您可以使用 L2 VPN 将第 2 层网络扩展到不受 NSX 管理的站点。自治 NSX Edge(也称为“适用于 VMware ESXiNSX Edge”)可以作为 L2 VPN 客户端部署在站点上。自治 VMware NSX Edge 便于部署、可通过编程轻松实现,且可以提供高性能 VPN。可使用 OVF 文件在不受 NSX 管理的主机上部署自治 NSX Edge。您也可以通过部署主和辅助自治 Edge L2 VPN 客户端来启用高可用性 (HA) 以实现 VPN 冗余。

前提条件

  • 创建端口组,并将其绑定到主机上的 vSwitch。确保此端口组接受混杂模式和来自端口组安全设置的伪传输。有关说明,请参见在 ESXi 中配置 NSX Edge 上行链路端口
  • 为内部 L2 扩展端口创建端口组。
  • 获取本地 IP 和远程 IP 的 IP 地址以用于您正添加的 L2 VPN 客户端会话。
  • 获取在 L2 VPN 服务器配置期间生成的对等代码。

过程

  1. 使用 vSphere Web Client 登录到用于管理非 NSX 环境的 VMware vCenter
  2. 选择主机和集群,并展开集群以显示可用主机。
  3. 右键单击要安装自治 NSX Edge 的主机,然后选择部署 OVF 模板
  4. 输入要下载的 URL (https://support.broadcom.com/group/ecx/downloads),选择版本,然后单击“立即下载”以从 Internet 安装适用于 VMware ESXiNSX Edge OVA 文件,或者单击浏览找到计算机中自治适用于 VMware ESXiNSX Edge 文件所在的文件夹,然后单击下一步

    此设备可用于自治 Edge 和受管 Edge。

  5. 选择名称和文件夹页面上,输入自治 NSX Edge 的名称,并选择要在其中执行部署操作的文件夹或数据中心。然后,单击下一步
  6. 选择计算资源页面上,选择计算资源的目标。
  7. 在“OVF 模板详细信息”页面上,检查模板详细信息并单击下一步
  8. 配置页面上,选择一个部署配置选项。
  9. 选择存储页面上,选择要存储配置文件和磁盘文件的位置。
  10. 选择网络页面上,配置已部署模板必须使用的网络。选择为上行链路接口创建的端口组,即为 L2 扩展端口创建的端口组,然后输入 HA 接口。单击下一步
  11. 自定义模板页面上,输入以下值,然后单击下一步
    1. 键入并再次键入 CLI admin 密码。
    2. 键入并再次键入 CLI 启用密码。
    3. 键入并再次键入 CLI 根密码。
    4. 输入管理网络的 IPv4 地址。
    5. 启用用于部署自治 Edge 的选项。
    6. 输入 VLAN ID、退出接口、IP 地址和 IP 前缀长度的外部端口详细信息,以便退出接口映射到含有上行链路接口端口组的网络。

      如果退出接口已连接到中继端口组,请指定 VLAN ID。例如,20,eth2,192.168.5.1,24。您还可以使用 VLAN ID 配置端口组,并将 VLAN 0 用于外部端口

    7. (可选) 要配置高可用性,请输入 HA 端口详细信息,以便退出接口映射到相应 HA 网络。
    8. (可选) 将自治 NSX Edge 部署为 HA 的辅助节点时,选择将此自治 Edge 部署为辅助节点

      使用与主节点相同的 OVF 文件,并输入主节点的 IP 地址、用户名、密码和指纹。

      要检索主节点的指纹,请登录到主节点,然后运行以下命令:
       get certificate api thumbprint

      确保主节点和辅助节点的 VTEP IP 地址位于同一子网中,且连接到相同的端口组。完成部署并启动辅助 Edge 后,辅助 Edge 会连接到主节点以形成一个 Edge 集群。

  12. 即将完成页面上,检查自治 Edge 设置,然后单击完成
    注: 如果部署过程中出现错误,CLI 上会显示当天的相关消息。您还可以使用 API 调用来检查错误:
    GET https://<nsx-mgr>/api/v1/node/status
    错误分为软错误和硬错误。可根据需要使用 API 调用来解决软错误。您可以使用 API 调用清除每日消息:
    POST /api/v1/node/status?action=clear_bootup_error
  13. 使用 vSphere Web Client 打开自治 NSX Edge 设备的电源。使用启动远程控制台打开 NSX Edge 节点的控制台以跟踪引导过程。
  14. NSX Edge 启动后,使用 Admin 凭据通过控制台或 SSH(前提是在安装时启用了 SSH)登录到 Edge 节点。
    注:NSX Edge 节点启动后,如果第一次未使用 admin 凭据登录,则不会在 NSX Edge 节点上自动启动数据平面服务。
  15. 选择 L2VPN > 添加会话,然后输入以下值:
    1. 输入一个会话名称。
    2. 输入本地 IP 地址和远程 IP 地址。
    3. 输入从 L2VPN 服务器获取的对等代码。有关获取对等代码的详细信息,请参见下载远程端 L2 VPN 配置文件
  16. 单击保存 (Save)
  17. 选择端口 > 添加端口以创建 L2 扩展端口。
  18. 输入名称、VLAN,然后选择一个退出接口。
  19. 单击保存 (Save)
  20. 选择 L2VPN > 连接端口,然后输入以下值:
    1. 选择您创建的 L2 VPN 会话。
    2. 选择您创建的 L2 扩展端口。
    3. 输入隧道 ID。
  21. 单击连接
    如果需要扩展多个 L2 网络,则可以创建更多 L2 扩展端口并将其连接到会话。
  22. 使用浏览器登录到自治 NSX Edge,或使用 API 调用查看 L2VPN 会话的状态。
    注: 如果 L2VPN 服务器配置发生变化,请确保再次下载对等代码并使用新的对等代码更新会话。