NSX unterstützt einen Site-to-Site-IPSec-VPN-Dienst zwischen einem Tier-0- oder Tier-1-Gateway und Remote-Sites. Sie können einen richtlinienbasierten oder einen routenbasierten IPSec-VPN-Dienst erstellen. Sie müssen zuerst den IPSec-VPN-Dienst erstellen, bevor Sie entweder eine richtlinienbasierte oder eine routenbasierte IPSec-VPN-Sitzung konfigurieren können.
IPSec-VPN wird nicht unterstützt, wenn die IP-Adresse des lokalen Endpoints über NAT in denselben logischen Router geht, auf dem die IPSec-VPN-Sitzung konfiguriert ist.
Voraussetzungen
- Machen Sie sich mit dem IPSec-VPN-Konzept vertraut. Siehe Grundlegendes zu IPSec-VPNs.
- Mindestens ein Tier-0- oder Tier-1-Gateway muss konfiguriert und zur Verwendung verfügbar sein. Weitere Informationen hierzu finden Sie unter Hinzufügen eines NSX Tier-0-Gateways oder Hinzufügen eines NSX-Tier-1-Gateways.
- Bei der Konfiguration von NSX ist es sowohl bei NAT als auch bei IPSec wichtig, die richtige Abfolge der Schritte einzuhalten, um ordnungsgemäße Funktion zu gewährleisten. Konfigurieren Sie insbesondere NAT, bevor Sie die VPN-Verbindung einrichten. Wenn Sie das VPN versehentlich vor NAT konfigurieren, z. B. indem Sie eine NAT-Regel hinzufügen, nachdem Ihre VPN-Sitzung konfiguriert wurde, bleibt der VPN-Tunnelstatus inaktiv. Sie müssen die VPN-Konfiguration erneut aktivieren oder neu starten, um den VPN-Tunnel wiederherzustellen. Um dieses Problem zu vermeiden, konfigurieren Sie immer NAT, bevor Sie die VPN-Verbindung in NSX einrichten, oder nutzen Sie die Problemumgehung, um das Problem zu beheben.
Prozedur
Ergebnisse
Nächste Maßnahme
Die Informationen in Hinzufügen von IPSec-VPN-Sitzungen können Ihnen beim Hinzufügen einer IPSec-VPN-Sitzung als Anleitung dienen. Außerdem geben Sie Informationen zu den Profilen und zum lokalen Endpoint an, die erforderlich sind, um die IPSec-VPN-Konfiguration abzuschließen.