Ab NSX Data Center 6.4.2 können Sie Ihre Schicht-2-Netzwerke zwischen zwei Sites mit L2 VPN-Dienst über IPSec strecken. Bevor Sie den L2 VPN-Dienst über IPSec konfigurieren, müssen Sie zuerst einen routenbasierten IPSec-VPN-Tunnel erstellen. Anschließend nutzen Sie diesen routenbasierten IPSec VPN-Tunnel zum Erstellen eines L2 VPN-Tunnels zwischen den beiden Sites.

Sie können keinen routenbasierten IPSec-VPN-Tunnel erstellen und bearbeiten, indem Sie den vSphere Web Client verwenden. Sie müssen stattdessen die NSX-REST-APIs verwenden. Weitere Informationen zum Erstellen von routenbasierten IPSec-VPN-Tunneln finden Sie im NSX-API-Handbuch.

Workflow für das Konfigurieren des L2 VPN-Diensts über IPSec

Zum Konfigurieren des L2 VPN-Diensts über IPSec auf dem Server-Edge und dem Client-Edge müssen Sie NSX-REST-APIs verwenden.

Die Schritte im Workflow werden nur mit NSX REST APIs unterstützt. In dieser Dokumentation werden nur die API-URLs erwähnt. Detaillierte Informationen zu den API-Parametern, Beispielanforderungen und -antworten finden Sie im NSX-API-Handbuch.

Konfigurieren Sie zuerst den L2 VPN-Dienst im Server (Hub)-Modus für den NSX Edge, indem Sie die folgenden Schritte ausführen. Das Edge, das Sie im Servermodus konfigurieren, muss ein NSX Edge sein.
  1. Erstellen Sie einen routenbasierten IPSec-VPN-Tunnel mit dem Edge, das Sie als L2 VPN-Server (Hub) konfigurieren möchten. Beim Erstellen des Tunnels wird automatisch eine Site-ID generiert.
    PUT /api/4.0/edges/{edgeId}/ipsec/config
  2. Erstellen Sie einen L2-VPN-Tunnel für einen Client und binden Sie diesen L2-VPN-Tunnel an die in Schritt 1 generierte Site-ID.
    POST /api/4.0/edges/{edgeId}/l2t/config/l2tunnels
  3. Rufen Sie den Peer-Code für diesen Client ab. Dieser Peer-Code wird zum Eingabecode (gemeinsam genutzter Code) für die L2 VPN-Dienstkonfiguration auf dem Client-Edge.
    GET /api/4.0/edges/{edgeId}/l2t/config/l2tunnels/{l2tunnelId}/peercodes
  4. Aktivieren Sie den Dienst „L2-VPN über IPSec“.
    POST /api/4.0/edges/{edgeId}/l2t/config

Wenn Sie das L2-Netzwerk mit anderen Sites ausweiten möchten, wiederholen Sie die vorhergehenden drei Schritte auf dem Server für die L2-VPN-Clients anderer Sites.

Konfigurieren Sie nun mithilfe der folgenden Schritte den L2 VPN-Dienst im Client (Spoke)-Modus auf einem anderen Edge: Dieses Edge kann entweder ein von NSX verwaltetes Edge oder ein eigenständiges Edge sein.
  1. Erstellen Sie einen routenbasierten IPSec-VPN-Tunnel mit denselben Parametern, die Sie für die Konfiguration des routenbasierten IPSec-VPN-Tunnels auf dem Server-Edge verwendet haben.
  2. Konfigurieren Sie das Edge im Spoke-Modus.
    PUT /api/4.0/edges/{edgeId}/l2t/config/globalconfig
  3. Erstellen Sie einen L2 VPN-Tunnel mithilfe der auf dem Server generierten Site-ID und mit dem Peer-Code, den Sie vom Server abgerufen haben.
  4. Aktivieren Sie den Dienst „L2-VPN über IPSec“.