A partir de NSX Data Center 6.4.2, puede ampliar sus redes de capa 2 entre dos sitios con el servicio VPN de Capa 2 mediante IPSec. Antes de configurar el servicio VPN de Capa 2 mediante IPSec, primero debe crear un túnel de VPN IPSec basada en rutas. A continuación, puede consumir este túnel de VPN IPSec basado en rutas para crear un túnel VPN de Capa 2 entre los dos sitios.

No puede crear ni editar un túnel de VPN IPSec basada en rutas con vSphere Web Client. Debe usar las REST API de NSX. Para obtener más información sobre cómo crear túneles de VPN IPSec basada en rutas, consulte la Guía NSX API.

Flujo de trabajo para configurar el servicio de VPN de Capa 2 mediante IPSec

Debe usar las REST API de NSX para configurar el servicio VPN de Capa 2 mediante IPSec tanto en el servidor Edge como en el cliente Edge.

Los pasos del flujo de trabajo solo se admiten con las API REST de NSX. En esta documentación, solo se mencionan las URL de la API. Para obtener información detallada sobre los parámetros, las solicitudes de muestra y las respuestas de la API, consulte la Guía de la API de NSX.

En primer lugar, configure el servicio VPN de Capa 2 en el modo (concentrador) del servidor en NSX Edge usando los siguientes pasos. El Edge que configure en modo de servidor debe ser un NSX Edge.
  1. Cree un túnel de VPN IPSec basada en rutas con el Edge que quiera configurar como el servidor VPN de Capa 2 (concentrador). Un identificador de sitio se genera automáticamente cuando crea el túnel.
    PUT /api/4.0/edges/{edgeId}/ipsec/config
  2. Cree un túnel de VPN de Capa 2 y enlácelo con el identificador de sitio que se generó en el paso 1.
    POST /api/4.0/edges/{edgeId}/l2t/config/l2tunnels
  3. Recupere el código para de ese cliente. Este código al mismo nivel se convierte en el código de entrada (código compartido) para configurar el servicio de VPN de Capa 2 en el Edge cliente.
    GET /api/4.0/edges/{edgeId}/l2t/config/l2tunnels/{l2tunnelId}/peercodes
  4. Habilite el servicio de VPN de Capa 2 mediante IPSec.
    POST /api/4.0/edges/{edgeId}/l2t/config

Si desea ampliar la red de Capa 2 con otros sitios, repita los siguientes tres pasos en el servidor para los clientes VPN de Capa 2 en otros sitios.

Ahora, configure el servicio VPN de Capa 2 en el modo (radio) cliente en otro Edge usando los siguientes pasos. Esta instancia de Edge puede ser un Edge administrado por NSX o un Edge independiente.
  1. Cree un túnel de VPN IPSec basada en rutas con los mismos parámetros que usó para configurar el túnel de VPN IPSec basada en rutas en el servidor Edge.
  2. Configure el Edge en modo radio.
    PUT /api/4.0/edges/{edgeId}/l2t/config/globalconfig
  3. Cree un túnel de VPN de Capa 2 usando el ID de sitio que se generó en el servidor y con el código del mismo nivel que recuperó del servidor.
  4. Habilite el servicio de VPN de Capa 2 mediante IPSec.