从 NSX Data Center 6.4.2 开始,您可以借助通过 IPSec 的 L2 VPN 服务来延伸两个站点之间的第 2 层网络。在配置通过 IPSec 的 L2 VPN 服务之前,您必须首先创建一个基于路由的 IPSec VPN 隧道。然后,使用此基于路由的 IPSec VPN 隧道在两个站点之间创建 L2 VPN 隧道。
您无法使用 vSphere Web Client 创建和编辑基于路由的 IPSec VPN 隧道。您必须使用 NSX REST API。有关创建基于路由的 IPSec VPN 隧道的详细信息,请参见《NSX API 指南》。
配置通过 IPSec 的 L2 VPN 服务的工作流
您必须使用 NSX REST API 在服务器 Edge 和客户端 Edge 上均配置通过 IPSec 的 L2 VPN 服务。
仅 NSX REST API 支持该工作流中的步骤。在本文档中,仅提及 API URL。有关 API 参数、示例请求和响应的详细信息,请参见《NSX API 指南》。
首先,使用以下步骤在
NSX Edge 上以服务器(集线器)模式配置 L2 VPN 服务。以服务器模式配置的 Edge 必须是
NSX Edge。
- 在与要配置为 L2 VPN 服务器(集线器)的 Edge 之间创建基于路由的 IPSec VPN 隧道。创建隧道时会自动生成一个站点 ID。
PUT /api/4.0/edges/{edgeId}/ipsec/config - 为客户端创建一个 L2 VPN 隧道,并将此 L2 VPN 隧道与步骤 1 中生成的站点 ID 相绑定。
POST /api/4.0/edges/{edgeId}/l2t/config/l2tunnels - 检索此客户端的对等代码。此对等代码将成为在客户端 Edge 上配置 L2 VPN 服务的输入代码(共享代码)。
GET /api/4.0/edges/{edgeId}/l2t/config/l2tunnels/{l2tunnelId}/peercodes - 启用通过 IPSec 的 L2 VPN 服务。
POST /api/4.0/edges/{edgeId}/l2t/config
如果您想要延伸 L2 网络至其他站点,请在服务器上针对其他站点的 L2 VPN 客户端重复上述三个步骤。
现在,使用以下步骤在另一个 Edge 上以客户端(分支)模式配置 L2 VPN 服务。此 Edge 可以是受
NSX 管理的 Edge,也可以是独立 Edge。
- 使用在服务器 Edge 上配置基于路由的 IPSec VPN 隧道时所用的相同参数,创建一个基于路由的 IPSec VPN 隧道。
- 以分支模式配置 Edge。
PUT /api/4.0/edges/{edgeId}/l2t/config/globalconfig - 使用在服务器上生成的站点 ID 以及从服务器检索的对等代码创建 L2 VPN 隧道。
- 启用通过 IPSec 的 L2 VPN 服务。
