NSX Data Center 6.4.2 开始,您可以借助通过 IPSec 的 L2 VPN 服务来延伸两个站点之间的第 2 层网络。在配置通过 IPSec 的 L2 VPN 服务之前,您必须首先创建一个基于路由的 IPSec VPN 隧道。然后,使用此基于路由的 IPSec VPN 隧道在两个站点之间创建 L2 VPN 隧道。

您无法使用 vSphere Web Client 创建和编辑基于路由的 IPSec VPN 隧道。您必须使用 NSX REST API。有关创建基于路由的 IPSec VPN 隧道的详细信息,请参见NSX API 指南》

配置通过 IPSec 的 L2 VPN 服务的工作流

您必须使用 NSX REST API 在服务器 Edge 和客户端 Edge 上均配置通过 IPSec 的 L2 VPN 服务。

NSX REST API 支持该工作流中的步骤。在本文档中,仅提及 API URL。有关 API 参数、示例请求和响应的详细信息,请参见NSX API 指南》

首先,使用以下步骤在 NSX Edge 上以服务器(集线器)模式配置 L2 VPN 服务。以服务器模式配置的 Edge 必须是 NSX Edge
  1. 在与要配置为 L2 VPN 服务器(集线器)的 Edge 之间创建基于路由的 IPSec VPN 隧道。创建隧道时会自动生成一个站点 ID。
    PUT /api/4.0/edges/{edgeId}/ipsec/config
  2. 为客户端创建一个 L2 VPN 隧道,并将此 L2 VPN 隧道与步骤 1 中生成的站点 ID 相绑定。
    POST /api/4.0/edges/{edgeId}/l2t/config/l2tunnels
  3. 检索此客户端的对等代码。此对等代码将成为在客户端 Edge 上配置 L2 VPN 服务的输入代码(共享代码)。
    GET /api/4.0/edges/{edgeId}/l2t/config/l2tunnels/{l2tunnelId}/peercodes
  4. 启用通过 IPSec 的 L2 VPN 服务。
    POST /api/4.0/edges/{edgeId}/l2t/config

如果您想要延伸 L2 网络至其他站点,请在服务器上针对其他站点的 L2 VPN 客户端重复上述三个步骤。

现在,使用以下步骤在另一个 Edge 上以客户端(分支)模式配置 L2 VPN 服务。此 Edge 可以是受 NSX 管理的 Edge,也可以是独立 Edge。
  1. 使用在服务器 Edge 上配置基于路由的 IPSec VPN 隧道时所用的相同参数,创建一个基于路由的 IPSec VPN 隧道。
  2. 以分支模式配置 Edge。
    PUT /api/4.0/edges/{edgeId}/l2t/config/globalconfig
  3. 使用在服务器上生成的站点 ID 以及从服务器检索的对等代码创建 L2 VPN 隧道。
  4. 启用通过 IPSec 的 L2 VPN 服务。