以原則為基礎的 IPSec VPN 需要將 VPN 原則套用到封包,以確定哪些流量在通過 VPN 通道之前受到 IPSec 保護。
此類型的 VPN 被視為靜態的,因為當本機網路拓撲和組態變更時,VPN 原則設定也必須一併更新以適應變更。
將以原則為基礎的 IPSec VPN 與 NSX-T Data Center 搭配使用時,您可以使用 IPSec 通道將 NSX Edge 節點後方的一或多個本機子網路與遠端 VPN 站台上的對等子網路進行連線。
您可以在 NAT 裝置後方部署 NSX Edge 節點。在此部署中,NAT 裝置會將 NSX Edge 節點的 VPN 位址轉譯為可公開存取的網際網路對向位址。遠端 VPN 站台會使用此公用位址來存取 NSX Edge 節點。
也可以將遠端 VPN 站台置於 NAT 裝置後方。您必須提供遠端 VPN 站台的公用 IP 位址及其識別碼 (FQDN 或 IP 位址) 來設定 IPSec 通道。在兩端,VPN 位址需要靜態一對一 NAT。
IPSec VPN 可在內部部署網路與您雲端軟體定義的資料中心 (SDDC) 中的網路之間提供安全通道。對於原則型 IPSec VPN,必須在這兩個端點上以對稱方式設定在工作階段中提供的本機和對等網路。例如,如果雲端 SDDC 將本機網路設定為 X、Y、Z 子網路,並將對等網路設定為 A,則內部部署 VPN 組態必須以 A 作為本機網路,並以 X、Y、Z 作為對等網路。即使 A 設定為任何 (0.0.0.0/0),仍是如此。例如,如果雲端 SDDC 原則型 VPN 工作階段將本機網路設定為 10.1.1.0/24,並將對等網路設定為 0.0.0.0/0,則在內部部署 VPN 端點上,VPN 組態必須以 0.0.0.0/0 作為本機網路,並以 10.1.1.0/24 作為對等網路。如果設定錯誤,則 IPSec VPN 通道交涉可能會失敗。
| Edge 節點大小 | 每個 VPN 工作階段的 IPSec 通道數目 (以原則為基礎) |
每項 VPN 服務的工作階段數目 | 每項 VPN 服務的 IPSec 通道數目 (每個工作階段 16 個通道) |
|---|---|---|---|
| 小 | 不適用 (僅限 POC/實驗室) | 不適用 (僅限 POC/實驗室) | 不適用 (僅限 POC/實驗室) |
| 中 | 128 | 128 | 2048 |
| 大 | 128 (軟限制) | 256 | 4096 |
| 裸機 | 128 (軟限制) | 512 | 6000 |
如需設定以原則為基礎的 IPSec VPN 的相關資訊,請參閱新增 IPSec VPN 服務。
