Con VPN de capa 2 (VPN de capa 2), es posible ampliar redes de capa 2 (VNI o VLAN) en varios sitios del mismo dominio de difusión. Esta conexión se protege con un túnel de IPSec basado en rutas entre el servidor de VPN de capa 2 y el cliente de VPN de capa 2.

Nota: Esta función de VPN de capa 2 solo está disponible para NSX-T Data Center, y no tiene interoperabilidad con terceros.

La red extendida es una única subred con un único dominio de difusión, lo que significa que las máquinas virtuales permanecen en la misma subred cuando se mueven entre sitios. Las direcciones IP de las máquinas virtuales no cambian cuando se mueven. Por lo tanto, las empresas pueden migrar máquinas virtuales sin problemas entre sitios de red. Las máquinas virtuales se pueden ejecutar en redes basadas en VNI o VLAN. Con respecto a los proveedores de nube, la VPN de Capa 2 les proporciona un mecanismo para incorporar empresas sin modificar las direcciones IP existentes usadas por las cargas de trabajo y las aplicaciones.

Además de admitir la migración de centros de datos, una red local ampliada con una VPN de capa 2 resulta útil para los planes de recuperación ante desastres y para involucrar recursos informáticos externos de forma dinámica para satisfacer el aumento de la demanda.

Los servicios de VPN de Capa 2 se admiten en puertas de enlace de nivel 0 y de nivel 1. Solo se puede configurar un servicio de VPN de Capa 2 (cliente o servidor) para una puerta de enlace de nivel 0 o nivel 1.

Cada sesión de VPN de capa 2 tiene un túnel de encapsulación de enrutamiento genérico (GRE). No se admite la redundancia de túnel. Una sesión de VPN de capa 2 se puede ampliar hasta 4094 segmentos de capa 2.

Los segmentos basados en VLAN y VNI se pueden ampliar mediante el servicio de VPN de capa 2 en un nodo de NSX Edge administrado en un entorno de NSX-T Data Center. Puede ampliar las redes de Capa 2 de VLAN a VNI, VLAN a VLAN y VNI a VNI.

Los segmentos se pueden conectar a puertas de enlace de nivel 0 o nivel 1 y pueden utilizar servicios de VPN de capa 2.

También se admite el enlace troncal de VLAN usando un conmutador virtual distribuido administrado por ESX NSX (N-VDS). Si hay suficientes recursos informáticos y de E/S, un clúster de NSX Edge puede ampliarse a varias redes VLAN a través de una sola interfaz mediante el enlace troncal de VLAN.

A partir de NSX-T Data Center 3.0, la función de detección de MTU de ruta de acceso VPN de capa 2 (PMTUD) está habilitada de forma predeterminada. Con PMTUD habilitado, el host de origen obtiene el valor de MTU de la ruta de acceso para el host de destino a través del túnel VPN de capa 2, y limita la longitud del paquete de IP saliente al valor obtenido. Esta función permite evitar la fragmentación de la IP y el reensamblado dentro del túnel, mejorando así el rendimiento de la VPN de Capa 2.

La función PMTUD VPN de Capa 2 no se aplica a los paquetes que no son de IP, los paquetes que no son de unidifusión y los paquetes de unidifusión con la marca DF (no fragmentar) desactivada. El temporizador de memoria caché de PMTU global caduca cada 10 minutos. Para deshabilitar o habilitar la función PMTUD de VPN de capa 2, consulte Habilitar y deshabilitar la detección de MTU de ruta de VPN de capa 2.

El soporte del servicio de VPN de Capa 2 se proporciona en los siguientes escenarios de implementación.
  • Entre un servidor de VPN de capa 2 de NSX-T Data Center y un cliente de VPN de capa 2 alojado en una instancia de NSX Edge administrada en un entorno de NSX Data Center for vSphere. Los clientes VPN de Capa 2 administrados admiten VLAN y VNI.
  • Entre un servidor de VPN de capa 2 de NSX-T Data Center y un cliente de VPN de capa 2 alojado en una instancia de NSX Edge independiente o no administrada. Los clientes VPN de Capa 2 no administrados admite solo VLAN.
  • Entre un servidor VPN de capa 2 de NSX-T Data Center y un cliente VPN de Capa 2 alojado en una instancia de NSX Edge autónoma. Los clientes VPN de Capa 2 autónomos admite solo VLAN.
  • A partir de NSX-T Data Center 2.4, el soporte del servicio de VPN de capa 2 está disponible entre un servidor de VPN de capa 2 de NSX-T Data Center y clientes de VPN de capa 2 de NSX-T Data Center. En este escenario, puede ampliar los segmentos lógicos de Capa 2 entre dos centros de datos definidos por software (SDDC) en las instalaciones.
En la siguiente tabla se enumeran las versiones de NSX-T Data Center compatibles que se pueden utilizar con el cliente y el servidor VPN de nivel 2.
Tabla 1. Cliente VPN de capa 2 de NSX-T Data Center
Versión del servidor VPN de nivel 2 (NSX-T Data Center) Versión del cliente VPN de capa 2 (NSX-T) validado Versión del cliente VPN de capa 2 (NSX-T) admitida no validada
3.2.0 3.2.0, 3.1.3, 3.1.2 3.1.x y versiones posteriores
3.1.3 3.1.3, 3.1.2 3.0.x y versiones posteriores
3.1.2 3.1.2, 3.1.1, 2.5.3 3.0.x y versiones posteriores
3.1.1 3.1.1, 3.1.0, 3.0.1 3.0.x y versiones posteriores
3.1.0 3.1.0, 3.0.1, 3.0.0 3.0.x y versiones posteriores
3.0.3 3.0.3, 3.0.2, 3.0.1 2.5.x y versiones posteriores
3.0.2 3.0.2, 3.0.1, 2.5.2 2.5.x y versiones posteriores
3.0.0 3.0.0, 2.5.0, 2.5.1 2.5.x y versiones posteriores

En la siguiente tabla se enumeran las versiones de NSX-T y NSX-v compatibles que se pueden utilizar con el cliente y el servidor VPN de nivel 2.

Tabla 2. Cliente L2VPN de NSX for vSphere
Versión del servidor VPN de nivel 2 (NSX-T Data Center) Versión del cliente VPN de nivel 2 (NSX-v) validado Versión del cliente VPN de capa 2 (NSX-v) admitida no validada
3.2.x 6.4.12 6.4.x y versiones posteriores
3.1.x 6.4.8 6.4.x y versiones posteriores