今天晓林电脑服务给大家分享一下:虚拟网络专用VPN的技术及原理。NSX Edge 支持多种类型的 VPN。SSL VPN-Plus 允许远程用户访问专用的企业应用程序。IPSec VPN 提供 NSX Edge 实例和远程站点之间的点对点连接。L2 VPN 允许虚拟机跨地域界限保持网络连接,从而可扩展数据中心。
必须有正在运行的 NSX Edge 实例才能使用 VPN。有关设置 NSX Edge 的信息,请参见。
· SSL VPN-Plus概览
使用 SSL VPN-Plus,远程用户可以安全地连接到 NSX Edge 网关后面的专用网络。远程用户可以在专用网络内访问服务器和应用程序。
莆田IT外包|服务器虚拟化|数据存储|数据备份|网络故障排除
支持以下客户端操作系统。
莆田IT外包|服务器虚拟化|数据存储|数据备份|网络故障排除
重要事项:
- 使用基于 ARM 的处理器的计算机不支持 SSL VPN-Plus 客户端。
- 在 上的 SSL VPN-Plus 客户端中,当 Npcap 环回适配器处于“已启用”状态时,“自动重新连接”功能无法按预期正常运行。此环回适配器会妨碍 Npcap 驱动程序在 Windows 计算机上正常运行。请确保您的 Windows 计算机上安装了最新版本的 Npcap 驱动程序(0.9983 或更高版本)。此版本的驱动程序不需要使用环回适配器来捕获数据包。
- 要使 UI 正常工作,需要具备 TCL、TK 和网络安全服务 work Security Services, NSS) 库。
莆田IT外包|服务器虚拟化|数据存储|数据备份|网络故障排除
IPSec VPN 概览
NSX Edge 支持在 NSX Edge 实例与远程站点之间实施点对点 IPSec VPN。在 NSX Edge 实例与远程 VPN 站点之间,支持证书身份验证、预共享密钥模式和 IP 单播通信。
从 NSX Data Center 6.4.2 开始,您可以配置基于策略的 IPSec VPN 服务和基于路由的 IPSec VPN 服务。但是,您只能使用 REST API 来配置、管理和编辑基于路由的 IPSec VPN 参数。您无法在 vSphere Web Client 中配置或编辑基于路由的 IPSec VPN 参数。有关使用 API 配置基于路由的 IPSec VPN 的详细信息,请参见。
在 NSX 6.4.1 和更低版本中,您只能配置基于策略的 IPSec VPN 服务。
L2 VPN 概述
借助 L2 VPN,您可以在不同地理位置站点间延伸多个逻辑网络(VLAN 和 VXLAN 二者)。此外,您还可以在 L2 VPN 服务器上配置多个站点。
当虚拟机在站点之间移动时,它们仍位于同一子网上,且其 IP 地址保持不变。输出优化使 Edge 能够将任何数据包路由到本地输出优化 IP 地址,并桥接其他一切。
因此,使用 L2 VPN 服务,企业可以在不同的物理站点之间无缝迁移工作负载。工作负载可以在基于 VXLAN 的网络或者基于 VLAN 的网络上运行。对于云服务提供商而言,L2 VPN 提供了一种加入租户的机制,而无需修改工作负载和应用程序的现有 IP 地址。
注:
- 从 NSX Data Center 6.4.2 开始,您可以通过 SSL 和 IPSec 隧道配置 L2 VPN 服务。但是,您只能使用 REST API 通过 IPSec 隧道来配置 L2 VPN 服务。有关配置通过 IPSec 的 L2 VPN 的详细信息,请参见《NSX API 指南》。
- 对于 NSX 6.4.1 和更低版本,您只能通过 SSL 隧道配置 L2 VPN 服务。
使用 L2 VPN 在多个站点之间扩展 VXLAN
莆田IT外包|服务器虚拟化|数据存储|数据备份|网络故障排除
L2 VPN 客户端和服务器根据流经它们的流量确定本地站点和远程站点中的 地址。输出优化维持本地路由,因为所有虚拟机的默认网关始终使用规则解析到本地网关。已经移至站点 B 的虚拟机也可访问未在站点 A 上延伸的 L2 分段。
如果其中一个站点没有部署 NSX,则可以在该站点上部署一个独立 Edge。
在下图中,L2 VPN 将网络 VLAN 10 延伸到 VXLAN 5010,将 VLAN 11 延伸到 VXLAN 5011。因此,用 VLAN 10 桥接的虚拟机 1 可以访问虚拟机 2、5 和 6。
使用 L2 VPN 将非 NSX 站点(基于 VLAN 的网络)扩展到 NSX 站点(基于 VXLAN 的网络)
莆田IT外包|服务器虚拟化|数据存储|数据备份|网络故障排除
了解更多相关知识点,请点击:
胜象大百科
