In einer NSX-Umgebung mit mehreren Mandanten kann ein Projektadministrator den L2-VPN- und den IPSec-VPN-Dienst auf den Tier-1-Gateways eines Projekts konfigurieren.

Um VPN auf dem Tier-1-Gateway eines Projekts zu konfigurieren, muss dem Projekt ein Edge-Cluster zugewiesen werden.

Die folgende Funktionalität wird für den VPN-Dienst in Projekten unterstützt:
  • Auf jedem Tier-1-Gateway eines Projekts können Sie nur einen IPSec-Dienst und einen L2-VPN-Dienst konfigurieren.
  • Für die Konfiguration von routenbasiertem IPSec-VPN werden statische Routen unterstützt. Dynamisches Routing mit virtueller Tunnelschnittstelle (VTI) unter Verwendung von BGP wird auf dem Tier-1-Gateway eines Projekts nicht unterstützt.
  • Der Workflow für die Konfiguration des IPSec-VPN- und L2-VPN-Diensts in einem Projekt ist identisch mit dem für die Konfiguration dieser Dienste im Standardspeicher. Weitere Informationen finden Sie unter Hinzufügen von NSX VPN-Diensten.
  • Sowohl die Authentifizierung mit zuvor freigegebenem Schlüssel als auch die zertifikatsbasierte Authentifizierung werden für die Konfiguration von IPSec-VPN-Sitzungen unterstützt.
    • Enterprise-Administratoren können bei Bedarf Dienstzertifikate und Zertifikatswiderrufslisten (Certificate Revocation Lists, CRLs) für die Projekte freigeben. Projektadministratoren können die gemeinsam genutzten Zertifikate zur Authentifizierung von IPSec-Endpoints verwenden, wenn die zertifikatbasierte Authentifizierung für IPSec-VPN-Sitzungen konfiguriert ist.
    • Alternativ können Projektadministratoren die Dienstzertifikate und CRLs in der Projektansicht erstellen, aktualisieren oder verwalten und sie zum Konfigurieren von IPSec-VPN-Sitzungen im Projekt verwenden.
  • Vom System erstellte VPN-Profile werden standardmäßig für alle Projekte im System freigegeben. Projektadministratoren können entweder die folgenden Standard-VPN-Profile verwenden oder neue Profile erstellen, um VPN-Dienste im Projekt zu konfigurieren.
    • IKE-Profil
    • IPSec-Tunnelprofil
    • DPD-Profil
    • L2-VPN-Tunnelprofil
    • Profile mit Bezug zur Compliance-Suite

    Weitere Informationen zum Hinzufügen von IKE-, IPSec- und DPD-Profilen finden Sie unter Hinzufügen von Profilen. Wenn Enterprise-Administratoren VPN-Profile im Standardspeicher erstellt haben, können diese bei Bedarf für bestimmte Projekte freigegeben werden. Freigegebene Profile können bei den Projekten im schreibgeschützten Modus verwendet werden.

  • Enterprise-Administratoren können die Anzahl der VPN-bezogenen Objekte einschränken, die unter einem Projekt erstellt werden können, indem sie Kontingente für verschiedene Objekttypen definieren. Beispielsweise können Kontingente für diese VPN-Objekte definiert werden:
    • IPSec-VPN-Sitzungen
    • L2-VPN-Sitzungen
    • Lokale Endpoints
    • IPSec-VPN-Dienste
    • L2-VPN-Dienste
    • VPN-Profile

    Diese Auflistung erhebt keinen Anspruch auf Vollständigkeit. Eine vollständige Liste der Objekte finden Sie auf der Registerkarte Kontingente (Quotas) der Benutzeroberfläche von NSX Manager.

  • Die Überwachung des Status von VPN-Diensten, VPN-Sitzungen und anderen VPN-Statistiken wird in der Projektansicht unterstützt.
  • Die Konfiguration von L2-VPN- und IPSec-VPN-Tunneln zwischen Tier-1-Gateways von zwei verschiedenen Projekten in derselben NSX-Bereitstellung wird unterstützt.
  • Die Konfiguration von L2-VPN- und IPSec-VPN-Tunneln zwischen Tier-1-Gateways desselben Projekts wird unterstützt.
Die folgenden Punkte müssen beim Konfigurieren des VPN-Diensts auf den Tier-1-Gateways eines Projekts beachtet werden:
  • Lokale IPSec-Endpoints werden als Loopback-IPs auf dem Tier-1-Gateway des Projekts realisiert. Die IP des lokalen Endpoints muss im gesamten Datencenter eindeutig sein. Die Endpoint-IPs werden dem Tier-0-Gateway angekündigt, das dem Projekt zugeordnet ist, und dann über BGP an die vorgelagerten Netzwerke übertragen.
  • Um IPSec-Pakete (IKE UDP-Port 500 und 4500, ESP) für das Tier-1-Gateway zuzulassen, müssen Enterprise-Administratoren Firewallregeln für das Tier-0-Gateway definieren, das dem Projekt zugeordnet ist. Die Firewallregeln auf dem Tier-0-Gateway werden vom System nicht automatisch erstellt. Firewallregeln auf dem Tier-1-Gateway des Projekts werden jedoch automatisch erstellt, um IKE- und ESP-Datenverkehr zwischen den Endpoints in der IPSec-VPN-Sitzung zuzulassen.