在多承租人 NSX 環境中,專案管理員可以在專案的第 1 層閘道上設定 L2 VPN 和 IPSec VPN 服務。
若要在專案的第 1 層閘道上設定 VPN,必須將 Edge 叢集指派到該專案。
專案中的 VPN 服務支援以下功能:
- 在專案的每個第 1 層閘道上,只能設定一個 IPSec 服務和一個 L2 VPN 服務。
- 如果要設定路由型 IPSec VPN,則支援靜態路由。專案的第 1 層閘道不支援使用 BGP 對虛擬通道介面 (VTI) 進行動態路由。
- 在專案中設定 IPSec VPN 和 L2 VPN 服務的工作流程與在預設空間中設定這些服務的工作流程相同。如需詳細資訊,請參閱新增 NSX VPN 服務。
- 設定 IPSec VPN 工作階段時,同時支援預先共用的金鑰驗證和憑證式驗證。
- 如有需要,企業管理員可以與專案共用服務憑證和憑證撤銷清單 (CRL)。如果為 IPSec VPN 工作階段設定了憑證式驗證,則專案管理員可以使用共用憑證對 IPSec 端點進行驗證。
- 或者,專案管理員可以在專案視圖中建立、更新或管理服務憑證和 CRL,然後使用這些憑證和 CRL 設定專案中的 IPSec VPN 工作階段。
- 依預設,可以與系統中的所有專案共用系統建立的 VPN 設定檔。專案管理員可以使用以下預設 VPN 設定檔或建立新的設定檔,以在專案中設定 VPN 服務。
- IKE 設定檔
- IPSec 通道設定檔
- DPD 設定檔
- L2 VPN 通道設定檔
- 合規性套件相關設定檔
若要瞭解如何新增 IKE、IPSec 和 DPD 設定檔,請參閱新增設定檔。如果企業管理員已在預設空間中建立 VPN 設定檔,則可以根據需要與特定專案共用這些設定檔。可以在專案中以唯讀模式使用共用設定檔。
- 企業管理員可以透過為各種物件類型定義配額來限制可在專案下建立的 VPN 相關物件數。例如,可以在以下 VPN 物件上定義配額:
- IPSec VPN 工作階段
- L2 VPN 工作階段
- 本機端點
- IPSec VPN 服務
- L2 VPN 服務
- VPN 設定檔
此清單並不完整。若要取得完整的物件清單,請移至 NSX Manager UI 上的配額索引標籤。
- 支援在專案視圖中監控 VPN 服務、VPN 工作階段和其他 VPN 統計資料的狀態。
- 支援在同一 NSX 部署中的兩個不同專案的第 1 層閘道之間設定 L2 VPN 和 IPSec VPN 通道。
- 支援在同一專案的第 1 層閘道之間設定 L2 VPN 和 IPSec VPN 通道。
在專案的第 1 層閘道上設定 VPN 服務時,必須牢記以下幾點:
- IPSec 本機端點在專案的第 1 層閘道上作為回送 IP 實現。本機端點 IP 在整個資料中心內必須是唯一的。端點 IP 通告到與專案相關聯的第 0 層閘道,然後透過 BGP 推送到上游網路。
- 若要允許 IPSec 封包 (IKE UDP 連接埠 500 和 4500,ESP) 傳輸到第 1 層閘道,企業管理員必須在與專案相關聯的第 0 層閘道上定義防火牆規則。系統不會在第 0 層閘道上自動建立防火牆規則。但會在專案的第 1 層閘道上自動建立防火牆規則,以在 IPSec VPN 工作階段中支援端點之間的 IKE 和 ESP 流量。