Verwendung von richtlinienbasiertem IPSec-VPN

Richtlinienbasiertes IPSec-VPN erfordert, dass eine VPN-Richtlinie auf Pakete angewendet wird, um festzustellen, welcher Datenverkehr durch IPSec geschützt werden soll, bevor er durch den VPN-Tunnel übergeben wird.

Diese Art von VPN wird als statisch angesehen, da bei Änderung einer lokalen Netzwerktopologie und -konfiguration auch die VPN-Richtlinieneinstellungen aktualisiert werden müssen, um den Änderungen Rechnung zu tragen.

Wenn Sie ein richtlinienbasiertes IPSec-VPN mit NSX verwenden, verbinden Sie mithilfe von IPSec-Tunneln ein oder mehrere lokale Subnetze hinter dem NSX Edge-Knoten mit den Peer-Subnetzen auf der Remote-VPN-Site.

Sie können einen NSX Edge-Knoten hinter einem NAT-Gerät bereitstellen. In dieser Bereitstellung übersetzt das NAT-Gerät die VPN-Adresse eines NSX Edge-Knotens in eine aus dem Internet zugängliche öffentliche Adresse. Remote-VPN-Sites verwenden diese öffentliche Adresse für den Zugriff auf den NSX Edge-Knoten.

Sie können Remote-VPN-Sites auch hinter einem NAT-Gerät platzieren. Zum Einrichten des IPSec-Tunnels müssen Sie die öffentliche IP-Adresse und die ID (FQDN oder IP-Adresse) der Remote-VPN-Site angeben. Für die VPN-Adresse ist auf beiden Seiten eine statische 1:1-Netzwerkadressübersetzung erforderlich.

Hinweis: DNAT wird auf nicht unterstützt für Tier-0- oder Tier-1-Gateways, für die richtlinienbasiertes IPSec-VPN konfiguriert ist.

IPSec-VPN kann einen sicheren Kommunikationstunnel zwischen einem lokalen Netzwerk und einem Netzwerk in Ihrem Cloud-Software-Defined Data Center (SDDC) bereitstellen. Für richtlinienbasiertes IPSec-VPN müssen die in der Sitzung bereitgestellten lokalen und Peer-Netzwerke auf beiden Endpoints symmetrisch konfiguriert werden. Wenn beim Cloud-SDDC beispielsweise die lokalen Netzwerke als X, Y, Z konfiguriert sind, und das Peer-Netzwerk A ist, muss die Konfiguration des lokalen VPN A als lokales Netzwerk und X, Y, Z als Peer-Netzwerk verwenden. Dieser Fall gilt auch dann, wenn A auf ANY (0.0.0.0/0) festgelegt ist. Wenn z. B. bei der richtlinienbasierten VPN-Verbindung des Cloud-SDDC das lokale Netzwerk als 10.1.1.0/24 konfiguriert ist, und das Peer-Netzwerk als 0.0.0.0/0, muss die VPN-Verbindung auf dem lokalen VPN-Endpoint 0.0.0.0/0 als lokales Netzwerk und 10.1.1.0/24 als Peer-Netzwerk verwenden. Wenn Sie falsch konfiguriert ist, schlägt die IPSec-VPN-Tunnelaushandlung möglicherweise fehl.

Die Größe des NSX Edge-Knotens bestimmt die maximale Anzahl unterstützter Tunnel, wie in der folgenden Tabelle dargestellt.

Tabelle 1. Anzahl der unterstützten IPSec-Tunnel
Edge-Knotengröße	Anzahl der IPSec-Tunnel pro VPN-Sitzung (richtlinienbasiert)	Anzahl der Sitzungen pro VPN-Dienst	Anzahl der IPSec-Tunnel pro VPN-Dienst (16-Tunnel pro Sitzung)
Klein	N. v. (nur POC/Lab)	N. v. (nur POC/Lab)	N. v. (nur POC/Lab)
Mittel	128	128	2048
Groß	128 (weiche Grenze)	256	4096
Bare Metal	128 (weiche Grenze)	512	6000

Einschränkung: Die vererbte Architektur des richtlinienbasierten IPSec-VPN schränkt Sie bei der Einrichtung einer VPN-Tunnel-Redundanz ein.

Weitere Informationen zum Konfigurieren eines richtlinienbasierten IPSec-VPN finden Sie unter Hinzufügen eines IPSec-VPN-Dienstes.