以原則為基礎的 IPSec VPN 需要將 VPN 原則套用到封包,以確定哪些流量在通過 VPN 通道之前受到 IPSec 保護。

此類型的 VPN 被視為靜態的,因為當本機網路拓撲和組態變更時,VPN 原則設定也必須一併更新以適應變更。

將以原則為基礎的 IPSec VPN 與 NSX 搭配使用時,您可以使用 IPSec 通道將 NSX Edge 節點後方的一或多個本機子網路與遠端 VPN 站台上的對等子網路進行連線。

您可以在 NAT 裝置後方部署 NSX Edge 節點。在此部署中,NAT 裝置會將 NSX Edge 節點的 VPN 位址轉譯為可公開存取的網際網路對向位址。遠端 VPN 站台會使用此公用位址來存取 NSX Edge 節點。

也可以將遠端 VPN 站台置於 NAT 裝置後方。您必須提供遠端 VPN 站台的公用 IP 位址及其識別碼 (FQDN 或 IP 位址) 來設定 IPSec 通道。在兩端,VPN 位址需要靜態一對一 NAT。

備註: 在設定了以原則為基礎之 IPSec VPN 的第 0 層或第 1 層閘道上不支援 DNAT。

IPSec VPN 可在內部部署網路與您雲端軟體定義的資料中心 (SDDC) 中的網路之間提供安全通道。對於原則型 IPSec VPN,必須在這兩個端點上以對稱方式設定在工作階段中提供的本機和對等網路。例如,如果雲端 SDDC 將本機網路設定為 X、Y、Z 子網路,並將對等網路設定為 A,則內部部署 VPN 組態必須以 A 作為本機網路,並以 X、Y、Z 作為對等網路。即使 A 設定為任何 (0.0.0.0/0),仍是如此。例如,如果雲端 SDDC 原則型 VPN 工作階段將本機網路設定為 10.1.1.0/24,並將對等網路設定為 0.0.0.0/0,則在內部部署 VPN 端點上,VPN 組態必須以 0.0.0.0/0 作為本機網路,並以 10.1.1.0/24 作為對等網路。如果設定錯誤,則 IPSec VPN 通道交涉可能會失敗。

NSX Edge 節點的大小會決定支援的通道數目上限,如下表所示。
表 1. 支援的 IPSec 通道數目
Edge 節點大小 每個 VPN 工作階段的

IPSec 通道數目 (以原則為基礎)

每項 VPN 服務的工作階段數目 每項 VPN 服務的 IPSec 通道數目

(每個工作階段 16 個通道)

不適用 (僅限 POC/實驗室) 不適用 (僅限 POC/實驗室) 不適用 (僅限 POC/實驗室)
128 128 2048
128 (軟限制) 256 4096
裸機 128 (軟限制) 512 6000
限制: 以原則為基礎的 IPSec VPN 的固有架構會限制您設定 VPN 通道備援。

如需設定以原則為基礎的 IPSec VPN 的相關資訊,請參閱新增 NSX IPSec VPN 服務