Mit Layer 2-VPN (L2 VPN) können Sie Layer 2-Netzwerke (VNIs oder VLANs) auf mehrere Sites in derselben Broadcast-Domäne erweitern. Diese Verbindung ist mit einem routenbasierten IPSec-Tunnel zwischen dem L2-VPN-Server und dem L2-VPN-Client gesichert.

Hinweis: Diese L2-VPN-Funktion ist nur für NSX-T Data Center verfügbar und weist keine Interoperabilität mit Drittanbietern auf.

Das erweiterte Netzwerk ist ein einzelnes Subnetz mit einer einzelnen Broadcast-Domäne, d. h., die VMs bleiben im selben Subnetz, wenn sie zwischen Sites verschoben werden. Die IP-Adressen der VMs ändern sich nicht, wenn sie verschoben werden. Daher können Unternehmen VMs nahtlos zwischen Netzwerk-Sites migrieren. Die VMs können in VNI-basierten Netzwerken oder VLAN-basierten Netzwerken ausgeführt werden. Für Cloud-Anbieter stellt L2 VPN einen Mechanismus zur Integration von Mandanten zur Verfügung, ohne dass die bestehenden von den zugehörigen Arbeitslasten und Anwendungen verwendeten IP-Adressen geändert werden müssen.

Zusätzlich zur Unterstützung der Datencentermigration eignet sich ein mit einem L2 VPN erweitertes lokales Netzwerk für einen Notfallwiederherstellungsplan sowie für die dynamische Nutzung externer Computing-Ressourcen, um den erhöhten Bedarf zu decken.

L2-VPN-Dienste werden sowohl auf Tier-0- als auch auf Tier-1-Gateways unterstützt. Nur ein L2-VPN-Dienst (entweder Client oder Server) kann für ein Tier-0- oder Tier-1-Gateway konfiguriert werden.

Jede L2-VPN-Sitzung verfügt über einen GRE-Tunnel (Generic Routing Encapsulation). Tunnelredundanz wird nicht unterstützt. Eine L2-VPN-Sitzung kann auf bis zu 4.094 Layer 2-Segmente erweitert werden.

VLAN-basierte und VNI-basierte Segmente können mithilfe des L2-VPN-Diensts auf einem NSX Edge-Knoten erweitert werden, der in einer NSX-T Data Center-Umgebung verwaltet wird. Sie können L2-Netzwerke von VLAN zu VNI, VLAN zu VLAN und VNI zu VNI erweitern.

Segmente können entweder mit Tier-0- oder Tier-1-Gateways verbunden werden und L2-VPN-Dienste verwenden.

Unterstützt wird auch das VLAN-Trunking mithilfe eines ESX NSX-verwalteten Virtual Distributed Switch (N-VDS). Wenn genügend Computing- und E/A-Ressourcen vorhanden sind, kann ein NSX Edge-Cluster mithilfe von VLAN-Trunking mehrere VLAN-Netzwerke über eine einzelne Schnittstelle erweitern.

Ab NSX-T Data Center 3.0 ist die L2-VPN-PMTUD-Ermittlungsfunktion (Path MTU Discovery) standardmäßig aktiviert. Wenn PMTUD aktiviert ist, erlernt der Quellhost den PMTU-Wert für den Zielhost über den L2-VPN-Tunnel und beschränkt die Länge des ausgehenden IP-Pakets auf den erlernten Wert. Mit dieser Funktion können Sie die Fragmentierung und erneute Zusammenstellung der IP im Tunnel vermeiden, was die L2-VPN-Leistung verbessert.

Die L2-VPN-PMTUD-Funktion kann nicht für Nicht-IP-, Nicht-Unicast- und Unicast-Pakete ohne gesetztes DF-Flag angewendet werden. Der globale PMTU-Cache-Timer läuft alle 10 Minuten ab. Informationen zum Deaktivieren oder Aktivieren der L2-VPN-PMTUD-Funktion finden Sie unter Aktivieren und Deaktivieren der L2-VPN-PMTU-Ermittlung.

Die Unterstützung für den L2-VPN-Dienst wird in folgenden Bereitstellungsszenarien bereitgestellt.
  • Zwischen einem L2-VPN-Server in NSX-T Data Center und einem L2-VPN-Client, der auf einem in einer NSX Data Center for vSphere-Umgebung verwalteten NSX Edge gehostet wird. Ein verwalteter L2-VPN-Client unterstützt VLANs und VNIs.
  • Zwischen einem L2-VPN-Server in NSX-T Data Center und einem L2-VPN-Client, der auf einer eigenständigen oder nicht verwalteten NSX Edge gehostet wird. Ein nicht verwalteter L2-VPN-Client unterstützt nur VLANs.
  • Zwischen einem L2-VPN-Server in NSX-T Data Center und einem L2-VPN-Client, der auf einem eigenständigen NSX Edge gehostet wird. Ein eigenständiger L2-VPN-Client unterstützt nur VLANs.
  • Ab Version NSX-T Data Center 2.4 ist Unterstützung für den L2-VPN-Dienst zwischen einem L2-VPN-Server in NSX-T Data Center und L2-VPN-Clients in NSX-T Data Center verfügbar. In diesem Szenario können Sie die logischen L2-Segmente zwischen zwei lokalen softwaredefinierten Datencentern (SDDCs) erweitern.
In der folgenden Tabelle sind die kompatiblen NSX-T Data Center-Versionen aufgeführt, die für den L2-VPN-Server und -Client verwendet werden können.
Tabelle 1. NSX-T Data Center-L2-VPN-Client
L2-VPN-Server-Version (NSX-T Data Center) L2-VPN-Client-Version (NSX-T Data Center) validiert Unterstützte L2-VPN-Clientversion (NSX-T Data Center) nicht validiert
3.2.0 3.2.0, 3.1.3, 3.1.2 3.1.x oder höher
3.1.3 3.1.3, 3.1.2 3.0.x oder höher
3.1.2 3.1.2, 3.1.1, 2.5.3 3.0.x oder höher
3.1.1 3.1.1, 3.1.0, 3.0.1 3.0.x oder höher
3.1.0 3.1.0, 3.0.1, 3.0.0 3.0.x oder höher
3.0.3 3.0.3, 3.0.2, 3.0.1 2.5.x oder höher
3.0.2 3.0.2, 3.0.1, 2.5.2 2.5.x oder höher
3.0.0 3.0.0, 2.5.0, 2.5.1 2.5.x oder höher

In der folgenden Tabelle sind die kompatiblen NSX-T Data Center- und NSX-v-Versionen aufgeführt, die für den L2 VPN-Server und -Client verwendet werden können.

Tabelle 2. NSX for vSphere L2VPN Client
L2-VPN-Server-Version (NSX-T Data Center) L2-VPN-Client-Version (NSX-v) validiert Unterstützte L2-VPN-Clientversion (NSX-v) nicht validiert
3.2.x 6.4.12 6.4.x oder höher
3.1.x 6.4.8 6.4.x oder höher