NSX-T Data Center 支援 NSX Edge 上的 IPSec VPN 和第 2 層 VPN (L2VPN)。

備註: NSX-T Data Center 限制出口版本不支援 IPSec VPN 和 L2VPN。

IPSec VPN

IPSec VPN 透過稱為端點的 IPSec 閘道,來保護透過公用網路連線的兩個網路間流量的安全。NSX Edge 僅支援搭配使用 IP 通道與封裝安全性裝載 (ESP) 的通道模式。

IPSec VPN 使用 IKE 通訊協定來交涉安全性參數。預設 UDP 連接埠設為 500。如果在閘道中偵測到 NAT,則會將連接埠設定為 4500。

備註: 僅第 0 層邏輯路由器支援 IPSec VPN。

NSX Edge 支援兩種類型的 VPN:原則型 VPN 和路由型 VPN。

原則型 VPN 需要對轉送至 IPSec 服務的封包套用原則。此類型的 VPN 被視為靜態的,因為當本機網路拓撲和組態變更時,原則設定也必須一併更新以適應變更。

路由型 VPN 根據透過特殊介面 (稱為虛擬通道介面 (VTI),例如使用 BGP 做為通訊協定) 動態學習的路由來提供流量的通道。IPSec 保護流經虛擬通道介面 (VTI) 的所有流量。

L2VPN

L2VPN 連線允許將第 2 層網路從內部部署資料中心延伸至雲端,如 VMware Cloud on Amazon (VMC)。此連線使用路由型 IPSec 通道保護。

延伸網路是具有單一廣播網域的單一子網路,因此您可以在內部部署資料中心與公有雲之間移轉虛擬機器,而無需變更其 IP 位址。

使用 L2VPN 延伸的內部部署網路,除了支援資料中心移轉以外,還對災難復原以及動態參與外部部署計算資源以滿足需求的增加 (稱為「雲端爆裂」) 非常有用。

每個 L2VPN 工作階段都有一個 GRE 通道。不支援通道備援。一個 L2VPN 工作階段延最多可以延伸 4094 個第 2 層網路。

備註: NSX-T Data CenterNSX Edge (不論是否在 NSX Data Center for vSphere 中受到管理) 之間可支援 L2VPN。