Os edge gateways do NSX Data Center for vSphere em um ambiente do VMware Cloud Director suportam VPN L2. Com a VPN L2, você pode estender o centro de dados virtual de organização, permitindo que as máquinas virtuais mantenham a conectividade de rede e mantenham o mesmo endereço IP independente das fronteiras geográficas. Você pode configurar o serviço de VPN L2 em um edge gateway.

O NSX Data Center for vSphere fornece os recursos de VPN L2 de um edge gateway. Com a VPN L2, você pode configurar um túnel entre dois locais. As máquinas virtuais permanecem na mesma sub-rede, apesar de serem movidas entre esses locais, o que permite que você estenda o datacenter virtual da organização alongando sua rede usando VPN L2. Um edge gateway num site pode fornecer todos os serviços para máquinas virtuais no outro site.

Para criar o túnel VPN L2, você configura um servidor VPN L2 e um cliente VPN L2. Conforme descrito no Guia de administração do NSX, o servidor VPN L2 é o edge gateway de destino e o cliente de VPN L2 é o edge gateway de origem. Depois de definir as configurações de VPN L2 em cada edge gateway, você deve habilitar o serviço VPN L2 no servidor e no cliente.

Observação: Uma rede de centro de dados virtuais da organização roteada, criada como uma subinterface, deve existir nos edge gateways.

Navegar até a tela VPN L2

Para começar a configurar o serviço de VPN L2 para um edge gateway do NSX Data Center for vSphere, você deve navegar até a tela VPN L2.

Procedimento

  1. Abra Serviços de Edge Gateway.
    1. Na barra de navegação superior, clique em Rede e, depois, em Edge Gateways.
    2. Selecione o edge gateway que você deseja editar e clique em Serviços.
  2. Navegue até VPN > VPN L2.

O que Fazer Depois

Configure o servidor VPN L2. Consulte Configurar o edge gateway do NSX Data Center for vSphere como um servidor VPN L2.

Configurar o edge gateway do NSX Data Center for vSphere como um servidor VPN L2

O servidor VPN L2 é o edge do NSX de destino à qual o cliente VPN L2 vai se conectar.

Conforme descrito no Guia de administração do NSX, você pode conectar vários sites pares a esse servidor VPN L2.

Observação: Alterar as definições de configuração do site faz com que o edge gateway se desconecte e reconecte todas as conexões existentes.

Pré-requisitos

  • Verifique se o edge gateway tem uma rede do centro de dados virtual de organização roteada e configurada como uma subinterface no edge gateway.
  • Navegar até a tela VPN L2.
  • Se você quiser associar um certificado de serviço à conexão VPN L2, verifique se o certificado do servidor já foi carregado no edge gateway. Consulte Adicionar um certificado de serviço ao edge gateway.
  • Você deve ter o IP de ouvinte do servidor, a porta de ouvinte, o algoritmo de criptografia e pelo menos um site par configurado antes de poder habilitar o serviço VPN L2.

Procedimento

  1. Na guia VPN L2, selecione Servidor para o modo VPN L2.
  2. Na guia Servidor global, configure os detalhes de configuração global do servidor VPN L2.
    Opção Ação
    IP do Ouvinte Selecione o endereço IP primário ou secundário de uma interface externa do edge gateway.
    Porta do Ouvinte Edite o valor exibido conforme apropriado para as necessidades da organização.

    A porta padrão para o serviço VPN L2 é 443.

    Algoritmo de Criptografia Selecione o algoritmo de criptografia para a comunicação entre o servidor e o cliente.
    Detalhes do Certificado de Serviço Clique em Alterar o certificado do servidor para selecionar o certificado a ser vinculado ao servidor VPN L2.

    Na janela Alterar certificado do servidor, ative Validar certificado do servidor, selecione um certificado do servidor na lista e clique em OK.

  3. Para configurar os sites pares, clique na guia Sites do servidor.
  4. Clique no botão Adicionar.
  5. Defina as configurações para um site par do VPN L2.
    Opção Ação
    Ativado Habilite este site par.
    Nome Insira um nome exclusivo para o site par.
    Descrição (Opcional) Digite uma descrição.

    ID de usuário

    Senha

    Confirmar Senha

    Insira o nome de usuário e a senha de autenticação do site par.

    As credenciais do usuário no site par devem ser as iguais às credenciais no lado do cliente.

    Interfaces Estendidas Selecione pelo menos uma subinterface a ser estendida com o cliente.

    As subinterfaces disponíveis para seleção são aquelas redes de datacenters virtuais da organização configuradas como subinterfaces no edge gateway.

    Endereço do Gateway de Otimização de Saída (Opcional) Se o gateway padrão para máquinas virtuais for o mesmo nos dois sites, insira os endereços IP do gateway das subinterfaces para as quais você deseja que o tráfego seja roteado localmente ou bloqueado pelo túnel VPN L2.
  6. Clique em Manter.
  7. Clique em Salvar alterações.

O que Fazer Depois

Habilite o serviço VPN L2 neste edge gateway. Consulte Habilitar o serviço de VPN L2 em um edge gateway do NSX Data Center for vSphere.

Configurar o edge gateway do NSX Data Center for vSphere como um cliente VPN L2

O cliente VPN L2 é o NSX Edge de origem que inicia a comunicação com o NSX Edge de destino, o servidor VPN L2.

Pré-requisitos

Procedimento

  1. Na guia VPN L2, selecione Cliente para o modo VPN L2.
  2. Na guia Cliente global, configure os detalhes de configuração global do cliente VPN L2.
    Opção Descrição
    Endereço do Servidor Insira o endereço IP do servidor VPN L2 ao qual este cliente deve ser conectado.
    Porta do Servidor Insira a porta do servidor VPN L2 à qual o cliente deve se conectar.

    A porta padrão é 443.

    Algoritmo de Criptografia Selecione o algoritmo de criptografia para comunicação com o servidor.
    Interfaces Estendidas Selecione as subinterfaces a serem estendidas para o servidor.

    As subinterfaces disponíveis para seleção são as redes do datacenter virtual da organização configuradas como subinterfaces no edge gateway.

    Endereço do Gateway de Otimização de Saída (Opcional) Se o gateway padrão para máquinas virtuais for o mesmo nos dois sites, digite os endereços IP de gateway das subinterfaces ou os endereços IP nos quais o tráfego não deve fluir pelo túnel.
    Detalhes do Usuário Insira a ID de usuário e a senha para autenticação com o servidor.
  3. Clique em Salvar alterações.
  4. (Opcional) Para configurar opções avançadas, clique na guia Cliente avançado.
  5. Se esse edge do cliente VPN L2 não tiver acesso direto à Internet e for necessário acessar o edge do servidor VPN L2 usando um servidor proxy, especifique as configurações de proxy.
    Opção Descrição
    Ativar Proxy Seguro Selecione para habilitar o proxy seguro.
    Endereço Insira o endereço IP do servidor proxy.
    Porta Insira a porta do servidor proxy.

    Nome de Usuário

    Senha

    Insira as credenciais de autenticação do servidor proxy.
  6. Para habilitar a validação de certificação do servidor, clique em Alterar Certificado de CA e selecione o Certificado de Autoridade de Certificação apropriado.
  7. Clique em Salvar alterações.

O que Fazer Depois

Habilite o serviço VPN L2 neste edge gateway. Consulte Habilitar o serviço de VPN L2 em um edge gateway do NSX Data Center for vSphere.

Habilitar o serviço de VPN L2 em um edge gateway do NSX Data Center for vSphere

Quando as configurações de VPN L2 necessárias estiverem concluídas, você poderá habilitar o serviço de VPN L2 no edge gateway.

Observação: Se o HA já estiver configurado nesse edge gateway, certifique-se de que o edge gateway tenha mais de uma interface interna configurada nele. Se apenas uma interface existir e essa já tiver sido usada pelo recurso de HA, a configuração da VPN L2 na mesma interface interna falhará.

Pré-requisitos

Procedimento

  1. Na guia VPN L2, clique na opção Habilitar.
  2. Clique em Salvar alterações.

Resultados

O serviço VPN L2 do edge gateway ficará ativo.

O que Fazer Depois

Crie regras de NAT ou de firewall no lado do firewall voltado para a Internet para permitir que o servidor VPN L2 se conecte ao cliente VPN L2.