VMware Cloud Director 環境中的 NSX Data Center for vSphere Edge 閘道支援網站間網際網路通訊協定安全性 (IPsec),以保護組織虛擬資料中心網路之間或組織虛擬資料中心網路與外部 IP 位址之間的 VPN 通道的安全。您可以在 Edge 閘道上設定 IPsec VPN 服務。
最常見的情況是設定從遠端網路到組織虛擬資料中心的 IPsec VPN 連線。NSX 軟體提供 Edge 閘道的 IPsec VPN 功能,包括支援憑證驗證、預先共用金鑰模式以及本身和遠端 VPN 路由器之間的 IP 單點傳播流量。您也可以將多個子網路設定為透過 IPsec 通道連線至 Edge 閘道後方的內部網路。將多個子網路設定為透過 IPsec 通道連線至內部網路時,這些子網路和 Edge 閘道後方的內部網路必須不能具有重疊的位址範圍。
備註: 如果 IPsec 通道之間的本機和遠端對等具有重疊的 IP 位址,跨通道流量轉寄可能會不一致,具體取決於本機連線的路由和自動探索的路由是否存在。
支援下列 IPsec VPN 演算法:
- AES (AES128-CBC)
- AES256 (AES256-CBC)
- 三重 DES (3DES192-CBC)
- AES-GCM (AES128-GCM)
- DH-2 (Diffie-Hellman 群組 2)
- DH-5 (Diffie-Hellman 群組 5)
- DH-14 (Diffie-Hellman 群組 14)
備註: IPsec VPN 不支援動態路由通訊協定。當您在組織虛擬資料中心的 Edge 閘道與遠端站台上的實體閘道 VPN 之間設定 IPsec VPN 通道時,您無法設定該連線的動態路由。該遠端站台的 IP 位址無法由 Edge 閘道上行中的動態路由學習。
如《NSX 管理指南》中的〈IPSec VPN 概觀〉主題中所述,Edge 閘道上支援的通道數目上限由其設定的大小所決定:精簡型、大型、超大型和四倍大。
若要檢視 Edge 閘道組態的大小,請導覽至 Edge 閘道,然後按一下 Edge 閘道名稱。
在 Edge 閘道上設定 IPsec VPN 的程序包含多個步驟。
備註: 如果通道端點之間有防火牆,可以在設定 IPsec VPN 服務之後,更新防火牆規則以允許下列 IP 通訊協定及 UDP 連接埠:
- IP 通訊協定 ID 50 (ESP)
- IP 通訊協定 ID 51 (AH)
- UDP 連接埠 500 (IKE)
- UDP 連接埠 4500
