通过使用第 2 层 VPN (L2 VPN),您可以将第 2 层网络(VNI 或 VLAN)扩展到同一广播域上的多个站点。该连接是使用 L2 VPN 服务器和 L2 VPN 客户端之间的基于路由的 IPSec 隧道保护的。

注: 此 L2 VPN 功能仅适用于 NSX-T Data Center,没有任何第三方互操作性。

扩展的网络是具有单个广播域的单个子网,这意味着当虚拟机在站点之间移动时,这些虚拟机会保留在同一子网中。虚拟机的 IP 地址在移动时不会更改。因此,企业可以在网络站点之间无缝地迁移虚拟机。虚拟机可以在基于 VNI 的网络或基于 VLAN 的网络上运行。对于云服务提供商而言,L2 VPN 向加入租户提供了一种机制,这种机制无需修改其工作负载和应用程序使用的现有 IP 地址。

除了支持数据中心迁移外,通过 L2 VPN 扩展的内部部署网络对于灾难恢复计划也很有用,它会动态占用外部部署计算资源来满足更高的需求。

Tier-0 和 Tier-1 网关上都支持 L2 VPN 服务。只能为 Tier-0 或 Tier-1 网关配置一个 L2 VPN 服务(客户端或服务器)。

每个 L2 VPN 会话都具有一个通用路由封装 (GRE) 隧道。不支持隧道冗余。一个 L2 VPN 会话最多可以扩展到 4094 个 L2 分段。

可以使用 L2 VPN 服务 在 NSX-T Data Center 环境中管理的 NSX Edge 节点上扩展基于 VLAN 的分段和基于 VNI 的分段。您可以将 L2 网络从 VLAN 扩展到 VNI、从 VLAN 扩展到 VLAN, 以及从 VNI 扩展到 VNI。

分段可以连接到 Tier-0 或 Tier-1 网关,并使用 L2 VPN 服务。

此外,还支持使用 ESX NSX 管理的虚拟分布式交换机 (N-VDS) 的 VLAN 中继。如果有足够的计算和 I/O 资源,NSX Edge 集群可以使用 VLAN 中继在单个接口上扩展多个 VLAN 网络。

NSX-T Data Center 3.0 开始,默认情况下将启用 L2 VPN 路径 MTU 发现 (Path MTU Discovery, PMTUD) 功能。在启用 PMTUD 的情况下,源主机可通过 L2 VPN 隧道发现目标主机的路径 MTU 值,并将出站 IP 数据包的长度限制为发现的值。此功能有助于避免隧道中出现 IP 分片化和重组,从而提高 L2 VPN 性能。

L2 VPN PMTUD 功能不适用于已清除 DF(不分片)标记的非 IP 数据包、非单播数据包和单播数据包。全局 PMTU 缓存定时器每 10 分钟过期。要禁用或启用 L2 VPN PMTUD 功能,请参见启用和禁用 L2 VPN 路径 MTU 发现

以下部署方案中提供了 L2 VPN 服务支持。
  • NSX Data Center for vSphere 环境中管理的 NSX Edge 上托管的 NSX-T Data Center L2 VPN 服务器和 L2 VPN 客户端之间。受管 L2 VPN 客户端支持 VLAN 和 VNI。
  • 在独立或非受管 NSX Edge 上托管的 NSX-T Data Center L2 VPN 服务器和 L2 VPN 客户端之间。非受管 L2 VPN 客户端仅支持 VLAN。
  • 在自治 NSX Edge 上托管的 NSX-T Data Center L2 VPN 服务器和 L2 VPN 客户端之间。自治 L2 VPN 客户端仅支持 VLAN。
  • NSX-T Data Center 2.4 版本开始,L2 VPN 服务支持在 NSX-T Data Center L2 VPN 服务器和 NSX-T Data Center L2 VPN 客户端之间可用。在此场景中,您可以在两个内部部署软件定义的数据中心 (Software-Defined Data Center, SDDC) 之间扩展逻辑 L2 分段。
下表列出了可用于 L2 VPN 服务器和客户端的兼容 NSX-T Data Center 版本。
表 1. L2 VPN 互操作性
L2 VPN 服务器版本 (NSX-T Data Center) L2 VPN 客户端版本 (NSX-T Data Center)
3.1.1 3.1.1、3.1.0、3.0.1
3.1.0 3.1.0、3.0.1、3.0.0
3.0.3 3.0.3、3.0.2、3.0.1
3.0.2 3.0.2、3.0.1、2.5.2
3.0.0 3.0.0、2.5.0、2.5.1