경로 기반 VPN 및 정책 기반 VPN 세션은 API만을 사용하여 생성할 수 있습니다.

참고: NSX-T Data Center 수출 제한 릴리스에서는 IPSec VPN이 지원되지 않습니다.

동일한 네트워크 프로파일에서 NAT와 IPSec VPN을 함께 사용할 수 없습니다. NAT와 IPSec VPN을 다른 네트워크 프로파일에 배치해야 합니다.

사전 요구 사항

IPSec VPN을 숙지합니다. IPSec VPN의 내용을 참조하십시오.

프로시저

  1. Tier-0 논리적 라우터에서 IPSec VPN 서비스를 구성합니다.
    POST /api/v1/vpn/ipsec/services 호출을 사용합니다.
    POST /api/v1/vpn/ipsec/services
    {
     "display_name": "IPSec VPN service",
     "logical_router_id": "f81f220f-3072-4a6e-9f53-ad3b8bb8af57"
    } 
  2. DPD(Dead Peer Detection) 프로파일을 구성합니다.
    POST /api/v1/vpn/ipsec/dpd-profiles 호출을 사용합니다.

    기본 프로파일은 60초 DPD 프로브 간격으로 프로비저닝됩니다.

    POST /api/v1/vpn/ipsec/dpd-profiles
    {
     "enabled":"true",
     "dpd_probe_interval": 60,
     "description": "DPD profile",
     "display_name": "DPD profile"
    }
  3. IKE 프로파일 매개 변수를 구성합니다.
    POST /api/v1/vpn/ipsec/ike-profiles 호출을 사용합니다.
    POST /api/v1/vpn/ipsec/ike-profiles
    {
     "digest_algorithms": ["SHA2_256"],
     "description": "IKEProfile for site1",
     "display_name": "IKEProfile site1",
     "encryption_algorithms": ["AES_128"],
     "ike_version": "IKE_V2",
     "dh_groups": ["GROUP14"],
     "sa_life_time": 21600
    }
  4. IPSec VPN에 대한 터널 프로파일을 구성합니다.
    POST /api/v1/vpn/ipsec/tunnel-profiles 호출을 사용합니다.
    POST /api/v1/vpn/ipsec/tunnel-profiles/
    {
     "digest_algorithms": ["SHA1","SHA2_256"],
     "description": "Tunnel Profile for site 1",
     "display_name": "Tunnel Profile for site 1",
     "encapsulation_mode": "TUNNEL_MODE",
     "encryption_algorithms": ["AES_128","AES_256"],
     "enable_perfect_forward_secrecy": true,
     "dh_groups": ["GROUP14"],
     "transform_protocol": "ESP",
     "sa_life_time": 3600,
     "df_policy": "CLEAR"
    }
  5. IPSec VPN 피어와 통신하도록 피어 끝점을 구성합니다.
    POST /api/v1/vpn/ipsec/peer-endpoints 호출을 사용합니다.
    POST /api/v1/vpn/ipsec/peer-endpoints
    {
     "display_name": "Peer endpoint for site 1",
     "connection_initiation_mode": "INITIATOR",
     "authentication_mode": "PSK",
     "ipsec_tunnel_profile_id": "640607f3-bb83-4e54-a153-57939965881c",
     "dpd_profile_id": "4808d04e-572d-480d-8182-61ddaa146461",
     "psk": "6721b9f1f5936956c0a8b4ed95286b452db04dae721edd0f264f0fcc6e94882b",
     "ike_profile_id": "a4db6863-b6f0-45bd-967e-a2e22c260329",
     "peer_address": "10.14.24.4",
     "peer_id": "10.14.24.4"
    } 
  6. VPN 끝점에 대한 로컬 끝점을 구성합니다.
    POST /api/v1/vpn/ipsec/local-endpoints 호출을 사용합니다.
    POST /api/v1/vpn/ipsec/local-endpoints
    {
     "local_address": "1.1.1.12",
     "local_id": "1.1.1.12",
     "display_name": "Local endpoint",
     "ipsec_vpn_service_id": {
     “target_id” : "81388ec0-b5e3-4a9e-b551-e372e700772c"
     }
    }
  7. 경로 기반 VPN 세션을 구성합니다.
    POST /api/v1/vpn/ipsec/sessions 호출을 사용합니다.
    POST /api/v1/vpn/ipsec/sessions
    {
     "resource_type": "RouteBasedIPSecVPNSession",
     "display_name": "RouteSession1",
     "ipsec_vpn_service_id": "657bcb55-48ce-4e0f-bfc7-a5a91b2990ae",
     "peer_endpoint_id": "cfc70ab5-16d1-4292-9391-fcee23ccea96",
     "local_endpoint_id": "9d4b44f1-0bfa-4705-ac67-09244a17d42e",
     "enabled": true,
     "tunnel_ports": [
         {
           "ip_subnets": [
              {
               "ip_addresses" : [
                 "192.168.50.1"
               ],
               "prefix_length" : 24
         }
       ]
      }
     ]
    }
  8. 정책 기반 VPN 세션을 구성합니다.
    POST /api/v1/vpn/ipsec/sessions 호출을 사용합니다.
    POST /api/v1/vpn/ipsec/sessions
    {
     "resource_type": "PolicyBasedIPSecVPNSession",
     "display_name": "PolicySession1",
     "ipsec_vpn_service_id": "ea071856-9e91-4826-a841-9ec7ee9ea534",
     "peer_endpoint_id": "0c2447d2-8890-4b55-bf02-8c6b1a94d1ce",
     "local_endpoint_id": "161acb63-c3f2-438d-9e5c-cb655e6a1099",
     "enabled": true,
     "policy_rules": [
       {
          "sources": [
           {
             "subnet": "2.2.2.0/24"
           }
        ],
        "logged": true,
        "destinations": [
          {
            "subnet": "3.3.3.0/24"
          }
        ],
        "action": "PROTECT",
        "enabled": true
       }
     ]
    }