In einer NSX-Umgebung mit mehreren Mandanten kann ein Projektadministrator den L2-VPN- und den IPSec-VPN-Dienst auf den Tier-1-Gateways eines Projekts konfigurieren.
Um VPN auf dem Tier-1-Gateway eines Projekts zu konfigurieren, muss dem Projekt ein Edge-Cluster zugewiesen werden.
- Auf jedem Tier-1-Gateway eines Projekts können Sie nur einen IPSec-Dienst und einen L2-VPN-Dienst konfigurieren.
- Für die Konfiguration von routenbasiertem IPSec-VPN werden statische Routen unterstützt. Dynamisches Routing mit virtueller Tunnelschnittstelle (VTI) unter Verwendung von BGP wird auf dem Tier-1-Gateway eines Projekts nicht unterstützt.
- Der Workflow für die Konfiguration des IPSec-VPN- und L2-VPN-Diensts in einem Projekt ist identisch mit dem für die Konfiguration dieser Dienste im Standardspeicher. Weitere Informationen finden Sie unter Hinzufügen von NSX VPN-Diensten.
- Sowohl die Authentifizierung mit zuvor freigegebenem Schlüssel als auch die zertifikatsbasierte Authentifizierung werden für die Konfiguration von IPSec-VPN-Sitzungen unterstützt.
- Enterprise-Administratoren können bei Bedarf Dienstzertifikate und Zertifikatswiderrufslisten (Certificate Revocation Lists, CRLs) für die Projekte freigeben. Projektadministratoren können die gemeinsam genutzten Zertifikate zur Authentifizierung von IPSec-Endpoints verwenden, wenn die zertifikatbasierte Authentifizierung für IPSec-VPN-Sitzungen konfiguriert ist.
- Alternativ können Projektadministratoren die Dienstzertifikate und CRLs in der Projektansicht erstellen, aktualisieren oder verwalten und sie zum Konfigurieren von IPSec-VPN-Sitzungen im Projekt verwenden.
- Vom System erstellte VPN-Profile werden standardmäßig für alle Projekte im System freigegeben. Projektadministratoren können entweder die folgenden Standard-VPN-Profile verwenden oder neue Profile erstellen, um VPN-Dienste im Projekt zu konfigurieren.
- IKE-Profil
- IPSec-Tunnelprofil
- DPD-Profil
- L2-VPN-Tunnelprofil
- Profile mit Bezug zur Compliance-Suite
Weitere Informationen zum Hinzufügen von IKE-, IPSec- und DPD-Profilen finden Sie unter Hinzufügen von Profilen. Wenn Enterprise-Administratoren VPN-Profile im Standardspeicher erstellt haben, können diese bei Bedarf für bestimmte Projekte freigegeben werden. Freigegebene Profile können bei den Projekten im schreibgeschützten Modus verwendet werden.
- Enterprise-Administratoren können die Anzahl der VPN-bezogenen Objekte einschränken, die unter einem Projekt erstellt werden können, indem sie Kontingente für verschiedene Objekttypen definieren. Beispielsweise können Kontingente für diese VPN-Objekte definiert werden:
- IPSec-VPN-Sitzungen
- L2-VPN-Sitzungen
- Lokale Endpoints
- IPSec-VPN-Dienste
- L2-VPN-Dienste
- VPN-Profile
Diese Auflistung erhebt keinen Anspruch auf Vollständigkeit. Eine vollständige Liste der Objekte finden Sie auf der Registerkarte Kontingente (Quotas) der Benutzeroberfläche von NSX Manager.
- Die Überwachung des Status von VPN-Diensten, VPN-Sitzungen und anderen VPN-Statistiken wird in der Projektansicht unterstützt.
- Die Konfiguration von L2-VPN- und IPSec-VPN-Tunneln zwischen Tier-1-Gateways von zwei verschiedenen Projekten in derselben NSX-Bereitstellung wird unterstützt.
- Die Konfiguration von L2-VPN- und IPSec-VPN-Tunneln zwischen Tier-1-Gateways desselben Projekts wird unterstützt.
- Lokale IPSec-Endpoints werden als Loopback-IPs auf dem Tier-1-Gateway des Projekts realisiert. Die IP des lokalen Endpoints muss im gesamten Datencenter eindeutig sein. Die Endpoint-IPs werden dem Tier-0-Gateway angekündigt, das dem Projekt zugeordnet ist, und dann über BGP an die vorgelagerten Netzwerke übertragen.
- Um IPSec-Pakete (IKE UDP-Port 500 und 4500, ESP) für das Tier-1-Gateway zuzulassen, müssen Enterprise-Administratoren Firewallregeln für das Tier-0-Gateway definieren, das dem Projekt zugeordnet ist. Die Firewallregeln auf dem Tier-0-Gateway werden vom System nicht automatisch erstellt. Firewallregeln auf dem Tier-1-Gateway des Projekts werden jedoch automatisch erstellt, um IKE- und ESP-Datenverkehr zwischen den Endpoints in der IPSec-VPN-Sitzung zuzulassen.