您可以使用 NSX Manager 使用者介面 (UI),新增 IPSec VPN (以原則為基礎或以路由為基礎) 或 L2 VPN 服務。
以下幾節提供了設定需要的 VPN 服務所需工作流程的相關資訊。這幾節之後的主題則會提供有關如何使用 NSX Manager UI 新增 IPSec VPN 或 L2 VPN 服務的詳細資料。
以原則為基礎 IPSec VPN 組態工作流程
設定以原則為基礎 IPSec VPN 服務工作流程需要下列高階步驟。
- 使用現有第 0 層或第 1 層閘道建立並啟用 IPSec VPN 服務。請參閱新增 NSX IPSec VPN 服務。
- 如果您不想使用系統預設值,則建立 DPD (無作用對等偵測) 設定檔。請參閱新增 DPD 設定檔。
- 若要使用非系統預設的 IKE 設定檔,請定義 IKE (網際網路金鑰交換) 設定檔。請參閱新增 IKE 設定檔。
- 使用新增 IPSec 設定檔設定 IPSec 設定檔。
- 使用新增本機端點以建立在 NSX Edge 上主控的 VPN 伺服器。
- 設定以原則為基礎的 IPSec VPN 工作階段、套用設定檔,然後連結本機端點。請參閱新增以原則為基礎的 IPSec 工作階段。指定要用於通道的本機與對等子網路。使用工作階段中定義的通道,可保護從本機子網路到對等子網路的流量。
- 若要在遠端 VPN 端點上取得 VPN 的代表性組態,請使用下載組態功能。此檔案包含來自步驟 6 中設定的 IPSec VPN 工作階段的參數,可用於設定 VPN 工作階段的遠端端點。如需詳細資料,請參閱下載遠端 IPSec VPN 組態檔。
以路由為基礎的 IPSec VPN 組態工作流程
以路由為基礎的 IPSec VPN 組態工作流程需要下列高階步驟。
- 使用現有第 0 層或第 1 層閘道設定並啟用 IPSec VPN 服務。請參閱新增 NSX IPSec VPN 服務。
- 如果您不想使用預設的 IKE 設定檔,則定義 IKE 設定檔。請參閱新增 IKE 設定檔。
- 如果您決定不使用系統預設的 IPSec 設定檔,則使用新增 IPSec 設定檔建立一個設定檔。
- 如果您不想使用預設的 DPD 設定檔,請建立 DPD 設定檔。請參閱新增 DPD 設定檔。
- 使用新增本機端點新增本機端點。
- 設定路由型 IPSec VPN 工作階段、套用設定檔,然後將本機端點連結至工作階段。在組態中提供 VTI IP,並使用相同的 IP 來設定路由。路由可以是靜態或動態 (使用 BGP)。請參閱新增路由型 IPSec 工作階段。
- 若要在遠端 VPN 端點上取得 VPN 的代表性組態,請使用下載組態功能。此檔案包含來自步驟 6 中設定的 IPSec VPN 工作階段的參數,可用於設定 VPN 工作階段的遠端端點。如需詳細資料,請參閱下載遠端 IPSec VPN 組態檔。
L2 VPN 組態工作流程
若要設定 L2 VPN,您必須設定一個處於伺服器模式的 L2 VPN 服務,然後再設定一個處於用戶端模式的 L2 VPN 服務。您也必須使用 L2 VPN 伺服器所產生的對等代碼來設定 L2 VPN 伺服器和 L2 VPN 用戶端的工作階段。以下是設定 L2 VPN 服務的高階工作流程。
- 建立處於伺服器模式的 L2 VPN 服務。
- 使用第 0 層或第 1 層閘道設定以路由為基礎的 IPSec VPN 通道,然後使用該以路由為基礎的 IPSec 通道設定 L2 VPN 伺服器服務。請參閱新增 L2 VPN 伺服器服務。
- 設定一個 L2 VPN 伺服器工作階段,以繫結新建立的以路由為基礎的 IPSec VPN 服務和 L2 VPN 伺服器服務,並自動配置 GRE IP 位址。請參閱新增 L2 VPN 伺服器工作階段。
- 對 L2 VPN 伺服器工作階段新增區段。此步驟亦在 新增 L2 VPN 伺服器工作階段中進行了說明。
- 使用下載遠端 L2 VPN 組態檔取得 L2 VPN 伺服器服務工作階段的對等代碼,它必須套用於遠端站台,且會用於自動設定 L2 VPN 用戶端工作階段。
- 建立處於用戶端模式的 L2 VPN 服務。
- 使用其他第 0 層或第 1 層閘道設定另一個以路由為基礎的 IPSec VPN 服務,然後使用剛設定的該第 0 層或第 1 層閘道設定 L2 VPN 用戶端服務。如需相關資訊,請參閱新增 L2 VPN 用戶端服務。
- 透過匯入 L2 VPN 伺服器服務所產生的對等代碼,定義 L2 VPN 用戶端工作階段。請參閱新增 L2 VPN 用戶端工作階段。
- 新增區段至上個步驟中所定義的 L2 VPN 用戶端工作階段。此步驟在新增 L2 VPN 用戶端工作階段進行了說明。