Las puertas de enlace Edge de NSX Data Center for vSphere en un entorno de VMware Cloud Director admiten VPN de capa 2. Con la VPN de capa 2, es posible ampliar el centro de datos virtual de organización al permitir que las máquinas virtuales conserven la conectividad de red sin necesidad de cambiar la dirección IP entre ubicaciones geográficas. El servicio VPN de capa 2 se puede configurar en una puerta de enlace Edge.

NSX Data Center for vSphere proporciona las capacidades de VPN de capa 2 para una puerta de enlace Edge. Con la VPN de capa 2, es posible configurar un túnel entre dos sitios. Las máquinas virtuales permanecen en la misma subred a pesar de moverse entre estos sitios, lo que permite ampliar el centro de datos virtual de organización mediante la extensión de su red con VPN de capa 2. Una puerta de enlace Edge en un sitio puede proporcionar todos los servicios a las máquinas virtuales en el otro sitio.

Para crear el túnel VPN de capa 2, debe configurar un servidor VPN de capa 2 y un cliente VPN de capa 2. Como se describe en la guía de administración de NSX, el servidor VPN de capa 2 es la puerta de enlace Edge de destino y el cliente VPN de capa 2 es la puerta de enlace Edge de origen. Después de configurar los ajustes de VPN de capa 2 en cada puerta de enlace Edge, debe habilitar el servicio VPN de capa 2 en el servidor y el cliente.

Nota: Las puertas de enlace Edge deben contener una red de centros de datos virtuales de organización enrutada, que se debe haber creado como una subinterfaz.

Desplazarse a la pantalla VPN de capa 2

Para comenzar a configurar el servicio VPN de capa 2 de una puerta de enlace Edge de NSX Data Center for vSphere, debe desplazarse a la pantalla VPN de capa 2.

Procedimiento

  1. Abra los servicios de puerta de enlace Edge.
    1. En la barra de navegación superior, haga clic en Redes y, a continuación, haga clic en Puertas de enlace Edge.
    2. Seleccione la puerta de enlace Edge que desea editar y haga clic en Servicios.
  2. Desplácese hasta VPN > VPN de capa 2.

Qué hacer a continuación

Configure el servidor de VPN de capa 2. Consulte Configurar la puerta de enlace Edge de NSX Data Center for vSphere como un servidor VPN de capa 2.

Configurar la puerta de enlace Edge de NSX Data Center for vSphere como un servidor VPN de capa 2

El servidor VPN de capa 2 es la instancia de NSX Edge de destino a la que se conectará el cliente VPN de capa 2.

Tal como se describe en la guía de administración de NSX, puede conectar varios sitios del mismo nivel a este servidor VPN de capa 2.

Nota: Al cambiar la configuración del sitio, la puerta de enlace Edge interrumpe y vuelve a establecer todas las conexiones existentes.

Requisitos previos

  • Compruebe que la puerta de enlace Edge tiene una red de centros de datos virtuales de organización enrutada que se haya configurado como una subinterfaz en la puerta de enlace Edge.
  • Desplazarse a la pantalla VPN de capa 2.
  • Si desea enlazar un certificado de servicio a la conexión de VPN de capa 2, compruebe que el certificado de servidor ya se ha cargado en la puerta de enlace Edge. Consulte Agregar un certificado de servicio a la puerta de enlace Edge.
  • Debe configurar la dirección IP de escucha del servidor, el puerto de escucha, el algoritmo de cifrado y al menos un sitio del mismo nivel para habilitar el servicio VPN de capa 2.

Procedimiento

  1. En la pestaña VPN de capa 2, seleccione Servidor para el modo de VPN de capa 2.
  2. En la pestaña Servidor global, ajuste los detalles de configuración global del servidor VPN de capa 2.
    Opción Acción
    IP de escucha Seleccione la dirección IP principal o secundaria de una interfaz externa de la puerta de enlace Edge.
    Puerto de escucha Edite el valor que se muestra según las necesidades de su organización.

    El puerto predeterminado para el servicio VPN de capa 2 es 443.

    Algoritmo de cifrado Seleccione el algoritmo de cifrado para la comunicación entre el servidor y el cliente.
    Detalles del certificado de servicio Haga clic en Cambiar certificado del servidor para seleccionar el certificado que se enlazará al servidor VPN de capa 2.

    En la ventana Cambiar certificado del servidor, active Validar certificado de servidor, seleccione un certificado de servidor de la lista y haga clic en Aceptar.

  3. Para configurar los sitios del mismo nivel, haga clic en la pestaña Sitios de servidor.
  4. Haga clic en el botón Agregar.
  5. Configure los ajustes para un sitio del mismo nivel de VPN de capa 2.
    Opción Acción
    Habilitado Habilite este sitio del mismo nivel.
    Nombre Introduzca un nombre único para el sitio del mismo nivel.
    Descripción (Opcional) Escriba una descripción.

    ID de usuario

    Contraseña

    Confirmar contraseña

    Introduzca el nombre de usuario y la contraseña con los que se autenticará el sitio del mismo nivel.

    Las credenciales de usuario en el sitio del mismo nivel deben ser las mismas que las del lado cliente.

    Interfaces extendidas Seleccione al menos una subinterfaz que se extenderá con el cliente.

    Las subinterfaces que se pueden seleccionar son aquellas redes de centros de datos virtuales de organización que se han configurado como subinterfaces en la puerta de enlace Edge.

    Dirección de puerta de enlace de optimización de salida (Opcional) Si la puerta de enlace predeterminada para máquinas virtuales es la misma en los dos sitios, introduzca las direcciones IP de puerta de enlace de las subinterfaces para las que desea enrutar o bloquear el tráfico de forma local en el túnel VPN de capa 2.
  6. Haga clic en Conservar.
  7. Haga clic en Guardar cambios.

Qué hacer a continuación

Habilite el servicio VPN de capa 2 en esta puerta de enlace Edge. Consulte Habilitar el servicio VPN de capa 2 en una puerta de enlace Edge de NSX Data Center for vSphere.

Configurar la puerta de enlace Edge de NSX Data Center for vSphere como un cliente VPN de capa 2

El cliente VPN de capa 2 es la instancia de NSX Edge de origen que inicia la comunicación con la instancia de NSX Edge de destino (el servidor VPN de capa 2).

Requisitos previos

Procedimiento

  1. En la pestaña VPN de capa 2, seleccione Cliente para el modo de VPN de capa 2.
  2. En la pestaña Cliente global, ajuste los detalles de configuración global del cliente VPN de capa 2.
    Opción Descripción
    Dirección de servidor Introduzca la dirección IP del servidor VPN de capa 2 al que se conectará este cliente.
    Puerto de servidor Introduzca el puerto del servidor VPN de capa 2 al que se debe conectar el cliente.

    El puerto predeterminado es 443.

    Algoritmo de cifrado Seleccione el algoritmo de cifrado para comunicarse con el servidor.
    Interfaces extendidas Seleccione las subinterfaces que se ampliarán al servidor.

    Las subinterfaces que se pueden seleccionar son las redes de centros de datos virtuales de organización que se han configurado como subinterfaces en la puerta de enlace Edge.

    Dirección de puerta de enlace de optimización de salida (Opcional) Si la puerta de enlace predeterminada para las máquinas virtuales es la misma en los dos sitios, escriba las direcciones IP de puerta de enlace de las subinterfaces o las direcciones IP a las que no debe fluir el tráfico a través del túnel.
    Detalles del usuario Introduzca el identificador de usuario y la contraseña para la autenticación con el servidor.
  3. Haga clic en Guardar cambios.
  4. (opcional) Para configurar las opciones avanzadas, haga clic en la pestaña Cliente avanzado.
  5. Si esta instancia de Edge de cliente VPN de capa 2 no tiene acceso directo a Internet y necesita llegar a la instancia de Edge de servidor VPN de capa 2 mediante un servidor proxy, especifique la configuración de proxy.
    Opción Descripción
    Habilitar proxy seguro Seleccione esta opción para habilitar el proxy seguro.
    Dirección Introduzca la dirección IP del servidor proxy.
    Puerto Introduzca el puerto del servidor proxy.

    Nombre de usuario

    Contraseña

    Introduzca las credenciales de autenticación del servidor proxy.
  6. Para habilitar la validación de certificación de servidores, haga clic en Cambiar certificado de CA y seleccione el certificado de CA correspondiente.
  7. Haga clic en Guardar cambios.

Qué hacer a continuación

Habilite el servicio VPN de capa 2 en esta puerta de enlace Edge. Consulte Habilitar el servicio VPN de capa 2 en una puerta de enlace Edge de NSX Data Center for vSphere.

Habilitar el servicio VPN de capa 2 en una puerta de enlace Edge de NSX Data Center for vSphere

Cuando se configuran los ajustes obligatorios de VPN de capa 2, se puede habilitar el servicio VPN de capa 2 en la puerta de enlace Edge.

Nota: Si ya se configuró HA en esta puerta de enlace Edge, asegúrese de que la puerta de enlace Edge contenga más de una interfaz interna configurada. Si existe una sola interfaz y ya ha sido utilizada para la capacidad HA, se producirá un error en la configuración de VPN de capa 2 en la misma interfaz interna.

Requisitos previos

Procedimiento

  1. En la pestaña VPN de capa 2, haga clic en el botón de alternancia Habilitar.
  2. Haga clic en Guardar cambios.

Resultados

Se activará el servicio VPN de capa 2 de la puerta de enlace Edge.

Qué hacer a continuación

Cree reglas de firewall o NAT en el lado del firewall orientado a Internet para que el servidor VPN de capa 2 pueda conectarse con el cliente VPN de capa 2.