NSX 支援第 0 層或第 1 層閘道與遠端站台之間的站台間 IPSec VPN 服務。您可以建立以原則為基礎或以路由為基礎的 IPSec VPN 服務。必須先建立 IPSec VPN 服務,才能設定以原則為基礎或以路由為基礎的 IPSec VPN 工作階段。

備註: NSX Limited Export 版本不支援 IPSec VPN。

本機端點 IP 位址會通過 IPSec VPN 工作階段設定的相同邏輯路由器中的 NAT 時,不支援 IPSec VPN。

必要條件

  • 自行熟悉 IPSec VPN。請參閱瞭解 IPSec VPN
  • 您必須至少已設定一個第 0 層或第 1 層閘道,並可供使用。請參閱新增 NSX 第 0 層閘道新增 NSX 第 1 層閘道以取得詳細資訊。
  • 使用 NAT 和 IPSec 設定 NSX 時,請務必遵循正確的步驟順序以確保正常運作。具體來說,在設定 VPN 連線之前設定 NAT。如果無意中在 NAT 之前設定了 VPN,例如,在設定 VPN 工作階段後新增了 NAT 規則,VPN 通道將保持關閉狀態。您必須重新啟用或重新啟動 VPN 組態,才能重新建立 VPN 通道。為避免出現此問題,請始終在 NSX 中設定 VPN 連線之前設定 NAT,否則請執行相應的因應措施來解決此問題。

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 導覽至網路 > VPN > VPN 服務
  3. 選取新增服務 > IPSec
  4. 輸入 IPSec 服務的名稱。
    此名稱為必填。
  5. 第 0 層/第 1 層閘道下拉式功能表中,選取要與此 IPSec VPN 服務建立關聯的第 0 層或第 1 層閘道。
  6. 啟用或停用管理狀態
    依預設,此值設為 Enabled,表示在設定新的 IPSec VPN 服務後,在第 0 層或第 1 層閘道上已啟用 IPSec VPN 服務。
  7. 設定 IKE 記錄層級的值。
    預設值設為 Info 層級。
  8. 如果您想要將此服務加入標籤群組,請輸入標籤的值。
  9. 若要啟用或停用可設定狀態的 VPN 工作階段同步化,請切換工作階段同步
    依預設,此值設為 Enabled
  10. 如果您想要允許在指定的本機和遠端 IP 位址之間交換資料封包而不進行任何 IPSec 保護,請按一下全域略過規則。在本機網路遠端網路文字方塊中,輸入要在其間套用略過規則的本機子網路與遠端子網路清單。
    如果啟用這些規則,即使已在 IPSec 工作階段規則中指定了 IP 位址,系統仍會在指定的本機和遠端 IP 網站之間交換資料封包。預設值是在本機站台與遠端站台之間交換資料時使用 IPSec 保護。這些規則適用於在此 IPSec VPN 服務內建立的所有 IPSec VPN 工作階段。
  11. 如果您想要允許在指定的本機和遠端 IP 位址之間交換資料封包而不進行任何 IPSec 保護,請按一下全域略過規則。在本機網路遠端網路文字方塊中,輸入要在其間套用略過規則的本機子網路與遠端子網路清單。
    如果啟用這些規則,即使已在 IPSec 工作階段規則中指定了 IP 位址,系統仍會在指定的本機和遠端 IP 網站之間交換資料封包。預設值是在本機站台與遠端站台之間交換資料時使用 IPSec 保護。這些規則適用於在此 IPSec VPN 服務內建立的所有 IPSec VPN 工作階段。
  12. 按一下儲存
    成功建立新的 IPSec VPN 服務後,系統會詢問您是否要繼續設定其餘的 IPSec VPN 組態。如果您按一下 ,就會返回 [新增 IPSec VPN 服務] 面板。 工作階段連結現已啟用,您可以按一下該連結來新增 IPSec VPN 工作階段。

結果

新增一或多個 IPSec VPN 工作階段後,每個 VPN 服務的工作階段數目將顯示在 VPN 服務索引標籤中。您可以透過按一下 工作階段資料行中的數字來重新設定或新增工作階段。您不需要編輯服務。如果數字為零,則無法點選,且您必須編輯服務來新增工作階段。

下一步

使用新增 IPSec VPN 工作階段中的資訊來引導您新增 IPSec VPN 工作階段。您還需提供完成 IPSec VPN 組態所需的設定檔與本機端點的資訊。