NSX Edge 支持多種類(lèi)型的 VPN。SSL VPN-Plus 允許遠程用戶(hù)訪(fǎng)問(wèn)專(zhuān)用的企業(yè)應用程序。IPSec VPN 提供 NSX Edge 實(shí)例和遠程站點(diǎn)之間的點(diǎn)對點(diǎn)連接。
L2 VPN 允許虛擬機跨地域界限保持網(wǎng)絡(luò )連接,從而可擴展數據中心。
必須有正在運行的 NSX Edge 實(shí)例才能使用 VPN。有關(guān)設置 NSX Edge 的信息,請參見(jiàn)NSX Edge配置。
SSL VPN-Plus概覽使用SSL VPN-Plus,遠程用戶(hù)可以安全地連接到 NSX Edge 網(wǎng)關(guān)后面的專(zhuān)用網(wǎng)絡(luò )。遠程用戶(hù)可以在專(zhuān)用網(wǎng)絡(luò )內訪(fǎng)問(wèn)服務(wù)器和應用程序。
支持以下客戶(hù)端操作系統。
重要事項:
- 使用基于 ARM 的處理器的計算機不支持 SSL VPN-Plus 客戶(hù)端。
- 在 Windows 上的 SSL VPN-Plus 客戶(hù)端中,當 Npcap 環(huán)回適配器處于“已啟用”狀態(tài)時(shí),“自動(dòng)重新連接”功能無(wú)法按預期正常運行。
- 此環(huán)回適配器會(huì )妨礙 Npcap 驅動(dòng)程序在 Windows 計算機上正常運行。請確保您的 Windows 計算機上安裝了
- 最新版本的 Npcap 驅動(dòng)程序(0.9983 或更高版本)。此版本的驅動(dòng)程序不需要使用環(huán)回適配器來(lái)捕獲數據包。
- 要使 UI 正常工作,需要具備 Linux TCL、TK 和網(wǎng)絡(luò )安全服務(wù) (Network Security Services, NSS) 庫。
IPSecVPN 概覽
NSX Edge 支持在 NSX Edge 實(shí)例與遠程站點(diǎn)之間實(shí)施點(diǎn)對點(diǎn) IPSec VPN。在 NSX Edge 實(shí)例與遠程 VPN 站點(diǎn)之間,支持證書(shū)身份驗證、預共享密鑰模式和 IP 單播通信。
從 NSX Data Center 6.4.2 開(kāi)始,您可以配置基于策略的 IPSec VPN 服務(wù)和基于路由的 IPSec VPN 服務(wù)。但是,您只能使用 REST API 來(lái)配置、管理和編輯基于路由的 IPSec VPN 參數。您無(wú)法在 vSphere Web Client 中配置或編輯基于路由的IPSec VPN 參數。有關(guān)使用 API 配置基于路由的IPSec VPN 的詳細信息,請參見(jiàn)《NSX API 指南》。
在 NSX 6.4.1 和更低版本中,您只能配置基于策略的 IPSec VPN 服務(wù)。
L2VPN 概述
借助 L2 VPN,您可以在不同地理位置站點(diǎn)間延伸多個(gè)邏輯網(wǎng)絡(luò )(VLAN 和 VXLAN 二者)。此外,您還可以在 L2 VPN 服務(wù)器上配置多個(gè)站點(diǎn)。當虛擬機在站點(diǎn)之間移動(dòng)時(shí),它們仍位于同一子網(wǎng)上,且其 IP 地址保持不變。輸出優(yōu)化使 Edge 能夠將任何數據包路由到本地輸出優(yōu)化 IP 地址,并橋接其他一切。
因此,使用 L2 VPN 服務(wù),企業(yè)可以在不同的物理站點(diǎn)之間無(wú)縫遷移工作負載。工作負載可以在基于 VXLAN 的網(wǎng)絡(luò )或者基于 VLAN 的網(wǎng)絡(luò )上運行。對于云服務(wù)提供商而言,L2 VPN 提供了一種加入租戶(hù)的機制,而無(wú)需修改工作負載和應用程序的現有 IP 地址。
注:
- 從 NSX Data Center 6.4.2 開(kāi)始,您可以通過(guò) SSL 和 IPSec 隧道配置 L2 VPN 服務(wù)。但是,您只能使用 REST API 通過(guò) IPSec 隧道來(lái)配置 L2 VPN 服務(wù)。有關(guān)配置通過(guò) IPSec 的 L2 VPN 的詳細信息,請參見(jiàn)《NSX API 指南》。
- 對于 NSX 6.4.1 和更低版本,您只能通過(guò) SSL 隧道配置 L2 VPN 服務(wù)。
使用 L2 VPN 在多個(gè)站點(diǎn)之間擴展 VXLAN