Mit Layer 2-VPN (L2 VPN) können Sie Layer 2-Netzwerke (VNIs oder VLANs) auf mehrere Sites in derselben Broadcast-Domäne erweitern. Diese Verbindung ist mit einem routenbasierten IPSec-Tunnel zwischen dem L2-VPN-Server und dem L2-VPN-Client gesichert.

Hinweis: Diese L2-VPN-Funktion ist nur für NSX-T Data Center verfügbar und weist keine Interoperabilität mit Drittanbietern auf.

Das erweiterte Netzwerk ist ein einzelnes Subnetz mit einer einzelnen Broadcast-Domäne, d. h., die VMs bleiben im selben Subnetz, wenn sie zwischen Sites verschoben werden. Die IP-Adressen der VMs ändern sich nicht, wenn sie verschoben werden. Daher können Unternehmen VMs nahtlos zwischen Netzwerk-Sites migrieren. Die VMs können in VNI-basierten Netzwerken oder VLAN-basierten Netzwerken ausgeführt werden. Für Cloud-Anbieter stellt L2 VPN einen Mechanismus zur Integration von Mandanten zur Verfügung, ohne dass die bestehenden von den zugehörigen Arbeitslasten und Anwendungen verwendeten IP-Adressen geändert werden müssen.

Zusätzlich zur Unterstützung der Datencentermigration eignet sich ein mit einem L2 VPN erweitertes lokales Netzwerk für einen Notfallwiederherstellungsplan sowie für die dynamische Nutzung externer Computing-Ressourcen, um den erhöhten Bedarf zu decken.

L2-VPN-Dienste werden sowohl auf Tier-0- als auch auf Tier-1-Gateways unterstützt. Nur ein L2-VPN-Dienst (entweder Client oder Server) kann für ein Tier-0- oder Tier-1-Gateway konfiguriert werden.

Jede L2-VPN-Sitzung verfügt über einen GRE-Tunnel (Generic Routing Encapsulation). Tunnelredundanz wird nicht unterstützt. Eine L2-VPN-Sitzung kann auf bis zu 4.094 Layer 2-Segmente erweitert werden.

VLAN-basierte und VNI-basierte Segmente können mithilfe des L2-VPN-Diensts auf einem NSX Edge-Knoten erweitert werden, der in einer NSX-T Data Center-Umgebung verwaltet wird. Sie können L2-Netzwerke von VLAN zu VNI, VLAN zu VLAN und VNI zu VNI erweitern.

Segmente können entweder mit Tier-0- oder Tier-1-Gateways verbunden werden und L2-VPN-Dienste verwenden.

Unterstützt wird auch das VLAN-Trunking mithilfe eines ESX NSX-verwalteten Virtual Distributed Switch (N-VDS). Wenn genügend Computing- und E/A-Ressourcen vorhanden sind, kann ein NSX Edge-Cluster mithilfe von VLAN-Trunking mehrere VLAN-Netzwerke über eine einzelne Schnittstelle erweitern.

Ab NSX-T Data Center 3.0 ist die L2-VPN-PMTUD-Ermittlungsfunktion (Path MTU Discovery) standardmäßig aktiviert. Wenn PMTUD aktiviert ist, erlernt der Quellhost den PMTU-Wert für den Zielhost über den L2-VPN-Tunnel und beschränkt die Länge des ausgehenden IP-Pakets auf den erlernten Wert. Mit dieser Funktion können Sie die Fragmentierung und erneute Zusammenstellung der IP im Tunnel vermeiden, was die L2-VPN-Leistung verbessert.

Die L2-VPN-PMTUD-Funktion kann nicht für Nicht-IP-, Nicht-Unicast- und Unicast-Pakete ohne gesetztes DF-Flag angewendet werden. Der globale PMTU-Cache-Timer läuft alle 10 Minuten ab. Informationen zum Deaktivieren oder Aktivieren der L2-VPN-PMTUD-Funktion finden Sie unter Aktivieren und Deaktivieren der L2-VPN-PMTU-Ermittlung.

Die Unterstützung für den L2-VPN-Dienst wird in folgenden Bereitstellungsszenarien bereitgestellt.
  • Zwischen einem L2-VPN-Server in NSX-T Data Center und einem L2-VPN-Client, der auf einem in einer NSX Data Center for vSphere-Umgebung verwalteten NSX Edge gehostet wird. Ein verwalteter L2-VPN-Client unterstützt VLANs und VNIs.
  • Zwischen einem L2-VPN-Server in NSX-T Data Center und einem L2-VPN-Client, der auf einer eigenständigen oder nicht verwalteten NSX Edge gehostet wird. Ein nicht verwalteter L2-VPN-Client unterstützt nur VLANs.
  • Zwischen einem L2-VPN-Server in NSX-T Data Center und einem L2-VPN-Client, der auf einem eigenständigen NSX Edge gehostet wird. Ein eigenständiger L2-VPN-Client unterstützt nur VLANs.
  • Ab Version NSX-T Data Center 2.4 ist Unterstützung für den L2-VPN-Dienst zwischen einem L2-VPN-Server in NSX-T Data Center und L2-VPN-Clients in NSX-T Data Center verfügbar. In diesem Szenario können Sie die logischen L2-Segmente zwischen zwei lokalen softwaredefinierten Datencentern (SDDCs) erweitern.
In der folgenden Tabelle sind die kompatiblen NSX-T Data Center-Versionen aufgeführt, die für den L2-VPN-Server und -Client verwendet werden können.
Tabelle 1. L2-VPN-Interoperabilität
L2-VPN-Server-Version (NSX-T Data Center) L2-VPN-Client-Version (NSX-T Data Center)
3.1.3 3.1.3, 3.1.2
3.1.2 3.1.2, 3.1.1, 2.5.3
3.1.1 3.1.1, 3.1.0, 3.0.1
3.1.0 3.1.0, 3.0.1, 3.0.0
3.0.3 3.0.3, 3.0.2, 3.0.1
3.0.2 3.0.2, 3.0.1, 2.5.2
3.0.0 3.0.0, 2.5.0, 2.5.1