Richtlinienbasiertes IPSec-VPN erfordert, dass eine VPN-Richtlinie auf Pakete angewendet wird, um festzustellen, welcher Datenverkehr durch IPSec geschützt werden soll, bevor er durch den VPN-Tunnel übergeben wird.
Diese Art von VPN wird als statisch angesehen, da bei Änderung einer lokalen Netzwerktopologie und -konfiguration auch die VPN-Richtlinieneinstellungen aktualisiert werden müssen, um den Änderungen Rechnung zu tragen.
Wenn Sie ein richtlinienbasiertes IPSec-VPN mit NSX verwenden, verbinden Sie mithilfe von IPSec-Tunneln ein oder mehrere lokale Subnetze hinter dem NSX Edge-Knoten mit den Peer-Subnetzen auf der Remote-VPN-Site.
Sie können einen NSX Edge-Knoten hinter einem NAT-Gerät bereitstellen. In dieser Bereitstellung übersetzt das NAT-Gerät die VPN-Adresse eines NSX Edge-Knotens in eine aus dem Internet zugängliche öffentliche Adresse. Remote-VPN-Sites verwenden diese öffentliche Adresse für den Zugriff auf den NSX Edge-Knoten.
Sie können Remote-VPN-Sites auch hinter einem NAT-Gerät platzieren. Zum Einrichten des IPSec-Tunnels müssen Sie die öffentliche IP-Adresse und die ID (FQDN oder IP-Adresse) der Remote-VPN-Site angeben. Für die VPN-Adresse ist auf beiden Seiten eine statische 1:1-Netzwerkadressübersetzung erforderlich.
IPSec-VPN kann einen sicheren Kommunikationstunnel zwischen einem lokalen Netzwerk und einem Netzwerk in Ihrem Cloud-Software-Defined Data Center (SDDC) bereitstellen. Für richtlinienbasiertes IPSec-VPN müssen die in der Sitzung bereitgestellten lokalen und Peer-Netzwerke auf beiden Endpoints symmetrisch konfiguriert werden. Wenn beim Cloud-SDDC beispielsweise die lokalen Netzwerke als X, Y, Z konfiguriert sind, und das Peer-Netzwerk A ist, muss die Konfiguration des lokalen VPN A als lokales Netzwerk und X, Y, Z als Peer-Netzwerk verwenden. Dieser Fall gilt auch dann, wenn A auf ANY (0.0.0.0/0) festgelegt ist. Wenn z. B. bei der richtlinienbasierten VPN-Verbindung des Cloud-SDDC das lokale Netzwerk als 10.1.1.0/24 konfiguriert ist, und das Peer-Netzwerk als 0.0.0.0/0, muss die VPN-Verbindung auf dem lokalen VPN-Endpoint 0.0.0.0/0 als lokales Netzwerk und 10.1.1.0/24 als Peer-Netzwerk verwenden. Wenn Sie falsch konfiguriert ist, schlägt die IPSec-VPN-Tunnelaushandlung möglicherweise fehl.
Edge-Knotengröße | Anzahl der IPSec-Tunnel pro VPN-Sitzung (richtlinienbasiert) |
Anzahl der Sitzungen pro VPN-Dienst | Anzahl der IPSec-Tunnel pro VPN-Dienst (16-Tunnel pro Sitzung) |
---|---|---|---|
Klein | N. v. (nur POC/Lab) | N. v. (nur POC/Lab) | N. v. (nur POC/Lab) |
Mittel | 128 | 128 | 2048 |
Groß | 128 (weiche Grenze) | 256 | 4096 |
Bare Metal | 128 (weiche Grenze) | 512 | 6000 |
Weitere Informationen zum Konfigurieren eines richtlinienbasierten IPSec-VPN finden Sie unter Hinzufügen eines NSX IPSec-VPN-Diensts.