Die NSX Data Center for vSphere-Edge-Gateways in einer VMware Cloud Director-Umgebung unterstützen L2 VPN. Mit L2 VPN können Sie Ihr Organisations-VDC erweitern, indem Sie ermöglichen, dass virtuelle Maschinen Netzwerkkonnektivität unter Verwendung derselben IP-Adresse über geografische Grenzen hinweg beibehalten. Sie können den L2 VPN-Dienst auf einem Edge-Gateway konfigurieren.
NSX Data Center for vSphere stellt die L2 VPN-Funktionen eines Edge-Gateways bereit. Mit L2 VPN kann ein Tunnel zwischen zwei Sites konfiguriert werden. Virtuelle Maschinen verbleiben im selben Subnetz, obwohl sie zwischen diesen Sites verschoben werden. Daher können Sie das Organisations-VDC erweitern, indem Sie sein Netzwerk mit L2 VPN ausdehnen. Ein Edge-Gateway auf einer Site kann alle Dienste für virtuelle Maschinen auf der anderen Site bereitstellen.
Um den L2 VPN-Tunnel zu erstellen, konfigurieren Sie einen L2 VPN-Server und einen L2 VPN-Client. Wie im Administratorhandbuch für NSX beschrieben, ist der L2 VPN-Server das Ziel-Edge-Gateway und der L2 VPN-Client das Quell-Edge-Gateway. Nach dem Konfigurieren der L2 VPN-Einstellungen auf jedem Edge-Gateway müssen Sie den L2 VPN-Dienst sowohl auf dem Server als auch auf dem Client aktivieren.
Navigieren zum Bildschirm „L2 VPN“
Zum Konfigurieren des L2 VPN-Diensts für ein NSX Data Center for vSphere-Edge-Gateway müssen Sie zum Bildschirm L2 VPN navigieren.
Prozedur
- Öffnen Sie „Edge-Gateway-Dienste“.
- Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
- Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
- Navigieren Sie zu .
Nächste Maßnahme
Konfigurieren Sie den L2 VPN-Server. Weitere Informationen finden Sie unter Konfigurieren des NSX Data Center for vSphere-Edge-Gateways als L2 VPN-Server.
Konfigurieren des NSX Data Center for vSphere-Edge-Gateways als L2 VPN-Server
Der L2 VPN-Server ist der Ziel-NSX Edge, mit dem der L2 VPN-Client eine Verbindung herstellen wird.
Wie im Administratorhandbuch für NSX beschrieben, können Sie mehrere Peer-Sites mit diesem L2 VPN-Server verbinden.
Voraussetzungen
- Stellen Sie sicher, dass das Edge-Gateway über ein geroutetes VDC-Organisationsnetzwerk verfügt, das als Teilschnittstelle auf dem Edge-Gateway konfiguriert ist.
- Navigieren zum Bildschirm „L2 VPN“.
- Wenn Sie ein Dienstzertifikat an die L2 VPN-Verbindung binden möchten, vergewissern Sie sich, dass das Serverzertifikat bereits auf das Edge-Gateway hochgeladen wurde. Weitere Informationen finden Sie unter Hinzufügen eines Dienstzertifikats zum Edge-Gateway.
- Sie müssen die Listener-IP des Servers, den Listener-Port, den Verschlüsselungsalgorithmus und mindestens eine Peer-Site konfiguriert haben, bevor Sie den L2 VPN-Dienst aktivieren können.
Prozedur
- Wählen Sie auf der Registerkarte L2 VPN die Option Server für den L2 VPN-Modus aus.
- Konfigurieren Sie auf der Registerkarte Server – Global die globalen Konfigurationsdetails des L2 VPN-Servers.
Option Aktion Listener-IP Wählen Sie die primäre oder sekundäre IP-Adresse einer externen Schnittstelle des Edge-Gateways aus. Listener-Port Bearbeiten Sie den angezeigten Wert entsprechend den Anforderungen Ihrer Organisation. Der Standardport für den L2 VPN-Dienst ist 443.
Verschlüsselungsalgorithmus Wählen Sie den Verschlüsselungsalgorithmus für die Kommunikation zwischen dem Server und dem Client aus. Details des Dienstzertifikats Klicken Sie auf Serverzertifikat ändern, um das Zertifikat auszuwählen, das an den L2 VPN-Server gebunden werden soll. Aktivieren Sie im Fenster Serverzertifikat ändern die Option Serverzertifikat überprüfen, wählen Sie in der Liste ein Serverzertifikat aus und klicken Sie auf OK.
- Zur Konfiguration der Peer-Sites klicken Sie auf die Registerkarte Server-Sites.
- Klicken Sie auf die Schaltfläche Hinzufügen.
- Konfigurieren Sie die Einstellungen für eine L2 VPN-Peer-Site.
Option Aktion Aktiviert Aktivieren Sie diese Peer-Site. Name Geben Sie einen eindeutigen Namen für die Peer-Site ein. Beschreibung (Optional) Geben Sie eine Beschreibung ein. Benutzer-ID
Kennwort
Kennwort bestätigen
Geben Sie den Benutzernamen und das Kennwort ein, mit denen die Peer-Site authentifiziert werden soll. Die Benutzeranmeldedaten auf der Peer-Site müssen mit den Anmeldedaten auf der Clientseite identisch sein.
Ausgeweitete Schnittstellen Wählen Sie mindestens eine Teilschnittstelle aus, die mit dem Client ausgeweitet werden soll. Die zur Auswahl stehenden Teilschnittstellen sind die VDC-Organisationsnetzwerke, die als Teilschnittstellen auf dem Edge-Gateway konfiguriert sind.
Adresse des Egress-Optimierungs-Gateways (Optional) Wenn das Standard-Gateway für virtuelle Maschinen auf beiden Sites das gleiche ist, geben Sie die Gateway-IP-Adressen der Teilschnittstellen ein, für die der Datenverkehr lokal weitergeleitet oder über den L2 VPN-Tunnel blockiert werden soll. - Klicken Sie auf Behalten.
- Klicken Sie auf Änderungen speichern.
Nächste Maßnahme
Aktivieren Sie den L2 VPN-Dienst auf diesem Edge-Gateway. Weitere Informationen finden Sie unter Aktivieren des L2 VPN-Diensts auf einem NSX Data Center for vSphere-Edge-Gateway.
Konfigurieren des NSX Data Center for vSphere-Edge-Gateways als L2 VPN-Client
Der L2 VPN-Client ist das quellseitige NSX Edge-Gateway, das die Kommunikation mit dem zielseitigen NSX Edge-Gateway, dem L2 VPN-Server, initiiert.
Voraussetzungen
- Navigieren zum Bildschirm „L2 VPN“.
- Wenn dieser L2 VPN-Client eine Verbindung mit einem L2 VPN-Server herstellt, der ein Serverzertifikat verwendet, müssen Sie überprüfen, ob das entsprechende CA-Zertifikat auf das Edge-Gateway hochgeladen wurde, um die Validierung des Serverzertifikats für diesen L2 VPN-Client zu ermöglichen. Weitere Informationen finden Sie unter Hinzufügen eines CA-Zertifikats zum Edge-Gateway für die Überprüfung der Vertrauenswürdigkeit von SSL-Zertifikaten.
Prozedur
- Wählen Sie auf der Registerkarte L2 VPN die Option Client für den L2 VPN-Modus aus.
- Konfigurieren Sie auf der Registerkarte Client – Global die globalen Konfigurationsdetails des L2 VPN-Clients.
Option Beschreibung Serveradresse Geben Sie die IP-Adresse des L2 VPN-Servers ein, mit dem dieser Client verbunden werden soll. Server-Port Geben Sie den Port des L2 VPN-Servers ein, mit dem der Client eine Verbindung herstellen soll. Der Standardport ist 443.
Verschlüsselungsalgorithmus Wählen Sie den Verschlüsselungsalgorithmus für die Kommunikation mit dem Server aus. Ausgeweitete Schnittstellen Wählen Sie die Teilschnittstellen aus, die auf den Server ausgeweitet werden sollen. Die zur Auswahl stehenden Teilschnittstellen sind die VDC-Organisationsnetzwerke, die als Teilschnittstellen auf dem Edge-Gateway konfiguriert sind.
Adresse des Egress-Optimierungs-Gateways (Optional) Wenn das Standard-Gateway für virtuelle Maschinen bei den beiden Sites identisch ist, geben Sie die Gateway-IP-Adressen der Teilschnittstellen oder die IP-Adressen ein, an die der Datenverkehr nicht über den Tunnel fließen soll. Benutzerdetails Geben Sie die Benutzer-ID und das Kennwort für die Authentifizierung beim Server ein. - Klicken Sie auf Änderungen speichern.
- (Optional) Um erweiterte Optionen zu konfigurieren, klicken Sie auf die Registerkarte Client – Erweitert .
- Wenn dieses L2 VPN-Client-Edge-Gateway keinen direkten Zugriff auf das Internet hat und das L2 VPN-Server-Edge-Gateway über einen Proxyserver erreichen muss, geben Sie die Proxyeinstellungen an.
Option Beschreibung Sicheren Proxy aktivieren Wählen Sie diese Option aus, um den sicheren Proxy zu aktivieren. Adresse Geben Sie die IP-Adresse des Proxyservers ein. Port Geben Sie den Port des Proxyservers ein. Benutzername
Kennwort
Geben Sie Anmeldeinformationen für die Authentifizierung des Proxyservers ein. - Um die Validierung der Serverzertifizierung zu aktivieren, klicken Sie auf Zertifikat der Zertifizierungsstelle ändern und wählen Sie das entsprechende CA-Zertifikat aus.
- Klicken Sie auf Änderungen speichern.
Nächste Maßnahme
Aktivieren Sie den L2 VPN-Dienst auf diesem Edge-Gateway. Weitere Informationen finden Sie unter Aktivieren des L2 VPN-Diensts auf einem NSX Data Center for vSphere-Edge-Gateway.
Aktivieren des L2 VPN-Diensts auf einem NSX Data Center for vSphere-Edge-Gateway
Wenn die erforderlichen L2 VPN-Einstellungen konfiguriert sind, können Sie den L2 VPN-Dienst auf dem Edge-Gateway aktivieren.
Voraussetzungen
- Wenn dieses Edge-Gateway ein L2 VPN-Server ist, d. h. das Ziel-NSX-Edge, müssen Sie sicherstellen, dass die erforderlichen L2 VPN-Servereinstellungen und mindestens eine L2 VPN-Peer-Site konfiguriert sind. Weitere Informationen finden Sie in den unter Konfigurieren des NSX Data Center for vSphere-Edge-Gateways als L2 VPN-Server beschriebenen Schritten.
- Wenn dieses Edge-Gateway ein L2 VPN-Client ist, d. h. das Quell-NSX-Edge, müssen Sie sicherstellen, dass die L2 VPN-Clienteinstellungen konfiguriert sind. Weitere Informationen finden Sie in den unter Konfigurieren des NSX Data Center for vSphere-Edge-Gateways als L2 VPN-Client beschriebenen Schritten.
- Navigieren zum Bildschirm „L2 VPN“.
Prozedur
- Klicken Sie auf der Registerkarte L2 VPN auf die Umschaltfläche Aktivieren.
- Klicken Sie auf Änderungen speichern.
Ergebnisse
Der L2 VPN-Dienst des Edge-Gateways wird aktiv.
Nächste Maßnahme
Erstellen Sie NAT- oder Firewallregeln auf der mit dem Internet verbundenen Seite der Firewall, um die Verbindung des L2 VPN-Servers mit dem L2 VPN-Client zu aktivieren.