L2 VPN konfigurieren

Die NSX Data Center for vSphere-Edge-Gateways in einer VMware Cloud Director-Umgebung unterstützen L2 VPN. Mit L2 VPN können Sie Ihr Organisations-VDC erweitern, indem Sie ermöglichen, dass virtuelle Maschinen Netzwerkkonnektivität unter Verwendung derselben IP-Adresse über geografische Grenzen hinweg beibehalten. Sie können den L2 VPN-Dienst auf einem Edge-Gateway konfigurieren.

NSX Data Center for vSphere stellt die L2 VPN-Funktionen eines Edge-Gateways bereit. Mit L2 VPN kann ein Tunnel zwischen zwei Sites konfiguriert werden. Virtuelle Maschinen verbleiben im selben Subnetz, obwohl sie zwischen diesen Sites verschoben werden. Daher können Sie das Organisations-VDC erweitern, indem Sie sein Netzwerk mit L2 VPN ausdehnen. Ein Edge-Gateway auf einer Site kann alle Dienste für virtuelle Maschinen auf der anderen Site bereitstellen.

Um den L2 VPN-Tunnel zu erstellen, konfigurieren Sie einen L2 VPN-Server und einen L2 VPN-Client. Wie im Administratorhandbuch für NSX beschrieben, ist der L2 VPN-Server das Ziel-Edge-Gateway und der L2 VPN-Client das Quell-Edge-Gateway. Nach dem Konfigurieren der L2 VPN-Einstellungen auf jedem Edge-Gateway müssen Sie den L2 VPN-Dienst sowohl auf dem Server als auch auf dem Client aktivieren.

Hinweis: Auf den Edge-Gateways muss ein geroutetes VDC-Organisationsnetzwerk vorhanden sein, das als Teilschnittstelle erstellt wurde.

Navigieren zum Bildschirm „L2 VPN“

Zum Konfigurieren des L2 VPN-Diensts für ein NSX Data Center for vSphere-Edge-Gateway müssen Sie zum Bildschirm L2 VPN navigieren.

Prozedur

Öffnen Sie „Edge-Gateway-Dienste“.
1. Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
Navigieren Sie zu VPN > L2 VPN.

Nächste Maßnahme

Konfigurieren Sie den L2 VPN-Server. Weitere Informationen finden Sie unter Konfigurieren des NSX Data Center for vSphere-Edge-Gateways als L2 VPN-Server.

Konfigurieren des NSX Data Center for vSphere-Edge-Gateways als L2 VPN-Server

Der L2 VPN-Server ist der Ziel-NSX Edge, mit dem der L2 VPN-Client eine Verbindung herstellen wird.

Wie im Administratorhandbuch für NSX beschrieben, können Sie mehrere Peer-Sites mit diesem L2 VPN-Server verbinden.

Hinweis: Änderungen an den Site-Konfigurationseinstellungen führen dazu, dass das Edge-Gateway alle vorhandenen Verbindungen trennt und erneut herstellt.

Voraussetzungen

Stellen Sie sicher, dass das Edge-Gateway über ein geroutetes VDC-Organisationsnetzwerk verfügt, das als Teilschnittstelle auf dem Edge-Gateway konfiguriert ist.
Navigieren zum Bildschirm „L2 VPN“.
Wenn Sie ein Dienstzertifikat an die L2 VPN-Verbindung binden möchten, vergewissern Sie sich, dass das Serverzertifikat bereits auf das Edge-Gateway hochgeladen wurde. Weitere Informationen finden Sie unter Hinzufügen eines Dienstzertifikats zum Edge-Gateway.
Sie müssen die Listener-IP des Servers, den Listener-Port, den Verschlüsselungsalgorithmus und mindestens eine Peer-Site konfiguriert haben, bevor Sie den L2 VPN-Dienst aktivieren können.

Prozedur

Wählen Sie auf der Registerkarte L2 VPN die Option Server für den L2 VPN-Modus aus.

Konfigurieren Sie auf der Registerkarte Server – Global die globalen Konfigurationsdetails des L2 VPN-Servers.

Option	Aktion
Listener-IP	Wählen Sie die primäre oder sekundäre IP-Adresse einer externen Schnittstelle des Edge-Gateways aus.
Listener-Port	Bearbeiten Sie den angezeigten Wert entsprechend den Anforderungen Ihrer Organisation. Der Standardport für den L2 VPN-Dienst ist 443.
Verschlüsselungsalgorithmus	Wählen Sie den Verschlüsselungsalgorithmus für die Kommunikation zwischen dem Server und dem Client aus.
Details des Dienstzertifikats	Klicken Sie auf Serverzertifikat ändern, um das Zertifikat auszuwählen, das an den L2 VPN-Server gebunden werden soll. Aktivieren Sie im Fenster Serverzertifikat ändern die Option Serverzertifikat überprüfen, wählen Sie in der Liste ein Serverzertifikat aus und klicken Sie auf OK.

Zur Konfiguration der Peer-Sites klicken Sie auf die Registerkarte Server-Sites.
Klicken Sie auf die Schaltfläche Hinzufügen.

Konfigurieren Sie die Einstellungen für eine L2 VPN-Peer-Site.

Option	Aktion
Aktiviert	Aktivieren Sie diese Peer-Site.
Name	Geben Sie einen eindeutigen Namen für die Peer-Site ein.
Beschreibung	(Optional) Geben Sie eine Beschreibung ein.
Benutzer-ID Kennwort Kennwort bestätigen	Geben Sie den Benutzernamen und das Kennwort ein, mit denen die Peer-Site authentifiziert werden soll. Die Benutzeranmeldedaten auf der Peer-Site müssen mit den Anmeldedaten auf der Clientseite identisch sein.
Ausgeweitete Schnittstellen	Wählen Sie mindestens eine Teilschnittstelle aus, die mit dem Client ausgeweitet werden soll. Die zur Auswahl stehenden Teilschnittstellen sind die VDC-Organisationsnetzwerke, die als Teilschnittstellen auf dem Edge-Gateway konfiguriert sind.
Adresse des Egress-Optimierungs-Gateways	(Optional) Wenn das Standard-Gateway für virtuelle Maschinen auf beiden Sites das gleiche ist, geben Sie die Gateway-IP-Adressen der Teilschnittstellen ein, für die der Datenverkehr lokal weitergeleitet oder über den L2 VPN-Tunnel blockiert werden soll.

Klicken Sie auf Behalten.
Klicken Sie auf Änderungen speichern.

Nächste Maßnahme

Aktivieren Sie den L2 VPN-Dienst auf diesem Edge-Gateway. Weitere Informationen finden Sie unter Aktivieren des L2 VPN-Diensts auf einem NSX Data Center for vSphere-Edge-Gateway.

Konfigurieren des NSX Data Center for vSphere-Edge-Gateways als L2 VPN-Client

Der L2 VPN-Client ist das quellseitige NSX Edge-Gateway, das die Kommunikation mit dem zielseitigen NSX Edge-Gateway, dem L2 VPN-Server, initiiert.

Voraussetzungen

Navigieren zum Bildschirm „L2 VPN“.
Wenn dieser L2 VPN-Client eine Verbindung mit einem L2 VPN-Server herstellt, der ein Serverzertifikat verwendet, müssen Sie überprüfen, ob das entsprechende CA-Zertifikat auf das Edge-Gateway hochgeladen wurde, um die Validierung des Serverzertifikats für diesen L2 VPN-Client zu ermöglichen. Weitere Informationen finden Sie unter Hinzufügen eines CA-Zertifikats zum Edge-Gateway für die Überprüfung der Vertrauenswürdigkeit von SSL-Zertifikaten.

Prozedur

Wählen Sie auf der Registerkarte L2 VPN die Option Client für den L2 VPN-Modus aus.

Konfigurieren Sie auf der Registerkarte Client – Global die globalen Konfigurationsdetails des L2 VPN-Clients.

Option	Beschreibung
Serveradresse	Geben Sie die IP-Adresse des L2 VPN-Servers ein, mit dem dieser Client verbunden werden soll.
Server-Port	Geben Sie den Port des L2 VPN-Servers ein, mit dem der Client eine Verbindung herstellen soll. Der Standardport ist 443.
Verschlüsselungsalgorithmus	Wählen Sie den Verschlüsselungsalgorithmus für die Kommunikation mit dem Server aus.
Ausgeweitete Schnittstellen	Wählen Sie die Teilschnittstellen aus, die auf den Server ausgeweitet werden sollen. Die zur Auswahl stehenden Teilschnittstellen sind die VDC-Organisationsnetzwerke, die als Teilschnittstellen auf dem Edge-Gateway konfiguriert sind.
Adresse des Egress-Optimierungs-Gateways	(Optional) Wenn das Standard-Gateway für virtuelle Maschinen bei den beiden Sites identisch ist, geben Sie die Gateway-IP-Adressen der Teilschnittstellen oder die IP-Adressen ein, an die der Datenverkehr nicht über den Tunnel fließen soll.
Benutzerdetails	Geben Sie die Benutzer-ID und das Kennwort für die Authentifizierung beim Server ein.

Klicken Sie auf Änderungen speichern.
(Optional) Um erweiterte Optionen zu konfigurieren, klicken Sie auf die Registerkarte Client – Erweitert .

Wenn dieses L2 VPN-Client-Edge-Gateway keinen direkten Zugriff auf das Internet hat und das L2 VPN-Server-Edge-Gateway über einen Proxyserver erreichen muss, geben Sie die Proxyeinstellungen an.

Option	Beschreibung
Sicheren Proxy aktivieren	Wählen Sie diese Option aus, um den sicheren Proxy zu aktivieren.
Adresse	Geben Sie die IP-Adresse des Proxyservers ein.
Port	Geben Sie den Port des Proxyservers ein.
Benutzername Kennwort	Geben Sie Anmeldeinformationen für die Authentifizierung des Proxyservers ein.

Um die Validierung der Serverzertifizierung zu aktivieren, klicken Sie auf Zertifikat der Zertifizierungsstelle ändern und wählen Sie das entsprechende CA-Zertifikat aus.
Klicken Sie auf Änderungen speichern.

Nächste Maßnahme

Aktivieren Sie den L2 VPN-Dienst auf diesem Edge-Gateway. Weitere Informationen finden Sie unter Aktivieren des L2 VPN-Diensts auf einem NSX Data Center for vSphere-Edge-Gateway.

Aktivieren des L2 VPN-Diensts auf einem NSX Data Center for vSphere-Edge-Gateway

Wenn die erforderlichen L2 VPN-Einstellungen konfiguriert sind, können Sie den L2 VPN-Dienst auf dem Edge-Gateway aktivieren.

Hinweis: Wenn HA bereits auf diesem Edge-Gateway konfiguriert ist, müssen Sie sicherstellen, dass für das Edge-Gateway mehr als eine interne Schnittstelle konfiguriert ist. Wenn nur eine einzige Schnittstelle vorhanden ist und diese bereits durch die HA-Funktion verwendet wurde, schlägt die L2 VPN-Konfiguration für dieselbe interne Schnittstelle fehl.

Voraussetzungen

Wenn dieses Edge-Gateway ein L2 VPN-Server ist, d. h. das Ziel-NSX-Edge, müssen Sie sicherstellen, dass die erforderlichen L2 VPN-Servereinstellungen und mindestens eine L2 VPN-Peer-Site konfiguriert sind. Weitere Informationen finden Sie in den unter Konfigurieren des NSX Data Center for vSphere-Edge-Gateways als L2 VPN-Server beschriebenen Schritten.
Wenn dieses Edge-Gateway ein L2 VPN-Client ist, d. h. das Quell-NSX-Edge, müssen Sie sicherstellen, dass die L2 VPN-Clienteinstellungen konfiguriert sind. Weitere Informationen finden Sie in den unter Konfigurieren des NSX Data Center for vSphere-Edge-Gateways als L2 VPN-Client beschriebenen Schritten.
Navigieren zum Bildschirm „L2 VPN“.

Prozedur

Klicken Sie auf der Registerkarte L2 VPN auf die Umschaltfläche Aktivieren.
Klicken Sie auf Änderungen speichern.

Ergebnisse

Der L2 VPN-Dienst des Edge-Gateways wird aktiv.

Nächste Maßnahme

Erstellen Sie NAT- oder Firewallregeln auf der mit dem Internet verbundenen Seite der Firewall, um die Verbindung des L2 VPN-Servers mit dem L2 VPN-Client zu aktivieren.