Les passerelles Edge NSX Data Center for vSphere dans un environnement VMware Cloud Director prennent en charge VPN L2. Un VPN L2 vous permet d'étendre le centre de données virtuel de votre organisation en autorisant les machines virtuelles à maintenir la connectivité réseau tout en conservant la même adresse IP entre les limites géographiques. Vous pouvez configurer le service VPN L2 sur une passerelle Edge.

NSX Data Center for vSphere fournit les fonctionnalités de VPN L2 d'une passerelle Edge. Le service VPN L2 vous permet de configurer un tunnel entre deux sites. Les machines virtuelles restent sur le même sous-réseau bien qu'elles soient déplacées entre ces sites, ce qui vous permet d'étendre votre centre de données virtuel d'organisation en étirant son réseau par le biais de VPN L2. Une passerelle Edge configurée sur un site peut fournir tous les services aux machines virtuelles de l'autre site.

Pour créer le tunnel VPN L2, vous devez configurer un serveur VPN L2 et un client VPN L2. Comme décrit dans le Guide d'administration de NSX, le serveur VPN L2 est la passerelle Edge de destination tandis que le client VPN L2 est la passerelle Edge source. Après avoir configuré les paramètres de VPN L2 sur chaque passerelle Edge, vous devez ensuite activer le service VPN L2 sur le serveur et le client.

Note : Un réseau de centre de données virtuel d'organisation acheminé doit avoir été préalablement créé en tant que sous-interface sur les passerelles Edge.

Accéder à l'écran VPN L2 à l'aide de votre VMware Cloud Director Service Provider Admin Portal

Pour commencer à configurer le service VPN L2 pour une passerelle Edge NSX Data Center for vSphere dans VMware Cloud Director, vous devez accéder à l'écran VPN L2.

Procédure

  1. Ouvrez les services de passerelle Edge.
    1. Dans le panneau de navigation de gauche principal, sélectionnez Ressources et, dans la barre de navigation supérieure de la page, sélectionnez l'onglet Ressources de cloud.
    2. Dans le panneau secondaire de gauche, sélectionnez Passerelles Edge.
    3. Cliquez sur le bouton radio situé en regard du nom de la passerelle Edge cible, puis sur Services.
  2. Accédez à VPN > VPN L2.

Que faire ensuite

Configurez le serveur VPN L2. Reportez-vous à Configurer la passerelle Edge NSX Data Center for vSphere en tant que serveur VPN L2 dans le VMware Cloud Director Service Provider Admin Portal.

Configurer la passerelle Edge NSX Data Center for vSphere en tant que serveur VPN L2 dans le VMware Cloud Director Service Provider Admin Portal

Le serveur VPN L2 est la passerelle NSX Edge de destination à laquelle le client VPN L2 va se connecter.

Comme décrit dans le Guide d'administration de NSX, vous pouvez connecter plusieurs sites homologues à ce serveur VPN L2.

Note : La modification des paramètres de configuration de site entraîne la déconnexion de la passerelle Edge et la reconnexion de toutes les connexions existantes.

Conditions préalables

Procédure

  1. Sous l'onglet VPN L2, sélectionnez Serveur pour le mode VPN L2.
  2. Sous l'onglet Serveur global, configurez les détails de la configuration globale du serveur VPN L2.
    Option Action
    Adresse IP de l'écouteur Sélectionnez l'adresse IP principale ou secondaire d'une interface externe de la passerelle Edge.
    Port de l'écouteur Modifiez la valeur affichée selon les besoins de votre organisation.

    Le port par défaut du service VPN L2 est 443.

    Algorithme de chiffrement Sélectionnez l'algorithme de chiffrement utilisé pour les communications entre le serveur et le client.
    Détails du certificat du service Cliquez sur Modifier le certificat du serveur pour sélectionner le certificat à lier au serveur VPN L2.

    Dans la fenêtre Modifier le certificat du serveur, activez l'option Valider le certificat du serveur, sélectionnez un certificat de serveur dans la liste, puis cliquez sur OK.

  3. Pour configurer les sites homologues, cliquez sur l'onglet Sites de serveurs.
  4. Cliquez sur le bouton Ajouter.
  5. Configurez les paramètres pour un site homologue VPN L2.
    Option Action
    Activé Activez ce site homologue.
    Nom Entrez un nom unique pour le site homologue.
    Description (Facultatif) Entrez une description.

    ID utilisateur

    Mot de passe

    Confirmer le mot de passe

    Entrez le nom d'utilisateur et le mot de passe avec lesquels le site homologue doit être authentifié.

    Les informations d'identification de l'utilisateur sur le site homologue doivent être les mêmes que celles du côté client.

    Interfaces étirées Sélectionnez au moins une sous-interface à étirer avec le client.

    Les sous-interfaces disponibles pour sélection sont les réseaux de centre de données virtuel d'organisation qui sont configurés en tant que sous-interfaces sur la passerelle Edge.

    Adresse de la passerelle d'optimisation de sortie (Facultatif) Si la passerelle par défaut des machines virtuelles est identique sur les deux sites, entrez les adresses IP de passerelle des sous-interfaces pour lesquelles vous souhaitez que le trafic soit acheminé ou bloqué localement sur le tunnel VPN L2.
  6. Cliquez sur Conserver.
  7. Cliquez sur Enregistrer les modifications.

Que faire ensuite

Activez le service VPN L2 sur cette passerelle Edge. Reportez-vous à Activer le service VPN L2 sur une passerelle Edge NSX Data Center for vSphere dans votre VMware Cloud Director Service Provider Admin Portal.

Configurer la passerelle Edge NSX Data Center for vSphere en tant que client VPN L2 dans le VMware Cloud Director Service Provider Admin Portal

Le client VPN L2 est le dispositif NSX Edge source qui établit la communication avec le dispositif NSX Edge de destination, c'est-à-dire le serveur VPN L2.

Conditions préalables

Procédure

  1. Sous l'onglet VPN L2, sélectionnez Client pour le mode VPN L2.
  2. Sous l'onglet Client global, définissez les détails de configuration globale du client VPN L2.
    Option Description
    Adresse du serveur Entrez l'adresse IP du serveur VPN L2 auquel ce client doit être connecté.
    Port du serveur Entrez le port du serveur VPN L2 auquel le client doit se connecter.

    Le port par défaut est 443.

    Algorithme de chiffrement Sélectionnez l'algorithme de chiffrement pour la communication avec le serveur.
    Interfaces étirées Sélectionnez les sous-interfaces à étirer sur le serveur.

    Les sous-interfaces disponibles pour sélection sont les réseaux de centre de données virtuel d'organisation qui sont configurés en tant que sous-interfaces sur la passerelle Edge.

    Adresse de la passerelle d'optimisation de sortie (Facultatif) Si la passerelle par défaut pour les machines virtuelles est identique sur les deux sites, tapez les adresses IP de passerelle des sous-interfaces ou les adresses IP pour lesquelles le trafic ne doit pas circuler par le tunnel.
    Détails de l'utilisateur Entrez l'ID d'utilisateur et le mot de passe pour l'authentification auprès du serveur.
  3. Cliquez sur Enregistrer les modifications.
  4. (Facultatif) Pour configurer les options avancées, cliquez sur l'onglet Client avancé.
  5. Si ce dispositif Edge client VPN L2 ne dispose pas d'un accès direct à Internet et doit contacter le dispositif Edge serveur VPN L2 à l'aide d'un serveur proxy, spécifiez les paramètres du proxy.
    Option Description
    Activer le proxy sécurisé Choisissez d'activer le proxy sécurisé.
    Adresse Entrez l'adresse IP du serveur proxy.
    Port Entrez le numéro de port du serveur proxy.

    Nom d'utilisateur

    Mot de passe

    Entrez les informations d'authentification du serveur proxy.
  6. Pour activer la validation de la certification du serveur, cliquez sur Changer le certificat d'autorité de certification (CA) et sélectionnez le certificat d'autorité de certification approprié.
  7. Cliquez sur Enregistrer les modifications.

Que faire ensuite

Activez le service VPN L2 sur cette passerelle Edge. Reportez-vous à Activer le service VPN L2 sur une passerelle Edge NSX Data Center for vSphere dans votre VMware Cloud Director Service Provider Admin Portal.

Activer le service VPN L2 sur une passerelle Edge NSX Data Center for vSphere dans votre VMware Cloud Director Service Provider Admin Portal

Lorsque les paramètres VPN L2 requis sont configurés, vous pouvez activer le service VPN L2 sur la passerelle Edge.

Note : Si la fonctionnalité HA est déjà configurée sur la passerelle Edge, assurez-vous que celle-ci comprend plusieurs interfaces internes configurées. Si une seule interface existe et qu'elle a déjà été utilisée par la fonctionnalité HA, la configuration de VPN L2 sur la même interface interne échoue.

Conditions préalables

Procédure

  1. Dans l'onglet VPN L2, cliquez sur le bouton Activer.
  2. Cliquez sur Enregistrer les modifications.

Résultats

Le service VPN L2 de la passerelle Edge est désormais activé.

Que faire ensuite

Créez des règles NAT ou de pare-feu sur le côté du pare-feu exposé à Internet pour permettre au serveur VPN L2 de se connecter au client VPN L2.