網際網路通訊協定安全性 (IPSec) VPN 透過稱為端點的 IPSec 閘道,來保護透過公用網路連線的兩個網路間流量的安全。NSX Edge 僅支援搭配使用 IP 通道與封裝安全性裝載 (ESP) 的通道模式。ESP 會直接在 IP 上運作,並使用 IP 通訊協定號碼 50。
IPSec VPN 使用 IKE 通訊協定來交涉安全性參數。預設 UDP 連接埠設為 500。如果在閘道中偵測到 NAT,則會將連接埠設定為 UDP 4500。
NSX Edge 支援原則型或路由型的 IPSec VPN。
從 NSX 2.5 開始,第 0 層和第 1 層閘道皆支援 IPSec VPN 服務。請參閱新增第 0 層閘道或新增第 1 層閘道以取得詳細資訊。第 0 層或第 1 層閘道在用於 IPSec VPN 服務時,必須處於 Active-Standby
高可用性模式。設定 IPSec VPN 服務時,您可以使用連線至第 0 層或第 1 層閘道的區段。
NSX 中的 IPsec VPN 服務會使用閘道層級容錯移轉功能,以在 VPN 服務層級支援高可用性服務。通道是在容錯移轉時重新建立的,並且會同步 VPN 組態資料。在 NSX 3.0 版本之前,重新建立通道時,IPSec VPN 狀態不會同步。從 NSX 3.0 版本開始,IPSec VPN 狀態會在目前作用中的 NSX Edge 節點失敗時同步至待命 NSX Edge 節點,且原始待命 NSX Edge 節點會成為新的作用中 NSX Edge 節點,而不需重新交涉通道。原則型和路由型 IPSec VPN 服務皆支援此功能。
在
NSX Edge 節點與遠端 VPN 站台之間,支援預先共用的金鑰模式驗證和 IP 單點傳播流量。此外,從
NSX 2.4 開始,支援憑證驗證。僅支援由下列其中一個簽章雜湊演算法簽署的憑證類型。
- SHA256withRSA
- SHA384withRSA
- SHA512withRSA