A partir de la versión 10.3.1, VMware Cloud Director admite la creación, la eliminación y la administración de túneles VPN de capa 2 entre puertas de enlace Edge de NSX-T Data Center.

Con la VPN de capa 2, puede ampliar el VDC de organización al permitir que las máquinas virtuales mantengan su conectividad de red a través de los límites geográficos sin perder la misma dirección IP. La conexión se protege con un túnel de IPSec basado en rutas entre los dos lados del túnel.

Puede configurar el servicio VPN de capa 2 en una puerta de enlace Edge de NSX-T Data Center en el entorno de VMware Cloud Director y crear un túnel VPN de capa 2. Las máquinas virtuales permanecen en la misma subred, lo que permite ampliar el VDC de organización mediante la extensión de su red. De esta forma, una puerta de enlace Edge en un sitio puede proporcionar todos los servicios a las máquinas virtuales en el otro sitio.

Para crear el túnel VPN de capa 2, debe configurar un servidor VPN de capa 2 y un cliente VPN de capa 2.

El tipo de servicio (servidor o cliente) que configure en el primer túnel VPN de capa 2 en una puerta de enlace Edge determina el modo de sesión para todos los demás túneles VPN de capa 2 en la puerta de enlace Edge. Solo puede configurar una sesión de cliente por puerta de enlace Edge.

Después de crear un túnel, no es posible cambiar su modo de sesión de servidor a cliente, ni viceversa. Por ejemplo, si se desea cambiar el modo de sesión en una puerta de enlace NSX-T Edge del servidor al cliente, se deben eliminar todos los túneles de servidor existentes en la misma.

Cuando se crea un endpoint de túnel de servidor VPN de capa 2, se asigna automáticamente un identificador de túnel a la red de VDC de organización que se amplía y se genera un código del mismo nivel. En el lado del cliente del túnel, se debe agregar una red correspondiente con el mismo identificador de túnel, el mismo código de igual nivel y la misma subred.

Para obtener más información sobre la VPN de capa 2 para NSX-T, consulte Guía de administración de NSX-T Data Center.

Configurar una puerta de enlace Edge de NSX-T Data Center como un servidor VPN de capa 2

El servidor VPN de capa 2 es la instancia Edge de destino de NSX-T Data Center a la que se conectará el cliente VPN de capa 2.

En el modo de sesión Servidor, la puerta de enlace Edge de NSX-T Data Center actúa como el lado del servidor del túnel VPN de capa 2. Genera códigos del mismo nivel que se distribuirán para las sesiones de cliente.

Puede conectar varios sitios del mismo nivel a un único servidor VPN de capa 2.

Requisitos previos

  • Compruebe que la puerta de enlace Edge de NSX-T Data Center esté conectada a una red enrutada de centros de datos virtuales de organización.
  • Compruebe que su función incluya el derecho Puerta de enlace de VDC de organización: configurar VPN de capa 2.

Procedimiento

  1. En la barra de navegación superior, seleccione Recursos y haga clic en Recursos de nube.
  2. En el panel izquierdo, haga clic en Puertas de enlace Edge y, a continuación, haga clic en el nombre de la puerta de enlace Edge de destino.
  3. En Servicios, haga clic en VPN de capa 2.
  4. Para configurar un túnel VPN de capa 2, haga clic en Nuevo.
  5. Si este es el primer túnel VPN de capa 2 para esta puerta de enlace Edge, seleccione el modo de sesión Servidor y haga clic en Siguiente.
  6. Introduzca un nombre y, si lo desea, una descripción del túnel VPN de capa 2.
  7. Elija una clave compartida previamente que se debe introducir.
    Si cambia la clave compartida previamente después de la configuración inicial del servidor VPN de capa 2, debe volver a configurar todos los túneles de cliente que utilicen la clave compartida previamente con un nuevo código del mismo nivel.
  8. Para habilitar el túnel tras crearlo, active la opción Estado.
  9. (opcional) Active la opción Registro para habilitar esta función.
  10. Haga clic en Siguiente.
  11. Introduzca una de las direcciones IP disponibles para la puerta de enlace Edge del endpoint local.
    La dirección IP debe ser la dirección IP principal de la puerta de enlace Edge o una dirección IP asignada de forma independiente a la puerta de enlace Edge desde la red externa.
  12. Introduzca una dirección de subred en notación CIDR para la interfaz de túnel que protege la conexión.
  13. Introduzca la dirección IP del endpoint remoto.
  14. Seleccione un modo de inicio y haga clic en Siguiente.
    Opción Descripción
    Iniciador El endpoint local inicia la configuración del túnel VPN de capa 2 y responde a las solicitudes de configuración de túnel entrantes de puertas de enlace del mismo nivel.
    Solo responder El endpoint local solo responde a las solicitudes de configuración de túnel entrantes, no inicia la configuración del túnel VPN de capa 2.
  15. Seleccione una o varias redes de VDC de organización a las que desea asociar el túnel y haga clic en Siguiente.
  16. En la página Listo para completar, revise su configuración y haga clic en Finalizar.

Resultados

El nuevo túnel VPN de capa 2 se muestra en la lista.

Qué hacer a continuación

En la fila Redes de VDC de organización de la lista de túneles VPN de capa 2, haga clic en Información y anote los identificadores de túnel de las redes de VDC de organización que desea ampliar.

Copiar el código del mismo nivel de VPN de capa 2 desde un endpoint de servidor VPN de capa 2

Para configurar una puerta de enlace Edge de NSX-T Data Center como cliente VPN de capa 2, debe copiar el código del mismo nivel que se genera desde el lado del servidor VPN de capa 2 del túnel.

Requisitos previos

Compruebe que configuró el endpoint de servidor VPN de capa 2 del túnel.

Procedimiento

  1. En la barra de navegación superior, seleccione Recursos y haga clic en Recursos de nube.
  2. En el panel izquierdo, haga clic en Puertas de enlace Edge y, a continuación, haga clic en el nombre de la puerta de enlace Edge de destino.
  3. En Servicios, haga clic en VPN de capa 2.
  4. Seleccione el túnel VPN de capa 2 para el que desea copiar el código del mismo nivel.
  5. Haga clic en el botón Copiar código del mismo nivel.

Resultados

El código del mismo nivel se copiará en el portapapeles.

Configurar una puerta de enlace Edge de NSX-T Data Center como un cliente VPN de capa 2

Solo puede crear un túnel de cliente en una puerta de enlace Edge de NSX-T Data Center.

Requisitos previos

Procedimiento

  1. En la barra de navegación superior, seleccione Recursos y haga clic en Recursos de nube.
  2. En el panel izquierdo, haga clic en Puertas de enlace Edge y, a continuación, haga clic en el nombre de la puerta de enlace Edge de destino.
  3. En Servicios, haga clic en VPN de capa 2.
  4. Para configurar un túnel VPN de capa 2, haga clic en Nuevo.
  5. Si este es el primer túnel VPN de capa 2 para esta puerta de enlace Edge, seleccione el modo de sesión Cliente y haga clic en Siguiente.
  6. Introduzca un nombre y, si lo desea, una descripción del túnel VPN de capa 2.
  7. Pegue el código del mismo nivel del túnel de servidor VPN de capa 2 al que desea conectarse.
  8. Para habilitar el túnel tras crearlo, active la opción Estado.
  9. (opcional) Active la opción Registro para habilitar esta función.
  10. Haga clic en Siguiente.
  11. Introduzca una de las direcciones IP disponibles para la puerta de enlace Edge del endpoint local.
    La dirección IP debe ser la que introdujo como endpoint remoto en el lado del servidor del túnel.
  12. Introduzca la dirección IP del endpoint remoto.
    La dirección IP debe ser la que introdujo como endpoint local en el lado del servidor del túnel.
  13. Seleccione la o las redes de VDC de organización a las que desea asociar el túnel, especifique el identificador de túnel para cada red y haga clic en Siguiente.
    Los identificadores de túnel que se utilizan para cada red de VDC de organización deben ser los mismos que los identificadores de túnel de las redes de VDC de organización en el lado del servidor.
  14. En la página Listo para completar, revise su configuración y haga clic en Finalizar.