VMware Cloud Director 环境中的 NSX Data Center for vSphere Edge 网关支持 L2 VPN。通过 L2 VPN,可以使虚拟机跨地域界限保留同一 IP 地址,同时又保持网络连接,从而扩展组织虚拟数据中心。可以在 Edge 网关上配置 L2 VPN 服务。

NSX Data Center for vSphere 为 Edge 网关提供了 L2 VPN 功能。通过 L2 VPN,可以在两个站点之间配置通道。尽管虚拟机在这些站点之间移动,但其仍在同一子网中,因此您可以通过使用 L2 VPN 延伸网络来扩展您的组织虚拟数据中心。一个站点上的 Edge 网关可以为另一个站点上的虚拟机提供所有服务。

要创建 L2 VPN 通道,需要配置 L2 VPN 服务器和 L2 VPN 客户端。如《NSX 管理指南》中所述,L2 VPN 服务器是目标 Edge 网关,L2 VPN 客户端是源 Edge 网关。配置每个 Edge 网关上的 L2 VPN 设置后,您必须启用服务器和客户端上的 L2 VPN 服务。

注: 创建为子接口的路由组织虚拟数据中心网络必须存在于 Edge 网关上。

导航到“L2 VPN”屏幕

要开始为 NSX Data Center for vSphere Edge 网关配置 L2 VPN 服务,必须导航到 L2 VPN 屏幕。

过程

  1. 打开 Edge 网关服务。
    1. 在顶部导航栏中,单击网络,然后单击 Edge 网关
    2. 选择要编辑的 Edge 网关,然后单击服务
  2. 导航到 VPN > L2 VPN

下一步做什么

配置 L2 VPN 服务器。请参见将 NSX Data Center for vSphere Edge 网关配置为 L2 VPN 服务器

NSX Data Center for vSphere Edge 网关配置为 L2 VPN 服务器

L2 VPN 服务器是 L2 VPN 客户端将连接到的目标 NSX Edge。

《NSX 管理指南》中所述,您可以将多个对等站点连接到此 L2 VPN 服务器。

注: 更改站点配置设置会导致 Edge 网关断开连接并重新连接所有现有连接。

前提条件

  • 确认 Edge 网关具有一个路由组织虚拟数据中心网络,并且该网络已配置为此 Edge 网关的子接口。
  • 导航到“L2 VPN”屏幕
  • 如果您要将服务证书绑定到 L2 VPN 连接,请确认已将服务器证书上载到 Edge 网关。请参见将服务证书添加到 Edge 网关
  • 启用 L2 VPN 服务之前,您必须配置服务器的侦听器 IP、侦听器端口、加密算法及至少一个对等站点。

过程

  1. L2 VPN 选项卡上,选择服务器作为 L2 VPN 模式。
  2. 服务器全局选项卡上,配置 L2 VPN 服务器的全局配置详细信息。
    选项 操作
    侦听器 IP 选择 Edge 网关的外部接口的主或辅助 IP 地址。
    侦听器端口 根据组织需求编辑显示的值。

    L2 VPN 服务的默认端口是 443。

    加密算法 选择服务器和客户端之间通信的加密算法。
    服务证书详细信息 单击更改服务器证书,选择要绑定到 L2 VPN 服务器的证书。

    更改服务器证书窗口中,启用验证服务器证书,从列表中选择服务器证书,并单击确定

  3. 要配置对等站点,请单击服务器站点选项卡。
  4. 单击添加按钮。
  5. 配置 L2 VPN 对等站点的设置。
    选项 操作
    已启用 启用此对等站点。
    名称 输入对等站点的唯一名称。
    描述 (可选)键入描述。

    用户 ID

    密码

    确认密码

    输入用于对对等站点进行身份验证的用户名和密码。

    对等站点上的用户凭据必须与客户端上的凭据相同。

    延伸接口 至少选择一个要使用客户端延伸的子接口。

    可供选择的子接口是 Edge 网关上配置为子接口的组织虚拟数据中心网络。

    输出优化网关地址 (可选)如果虚拟机的默认网关在两个站点上相同,请输入您希望通过 L2 VPN 通道在本地路由或阻止流量的子接口的网关 IP 地址。
  6. 单击保留
  7. 单击保存更改

下一步做什么

在此 Edge 网关上启用 L2 VPN 服务。请参见在 NSX Data Center for vSphere Edge 网关上启用 L2 VPN 服务

NSX Data Center for vSphere Edge 网关配置为 L2 VPN 客户端

L2 VPN 客户端是源 NSX Edge,它发起与目标 NSX Edge(即 L2 VPN 服务器)的通信。

前提条件

过程

  1. L2 VPN 选项卡上,选择客户端作为 L2 VPN 模式。
  2. 客户端全局选项卡上,配置 L2 VPN 客户端的全局配置详细信息。
    选项 描述
    服务器地址 输入要将此客户端连接到的 L2 VPN 服务器的 IP 地址。
    服务器端口 输入客户端应连接到的 L2 VPN 服务器端口。

    默认端口为 443。

    加密算法 选择用于与服务器通信的加密算法。
    延伸接口 选择要延伸到服务器的子接口。

    可供选择的子接口是 Edge 网关上配置为子接口的组织虚拟数据中心网络。

    输出优化网关地址 (可选)如果虚拟机在两个站点上的默认网关相同,请键入子接口的网关 IP 地址或流量不应通过通道流入的 IP 地址。
    用户详细信息 输入用于向该服务器进行身份验证的用户 ID 和密码。
  3. 单击保存更改
  4. (可选) 要配置高级选项,请单击客户端高级选项卡。
  5. 如果此 L2 VPN 客户端 Edge 无法直接访问 Internet,而必须使用代理服务器访问 L2 VPN 服务器 Edge,请指定代理设置。
    选项 描述
    启用安全代理 选择后可启用安全代理。
    地址 输入代理服务器的 IP 地址。
    端口 输入代理服务器的端口。

    用户名

    密码

    输入代理服务器的身份验证凭据。
  6. 要启用服务器证书验证,请单击更改 CA 证书,然后选择相应的 CA 证书。
  7. 单击保存更改

下一步做什么

在此 Edge 网关上启用 L2 VPN 服务。请参见在 NSX Data Center for vSphere Edge 网关上启用 L2 VPN 服务

NSX Data Center for vSphere Edge 网关上启用 L2 VPN 服务

配置所需的 L2 VPN 设置后,可以在 Edge 网关上启用 L2 VPN 服务。

注: 如果已在此 Edge 网关上配置 HA,请确保此 Edge 网关上配置了多个内部接口。如果只存在一个接口,并且已由 HA 功能使用,则在同一内部接口上配置 L2 VPN 将失败。

前提条件

过程

  1. L2 VPN 选项卡上,单击启用开关。
  2. 单击保存更改

结果

Edge 网关的 L2 VPN 服务将处于活动状态。

下一步做什么

在面向 Internet 的防火墙端创建 NAT 或防火墙规则,从而让 L2 VPN 服务器能够连接到 L2 VPN 客户端。