NSX-T Data Center 支援第 0 層或第 1 層閘道與遠端站台之間的站台間 IPSec VPN 服務。您可以建立以原則為基礎或以路由為基礎的 IPSec VPN 服務。必須先建立 IPSec VPN 服務,才能設定以原則為基礎或以路由為基礎的 IPSec VPN 工作階段。

備註: NSX-T Data Center Limited Export 版本不支援 IPSec VPN。

本機端點 IP 位址會通過 IPSec VPN 工作階段設定的相同邏輯路由器中的 NAT 時,不支援 IPSec VPN。

必要條件

  • 自行熟悉 IPSec VPN。請參閱瞭解 IPSec VPN
  • 您必須至少已設定一個第 0 層或第 1 層閘道,並可供使用。請參閱新增第 0 層閘道新增第 1 層閘道以取得詳細資訊。
  • 使用 NAT 和 IPSec 設定 NSX-T Data Center 時,請務必遵循正確的步驟順序以確保正常運作。具體來說,在設定 VPN 連線之前設定 NAT。如果無意中在 NAT 之前設定了 VPN,例如,在設定 VPN 工作階段後新增了 NAT 規則,VPN 通道將保持關閉狀態。您必須重新啟用或重新啟動 VPN 組態,才能重新建立 VPN 通道。為避免出現此問題,請始終在 NSX-T Data Center 中設定 VPN 連線之前設定 NAT,否則請執行相應的因應措施來解決此問題。

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 導覽至網路 > VPN > VPN 服務
  3. 選取新增服務 > IPSec
  4. 輸入 IPSec 服務的名稱。
    此名稱為必填。
  5. 第 0 層/第 1 層閘道下拉式功能表中,選取要與此 IPSec VPN 服務建立關聯的第 0 層或第 1 層閘道。
  6. 啟用或停用管理狀態
    依預設,此值設為 Enabled,表示在設定新的 IPSec VPN 服務後,在第 0 層或第 1 層閘道上已啟用 IPSec VPN 服務。
  7. 設定 IKE 記錄層級的值。
    預設值設為 Info 層級。
  8. 如果您想要將此服務加入標籤群組,請輸入標籤的值。
  9. 若要啟用或停用可設定狀態的 VPN 工作階段同步化,請切換工作階段同步
    依預設,此值設為 Enabled
  10. 如果您想要允許在指定的本機和遠端 IP 位址之間交換資料封包而不進行任何 IPSec 保護,請按一下全域略過規則。在本機網路遠端網路文字方塊中,輸入要在其間套用略過規則的本機子網路與遠端子網路清單。
    如果啟用這些規則,即使已在 IPSec 工作階段規則中指定了 IP 位址,系統仍會在指定的本機和遠端 IP 網站之間交換資料封包。預設值是在本機站台與遠端站台之間交換資料時使用 IPSec 保護。這些規則適用於在此 IPSec VPN 服務內建立的所有 IPSec VPN 工作階段。
  11. 按一下儲存
    成功建立新的 IPSec VPN 服務後,系統會詢問您是否要繼續設定其餘的 IPSec VPN 組態。如果您按一下 ,就會返回 [新增 IPSec VPN 服務] 面板。 工作階段連結現已啟用,您可以按一下該連結來新增 IPSec VPN 工作階段。

結果

新增一或多個 IPSec VPN 工作階段後,每個 VPN 服務的工作階段數目將顯示在 VPN 服務索引標籤中。您可以透過按一下 工作階段資料行中的數字來重新設定或新增工作階段。您不需要編輯服務。如果數字為零,則無法點選,且您必須編輯服務來新增工作階段。

下一步

使用新增 IPSec VPN 工作階段中的資訊來引導您新增 IPSec VPN 工作階段。您還需提供完成 IPSec VPN 組態所需的設定檔與本機端點的資訊。