NSX EdgeNSX Edge 인스턴스와 원격 사이트 사이에서 사이트 간 IPSec VPN을 지원합니다. NSX Edge 인스턴스와 원격 VPN 라우터 간에 인증서 인증, 미리 공유한 키 모드 및 IP 유니캐스트 트래픽을 지원하지만 동적 라우팅 프로토콜은 지원하지 않습니다.

각 원격 VPN 라우터 뒤에서 IPSec 터널을 통해 NSX Edge 뒤의 내부 네트워크에 연결하는 여러 서브넷을 구성할 수 있습니다.

참고:

NSX Edge 뒤에 있는 서브넷 및 내부 네트워크의 주소 범위는 겹치면 안 됩니다.

IPSec VPN의 로컬 및 원격 피어의 IP 주소가 겹치면, 연결된 로컬 경로 및 자동으로 연결된 경로가 존재하는지에 따라 터널을 통한 트래픽 전달이 일관되지 않을 수 있습니다.

NAT 디바이스 뒤에 NSX Edge 에이전트를 배포할 수 있습니다. 이 배포에서 NAT 디바이스는 NSX Edge 인스턴스의 VPN 주소를 인터넷에 연결하는 공용 액세스 가능 주소로 변환합니다. 원격 VPN 라우터는 이 공용 주소를 사용하여 NSX Edge 인스턴스에 액세스합니다.

NAT 디바이스 뒤에 원격 VPN 라우터를 배치할 수도 있습니다. 터널을 설정하기 위해 VPN 기본 주소와 VPN 게이트웨이 ID를 제공해야 합니다. 양쪽 끝점에서 VPN 주소에 대해 정적 일대일 NAT가 필요합니다.

필요한 터널 수는 로컬 서브넷 수에 피어 서브넷 수를 곱해서 정의됩니다. 예를 들어 로컬 서브넷이 10개 있고 피어 서브넷이 10개 있는 경우 터널이 100개 필요합니다. 지원되는 최대 터널 수는 아래와 같이 ESG 크기를 기준으로 결정됩니다.

표 1. ESG당 IPSec 터널 수

ESG

IPSec 터널 수

소형

512

대형

1600

4배 대형

4096

초대형

6000

지원되는 IPSec VPN 알고리즘은 다음과 같습니다.

  • AES(AES128-CBC)

  • AES256(AES256-CBC)

  • Triple DES(3DES192-CBC)

  • AES-GCM(AES128-GCM)

  • DH-2(Diffie–Hellman group 2)

  • DH-5(Diffie–Hellman group 5)

IPSec VPN 구성 예는 NSX Edge VPN 구성 예 항목을 참조하십시오.

IPSec VPN 문제 해결에 대해서는 https://kb.vmware.com/kb/2123580 항목을 참조하십시오.