Wenn eine der Sites, die Sie ausweiten möchten, nicht von NSX gestützt wird, können Sie ein eigenständiges Edge als L2 VPN-Client auf dieser Site bereitstellen.

Wenn Sie den FIPS-Modus für ein eigenständiges Edge ändern möchten, verwenden Sie den Befehl fips enable oder fips disable. Weitere Informationen finden Sie unter Befehlszeilenschnittstellen-Referenz zu NSX.

Zum Zwecke der Redundanz-VPN-Unterstützung können Sie ein Paar eigenständige L2VPN-Edge-Clients bereitstellen und HA zwischen ihnen aktivieren. Die beiden eigenständigen L2 VPN-Edge-Clients werden als Knoten 0 und Knoten 1 bezeichnet. Es ist nicht obligatorisch, zum Zeitpunkt der Bereitstellung die HA-Konfigurationseinstellungen für beide eigenständigen L2VPN-Edge-Appliances festzulegen. Allerdings müssen Sie HA zum Zeitpunkt der Bereitstellung aktivieren.

Die Schritte des folgenden Verfahrens werden angewendet, wenn Sie das eigenständige Edge als L2 VPN-Client für das Routing des Datenverkehrs über einen SSL-Tunnel oder einen IPSec-VPN-Tunnels bereitstellen möchten.

Voraussetzungen

Sie haben eine Trunk-Portgruppe erstellt, mit der sich die Trunk-Schnittstelle des eigenständigen Edge verbindet. Für diese Portgruppe ist eine gewisse manuelle Konfiguration erforderlich:

  • Wenn sich die Trunk-Portgruppe auf einem vSphere Standard Switch befindet, müssen Sie die folgenden Schritte ausführen:
    • Aktivieren erzwungener Übertragungen
    • Aktivieren des Promiscuous-Modus

    Weitere Informationen finden Sie im vSphere-Netzwerk.

  • Wenn sich die Trunk-Portgruppe auf einem vSphere Distributed Switch befindet, müssen Sie die folgenden Schritte ausführen:
    • Aktivieren erzwungener Übertragungen Weitere Informationen finden Sie im vSphere-Netzwerk.
    • Aktivieren Sie den Sink-Port für die Trunk-vNic oder aktivieren Sie den Promiscuous-Modus. Ein bewährtes Verfahren ist die Aktivierung eines Sink-Ports.

    Die Sink-Portkonfiguration muss erfolgen, nachdem das eigenständige Edge bereitgestellt wurde, weil Sie die Konfiguration des mit der Edge-Trunk-vNIC verbundenen Ports ändern müssen.

Prozedur

  1. Verwenden Sie den vSphere Web Client zum Anmelden bei dem vCenter Server, der die Nicht-NSX-Umgebung verwaltet.
  2. Wählen Sie Hosts und Cluster (Hosts and Clusters) aus und erweitern Sie die Cluster zum Anzeigen der verfügbaren Hosts.
  3. Klicken Sie mit der rechten Maustaste auf den Host, auf dem Sie das eigenständige Egde installieren möchten, und wählen Sie OVF-Vorlage bereitstellen (Deploy OVF Template) aus.
  4. Geben Sie die URL ein, um die OVF-Datei aus dem Internet herunterzuladen und zu installieren, oder klicken Sie auf Durchsuchen (Browse), um nach dem Ordner auf Ihrem Computer zu suchen, der die OVF-Datei des eigenständigen Egde enthält, und klicken Sie auf Weiter (Next).
  5. Überprüfen Sie auf der Seite „Einzelheiten zur OVF-Vorlage“ die Vorlagendetails und klicken Sie auf Weiter (Next).
  6. Geben Sie auf der Seite „Name und Ordner auswählen“ einen Namen für das eigenständige Edge ein und wählen Sie den Ordner oder das Datencenter für die Bereitstellung aus. Klicken Sie anschließend auf Weiter (Next).
  7. Wählen Sie auf der Seite „Speicher auswählen“ den Speicherort für die Dateien der bereitgestellten Vorlage aus.
  8. Konfigurieren Sie auf der Seite „Netzwerke auswählen“ die Netzwerke aus, die die bereitgestellte Vorlage verwenden muss. Klicken Sie auf Weiter (Next).
    • Die öffentliche Schnittstelle ist die Uplink-Schnittstelle.
    • Mit der Trunk-Schnittstelle werden die Teilschnittstellen für die Netzwerke erstellt, die ausgeweitet werden. Verbinden Sie diese Schnittstelle mit der Trunk-Portgruppe, die Sie erstellt haben.
    • Die HA-Schnittstelle wird verwendet, um die Hochverfügbarkeit der eigenständigen L2VPN-Edge-Appliances zu aktivieren. Wählen Sie eine verteilte Portgruppe für die HA-Schnittstelle aus.
  9. Geben Sie auf der Seite „Vorlage anpassen“ die folgenden Werte an.
    1. Geben Sie das CLI-Administratorkennwort ein und wiederholen Sie es.
    2. Geben Sie das CLI-Aktivierungskennwort ein und wiederholen Sie es.
    3. Geben Sie das CLI-Rootkennwort ein und wiederholen Sie es.
    4. Geben Sie die Uplink-IP-Adresse, die Präfixlänge sowie optional das Standardgateway und die DNS-IP-Adresse ein.
    5. Wählen Sie den Schlüssel für die Authentifizierung aus. Der ausgewählte Wert muss der auf dem L2 VPN-Server verwendeten Verschlüsselung entsprechen.
      Hinweis: Führen Sie diesen Schritt nur dann aus, wenn Sie L2 VPN über SSL konfigurieren möchten.
    6. Um die Egress-Optimierung zu aktivieren, geben Sie die Gateway-IP-Adressen ein, für die Datenverkehr lokal weitergeleitet oder für die Datenverkehr über den Tunnel blockiert werden soll.
    7. (Optional) Aktivieren Sie das Kontrollkästchen Loose-Einstellung für TCP aktivieren, wenn die bestehende TCP-Verbindung (z. B. eine SSH-Sitzung) zur VM über L2 VPN nach der Migration der VM aktiv bleiben soll.
      Standardmäßig ist diese Option deaktiviert. Wenn diese Einstellung deaktiviert ist, geht die bestehende TCP-Verbindung zur VM über L2 VPN nach der Migration der VM verloren. Nach der Migration müssen Sie eine neue TCP-Verbindung zur VM öffnen.
    8. Um die Hochverfügbarkeit der eigenständigen L2VPN-Edge-Appliances zu aktivieren, wählen Sie das Kontrollkästchen Hochverfügbarkeit für diese Appliance aktivieren (Enable High Availability for this appliance) aus.
    9. (Optional) Geben Sie die IP-Adresse der ersten eigenständigen L2VPN-Edge-Appliance ein (Knoten 0). Die IP-Adresse muss sich im IP-Subnetz „/30“ befinden.
    10. (Optional) Geben Sie die IP-Adresse der ersten eigenständigen L2VPN-Edge-Appliance ein (Knoten 1). Die IP-Adresse muss sich im IP-Subnetz „/30“ befinden.
    11. (Optional) Wählen Sie für die Knoten-0-Appliance den Wert „0“ aus, um die IP-Adresse von Knoten 0 für die HA-Schnittstelle festzulegen. Wählen Sie auch dementsprechend für die Knoten-1-Appliance den Wert „1“, damit die IP-Adresse von Knoten 1 für die HA-Schnittstelle verwendet wird.
    12. (Optional) Legen Sie einen ganzzahligen Wert für das Ausfallzeitintervall in Sekunden fest. Geben Sie beispielsweise 15 ein.
      Hinweis: Wenn Sie während der Bereitstellung eines eigenständigen L2 VPN Edge-Clients HA-Konfigurationseinstellungen festlegen, erhält die eigenständige Edge-Appliance-VM einen Standby-HA-Status, bis HA vollständig konfiguriert ist. Dies bedeutet, dass die Netzwerkschnittstellen auf der Edge-Appliance-VM deaktiviert sind. Stellen Sie sicher, dass Sie die HA-Peer-Knoten so einrichten, dass die aktiven und Standby-Appliances erstellt werden. Eine detaillierte Anleitung finden Sie unter Konfigurieren von HA auf eigenständigen L2VPN-Clients.
    13. Geben Sie Adresse und Port des L2 VPN-Servers ein.
      Wenn Sie den L2-VPN-Client für das Routing des Datenverkehrs über den IPSec-VPN-Tunnel konfigurieren, müssen Sie die IP-Adresse der Peer-Site und den Peer-Code angeben.
    14. Geben Sie den Benutzernamen und das Kennwort ein, mit dem die Peer-Site authentifiziert werden soll.
      Hinweis: Führen Sie diesen Schritt nur dann aus, wenn Sie L2 VPN über SSL konfigurieren möchten.
    15. Geben Sie unter „Teilschnittstellen, VLAN (Tunnel-ID)“ die VLAN-ID(s) der Netzwerke ein, die Sie ausweiten möchten. Sie können die VLAN-IDs als eine Liste oder einen Bereich (jeweils durch ein Komma getrennt) aufführen. Beispielsweise 2,3,10-20.
      Wenn Sie die VLAN-ID des Netzwerks vor dem Ausweiten auf die Site des eigenständigen Egde ändern möchten, geben Sie die VLAN-ID des Netzwerks und anschließend die Tunnel-ID in Klammern ein. Beispielsweise 2(100),3(200). Mit der Tunnel-ID werden die Netzwerke, die ausgeweitet werden, zugeordnet. Sie können jedoch nicht die Tunnel-ID mit einem Bereich angeben. Folgendes ist nicht zulässig: 10(100)-14(104). Hierfür ist die folgende Schreibweise erforderlich: 10(100),11(101),12(102),13(103),14(104).
    16. Wenn das eigenständige Edge nicht direkt auf das Internet zugreifen kann und das Quell-NSX Edge (Server) über einen Proxy-Server erreichen muss, geben Sie die Proxy-Adresse, den Port, den Benutzernamen und das Kennwort ein.
    17. Wenn eine Root-CA verfügbar ist, können Sie diese im Abschnitt „Zertifikat“ einfügen.
    18. Klicken Sie auf Weiter (Next).
  10. Überprüfen Sie auf der Seite „Bereit zum Abschließen” die Einstellungen des eigenständigen Egde und klicken Sie auf Beenden (Finish).

Nächste Maßnahme

  • Schalten Sie die eigenständige Edge-Appliance ein.
  • Notieren Sie die Portnummer der Trunk-vNIC und konfigurieren Sie einen Sink-Port. Weitere Informationen dazu finden Sie unter Konfigurieren eines Sink-Ports.
  • Wenn Sie bei der Bereitstellung der eigenständigen L2VPN-Edge-Appliances die HA-Konfigurationseinstellungen festgelegt haben, etwa die HA-IP-Adresse, den HA-Indexwert und das Ausfallzeitintervall, können Sie die HA-Konfiguration in der Konsole der bereitgestellten Knoten mit dem Befehl show configuration validieren.
  • Wenn Sie die HA-Konfigurationseinstellungen nicht während der Bereitstellung angegeben haben, können Sie dies später über die NSX Edge-Konsole tun, indem Sie den ha set-config-Befehl für jeden Knoten ausführen.

Nehmen Sie alle weiteren Konfigurationsänderungen in der Befehlszeilenschnittstelle des eigenständigen Edge vor. Weitere Informationen finden Sie unter Befehlszeilenschnittstellen-Referenz zu NSX.