NSX Edge 支持多种类型的 VPN。SSL VPN-Plus 允许远程用户访问专用的企业应用程序。IPSec VPN 提供 NSX Edge 实例和远程站点之间的点对点连接。
L2 VPN 允许虚拟机跨地域界限保持网络连接,从而可扩展数据中心。
必须有正在运行的 NSX Edge 实例才能使用 VPN。有关设置 NSX Edge 的信息,请参见NSX Edge配置。
SSL VPN-Plus概览使用SSL VPN-Plus,远程用户可以安全地连接到 NSX Edge 网关后面的专用网络。远程用户可以在专用网络内访问服务器和应用程序。
支持以下客户端操作系统。
重要事项:
- 使用基于 ARM 的处理器的计算机不支持 SSL VPN-Plus 客户端。
- 在 Windows 上的 SSL VPN-Plus 客户端中,当 Npcap 环回适配器处于“已启用”状态时,“自动重新连接”功能无法按预期正常运行。
- 此环回适配器会妨碍 Npcap 驱动程序在 Windows 计算机上正常运行。请确保您的 Windows 计算机上安装了
- 最新版本的 Npcap 驱动程序(0.9983 或更高版本)。此版本的驱动程序不需要使用环回适配器来捕获数据包。
- 要使 UI 正常工作,需要具备 Linux TCL、TK 和网络安全服务 (Network Security Services, NSS) 库。
IPSecVPN 概览
NSX Edge 支持在 NSX Edge 实例与远程站点之间实施点对点 IPSec VPN。在 NSX Edge 实例与远程 VPN 站点之间,支持证书身份验证、预共享密钥模式和 IP 单播通信。
从 NSX Data Center 6.4.2 开始,您可以配置基于策略的 IPSec VPN 服务和基于路由的 IPSec VPN 服务。但是,您只能使用 REST API 来配置、管理和编辑基于路由的 IPSec VPN 参数。您无法在 vSphere Web Client 中配置或编辑基于路由的IPSec VPN 参数。有关使用 API 配置基于路由的IPSec VPN 的详细信息,请参见《NSX API 指南》。
在 NSX 6.4.1 和更低版本中,您只能配置基于策略的 IPSec VPN 服务。
L2VPN 概述
借助 L2 VPN,您可以在不同地理位置站点间延伸多个逻辑网络(VLAN 和 VXLAN 二者)。此外,您还可以在 L2 VPN 服务器上配置多个站点。当虚拟机在站点之间移动时,它们仍位于同一子网上,且其 IP 地址保持不变。输出优化使 Edge 能够将任何数据包路由到本地输出优化 IP 地址,并桥接其他一切。
因此,使用 L2 VPN 服务,企业可以在不同的物理站点之间无缝迁移工作负载。工作负载可以在基于 VXLAN 的网络或者基于 VLAN 的网络上运行。对于云服务提供商而言,L2 VPN 提供了一种加入租户的机制,而无需修改工作负载和应用程序的现有 IP 地址。
注:
- 从 NSX Data Center 6.4.2 开始,您可以通过 SSL 和 IPSec 隧道配置 L2 VPN 服务。但是,您只能使用 REST API 通过 IPSec 隧道来配置 L2 VPN 服务。有关配置通过 IPSec 的 L2 VPN 的详细信息,请参见《NSX API 指南》。
- 对于 NSX 6.4.1 和更低版本,您只能通过 SSL 隧道配置 L2 VPN 服务。
使用 L2 VPN 在多个站点之间扩展 VXLAN
