設定 PCG 和服務應用裝置之間的 IPSec VPN 工作階段。
必要條件
- 一個 PCG 或 PCG 的 HA 配對必須在傳送 VPC/VNet 中部署。
- 必須在公有雲中設定服務應用裝置,最好是在傳送 VPC/VNet 中設定。
程序
- 導覽至網路 > VPN
- 新增 IPSec 類型的 VPN 服務,並注意特定於 NSX Cloud 的下列組態選項。如需其他詳細資料,請參閱新增 NSX IPSec VPN 服務。
選項 說明 名稱 此 VPN 服務的名稱可用來設定本機端點和 IPSec VPN 工作階段。請記下該名稱。 服務類型 確認此值會設為 IPSec。 第 0 層閘道 選取為傳送 VPC/VNet 自動建立的第 0 層閘道。其名稱中包含您的 VPC/VNet 識別碼,例如 cloud-t0-vpc-6bcd2c13。 - 為 PCG 新增本機端點。本機端點的 IP 位址是傳送 VPC/VNet 中部署的 PCG 的 nsx:local_endpoint_ip 標籤的值。登入傳送 VPC/VNet 以取得該值。請注意特定於 NSX Cloud 的下列組態,並參閱新增本機端點以瞭解其他詳細資料。
選項 說明 名稱 本機端點名稱可用來設定 IPSec VPN 工作階段。請記下該名稱。 VPN 服務 選取步驟 2 中新增的 VPN 服務。 IP 位址 登入 AWS 主控台或 Microsoft Azure 入口網站,以尋找此值。它是套用到 PCG 的上行介面的標籤 nsx:local_endpoint_ip 的值。 - 在 PCG 和公有雲中的服務應用裝置 (最好是裝載於傳送 VPC/VNet 中) 之間建立以路由為基礎的 IPSec 工作階段。
選項 說明 類型 確認此值會設為以路由為基礎。 VPN 服務 選取步驟 2 中新增的 VPN 服務。 本機端點 選取步驟 3 中建立的本機端點。 遠端 IP 輸入服務應用裝置的私人 IP 位址。 備註: 如果可以使用公用 IP 位址存取您的服務應用裝置,請將公用 IP 位址指派給 PCG 上行介面的本機端點 IP (也稱為次要 IP)。通道介面 此子網路必須與 VPN 通道的服務應用裝置子網路相符。輸入您在 VPN 通道的服務應用裝置中設定的子網路值或記下在此處輸入的值,並確保在服務應用裝置中設定 VPN 通道時使用相同的子網路。 備註: 在此通道介面上設定 BGP。請參閱 設定 BGP 和路由重新分配。遠端識別碼 輸入公有雲中服務應用裝置的私人 IP 位址。 IKE 設定檔 IPSec VPN 工作階段必須與 IKE 設定檔相關聯。如果已建立設定檔,請從下拉式功能表中選取該設定檔。您也可以使用預設設定檔。