El cliente VPN de Capa 2 es la instancia de NSX Edge de origen que inicia la comunicación con la instancia de Edge de destino (servidor VPN de Capa 2).

También se puede configurar una instancia independiente de Edge como el cliente VPN de Capa 2. Consulte Configurar un dispositivo Edge independiente como cliente VPN de Capa 2.

Procedimiento

  1. Inicie sesión en vSphere Web Client.
  2. Haga clic en Redes y seguridad (Networking & Security) > NSX Edge.
  3. Haga doble clic en la instancia de Edge que quiera configurar como cliente VPN de capa 2.
  4. Haga clic en Administrar (Manage) > VPN (VPN) > VPN de Capa 2 (L2 VPN).
  5. Junto a Modo VPN de Capa 2 (L2 VPN Mode), seleccione Cliente (Client).
  6. Junto a Detalles de configuración global (Global Configuration Details), haga clic en Editar (Edit) o Cambiar (Change).
  7. Indique la información del cliente VPN de Capa 2.
    1. Introduzca la dirección del servidor VPN de Capa 2 al que deba conectarse el cliente. La dirección puede ser un nombre de host o una dirección IP.
    2. Si fuera necesario, edite el puerto predeterminado al que debe conectarse el cliente VPN de Capa 2.
    3. Seleccione el algoritmo de cifrado para la comunicación con el servidor.
    4. En Interfaces ampliadas (Stretched Interfaces), haga clic en icono para editar en HTML5 o en Seleccionar subinterfaces (Select Sub Interfaces) para seleccionar las subinterfaces que se deben ampliar hasta el servidor.
    5. Seleccione la interfaz troncal para la instancia de Edge.
      Aparecen las subinterfaces configuradas en la vNIC de tronco.
    6. Haga doble clic en las subinterfaces que se deben ampliar y haga clic en Agregar (Add) o Aceptar (OK).
    7. En Dirección de puerta de enlace de optimización de egreso (Egress Optimization Gateway Address), introduzca la dirección IP de puerta de enlace de las subinterfaces o las direcciones IP por las que no debe fluir el tráfico en el túnel.
    8. (opcional) Seleccione la casilla de verificación Redes sin ampliar (Unstretched Networks) si quiere que las máquinas virtuales de las redes sin ampliar se comuniquen con las máquinas virtuales que están detrás de la instancia de Edge del servidor VPN de Capa 2 de la red ampliada. Además, le recomendamos que esta comunicación se enrute a través del mismo túnel VPN de Capa 2. Las subredes sin ampliar pueden estar detrás de la instancia de Edge del servidor VPN de Capa 2 o de la instancia de Edge del cliente VPN de Capa 2, o bien detrás de ambas.

      Pongamos como ejemplo que ha creado un túnel VPN de capa 2 para ampliar la subred 192.168.10.0/24 entre dos centros de datos mediante el servicio VPN de Capa 2 de NSX.

      Detrás de la instancia de Edge del servidor VPN de Capa 2, hay dos subredes adicionales (por ejemplo, 192.168.20.0/24 y 192.168.30.0/24). Si habilita las redes sin ampliar, las máquinas virtuales de las subredes 192.168.20.0/24 192.168.30.0/24 se pueden comunicar con las máquinas virtuales que están detrás de la instancia de Edge del servidor VPN de Capa 2 de la red ampliada (192.168.10.0/24). Esta comunicación se enruta a través del mismo túnel VPN de Capa 2.

    9. Si habilita las redes sin ampliar, siga estos pasos en función de la ubicación de las subredes sin ampliar:
      • Cuando las subredes sin ampliar están detrás de la instancia de Edge del servidor VPN de Capa 2, introduzca la dirección de la red sin ampliar en formato CIDR y configure la instancia de Edge del cliente VPN de Capa 2. Para especificar varias redes sin ampliar, separe con comas las direcciones de red.
      • Cuando las subredes sin ampliar están detrás de la instancia de Edge del cliente VPN de Capa 2, mantenga vacío el cuadro de texto Redes sin ampliar (Unstretched Networks). Esto quiere decir que no debe introducir la dirección de las redes sin ampliar en la instancia de Edge del cliente VPN de Capa 2.
      En el ejemplo anterior, las subredes sin ampliar estaban detrás de la instancia de Edge del servidor VPN de Capa 2. Por lo tanto, debe introducir las redes sin ampliar 192.168.20.0/24, 192.168.30.0/24 y configurar la instancia de Edge del cliente VPN de Capa 2.
    10. En Detalles de usuario (User Details), introduzca las credenciales del usuario para que el servidor pueda autenticarlo.
  8. Haga clic en la pestaña Avanzada (Advanced) y especifique el resto de información del cliente.
    1. (opcional) Habilite solo conexiones de proxy seguras.
      Cuando una instancia de Edge no dispone de acceso directo a Internet y necesita llegar a la instancia de NSX Edge de origen (servidor) mediante un servidor proxy, debe especificar los valores de configuración del proxy.
    2. Introduzca la dirección, el puerto, el nombre de usuario y la contraseña del servidor proxy.
    3. Para habilitar la validación de certificados de servidor, seleccione Validar certificado de servidor (Validate Server Certificate) y elija el certificado de la entidad de certificación correspondiente.
    4. Haga clic en Guardar (Save) o Aceptar (OK) y, a continuación, seleccione Publicar cambios (Publish Changes).

Qué hacer a continuación

Asegúrese de que el firewall orientado a Internet permita el flujo de tráfico desde la instancia de Edge con VPN de Capa 2 hacia Internet. El puerto de destino es 443.