创建 L2 VPN 服务器服务后,必须添加 L2 VPN 会话,并将其附加到现有的分段。
以下步骤使用 NSX Manager UI 上的 L2 VPN 会话选项卡创建 L2 VPN 服务器会话。也可以选择现有的本地端点和分段以附加到 L2 VPN 服务器会话。
注: 也可以在成功配置 L2 VPN 服务器服务后立即添加 L2 VPN 服务器会话。系统提示继续进行 L2 VPN 服务器配置时单击
是,然后在“添加 L2 VPN 服务器”面板上选择
。在以下过程的前几步中,假定系统提示您继续进行 L2 VPN 服务器配置时选择了
否。如果选择
是,则继续执行以下步骤中的步骤 3,以指导您进行 L2 VPN 服务器会话配置的其余部分。
前提条件
- 必须先配置 L2 VPN 服务器服务才能继续操作。请参见添加 L2 VPN 服务器服务。
- 获取本地端点和远程 IP 的信息以用于要添加的 L2 VPN 服务器会话。要创建本地端点,请参见添加本地端点。
- 获取预共享密钥 (PSK) 和隧道接口子网的值以用于 L2 VPN 服务器会话。
- 获取要附加到所创建的 L2 VPN 服务器会话的现有分段的名称。请参见添加分段,了解相关信息。
过程
- 使用 admin 特权登录到 NSX Manager。
- 导航到 选项卡。
- 选择。
- 输入 L2 VPN 服务器会话的名称。
- 从 VPN 服务下拉菜单中,在相同 Tier-0 网关上选择要创建 L2 VPN 会话的 IPsec 服务。
注: 如果从“设置 L2VPN 服务器会话”对话框添加此 L2 VPN 服务器会话,则
添加 L2 会话按钮上方会指示 L2 VPN 服务器服务。
- 从下拉菜单中选择现有本地端点。
如果要创建不同的本地端点,请单击三点菜单 (
),然后选择
添加本地端点。
- 在“远程 IP”下面,输入远程站点的 IP 地址。
- 要启用或禁用 L2 VPN 服务器会话,请单击管理状态。
默认情况下,该值设置为
已启用,这意味着将配置到
NSX Edge 节点的 L2 VPN 服务器会话。
- 在预共享密钥中输入私钥值。
小心: 在共享和存储 PSK 值时要格外小心,因为它包含一些非常敏感的信息。
- 使用 CIDR 表示法在隧道接口中输入 IP 子网地址。
例如,4.5.6.6/24。需要输入此子网地址。
- 在远程 ID 中输入值。
对于使用证书身份验证的对等站点,此 ID 必须是对等站点证书中的公用名称。对于 PSK 对等站点,此 ID 可以是任何字符串。最好使用 VPN 的 IP 地址或者 VPN 服务的 FQDN 作为远程 ID。
- 如果要将此会话包含在特定组中,请在标记中输入标记名称。
- 如果要减少 L2 VPN 连接期间 TCP 会话的最大分段大小 (Maximum Segment Size, MSS) 负载,请单击高级属性。
默认情况下,将启用
TCP MSS 限制,并且
TCP MSS 方向设置为
双向。有关详细信息,请参见
了解 TCP MSS 限制。
- 启用或禁用 TCP MSS 限制。
- 如有必要,请设置 TCP MSS 值。如果该字段保留空白,则会自动分配值。
- 单击保存,然后在系统提示您要继续进行 VPN 服务配置时单击是。
将返回到“添加 L2VPN 会话”面板,
分段链接现在已启用。
- 将现有分段附加到 L2 VPN 服务器会话。
- 单击。
- 在设置分段对话框中,单击设置分段将现有分段附加到 L2 VPN 服务器会话。
- 从分段下拉菜单中,选择要附加到会话的基于 VNI 或 VLAN 的分段。
- 在 VPN 隧道 ID 中输入唯一的值,以用于标识选定的分段。
- 在本地输出网关 IP 文本框中,输入分段上的工作负载虚拟机用作其默认网关的本地网关的 IP 地址。可以在扩展分段上的远程站点中配置相同的 IP 地址。
- 依次单击保存和关闭。
在“设置 L2VPN 会话”窗格或对话框中,系统已增加 L2 VPN 服务器会话的
分段计数。
- 要完成 L2 VPN 服务器会话配置,请单击关闭编辑。
结果
在 VPN 服务选项卡中,系统已增加所配置的 L2 VPN 服务器服务的会话计数。
如果将一个或多个分段连接到会话,您可以在 L2 VPN 会话选项卡中看到每个会话的分段数。您可以单击分段列中的数字以重新配置或添加分段。您不需要编辑会话。如果数字为零,则无法单击该数字,您必须编辑会话以添加分段。
下一步做什么
要完成 L2 VPN 服务配置,还必须在客户端模式和 L2 VPN 客户端会话中创建 L2 VPN 服务。请参见添加 L2 VPN 客户端服务和添加 L2 VPN 客户端会话。