Richten Sie eine IPSec-VPN-Sitzung zwischen dem PCG und Ihrer Dienst-Appliance ein.

Voraussetzungen

  • Ein PCG oder ein Hochverfügbarkeitspaar aus PCGs muss in einer Transit-VPC bzw. einem Transit-VNet bereitgestellt werden.
  • Die Dienst-Appliance muss in Ihrer Public Cloud eingerichtet werden, vorzugsweise in der Transit-VPC bzw. dem Transit-VNet.

Prozedur

  1. Navigieren Sie zu Netzwerk > VPN
  2. Fügen Sie einen VPN-Dienst vom Typ „IPSec“ hinzu und beachten Sie die folgenden für NSX Cloud spezifischen Konfigurationsoptionen. Weitere Informationen finden Sie unter Hinzufügen eines NSX IPSec-VPN-Diensts.
    Option Beschreibung
    Name Der Name dieses VPN-Diensts wird zum Einrichten des lokalen Endpoints und der IPSec-VPN-Sitzungen verwendet. Notieren Sie sich den Namen.
    Diensttyp Bestätigen Sie, dass dieser Wert auf IPSec festgelegt ist.
    Tier-0-Gateway Wählen Sie das Tier-0-Gateway aus, das automatisch für die Transit-VPC bzw. das Transit-VNet erstellt wurde. Sein Name enthält die VPC-/VNet-ID, wie z. B. cloud-t0-vpc-6bcd2c13.
  3. Fügen Sie unter Lokaler Endpoint einen lokalen Endpoint für das PCG hinzu. Die IP-Adresse des lokalen Endpoints ist der Wert des Tags nsx:local_endpoint_ip für das PCG, das in der Transit-VPC bzw. dem Transit-VNet bereitgestellt wird. Melden Sie sich an der Transit-VPC bzw. dem Transit-VNet an, um diesen Wert abzurufen. Beachten Sie die folgenden für NSX Cloud spezifischen Konfigurationen. Weitere Informationen finden Sie unter Hinzufügen von lokalen Endpoints.
    Option Beschreibung
    Name Der Name des lokalen Endpoints wird verwendet, um die IPSec-VPN-Sitzungen einzurichten. Notieren Sie sich den Namen.
    VPN-Dienst Wählen Sie den in Schritt 2 hinzugefügten VPN-Dienst aus.
    IP-Adresse Suchen Sie nach diesem Wert, indem Sie sich bei der AWS-Konsole oder dem Microsoft Azure-Portal anmelden. Es handelt sich um den Wert des Tags nsx:local_endpoint_ip, das auf die Uplink-Schnittstelle des PCG angewendet wird.
  4. Erstellen Sie eine Routenbasierte IPSec-Sitzung zwischen dem PCG und der Dienst-Appliance in Ihrer Public Cloud (wird vorzugsweise in der Transit-VPC bzw. dem Transit-VNet gehostet).
    Option Beschreibung
    Typ Bestätigen Sie, dass dieser Wert auf Routenbasiert festgelegt ist.
    VPN-Dienst Wählen Sie den in Schritt 2 hinzugefügten VPN-Dienst aus.
    Lokaler Endpoint Wählen Sie den in Schritt 3 erstellten lokalen Endpoint aus.
    Remote-IP Geben Sie die private IP-Adresse der Dienst-Appliance ein.
    Hinweis: Wenn der Zugriff auf die Dienst-Appliance mithilfe einer öffentlichen IP-Adresse möglich ist, weisen Sie der logischen Endpoint-IP (auch als sekundäre IP bezeichnet) der Uplink-Schnittstelle des PCG eine öffentliche IP-Adresse zu.
    Tunnelschnittstelle Dieses Subnetz muss mit dem Subnetz der Dienst-Appliance für den VPN-Tunnel übereinstimmen. Geben Sie den Subnetzwert ein, den Sie in der Dienst-Appliance für den VPN-Tunnel festgelegt haben, oder notieren Sie sich den hier eingegebenen Wert, um sicherzustellen, dass dasselbe Subnetz beim Einrichten des VPN-Tunnels in der Dienst-Appliance verwendet wird.
    Hinweis: Sie konfigurieren BGP in dieser Tunnelschnittstelle. Siehe Konfigurieren von BGP und Route Redistribution.
    Remote-ID Geben Sie die private IP-Adresse Ihrer Dienst-Appliance in der Public Cloud ein.
    IKE-Profil Die IPSec-VPN-Sitzung muss einem IKE-Profil zugeordnet werden. Wenn Sie ein Profil erstellt haben, wählen Sie es im Dropdown-Menü aus. Sie können auch das Standardprofil verwenden.

Nächste Maßnahme

Konfigurieren von BGP und Route Redistribution