Las puertas de enlace Edge de NSX Data Center for vSphere en un entorno de VMware Cloud Director admiten VPN de capa 2. Con la VPN de capa 2, es posible ampliar el centro de datos virtual de organización al permitir que las máquinas virtuales conserven la conectividad de red sin necesidad de cambiar la dirección IP entre ubicaciones geográficas. El servicio VPN de capa 2 se puede configurar en una puerta de enlace Edge.
NSX Data Center for vSphere proporciona las capacidades de VPN de capa 2 para una puerta de enlace Edge. Con la VPN de capa 2, es posible configurar un túnel entre dos sitios. Las máquinas virtuales permanecen en la misma subred a pesar de moverse entre estos sitios, lo que permite ampliar el centro de datos virtual de organización mediante la extensión de su red con VPN de capa 2. Una puerta de enlace Edge en un sitio puede proporcionar todos los servicios a las máquinas virtuales en el otro sitio.
Para crear el túnel VPN de capa 2, debe configurar un servidor VPN de capa 2 y un cliente VPN de capa 2. Como se describe en la guía de administración de NSX, el servidor VPN de capa 2 es la puerta de enlace Edge de destino y el cliente VPN de capa 2 es la puerta de enlace Edge de origen. Después de configurar los ajustes de VPN de capa 2 en cada puerta de enlace Edge, debe habilitar el servicio VPN de capa 2 en el servidor y el cliente.
Desplazarse a la pantalla VPN de capa 2
Para comenzar a configurar el servicio VPN de capa 2 de una puerta de enlace Edge de NSX Data Center for vSphere, debe desplazarse a la pantalla VPN de capa 2.
Procedimiento
- Abra los servicios de puerta de enlace Edge.
- En la barra de navegación superior, haga clic en Redes y, a continuación, haga clic en Puertas de enlace Edge.
- Seleccione la puerta de enlace Edge que desea editar y haga clic en Servicios.
- Desplácese hasta .
Qué hacer a continuación
Configure el servidor de VPN de capa 2. Consulte Configurar la puerta de enlace Edge de NSX Data Center for vSphere como un servidor VPN de capa 2.
Configurar la puerta de enlace Edge de NSX Data Center for vSphere como un servidor VPN de capa 2
El servidor VPN de capa 2 es la instancia de NSX Edge de destino a la que se conectará el cliente VPN de capa 2.
Tal como se describe en la guía de administración de NSX, puede conectar varios sitios del mismo nivel a este servidor VPN de capa 2.
Requisitos previos
- Compruebe que la puerta de enlace Edge tiene una red de centros de datos virtuales de organización enrutada que se haya configurado como una subinterfaz en la puerta de enlace Edge.
- Desplazarse a la pantalla VPN de capa 2.
- Si desea enlazar un certificado de servicio a la conexión de VPN de capa 2, compruebe que el certificado de servidor ya se ha cargado en la puerta de enlace Edge. Consulte Agregar un certificado de servicio a la puerta de enlace Edge.
- Debe configurar la dirección IP de escucha del servidor, el puerto de escucha, el algoritmo de cifrado y al menos un sitio del mismo nivel para habilitar el servicio VPN de capa 2.
Procedimiento
- En la pestaña VPN de capa 2, seleccione Servidor para el modo de VPN de capa 2.
- En la pestaña Servidor global, ajuste los detalles de configuración global del servidor VPN de capa 2.
Opción Acción IP de escucha Seleccione la dirección IP principal o secundaria de una interfaz externa de la puerta de enlace Edge. Puerto de escucha Edite el valor que se muestra según las necesidades de su organización. El puerto predeterminado para el servicio VPN de capa 2 es 443.
Algoritmo de cifrado Seleccione el algoritmo de cifrado para la comunicación entre el servidor y el cliente. Detalles del certificado de servicio Haga clic en Cambiar certificado del servidor para seleccionar el certificado que se enlazará al servidor VPN de capa 2. En la ventana Cambiar certificado del servidor, active Validar certificado de servidor, seleccione un certificado de servidor de la lista y haga clic en Aceptar.
- Para configurar los sitios del mismo nivel, haga clic en la pestaña Sitios de servidor.
- Haga clic en el botón Agregar.
- Configure los ajustes para un sitio del mismo nivel de VPN de capa 2.
Opción Acción Habilitado Habilite este sitio del mismo nivel. Nombre Introduzca un nombre único para el sitio del mismo nivel. Descripción (Opcional) Escriba una descripción. ID de usuario
Contraseña
Confirmar contraseña
Introduzca el nombre de usuario y la contraseña con los que se autenticará el sitio del mismo nivel. Las credenciales de usuario en el sitio del mismo nivel deben ser las mismas que las del lado cliente.
Interfaces extendidas Seleccione al menos una subinterfaz que se extenderá con el cliente. Las subinterfaces que se pueden seleccionar son aquellas redes de centros de datos virtuales de organización que se han configurado como subinterfaces en la puerta de enlace Edge.
Dirección de puerta de enlace de optimización de salida (Opcional) Si la puerta de enlace predeterminada para máquinas virtuales es la misma en los dos sitios, introduzca las direcciones IP de puerta de enlace de las subinterfaces para las que desea enrutar o bloquear el tráfico de forma local en el túnel VPN de capa 2. - Haga clic en Conservar.
- Haga clic en Guardar cambios.
Qué hacer a continuación
Habilite el servicio VPN de capa 2 en esta puerta de enlace Edge. Consulte Habilitar el servicio VPN de capa 2 en una puerta de enlace Edge de NSX Data Center for vSphere.
Configurar la puerta de enlace Edge de NSX Data Center for vSphere como un cliente VPN de capa 2
El cliente VPN de capa 2 es la instancia de NSX Edge de origen que inicia la comunicación con la instancia de NSX Edge de destino (el servidor VPN de capa 2).
Requisitos previos
- Desplazarse a la pantalla VPN de capa 2.
- Si este cliente VPN de capa 2 se conecta con un servidor VPN de capa 2 que usa un certificado de servidor, compruebe que el certificado de CA correspondiente esté cargado en la puerta de enlace Edge para habilitar la validación del certificado de servidor para este cliente VPN de capa 2. Consulte Agregar un certificado de CA a la puerta de enlace Edge para la verificación de confianza de certificados SSL.
Procedimiento
- En la pestaña VPN de capa 2, seleccione Cliente para el modo de VPN de capa 2.
- En la pestaña Cliente global, ajuste los detalles de configuración global del cliente VPN de capa 2.
Opción Descripción Dirección de servidor Introduzca la dirección IP del servidor VPN de capa 2 al que se conectará este cliente. Puerto de servidor Introduzca el puerto del servidor VPN de capa 2 al que se debe conectar el cliente. El puerto predeterminado es 443.
Algoritmo de cifrado Seleccione el algoritmo de cifrado para comunicarse con el servidor. Interfaces extendidas Seleccione las subinterfaces que se ampliarán al servidor. Las subinterfaces que se pueden seleccionar son las redes de centros de datos virtuales de organización que se han configurado como subinterfaces en la puerta de enlace Edge.
Dirección de puerta de enlace de optimización de salida (Opcional) Si la puerta de enlace predeterminada para las máquinas virtuales es la misma en los dos sitios, escriba las direcciones IP de puerta de enlace de las subinterfaces o las direcciones IP a las que no debe fluir el tráfico a través del túnel. Detalles del usuario Introduzca el identificador de usuario y la contraseña para la autenticación con el servidor. - Haga clic en Guardar cambios.
- (opcional) Para configurar las opciones avanzadas, haga clic en la pestaña Cliente avanzado.
- Si esta instancia de Edge de cliente VPN de capa 2 no tiene acceso directo a Internet y necesita llegar a la instancia de Edge de servidor VPN de capa 2 mediante un servidor proxy, especifique la configuración de proxy.
Opción Descripción Habilitar proxy seguro Seleccione esta opción para habilitar el proxy seguro. Dirección Introduzca la dirección IP del servidor proxy. Puerto Introduzca el puerto del servidor proxy. Nombre de usuario
Contraseña
Introduzca las credenciales de autenticación del servidor proxy. - Para habilitar la validación de certificación de servidores, haga clic en Cambiar certificado de CA y seleccione el certificado de CA correspondiente.
- Haga clic en Guardar cambios.
Qué hacer a continuación
Habilite el servicio VPN de capa 2 en esta puerta de enlace Edge. Consulte Habilitar el servicio VPN de capa 2 en una puerta de enlace Edge de NSX Data Center for vSphere.
Habilitar el servicio VPN de capa 2 en una puerta de enlace Edge de NSX Data Center for vSphere
Cuando se configuran los ajustes obligatorios de VPN de capa 2, se puede habilitar el servicio VPN de capa 2 en la puerta de enlace Edge.
Requisitos previos
- Si esta puerta de enlace Edge es un servidor VPN de capa 2, la instancia de NSX Edge de destino, compruebe que se hayan configurado los ajustes obligatorios del servidor VPN de capa 2 y al menos un sitio del mismo nivel de VPN de capa 2. Consulte los pasos descritos en Configurar la puerta de enlace Edge de NSX Data Center for vSphere como un servidor VPN de capa 2.
- Si esta puerta de enlace Edge es un cliente VPN de capa 2, la instancia de NSX Edge de origen, compruebe que se hayan configurado los ajustes del cliente VPN de capa 2. Consulte los pasos descritos en Configurar la puerta de enlace Edge de NSX Data Center for vSphere como un cliente VPN de capa 2.
- Desplazarse a la pantalla VPN de capa 2.
Procedimiento
- En la pestaña VPN de capa 2, haga clic en el botón de alternancia Habilitar.
- Haga clic en Guardar cambios.
Resultados
Se activará el servicio VPN de capa 2 de la puerta de enlace Edge.
Qué hacer a continuación
Cree reglas de firewall o NAT en el lado del firewall orientado a Internet para que el servidor VPN de capa 2 pueda conectarse con el cliente VPN de capa 2.