L2 VPN 客户端是源 NSX Edge,它发起与目标 Edge(L2 VPN 服务器)之间的通信。

也可以将独立的 Edge 配置为 L2 VPN 客户端。请参见将独立 Edge 配置为 L2 VPN 客户端

过程

  1. 登录到 vSphere Web Client
  2. 单击网络和安全 (Networking & Security) > NSX Edge (NSX Edges)
  3. 双击要配置为 L2 VPN 客户端的 Edge。
  4. 单击管理 > VPN > L2 VPN
  5. L2 VPN 模式 (L2 VPN Mode)旁边,选择客户端 (Client)
  6. 全局配置详细信息旁边,单击编辑更改
  7. 指定 L2 VPN 客户端详细信息。
    1. 输入该客户端要连接到的 L2 VPN 服务器的地址。该地址可能是主机名或 IP 地址。
    2. 根据需要编辑 L2 VPN 客户端必须连接的默认端口。
    3. 选择与服务器通信所用的加密算法。
    4. 延伸的接口 (Stretched Interfaces)中,单击 HTML5 中的“编辑”图标。选择子接口 (Select Sub Interfaces)以选择要延伸到服务器的子接口。
    5. 选择 Edge 的中继接口。
      此时将显示中继虚拟网卡上配置的子接口。
    6. 双击要延伸的子接口,然后单击添加确定
    7. 输出优化网关地址 (Egress Optimization Gateway Address)中,输入子接口的网关 IP 地址或者流量不应通过隧道流向的 IP 地址。
    8. (可选) 如果您希望未延伸网络上的虚拟机与延伸网络上的 L2 VPN 服务器 Edge 后面的虚拟机进行通信,请选中未延伸网络 (Unstretched Networks)复选框。此外,您还希望通过同一个 L2 VPN 隧道来路由此通信。未延伸子网可以位于 L2 VPN 服务器 Edge 或 L2 VPN 客户端 Edge(或两者)后面。

      例如,假设您创建了一个 L2 VPN 隧道,来使用 NSX L2 VPN 服务延伸两个数据中心站点之间的 192.168.10.0/24 子网。

      在 L2 VPN 服务器 Edge 后面,有两个其他子网(例如,192.168.20.0/24 和 192.168.30.0/24)。启用未延伸网络后,192.168.20.0/24 和 192.168.30.0/24 子网上的虚拟机将可以与延伸网络 (192.168.10.0/24) 上 L2 VPN 服务器 Edge 后面的虚拟机进行通信。此通信将通过同一个 L2 VPN 隧道路由。

    9. 如果已启用未延伸网络,请根据未延伸子网所处的位置来执行这些步骤:
      • 如果未延伸子网位于 L2 VPN 服务器 Edge 后面,则在配置 L2 VPN 客户端 Edge 时,采用 CIDR 格式输入未延伸网络的网络地址。要输入多个未延伸网络,请使用逗号分隔网络地址。
      • 当未延伸子网位于 L2 VPN 客户端 Edge 后面时,请将未延伸网络 (Unstretched Networks)文本框保留为空。换言之,不要在 L2 VPN 客户端 Edge 上输入未延伸网络的网络地址。
      在前面的示例中,因为未延伸子网位于 L2 VPN 服务器 Edge 后面,因此在配置 L2 VPN 客户端 Edge 时,您输入的未延伸网络必须为 192.168.20.0/24, 192.168.30.0/24
    10. 用户详细信息 (User Details)中,键入在服务器进行身份验证的用户凭据。
  8. 单击高级 (Advanced)选项卡并指定其他客户端详细信息。
    1. (可选) 仅启用安全代理连接。
      如果客户端 Edge 无法直接访问 Internet,并且必须通过代理服务器访问源(服务器)NSX Edge,则必须指定代理服务器设置。
    2. 输入代理服务器地址、端口、用户名和密码。
    3. 要启用服务器证书验证,请选择验证服务器证书 (Validate Server Certificate),然后选择相应的 CA 证书。
    4. 单击保存确定 (OK),然后单击发布更改 (Publish Changes)

后续步骤

确保面向防火墙的 Internet 允许流量从 L2 VPN Edge 流向 Internet。目标端口为 443。