Les passerelles Edge NSX Data Center for vSphere dans un environnement VMware Cloud Director prennent en charge VPN L2. Un VPN L2 vous permet d'étendre le centre de données virtuel de votre organisation en autorisant les machines virtuelles à maintenir la connectivité réseau tout en conservant la même adresse IP entre les limites géographiques. Vous pouvez configurer le service VPN L2 sur une passerelle Edge.
NSX Data Center for vSphere fournit les fonctionnalités de VPN L2 d'une passerelle Edge. Le service VPN L2 vous permet de configurer un tunnel entre deux sites. Les machines virtuelles restent sur le même sous-réseau bien qu'elles soient déplacées entre ces sites, ce qui vous permet d'étendre votre centre de données virtuel d'organisation en étirant son réseau par le biais de VPN L2. Une passerelle Edge configurée sur un site peut fournir tous les services aux machines virtuelles de l'autre site.
Pour créer le tunnel VPN L2, vous devez configurer un serveur VPN L2 et un client VPN L2. Comme décrit dans le Guide d'administration de NSX, le serveur VPN L2 est la passerelle Edge de destination tandis que le client VPN L2 est la passerelle Edge source. Après avoir configuré les paramètres de VPN L2 sur chaque passerelle Edge, vous devez ensuite activer le service VPN L2 sur le serveur et le client.
Accéder à l'écran VPN L2
Pour commencer à configurer le service VPN L2 pour une passerelle Edge NSX Data Center for vSphere, vous devez accéder à l'écran VPN L2.
Procédure
- Ouvrez les services de passerelle Edge.
- Dans la barre de navigation supérieure, cliquez sur Mise en réseau, puis sur Passerelles Edge.
- Sélectionnez la passerelle Edge à modifier, puis cliquez sur Services.
- Accédez à .
Que faire ensuite
Configurez le serveur VPN L2. Reportez-vous à Configurer la passerelle Edge NSX Data Center for vSphere en tant que serveur VPN L2.
Configurer la passerelle Edge NSX Data Center for vSphere en tant que serveur VPN L2
Le serveur VPN L2 est la passerelle NSX Edge de destination à laquelle le client VPN L2 va se connecter.
Comme décrit dans le Guide d'administration de NSX, vous pouvez connecter plusieurs sites homologues à ce serveur VPN L2.
Conditions préalables
- Vérifiez que la passerelle Edge dispose d'un réseau de centre de données virtuel d'organisation acheminé qui est configuré en tant que sous-interface sur la passerelle Edge.
- Accéder à l'écran VPN L2.
- Si vous souhaitez lier un certificat du service à la connexion VPN L2, vérifiez que le certificat du serveur a déjà été téléchargé vers la passerelle Edge. Reportez-vous à Ajouter un certificat de service à la passerelle Edge.
- Vous devez disposer de l'adresse IP de l'écouteur, du port de l'écouteur, de l'algorithme de chiffrement du serveur et d'au moins un site homologue configuré avant de pouvoir activer le service VPN L2.
Procédure
- Sous l'onglet VPN L2, sélectionnez Serveur pour le mode VPN L2.
- Sous l'onglet Serveur global, configurez les détails de la configuration globale du serveur VPN L2.
Option Action Adresse IP de l'écouteur Sélectionnez l'adresse IP principale ou secondaire d'une interface externe de la passerelle Edge. Port de l'écouteur Modifiez la valeur affichée selon les besoins de votre organisation. Le port par défaut du service VPN L2 est 443.
Algorithme de chiffrement Sélectionnez l'algorithme de chiffrement utilisé pour les communications entre le serveur et le client. Détails du certificat du service Cliquez sur Modifier le certificat du serveur pour sélectionner le certificat à lier au serveur VPN L2. Dans la fenêtre Modifier le certificat du serveur, activez l'option Valider le certificat du serveur, sélectionnez un certificat de serveur dans la liste, puis cliquez sur OK.
- Pour configurer les sites homologues, cliquez sur l'onglet Sites de serveurs.
- Cliquez sur le bouton Ajouter.
- Configurez les paramètres pour un site homologue VPN L2.
Option Action Activé Activez ce site homologue. Nom Entrez un nom unique pour le site homologue. Description (Facultatif) Tapez une description. ID utilisateur
Mot de passe
Confirmer le mot de passe
Entrez le nom d'utilisateur et le mot de passe avec lesquels le site homologue doit être authentifié. Les informations d'identification de l'utilisateur sur le site homologue doivent être les mêmes que celles du côté client.
Interfaces étirées Sélectionnez au moins une sous-interface à étirer avec le client. Les sous-interfaces disponibles pour sélection sont les réseaux de centre de données virtuel d'organisation qui sont configurés en tant que sous-interfaces sur la passerelle Edge.
Adresse de la passerelle d'optimisation de sortie (Facultatif) Si la passerelle par défaut des machines virtuelles est identique sur les deux sites, entrez les adresses IP de passerelle des sous-interfaces pour lesquelles vous souhaitez que le trafic soit acheminé ou bloqué localement sur le tunnel VPN L2. - Cliquez sur Conserver.
- Cliquez sur Enregistrer les modifications.
Que faire ensuite
Activez le service VPN L2 sur cette passerelle Edge. Reportez-vous à Activer le service VPN L2 sur une passerelle Edge NSX Data Center for vSphere.
Configurer la passerelle Edge NSX Data Center for vSphere en tant que client VPN L2
Le client VPN L2 est le dispositif NSX Edge source qui établit la communication avec le dispositif NSX Edge de destination, c'est-à-dire le serveur VPN L2.
Conditions préalables
- Accéder à l'écran VPN L2.
- Si ce client VPN L2 se connecte à un serveur VPN L2 qui utilise un certificat de serveur, vérifiez que le certificat d'autorité de certification correspondant est téléchargé sur la passerelle Edge pour activer la validation du certificat de serveur pour ce client VPN L2. Reportez-vous à Ajouter un certificat d'autorité de certification à la passerelle Edge pour la vérification de l'approbation des certificats SSL.
Procédure
- Sous l'onglet VPN L2, sélectionnez Client pour le mode VPN L2.
- Sous l'onglet Client global, définissez les détails de configuration globale du client VPN L2.
Option Description Adresse du serveur Entrez l'adresse IP du serveur VPN L2 auquel ce client doit être connecté. Port du serveur Entrez le port du serveur VPN L2 auquel le client doit se connecter. Le port par défaut est 443.
Algorithme de chiffrement Sélectionnez l'algorithme de chiffrement pour la communication avec le serveur. Interfaces étirées Sélectionnez les sous-interfaces à étirer sur le serveur. Les sous-interfaces disponibles pour sélection sont les réseaux de centre de données virtuel d'organisation qui sont configurés en tant que sous-interfaces sur la passerelle Edge.
Adresse de la passerelle d'optimisation de sortie (Facultatif) Si la passerelle par défaut pour les machines virtuelles est identique sur les deux sites, tapez les adresses IP de passerelle des sous-interfaces ou les adresses IP pour lesquelles le trafic ne doit pas circuler par le tunnel. Détails de l'utilisateur Entrez l'ID d'utilisateur et le mot de passe pour l'authentification auprès du serveur. - Cliquez sur Enregistrer les modifications.
- (Facultatif) Pour configurer les options avancées, cliquez sur l'onglet Client avancé.
- Si ce dispositif Edge client VPN L2 ne dispose pas d'un accès direct à Internet et doit contacter le dispositif Edge serveur VPN L2 à l'aide d'un serveur proxy, spécifiez les paramètres du proxy.
Option Description Activer le proxy sécurisé Choisissez d'activer le proxy sécurisé. Adresse Entrez l'adresse IP du serveur proxy. Port Entrez le numéro de port du serveur proxy. Nom d'utilisateur
Mot de passe
Entrez les informations d'authentification du serveur proxy. - Pour activer la validation de la certification du serveur, cliquez sur Changer le certificat d'autorité de certification (CA) et sélectionnez le certificat d'autorité de certification approprié.
- Cliquez sur Enregistrer les modifications.
Que faire ensuite
Activez le service VPN L2 sur cette passerelle Edge. Reportez-vous à Activer le service VPN L2 sur une passerelle Edge NSX Data Center for vSphere.
Activer le service VPN L2 sur une passerelle Edge NSX Data Center for vSphere
Lorsque les paramètres VPN L2 requis sont configurés, vous pouvez activer le service VPN L2 sur la passerelle Edge.
Conditions préalables
- Si la passerelle Edge est un serveur VPN L2, sur le dispositif NSX Edge de destination, vérifiez que les paramètres du serveur VPN L2 requis et au moins un site homologue de VPN L2 sont configurés. Reportez-vous à la procédure décrite dans la section Configurer la passerelle Edge NSX Data Center for vSphere en tant que serveur VPN L2.
- Si la passerelle Edge est un client VPN L2, sur le dispositif NSX Edge source, vérifiez que les paramètres du client VPN L2 sont configurés. Reportez-vous à la procédure décrite dans la section Configurer la passerelle Edge NSX Data Center for vSphere en tant que client VPN L2.
- Accéder à l'écran VPN L2.
Procédure
- Dans l'onglet VPN L2, cliquez sur le bouton Activer.
- Cliquez sur Enregistrer les modifications.
Résultats
Le service VPN L2 de la passerelle Edge est désormais activé.
Que faire ensuite
Créez des règles NAT ou de pare-feu sur le côté du pare-feu exposé à Internet pour permettre au serveur VPN L2 de se connecter au client VPN L2.