Si uno de los sitios que desea ampliar no está respaldado por NSX, puede implementar una instancia de Edge independiente como cliente VPN de Capa 2 en ese sitio.

Si desea cambiar el modo FIPS por un Edge independiente, use los comandos fips enable o fips disable. Para obtener más información, consulte la Referencia de la interfaz de línea de comandos de NSX.

Puede implementar un par de clientes Edge L2VPN independientes y habilitar HA entre ellos para soportar la redundancia de VPN. Los dos clientes Edge VPN de Capa 2 se denominan nodo 0 y nodo 1. No es obligatorio especificar las opciones de configuración de HA en ambos dispositivos Edge L2VPN independientes al implementar. Sin embargo, debe habilitar HA en el momento de la implementación.

Se aplican los pasos del siguiente procedimiento cuando se desee implementar el Edge independiente como cliente VPN de Capa 2 para enrutar tráfico desde un túnel SSL o un túnel VPN IPSec.

Requisitos previos

Creó un grupo de puertos troncales para que la interfaz troncal de la instancia de Edge independiente se conecte a ese grupo. Este grupo de puertos requiere cierta configuración manual:

  • Si el grupo de puertos troncales está en un conmutador estándar de vSphere, debe seguir estos pasos:
    • Habilite las transmisiones falsificadas.
    • Habilite el modo promiscuo.

    Consulte la Guía de redes de vSphere.

  • Si el grupo de puertos troncales está en un conmutador vSphere Distributed Switch, debe seguir estos pasos:
    • Habilite las transmisiones falsificadas. Consulte la Guía de redes de vSphere.
    • Habilite el puerto de recepción para la vNic de tronco o habilite el modo promiscuo. Como práctica recomendada, puede habilitar el puerto de recepción.

    La configuración del puerto de recepción debe realizarse después de implementar la instancia de Edge independiente, ya que se debe cambiar la configuración del puerto conectado a la vNIC de tronco de Edge.

Procedimiento

  1. Con vSphere Web Client, inicie sesión en la instancia de vCenter Server que administra el entorno que no es de NSX.
  2. Seleccione Hosts y clústeres (Hosts and Clusters) y expanda los clústeres para mostrar los hosts disponibles.
  3. Haga clic con el botón derecho en el host en el que desea instalar la instancia de Edge independiente y seleccione Implementar plantilla de OVF (Deploy OVF Template).
  4. Introduzca la URL para descargar e instalar el archivo OVF desde Internet, o bien haga clic en Examinar (Browse) para buscar la carpeta en el equipo que contiene el archivo OVF de la instancia de Edge independiente y, a continuación, haga clic en Siguiente (Next).
  5. En la página Detalles de la plantilla de OVF (OVF Template Details), revise los detalles de la plantilla y haga clic en Siguiente (Next).
  6. En la página Seleccionar nombre y carpeta (Select name and folder), escriba un nombre para la instancia de Edge independiente y seleccione la carpeta o el centro de datos donde desea realizar la implementación. A continuación, haga clic en Siguiente (Next).
  7. En la página Select Storage (Seleccionar almacenamiento), seleccione la ubicación para almacenar los archivos de la plantilla implementada.
  8. En la página Seleccionar redes (Select networks), configure las redes que debe utilizar la plantilla implementada. Haga clic en Siguiente (Next).
    • La interfaz pública es la interfaz de vínculo superior.
    • La interfaz de tronco se utiliza para crear subinterfaces para las redes que se ampliarán. Conecte esta interfaz al grupo de puertos troncales creado.
    • La interfaz de HA se usa para establecer la alta disponibilidad en los dispositivos Edge L2VPN independientes. Seleccione un grupo de puertos distribuidos para la interfaz de HA.
  9. En la página Personalizar plantilla (Customize Template), especifique los siguientes valores.
    1. Escriba la contraseña de administrador de la CLI y, a continuación, vuelva a escribirla.
    2. Escriba la contraseña de habilitación de la CLI y, a continuación, vuelva a escribirla.
    3. Escriba la contraseña raíz de la CLI y, a continuación, vuelva a escribirla.
    4. Escriba la dirección IP del vínculo superior y la longitud del prefijo y, de manera opcional, la dirección IP del DNS y la puerta de enlace predeterminada.
    5. Seleccione el cifrado que se utilizará para la autenticación. El valor seleccionado debe coincidir con el cifrado utilizado en el servidor VPN de Capa 2.
      Nota: Realice este paso solo cuando quiera configurar VPN de Capa 2 mediante SSL.
    6. Para habilitar la optimización de egreso, escriba las direcciones IP de la puerta de enlace para las cuales debe enrutarse localmente el tráfico o para las cuales debe bloquearse el tráfico por el túnel.
    7. (opcional) Seleccione la casilla Habilitar configuración de mantenimiento de TCP (Enable TCP Loose Setting) si desea que la conexión TCP existente (por ejemplo, una sesión SSH) con la máquina virtual a través de una VPN de Capa 2 permanezca activa después de migrar la máquina virtual.
      Esta opción no está habilitada de forma predeterminada. Cuando esta opción está deshabilitada, la conexión TCP existente con la máquina virtual a través de VPN de Capa 2 se pierde después de migrar la máquina virtual. Deberá abrir una nueva conexión TCP a la máquina virtual una vez completada la migración.
    8. Para habilitar la alta disponibilidad del dispositivo Edge L2VPN independiente, seleccione la casilla Habilitar alta disponibilidad para este dispositivo (Enable High Availability for this appliance).
    9. (opcional) Escriba la dirección IP del primer dispositivo Edge L2VPN independiente (nodo 0). La dirección IP debe estar en la subred de IP /30.
    10. (opcional) Escriba la dirección IP del segundo dispositivo Edge L2VPN independiente (nodo 1). La dirección IP debe estar en la subred de IP /30.
    11. (opcional) En el dispositivo nodo 0, seleccione 0 para asignar la dirección IP del nodo 0 a la interfaz de HA. De forma similar, en el dispositivo nodo 1, seleccione 1 para usar la dirección IP del nodo 1 en la interfaz de HA.
    12. (opcional) Especifique un valor entero para establecer el intervalo de tiempo de inactividad en segundos. Por ejemplo, escriba 15.
      Nota: Si especifica las opciones de configuración de HA durante la implementación de un cliente Edge de VPN de Capa 2 independiente, la máquina virtual del dispositivo Edge independiente obtiene un estado de HA en espera hasta que HA esté totalmente configurado. Esto significa que las interfaces de red de la máquina virtual del dispositivo Edge estarán deshabilitadas. Asegúrese de establecer los nodos del mismo nivel de HA para crear los dispositivos activos y en espera. Para obtener instrucciones detalladas, consulte Configurar HA en clientes independientes con L2VPN.
    13. Escriba el puerto y la dirección del servidor VPN de Capa 2.
      Si configura el cliente VPN de Capa 2 para que enrute el tráfico mediante el túnel VPN IPSec, debe especificar la dirección IP del sitio al mismo nivel y el código al mismo nivel.
    14. Escriba el nombre de usuario y la contraseña con las que se autentica el sitio del mismo nivel.
      Nota: Realice este paso solo cuando quiera configurar VPN de Capa 2 mediante SSL.
    15. En VLAN de subinterfaces (identificador de túnel) (Sub Interfaces VLAN [Tunnel ID]), escriba los identificadores de VLAN de las redes que desea ampliar. Puede introducir los identificadores de VLAN en una lista separada por comas o un rango. Por ejemplo: 2,3,10-20.
      Si desea cambiar el identificador de VLAN de la red antes de ampliar el sitio de la instancia de Edge independiente, escriba el identificador de VLAN de la red y, a continuación, escriba el identificador de túnel entre paréntesis. Por ejemplo: 2(100),3(200). El identificador de túnel se utiliza para asignar las redes que se van a ampliar. Sin embargo, no se puede especificar el identificador de túnel con un rango. Por ejemplo, no se permitiría lo siguiente: 10(100)-14(104). Debe volver a escribirlo de la siguiente manera: 10(100),11(101),12(102),13(103),14(104).
    16. Si la instancia de Edge independiente no tiene acceso directo a Internet y debe comunicarse con la instancia de NSX Edge de origen (servidor) mediante un servidor proxy, escriba la dirección, el puerto, el nombre de usuario y la contraseña del proxy.
    17. Si hay una entidad de certificación raíz disponible, puede pegarla en la sección Certificado (Certificate).
    18. Haga clic en Siguiente (Next).
  10. En la página Ready to complete (Listo para finalizar), revise la configuración de la instancia de Edge independiente y haga clic en Finish (Finalizar).

Qué hacer a continuación

  • Encienda el dispositivo Edge independiente.
  • Anote el número de puerto de la vNIC de tronco y configure un puerto de recepción. Consulte Configurar un puerto de recepción.
  • Si especificó opciones de configuración de HA, como la dirección IP de HA, el valor índice de HA y el intervalo de tiempo de inactividad al implementar los dispositivos Edge L2VPN independientes, puede validar la configuración de HA en la consola de los nodos implementados con el comando show configuration.
  • Si no implementó las opciones de configuración de HA durante la implementación, puede hacerlo más tarde en la consola de NSX Edge ejecutando el comando ha set-config en cada nodo.

Realice cualquier cambio de configuración mediante la interfaz de línea de comandos de la instancia de Edge independiente. Consulte la Referencia de la interfaz de línea de comandos de NSX.