Richtlinienbasiertes IPSec-VPN erfordert, dass eine VPN-Richtlinie auf Pakete angewendet wird, um festzustellen, welcher Datenverkehr durch IPSec geschützt werden soll, bevor er durch den VPN-Tunnel übergeben wird.
Diese Art von VPN wird als statisch angesehen, da bei Änderung einer lokalen Netzwerktopologie und -konfiguration auch die VPN-Richtlinieneinstellungen aktualisiert werden müssen, um den Änderungen Rechnung zu tragen.
Wenn Sie ein richtlinienbasiertes IPSec-VPN mit NSX verwenden, verbinden Sie mithilfe von IPSec-Tunneln ein oder mehrere lokale Subnetze hinter dem NSX Edge-Knoten mit den Peer-Subnetzen auf der Remote-VPN-Site.
Wenn Sie NSX sowohl mit NAT als auch mit IPSec konfigurieren, ist es für die ordnungsgemäße Funktionalität wichtig, dass Sie die Schritte in der richtigen Sequenz ausführen. Konfigurieren Sie insbesondere NAT, bevor Sie die VPN-Verbindung einrichten. Wenn Sie das VPN versehentlich vor NAT konfigurieren, z. B. indem Sie eine NAT-Regel hinzufügen, nachdem Ihre VPN-Sitzung konfiguriert wurde, bleibt der VPN-Tunnelstatus inaktiv. Sie müssen die VPN-Konfiguration erneut aktivieren oder neu starten, um den VPN-Tunnel wiederherzustellen. Um dieses Problem zu vermeiden, konfigurieren Sie immer zuerst NAT, bevor Sie die VPN-Verbindung in NSX einrichten. Sie können auch diese Problemumgehung ausführen.
Sie können einen NSX Edge-Knoten hinter einem NAT-Gerät bereitstellen. In dieser Bereitstellung übersetzt das NAT-Gerät die VPN-Adresse eines NSX Edge-Knotens in eine aus dem Internet zugängliche öffentliche Adresse. Remote-VPN-Sites verwenden diese öffentliche Adresse für den Zugriff auf den NSX Edge-Knoten.
Sie können Remote-VPN-Sites auch hinter einem NAT-Gerät platzieren. Zum Einrichten des IPSec-Tunnels müssen Sie die öffentliche IP-Adresse und die ID (FQDN oder IP-Adresse) der Remote-VPN-Site angeben. Für die VPN-Adresse ist auf beiden Seiten eine statische 1:1-Netzwerkadressübersetzung erforderlich.
IPSec-VPN kann einen sicheren Kommunikationstunnel zwischen einem lokalen Netzwerk und einem Netzwerk in Ihrem Cloud-Software-Defined Data Center (SDDC) bereitstellen. Für richtlinienbasiertes IPSec-VPN müssen die in der Sitzung bereitgestellten lokalen und Peer-Netzwerke auf beiden Endpoints symmetrisch konfiguriert werden. Wenn beim Cloud-SDDC beispielsweise die lokalen Netzwerke als X, Y, Z konfiguriert sind, und das Peer-Netzwerk A ist, muss die Konfiguration des lokalen VPN A als lokales Netzwerk und X, Y, Z als Peer-Netzwerk verwenden. Dieser Fall gilt auch dann, wenn A auf ANY (0.0.0.0/0) festgelegt ist. Wenn z. B. bei der richtlinienbasierten VPN-Verbindung des Cloud-SDDC das lokale Netzwerk als 10.1.1.0/24 konfiguriert ist, und das Peer-Netzwerk als 0.0.0.0/0, muss die VPN-Verbindung auf dem lokalen VPN-Endpoint 0.0.0.0/0 als lokales Netzwerk und 10.1.1.0/24 als Peer-Netzwerk verwenden. Wenn Sie falsch konfiguriert ist, schlägt die IPSec-VPN-Tunnelaushandlung möglicherweise fehl.
| Edge-Knotengröße | Anzahl der IPSec-Tunnel pro VPN-Sitzung (richtlinienbasiert) |
Anzahl der Sitzungen pro VPN-Dienst | Anzahl der IPSec-Tunnel pro VPN-Dienst (16-Tunnel pro Sitzung) |
|---|---|---|---|
| Klein | N. v. (nur POC/Lab) | N. v. (nur POC/Lab) | N. v. (nur POC/Lab) |
| Mittel | 128 | 128 | 2048 |
| Groß | 128 (weiche Grenze) | 256 | 4096 |
| Bare Metal | 128 (weiche Grenze) | 512 | 6000 |
Weitere Informationen zum Konfigurieren eines richtlinienbasierten IPSec-VPN finden Sie unter Hinzufügen eines IPSec-VPN-Dienstes.
