如果您要延伸的某个站点不受 NSX 支持,则可以在该站点上部署一个独立 Edge 作为 L2 VPN 客户端。

如果您要为单独的 Edge 更改 FIPS 模式,请使用 fips enablefips disable 命令。有关详细信息,请参阅NSX 命令行界面参考

您可以部署一对独立 L2VPN Edge 客户端,并在它们之间启用 HA 以支持 VPN 冗余。两个独立的 L2 VPN Edge 客户端分别称为节点 0 和节点 1。您并不一定要在部署时在两个独立 L2VPN Edge 设备上均指定 HA 配置设置。但是,您必须在部署时启用 HA。

如果要将独立 Edge 部署为 L2 VPN 客户端,以通过 SSL 隧道或 IPSec VPN 隧道路由流量,请按以下过程中的步骤操作。

前提条件

您已为要连接的独立 Edge 的中继接口创建了一个中继端口组。该端口组需要一些手动配置:

  • 如果中继端口组在 vSphere 标准交换机上,您必须执行以下操作:
    • 启用伪传输。
    • 启用混杂模式。

    请参见《vSphere 网络连接指南》

  • 如果中继端口组在 vSphere Distributed Switch 上,您必须执行以下操作:
    • 启用伪传输。请参见《vSphere 网络连接指南》
    • 为中继虚拟网卡启用池端口,或启用混杂模式。最佳做法是启用池端口。

    池端口配置必须在部署独立 Edge 后才能完成,因为您需要更改连接到 Edge 中继虚拟网卡的端口的配置。

过程

  1. 使用 vSphere Web Client 登录到管理非 NSX 环境的 vCenter Server。
  2. 选择主机和群集 (Hosts and Clusters),并展开群集以显示可用主机。
  3. 右键单击要安装独立 Edge 的主机,然后选择部署 OVF 模板 (Deploy OVF Template)
  4. 输入 URL 以从 Internet 下载并安装 OVF 文件,或单击浏览 (Browse)找到计算机中独立 Edge OVF 文件所在的文件夹,然后单击下一步 (Next)
  5. 在“OVF 模板详细信息”页面上,验证模板详细信息并单击下一步 (Next)
  6. 在“选择名称和文件夹”页面上,键入独立 Edge 的名称,并选择要在其中执行部署操作的文件夹或数据中心。然后,单击下一步 (Next)
  7. 在“选择存储器”页面上,选择要存储已部署模板文件的位置。
  8. 在“选择网络”页面上,配置已部署模板必须使用的网络。单击下一步 (Next)
    • 公共接口为上行链路接口。
    • 中继接口用于为将要延伸的网络创建子接口。将此接口连接到您所创建的中继端口组。
    • HA 接口用于在独立 L2VPN Edge 设备上设置高可用性。为 HA 接口选择分布式端口组。
  9. 在“自定义模板”页面上,指定以下值。
    1. 键入并再次键入 CLI 管理员密码。
    2. 键入并再次键入 CLI 启用密码。
    3. 键入并再次键入 CLI 根密码。
    4. 键入上行链路 IP 地址和前缀长度,默认网关和 DNS IP 地址为可选项。
    5. 选择要在身份验证中使用的密码。所选值必须与 L2 VPN 服务器上使用的密码匹配。
      注: 仅在想要配置通过 SSL 的 L2 VPN 时执行此步骤。
    6. 要启用“输出优化”,键入应本地路由流量的网关 IP 地址或要通过隧道阻止流量的网关 IP 地址。
    7. (可选) 如果您希望在迁移虚拟机后通过 L2 VPN 来与虚拟机建立的现有 TCP 连接(例如 SSH 会话)保持活动状态,请选中启用 TCP 松散设置复选框。
      默认情况下,未启用此设置。如果禁用此设置,则在迁移虚拟机后通过 L2 VPN 来与虚拟机建立的现有 TCP 连接将会中断。迁移完成后,必须与虚拟机建立新的 TCP 连接。
    8. 要在独立 L2VPN Edge 设备上启用高可用性,请选中为此设备启用高可用性 (Enable High Availability for this appliance)复选框。
    9. (可选) 键入第一个独立 L2VPN Edge 设备(节点 0)的 IP 地址。该 IP 地址必须处于 /30 IP 子网中。
    10. (可选) 键入第二个独立 L2VPN Edge 设备(节点 1)的 IP 地址。该 IP 地址必须处于 /30 IP 子网中。
    11. (可选) 在节点 0 设备上,选择 0 以便为 HA 接口分配节点 0 的 IP 地址。同样,在节点 1 设备上,选择 1 以便将节点 1 的 IP 地址用于 HA 接口。
    12. (可选) 为失效间隔时间(以秒为单位)指定一个整数值。例如,键入 15
    13. 键入 L2 VPN 服务器的地址和端口。
      如果要将 L2 VPN 客户端配置为通过 IPSec VPN 隧道路由流量,则必须指定对等站点的 IP 地址和对等代码。
    14. 输入对等站点完成身份验证操作所需的用户名和密码。
      注: 仅在想要配置通过 SSL 的 L2 VPN 时执行此步骤。
    15. 在子接口 VLAN(隧道 ID)中,键入要延伸的网络的 VLAN ID。可以采用逗号分隔列表或范围的形式列出 VLAN ID。例如,2,3,10-20。
      如果要在将网络延伸到独立 Edge 站点之前更改网络的 VLAN ID,请键入网络的 VLAN ID,然后在括号中键入隧道 ID。例如,2(100),3(200)。隧道 ID 用于映射要延伸的网络。但您无法用范围的方式指定隧道 ID。因此不允许采用:10(100)-14(104)。需将其改写为 10(100)、11(101)、12(102)、13(103) 和 14(104)。
    16. 如果独立 Edge 无法直接访问 Internet 且必须通过代理服务器访问源(服务器)NSX Edge,则键入代理地址、端口、用户名和密码。
    17. 如果根 CA 可用,您可以将它粘贴到“证书”部分。
    18. 单击下一步 (Next)
  10. 在“即将完成”页面上,检查独立 Edge 设置,然后单击完成 (Finish)

后续步骤

  • 打开独立 Edge 设备的电源。
  • 记下中继虚拟网卡的端口号,并配置池端口。请参见配置池端口
  • 如果您在部署独立 L2VPN Edge 设备时已指定 HA 配置设置,例如 HA IP 地址、HA 索引值和失效间隔时间,则可以在已部署节点的控制台上使用 show configuration 命令验证 HA 配置。
  • 如果您没有在部署过程中指定 HA 配置设置,则可在以后从 NSX Edge 控制台中执行此操作,具体方法是在每个节点上运行 ha set-config 命令。

使用独立 Edge 命令行界面对配置进行进一步的更改。请参见NSX 命令行界面参考