您可以使用 NSX Manager 使用者介面 (UI),新增 IPSec VPN (以原則為基礎或以路由為基礎) 或 L2 VPN。
以下幾節提供了有關在設定 VPN 服務所需工作流程的相關資訊。這幾節之後的主題則會提供有關如何使用 NSX Manager UI 新增 IPSec VPN 或 L2 VPN 的詳細資料。
以原則為基礎 IPSec VPN 組態工作流程
設定以原則為基礎 IPSec VPN 服務工作流程需要下列高階步驟。
- 使用現有第 0 層或第 1 層閘道建立並啟用 IPSec VPN 服務。請參閱新增 IPSec VPN 服務。
- 如果您不想使用系統預設值,則建立 DPD (無作用對等偵測) 設定檔。請參閱新增 DPD 設定檔。
- 若要使用非系統預設的 IKE 設定檔,請定義 IKE (網際網路金鑰交換) 設定檔。請參閱新增 IKE 設定檔。
- 使用新增 IPSec 設定檔設定 IPSec 設定檔。
- 使用新增本機端點,在 NSX Edge 的閘道上為 IPSec VPN 工作階段建立 VPN 端點。
- 設定以原則為基礎的 IPSec VPN 工作階段、套用設定檔,然後連結本機端點。請參閱新增以原則為基礎的 IPSec 工作階段。指定要用於通道的本機與對等子網路。使用工作階段中定義的通道,可保護從本機子網路到對等子網路的流量。
- 若要在遠端 VPN 端點上取得 VPN 的代表性組態,請使用下載組態。此檔案包含衍生自步驟 6 中設定的 IPSec VPN 工作階段的參數,可用於設定 VPN 工作階段的遠端端點。
以路由為基礎的 IPSec VPN 組態工作流程
以路由為基礎的 IPSec VPN 組態工作流程需要下列高階步驟。
- 使用現有第 0 層或第 1 層閘道設定並啟用 IPSec VPN 服務。請參閱新增 IPSec VPN 服務。
- 如果您不想使用預設的 IKE 設定檔,則定義 IKE 設定檔。請參閱新增 IKE 設定檔。
- 如果您決定不使用系統預設的 IPSec 設定檔,則使用新增 IPSec 設定檔建立一個設定檔。
- 如果您不想使用預設的 DPD 設定檔,請建立 DPD 設定檔。請參閱新增 DPD 設定檔。
- 使用新增本機端點,在 NSX Edge 的閘道上為 IPSec VPN 工作階段建立 VPN 端點。
- 設定路由型 IPSec VPN 工作階段、套用設定檔,然後將本機端點連結至工作階段。在組態中提供 VTI IP,並使用相同的 IP 來設定路由。路由可以是靜態或動態 (使用 BGP)。請參閱新增路由型 IPSec 工作階段。
- 若要在遠端 VPN 端點上取得 VPN 的代表性組態,請使用下載組態。此檔案包含衍生自步驟 6 中設定的 IPSec VPN 工作階段的參數,可用於設定 VPN 工作階段的遠端端點。
L2 VPN 組態工作流程
若要設定 L2 VPN,您必須設定一個處於伺服器模式的 L2 VPN 服務,然後再設定一個處於用戶端模式的 L2 VPN 服務。您也必須使用 L2 VPN 伺服器所產生的對等代碼來設定 L2 VPN 伺服器和 L2 VPN 用戶端的工作階段。以下是設定 L2 VPN 服務的高階工作流程。
- 建立處於伺服器模式的 L2 VPN 服務。
- 使用第 0 層或第 1 層閘道設定以路由為基礎的 IPSec VPN 通道,然後使用該以路由為基礎的 IPSec 通道設定 L2 VPN 伺服器服務。請參閱新增 L2 VPN 伺服器服務。
- 設定一個 L2 VPN 伺服器工作階段,以繫結新建立的以路由為基礎的 IPSec VPN 服務和 L2 VPN 伺服器服務,並自動配置 GRE IP 位址。請參閱新增 L2 VPN 伺服器工作階段。
- 對 L2 VPN 伺服器工作階段新增區段。此步驟亦在 新增 L2 VPN 伺服器工作階段中進行了說明。
- 使用下載遠端 L2 VPN 組態檔取得 L2 VPN 伺服器服務工作階段的對等代碼,它必須套用於遠端站台,且會用於自動設定 L2 VPN 用戶端工作階段。
- 建立處於用戶端模式的 L2 VPN 服務。
- 使用其他第 0 層或第 1 層閘道設定另一個以路由為基礎的 IPSec VPN 服務,然後使用剛設定的該第 0 層或第 1 層閘道設定 L2 VPN 用戶端服務。如需資訊,請參閱新增 L2 VPN 用戶端服務。
- 透過匯入 L2 VPN 伺服器服務所產生的對等代碼,定義 L2 VPN 用戶端工作階段。請參閱新增 L2 VPN 用戶端工作階段。
- 新增區段至上個步驟中所定義的 L2 VPN 用戶端工作階段。此步驟在新增 L2 VPN 用戶端工作階段進行了說明。