今天曉林電腦服務(wù)給大家分享一下:虛擬網(wǎng)絡(luò)專用VPN的技術(shù)及原理。NSX Edge 支持多種類型的 VPN。SSL VPN-Plus 允許遠(yuǎn)程用戶訪問專用的企業(yè)應(yīng)用程序。IPSec VPN 提供 NSX Edge 實(shí)例和遠(yuǎn)程站點(diǎn)之間的點(diǎn)對點(diǎn)連接。L2 VPN 允許虛擬機(jī)跨地域界限保持網(wǎng)絡(luò)連接,從而可擴(kuò)展數(shù)據(jù)中心。
必須有正在運(yùn)行的 NSX Edge 實(shí)例才能使用 VPN。有關(guān)設(shè)置 NSX Edge 的信息,請參見IT外包 服務(wù)器虛擬化方案 數(shù)據(jù)存儲(chǔ) 數(shù)據(jù)備份IT外包 服務(wù)器虛擬化方案 數(shù)據(jù)存儲(chǔ) 數(shù)據(jù)備份。
· SSL VPN-Plus概覽
使用 SSL VPN-Plus,遠(yuǎn)程用戶可以安全地連接到 NSX Edge 網(wǎng)關(guān)后面的專用網(wǎng)絡(luò)。遠(yuǎn)程用戶可以在專用網(wǎng)絡(luò)內(nèi)訪問服務(wù)器和應(yīng)用程序。
莆田IT外包|服務(wù)器虛擬化|數(shù)據(jù)存儲(chǔ)|數(shù)據(jù)備份|網(wǎng)絡(luò)故障排除
支持以下客戶端操作系統(tǒng)。
莆田IT外包|服務(wù)器虛擬化|數(shù)據(jù)存儲(chǔ)|數(shù)據(jù)備份|網(wǎng)絡(luò)故障排除
重要事項(xiàng):
- 使用基于 ARM 的處理器的計(jì)算機(jī)不支持 SSL VPN-Plus 客戶端。
- 在 windows 上的 SSL VPN-Plus 客戶端中,當(dāng) Npcap 環(huán)回適配器處于“已啟用”狀態(tài)時(shí),“自動(dòng)重新連接”功能無法按預(yù)期正常運(yùn)行。此環(huán)回適配器會(huì)妨礙 Npcap 驅(qū)動(dòng)程序在 Windows 計(jì)算機(jī)上正常運(yùn)行。請確保您的 Windows 計(jì)算機(jī)上安裝了最新版本的 Npcap 驅(qū)動(dòng)程序(0.9983 或更高版本)。此版本的驅(qū)動(dòng)程序不需要使用環(huán)回適配器來捕獲數(shù)據(jù)包。
- 要使 UI 正常工作,需要具備 linux TCL、TK 和網(wǎng)絡(luò)安全服務(wù) .NETwork Security Services, NSS) 庫。
莆田IT外包|服務(wù)器虛擬化|數(shù)據(jù)存儲(chǔ)|數(shù)據(jù)備份|網(wǎng)絡(luò)故障排除
IPSec VPN 概覽
NSX Edge 支持在 NSX Edge 實(shí)例與遠(yuǎn)程站點(diǎn)之間實(shí)施點(diǎn)對點(diǎn) IPSec VPN。在 NSX Edge 實(shí)例與遠(yuǎn)程 VPN 站點(diǎn)之間,支持證書身份驗(yàn)證、預(yù)共享密鑰模式和 IP 單播通信。
從 NSX Data Center 6.4.2 開始,您可以配置基于策略的 IPSec VPN 服務(wù)和基于路由的 IPSec VPN 服務(wù)。但是,您只能使用 REST API 來配置、管理和編輯基于路由的 IPSec VPN 參數(shù)。您無法在 vSphere Web Client 中配置或編輯基于路由的 IPSec VPN 參數(shù)。有關(guān)使用 API 配置基于路由的 IPSec VPN 的詳細(xì)信息,請參見IT外包 服務(wù)器虛擬化方案 數(shù)據(jù)存儲(chǔ) 數(shù)據(jù)備份IT外包 服務(wù)器虛擬化方案 數(shù)據(jù)存儲(chǔ) 數(shù)據(jù)備份。
在 NSX 6.4.1 和更低版本中,您只能配置基于策略的 IPSec VPN 服務(wù)。
L2 VPN 概述
借助 L2 VPN,您可以在不同地理位置站點(diǎn)間延伸多個(gè)邏輯網(wǎng)絡(luò)(VLAN 和 VXLAN 二者)。此外,您還可以在 L2 VPN 服務(wù)器上配置多個(gè)站點(diǎn)。
當(dāng)虛擬機(jī)在站點(diǎn)之間移動(dòng)時(shí),它們?nèi)晕挥谕蛔泳W(wǎng)上,且其 IP 地址保持不變。輸出優(yōu)化使 Edge 能夠?qū)⑷魏螖?shù)據(jù)包路由到本地輸出優(yōu)化 IP 地址,并橋接其他一切。
因此,使用 L2 VPN 服務(wù),企業(yè)可以在不同的物理站點(diǎn)之間無縫遷移工作負(fù)載。工作負(fù)載可以在基于 VXLAN 的網(wǎng)絡(luò)或者基于 VLAN 的網(wǎng)絡(luò)上運(yùn)行。對于云服務(wù)提供商而言,L2 VPN 提供了一種加入租戶的機(jī)制,而無需修改工作負(fù)載和應(yīng)用程序的現(xiàn)有 IP 地址。
注:
- 從 NSX Data Center 6.4.2 開始,您可以通過 SSL 和 IPSec 隧道配置 L2 VPN 服務(wù)。但是,您只能使用 REST API 通過 IPSec 隧道來配置 L2 VPN 服務(wù)。有關(guān)配置通過 IPSec 的 L2 VPN 的詳細(xì)信息,請參見《NSX API 指南》。
- 對于 NSX 6.4.1 和更低版本,您只能通過 SSL 隧道配置 L2 VPN 服務(wù)。
使用 L2 VPN 在多個(gè)站點(diǎn)之間擴(kuò)展 VXLAN
莆田IT外包|服務(wù)器虛擬化|數(shù)據(jù)存儲(chǔ)|數(shù)據(jù)備份|網(wǎng)絡(luò)故障排除
L2 VPN 客戶端和服務(wù)器根據(jù)流經(jīng)它們的流量確定本地站點(diǎn)和遠(yuǎn)程站點(diǎn)中的 mac 地址。輸出優(yōu)化維持本地路由,因?yàn)樗刑摂M機(jī)的默認(rèn)網(wǎng)關(guān)始終使用防火墻規(guī)則解析到本地網(wǎng)關(guān)。已經(jīng)移至站點(diǎn) B 的虛擬機(jī)也可訪問未在站點(diǎn) A 上延伸的 L2 分段。
如果其中一個(gè)站點(diǎn)沒有部署 NSX,則可以在該站點(diǎn)上部署一個(gè)獨(dú)立 Edge。
在下圖中,L2 VPN 將網(wǎng)絡(luò) VLAN 10 延伸到 VXLAN 5010,將 VLAN 11 延伸到 VXLAN 5011。因此,用 VLAN 10 橋接的虛擬機(jī) 1 可以訪問虛擬機(jī) 2、5 和 6。
使用 L2 VPN 將非 NSX 站點(diǎn)(基于 VLAN 的網(wǎng)絡(luò))擴(kuò)展到 NSX 站點(diǎn)(基于 VXLAN 的網(wǎng)絡(luò))
莆田IT外包|服務(wù)器虛擬化|數(shù)據(jù)存儲(chǔ)|數(shù)據(jù)備份|網(wǎng)絡(luò)故障排除
了解更多相關(guān)知識(shí)點(diǎn),請點(diǎn)擊:IT外包 服務(wù)器虛擬化方案 數(shù)據(jù)存儲(chǔ) 數(shù)據(jù)備份IT外包 服務(wù)器虛擬化方案 數(shù)據(jù)存儲(chǔ) 數(shù)據(jù)備份
