Über die Benutzeroberfläche von NSX Manager können Sie entweder ein (richtlinienbasiertes oder routenbasiertes) IPSec-VPN oder ein L2-VPN hinzufügen.
In den folgenden Abschnitten finden Sie Informationen zu den Workflows, die zum Einrichten Ihres VPN-Dienstes erforderlich sind. In den auf diese Abschnitte folgenden Themen wird beschrieben, wie Sie über die Benutzeroberfläche von NSX Manager entweder ein IPSec-VPN oder ein L2-VPN hinzufügen.
Workflow für die Konfiguration eines richtlinienbasierten IPSec-VPN
Im Rahmen des Workflows für die Konfiguration eines richtlinienbasierten IPSec-VPN-Dienstes müssen Sie die folgenden allgemeinen Schritte ausführen:
- Erstellen und aktivieren Sie einen IPSec-VPN-Dienst mithilfe eines vorhandenen Tier-0- oder Tier-1-Gateways. Siehe Hinzufügen eines IPSec-VPN-Dienstes.
- Erstellen Sie ein DPD-Profil (Dead Peer Detection), sofern Sie den Systemstandard nicht verwenden möchten. Siehe Hinzufügen von DPD-Profilen.
- Um ein IKE-Profil (Internet Key Exchange) zu verwenden, das sich vom Systemstandard unterscheidet, definieren Sie ein IKE-Profil. Siehe Hinzufügen von IKE-Profilen.
- Konfigurieren Sie ein IPSec-Profil mithilfe von Hinzufügen von IPSec-Profilen.
- Verwenden Sie Hinzufügen von lokalen Endpoints, um auf dem Gateway am NSX Edge einen VPN-Endpoint für die IPSec-VPN-Sitzung zu erstellen.
- Konfigurieren Sie eine richtlinienbasierte IPSec-VPN-Sitzung, wenden Sie die Profile an und hängen Sie den lokalen Endpoint dort an. Siehe Hinzufügen einer richtlinienbasierten IPSec-Sitzung. Geben Sie die lokalen Subnetze und Peer-Subnetze an, die für den Tunnel verwendet werden sollen. Der Datenverkehr von einem lokalen Subnetz an ein Peer-Subnetz wird mithilfe des Tunnels geschützt, der in der Sitzung definiert wird.
- Um eine repräsentative VPN-Konfiguration auf dem Remote-VPN-Endpoint zu erhalten, verwenden Sie Konfiguration herunterladen. Diese Datei enthält Parameter, die aus der in Schritt 6 konfigurierten IPSec-VPN-Sitzung abgeleitet werden und zum Konfigurieren des Remote-Endpoints der VPN-Sitzung verwendet werden.
Workflow für die Konfiguration eines routenbasierten IPSec-VPN
Im Rahmen des Workflows für die Konfiguration eines routenbasierten IPSec-VPN-Dienstes müssen Sie die folgenden allgemeinen Schritte ausführen:
- Konfigurieren und aktivieren Sie einen IPSec-VPN-Dienst mithilfe eines vorhandenen Tier-0- oder Tier-1-Gateways. Siehe Hinzufügen eines IPSec-VPN-Dienstes.
- Definieren Sie ein IKE-Profil, sofern Sie das standardmäßige IKE-Profil nicht verwenden möchten. Siehe Hinzufügen von IKE-Profilen.
- Wenn Sie das standardmäßige IPSec-Profil des Systems nicht verwenden möchten, erstellen Sie eines mit Hinzufügen von IPSec-Profilen.
- Erstellen Sie ein DPD-Profil, wenn Sie das Standard-DPD-Profil nicht verwenden möchten. Siehe Hinzufügen von DPD-Profilen.
- Verwenden Sie Hinzufügen von lokalen Endpoints, um auf dem Gateway am NSX Edge einen VPN-Endpoint für die IPSec-VPN-Sitzung zu erstellen.
- Konfigurieren Sie eine routenbasierte IPSec-VPN-Sitzung, wenden Sie die Profile an und hängen Sie den lokalen Endpoint an die Sitzung an. Stellen Sie eine VTI-IP in der Konfiguration bereit und verwenden Sie dieselbe IP-Adresse, um das Routing zu konfigurieren. Die Routen können statisch oder dynamisch sein (unter Verwendung von BGP). Siehe Hinzufügen einer routenbasierten IPSec-Sitzung.
- Um eine repräsentative VPN-Konfiguration auf dem Remote-VPN-Endpoint zu erhalten, verwenden Sie Konfiguration herunterladen. Diese Datei enthält Parameter, die aus der in Schritt 6 konfigurierten IPSec-VPN-Sitzung abgeleitet werden und zum Konfigurieren des Remote-Endpoints der VPN-Sitzung verwendet werden.
Workflow für die Konfiguration eines L2-VPN
Für die Konfiguration eines L2-VPN müssen Sie einen L2-VPN-Dienst im Servermodus und dann einen anderen L2-VPN-Dienst im Clientmodus konfigurieren. Sie müssen auch die Sitzungen für den L2-VPN-Server und den L2-VPN-Client mithilfe des Peer-Codes konfigurieren, der vom L2-VPN-Server generiert wird. Nachfolgend wird ein allgemeiner Workflow zum Konfigurieren eines L2-VPN-Dienstes beschrieben.
- Erstellen Sie einen L2-VPN-Dienst im Servermodus.
- Konfigurieren Sie einen routenbasierten IPSec-VPN-Tunnel mit einem Tier-0- oder Tier-1-Gateway und dann mithilfe dieses routenbasierten IPSec-Tunnels einen L2-VPN-Serverdienst. Siehe Hinzufügen eines L2-VPN-Serverdienstes.
- Konfigurieren Sie eine L2-VPN-Serversitzung, die den neu erstellten routenbasierten IPSec-VPN-Dienst und den L2-VPN-Serverdienst bindet und die GRE-IP-Adressen automatisch zuweist. Siehe Hinzufügen einer L2-VPN-Server-Sitzung.
- Fügen Sie Segmente zu den L2-VPN-Serversitzungen hinzu. Dieser Schritt wird auch in Hinzufügen einer L2-VPN-Server-Sitzung beschrieben.
- Ermitteln Sie durch Herunterladen der L2-VPN-Konfigurationsdatei der Remoteseite den Peer-Code für die Sitzung des L2-VPN-Serverdienstes, der auf die Remote-Site angewendet und zur automatischen Konfiguration der L2-VPN-Clientsitzung verwendet werden muss.
- Erstellen Sie einen L2-VPN-Dienst im Clientmodus.
- Konfigurieren Sie einen weiteren routenbasierten IPSec-VPN-Dienst mit einem anderen Tier-0- oder Tier-1-Gateway und konfigurieren Sie dann mit diesem soeben konfigurierten Tier-0- oder Tier-1-Gateway einen L2-VPN-Clientdienst. Weitere Informationen finden Sie unter Hinzufügen eines L2-VPN-Clientdiensts.
- Definieren Sie die L2-VPN-Clientsitzungen, indem Sie den vom L2-VPN-Serverdienst generierten Peer-Code importieren. Siehe Hinzufügen einer L2-VPN-Clientsitzung.
- Fügen Sie den im vorherigen Schritt definierten L2-VPN-Clientsitzungen Segmente hinzu. Dieser Schritt wird unter Hinzufügen einer L2-VPN-Clientsitzung beschrieben.