPN-Sitzung, wenden Sie die Profile an und hängen Sie den lokalen Endpoint an die Sitzung an. Stellen Sie eine VTI-IP in der Konfiguration bereit und verwenden Sie dieselbe IP-Adresse, um das Routing zu konfigurieren. Die Routen können statisch oder dynamisch sein (unter Verwendung von BGP). Siehe Hinzufügen einer routenbasierten IPSec-Sitzung.
  7. Um eine repräsentative VPN-Konfiguration auf dem Remote-VPN-Endpoint zu erhalten, verwenden Sie Konfiguration herunterladen. Diese Datei enthält Parameter, die aus der in Schritt 6 konfigurierten IPSec-VPN-Sitzung abgeleitet werden und zum Konfigurieren des Remote-Endpoints der VPN-Sitzung verwendet werden.

Workflow für die Konfiguration eines L2-VPN

Für die Konfiguration eines L2-VPN müssen Sie einen L2-VPN-Dienst im Servermodus und dann einen anderen L2-VPN-Dienst im Clientmodus konfigurieren. Sie müssen auch die Sitzungen für den L2-VPN-Server und den L2-VPN-Client mithilfe des Peer-Codes konfigurieren, der vom L2-VPN-Server generiert wird. Nachfolgend wird ein allgemeiner Workflow zum Konfigurieren eines L2-VPN-Dienstes beschrieben.
  1. Erstellen Sie einen L2-VPN-Dienst im Servermodus.
    1. Konfigurieren Sie einen routenbasierten IPSec-VPN-Tunnel mit einem Tier-0- oder Tier-1-Gateway und dann mithilfe dieses routenbasierten IPSec-Tunnels einen L2-VPN-Serverdienst. Siehe Hinzufügen eines L2-VPN-Serverdienstes.
    2. Konfigurieren Sie eine L2-VPN-Serversitzung, die den neu erstellten routenbasierten IPSec-VPN-Dienst und den L2-VPN-Serverdienst bindet und die GRE-IP-Adressen automatisch zuweist. Siehe Hinzufügen einer L2-VPN-Server-Sitzung.
    3. Fügen Sie Segmente zu den L2-VPN-Serversitzungen hinzu. Dieser Schritt wird auch in Hinzufügen einer L2-VPN-Server-Sitzung beschrieben.
    4. Ermitteln Sie durch Herunterladen der L2-VPN-Konfigurationsdatei der Remoteseite den Peer-Code für die Sitzung des L2-VPN-Serverdienstes, der auf die Remote-Site angewendet und zur automatischen Konfiguration der L2-VPN-Clientsitzung verwendet werden muss.
  2. Erstellen Sie einen L2-VPN-Dienst im Clientmodus.
    1. Konfigurieren Sie einen weiteren routenbasierten IPSec-VPN-Dienst mit einem anderen Tier-0- oder Tier-1-Gateway und konfigurieren Sie dann mit diesem soeben konfigurierten Tier-0- oder Tier-1-Gateway einen L2-VPN-Clientdienst. Weitere Informationen finden Sie unter Hinzufügen eines L2-VPN-Clientdiensts.
    2. Definieren Sie die L2-VPN-Clientsitzungen, indem Sie den vom L2-VPN-Serverdienst generierten Peer-Code importieren. Siehe Hinzufügen einer L2-VPN-Clientsitzung.
    3. Fügen Sie den im vorherigen Schritt definierten L2-VPN-Clientsitzungen Segmente hinzu. Dieser Schritt wird unter Hinzufügen einer L2-VPN-Clientsitzung beschrieben.