Configurer le VPN L2 dans le VMware Cloud Director Service Provider Admin Portal

Les passerelles Edge NSX Data Center for vSphere dans un environnement VMware Cloud Director prennent en charge VPN L2. Un VPN L2 vous permet d'étendre le centre de données virtuel de votre organisation en autorisant les machines virtuelles à maintenir la connectivité réseau tout en conservant la même adresse IP entre les limites géographiques. Vous pouvez configurer le service VPN L2 sur une passerelle Edge.

NSX Data Center for vSphere fournit les fonctionnalités de VPN L2 d'une passerelle Edge. Le service VPN L2 vous permet de configurer un tunnel entre deux sites. Les machines virtuelles restent sur le même sous-réseau bien qu'elles soient déplacées entre ces sites, ce qui vous permet d'étendre votre centre de données virtuel d'organisation en étirant son réseau par le biais de VPN L2. Une passerelle Edge configurée sur un site peut fournir tous les services aux machines virtuelles de l'autre site.

Pour créer le tunnel VPN L2, vous devez configurer un serveur VPN L2 et un client VPN L2. Comme décrit dans le Guide d'administration de NSX, le serveur VPN L2 est la passerelle Edge de destination tandis que le client VPN L2 est la passerelle Edge source. Après avoir configuré les paramètres de VPN L2 sur chaque passerelle Edge, vous devez ensuite activer le service VPN L2 sur le serveur et le client.

Note : Un réseau de centre de données virtuel d'organisation acheminé doit avoir été préalablement créé en tant que sous-interface sur les passerelles Edge.

Accéder à l'écran VPN L2 à l'aide de votre VMware Cloud Director Service Provider Admin Portal

Pour commencer à configurer le service VPN L2 pour une passerelle Edge NSX Data Center for vSphere dans VMware Cloud Director, vous devez accéder à l'écran VPN L2.

Procédure

Ouvrez les services de passerelle Edge.
1. Dans le panneau de navigation de gauche principal, sélectionnez Ressources et, dans la barre de navigation supérieure de la page, sélectionnez l'onglet Ressources de cloud.
2. Dans le panneau secondaire de gauche, sélectionnez Passerelles Edge.
3. Cliquez sur le bouton radio situé en regard du nom de la passerelle Edge cible, puis sur Services.
Accédez à VPN > VPN L2.

Que faire ensuite

Configurez le serveur VPN L2. Reportez-vous à Configurer la passerelle Edge NSX Data Center for vSphere en tant que serveur VPN L2 dans le VMware Cloud Director Service Provider Admin Portal.

Configurer la passerelle Edge NSX Data Center for vSphere en tant que serveur VPN L2 dans le VMware Cloud Director Service Provider Admin Portal

Le serveur VPN L2 est la passerelle NSX Edge de destination à laquelle le client VPN L2 va se connecter.

Comme décrit dans le Guide d'administration de NSX, vous pouvez connecter plusieurs sites homologues à ce serveur VPN L2.

Note : La modification des paramètres de configuration de site entraîne la déconnexion de la passerelle Edge et la reconnexion de toutes les connexions existantes.

Conditions préalables

Vérifiez que la passerelle Edge dispose d'un réseau de centre de données virtuel d'organisation acheminé qui est configuré en tant que sous-interface sur la passerelle Edge.
Accéder à l'écran VPN L2 à l'aide de votre VMware Cloud Director Service Provider Admin Portal.
Si vous souhaitez lier un certificat du service à la connexion VPN L2, vérifiez que le certificat du serveur a déjà été téléchargé vers la passerelle Edge. Reportez-vous à Ajouter un certificat de service à la passerelle Edge à l'aide du VMware Cloud Director Service Provider Admin Portal.
Vous devez disposer de l'adresse IP de l'écouteur, du port de l'écouteur, de l'algorithme de chiffrement du serveur et d'au moins un site homologue configuré avant de pouvoir activer le service VPN L2.

Procédure

Sous l'onglet VPN L2, sélectionnez Serveur pour le mode VPN L2.

Sous l'onglet Serveur global, configurez les détails de la configuration globale du serveur VPN L2.

Option	Action
Adresse IP de l'écouteur	Sélectionnez l'adresse IP principale ou secondaire d'une interface externe de la passerelle Edge.
Port de l'écouteur	Modifiez la valeur affichée selon les besoins de votre organisation. Le port par défaut du service VPN L2 est 443.
Algorithme de chiffrement	Sélectionnez l'algorithme de chiffrement utilisé pour les communications entre le serveur et le client.
Détails du certificat du service	Cliquez sur Modifier le certificat du serveur pour sélectionner le certificat à lier au serveur VPN L2. Dans la fenêtre Modifier le certificat du serveur, activez l'option Valider le certificat du serveur, sélectionnez un certificat de serveur dans la liste, puis cliquez sur OK.

Pour configurer les sites homologues, cliquez sur l'onglet Sites de serveurs.
Cliquez sur le bouton Ajouter.

Configurez les paramètres pour un site homologue VPN L2.

Option	Action
Activé	Activez ce site homologue.
Nom	Entrez un nom unique pour le site homologue.
Description	(Facultatif) Entrez une description.
ID utilisateur Mot de passe Confirmer le mot de passe	Entrez le nom d'utilisateur et le mot de passe avec lesquels le site homologue doit être authentifié. Les informations d'identification de l'utilisateur sur le site homologue doivent être les mêmes que celles du côté client.
Interfaces étirées	Sélectionnez au moins une sous-interface à étirer avec le client. Les sous-interfaces disponibles pour sélection sont les réseaux de centre de données virtuel d'organisation qui sont configurés en tant que sous-interfaces sur la passerelle Edge.
Adresse de la passerelle d'optimisation de sortie	(Facultatif) Si la passerelle par défaut des machines virtuelles est identique sur les deux sites, entrez les adresses IP de passerelle des sous-interfaces pour lesquelles vous souhaitez que le trafic soit acheminé ou bloqué localement sur le tunnel VPN L2.

Cliquez sur Conserver.
Cliquez sur Enregistrer les modifications.

Que faire ensuite

Activez le service VPN L2 sur cette passerelle Edge. Reportez-vous à Activer le service VPN L2 sur une passerelle Edge NSX Data Center for vSphere dans votre VMware Cloud Director Service Provider Admin Portal.

Configurer la passerelle Edge NSX Data Center for vSphere en tant que client VPN L2 dans le VMware Cloud Director Service Provider Admin Portal

Le client VPN L2 est le dispositif NSX Edge source qui établit la communication avec le dispositif NSX Edge de destination, c'est-à-dire le serveur VPN L2.

Conditions préalables

Accéder à l'écran VPN L2 à l'aide de votre VMware Cloud Director Service Provider Admin Portal.
Si ce client VPN L2 se connecte à un serveur VPN L2 qui utilise un certificat de serveur, vérifiez que le certificat d'autorité de certification correspondant est téléchargé sur la passerelle Edge pour activer la validation du certificat de serveur pour ce client VPN L2. Reportez-vous à Ajouter un certificat d'autorité de certification à la passerelle Edge pour la vérification de l'approbation des certificats SSL à l'aide du VMware Cloud Director Service Provider Admin Portal.

Procédure

Sous l'onglet VPN L2, sélectionnez Client pour le mode VPN L2.

Sous l'onglet Client global, définissez les détails de configuration globale du client VPN L2.

Option	Description
Adresse du serveur	Entrez l'adresse IP du serveur VPN L2 auquel ce client doit être connecté.
Port du serveur	Entrez le port du serveur VPN L2 auquel le client doit se connecter. Le port par défaut est 443.
Algorithme de chiffrement	Sélectionnez l'algorithme de chiffrement pour la communication avec le serveur.
Interfaces étirées	Sélectionnez les sous-interfaces à étirer sur le serveur. Les sous-interfaces disponibles pour sélection sont les réseaux de centre de données virtuel d'organisation qui sont configurés en tant que sous-interfaces sur la passerelle Edge.
Adresse de la passerelle d'optimisation de sortie	(Facultatif) Si la passerelle par défaut pour les machines virtuelles est identique sur les deux sites, tapez les adresses IP de passerelle des sous-interfaces ou les adresses IP pour lesquelles le trafic ne doit pas circuler par le tunnel.
Détails de l'utilisateur	Entrez l'ID d'utilisateur et le mot de passe pour l'authentification auprès du serveur.

Cliquez sur Enregistrer les modifications.
(Facultatif) Pour configurer les options avancées, cliquez sur l'onglet Client avancé.

Si ce dispositif Edge client VPN L2 ne dispose pas d'un accès direct à Internet et doit contacter le dispositif Edge serveur VPN L2 à l'aide d'un serveur proxy, spécifiez les paramètres du proxy.

Option	Description
Activer le proxy sécurisé	Choisissez d'activer le proxy sécurisé.
Adresse	Entrez l'adresse IP du serveur proxy.
Port	Entrez le numéro de port du serveur proxy.
Nom d'utilisateur Mot de passe	Entrez les informations d'authentification du serveur proxy.

Pour activer la validation de la certification du serveur, cliquez sur Changer le certificat d'autorité de certification (CA) et sélectionnez le certificat d'autorité de certification approprié.
Cliquez sur Enregistrer les modifications.

Que faire ensuite

Activer le service VPN L2 sur une passerelle Edge NSX Data Center for vSphere dans votre VMware Cloud Director Service Provider Admin Portal

Lorsque les paramètres VPN L2 requis sont configurés, vous pouvez activer le service VPN L2 sur la passerelle Edge.

Note : Si la fonctionnalité HA est déjà configurée sur la passerelle Edge, assurez-vous que celle-ci comprend plusieurs interfaces internes configurées. Si une seule interface existe et qu'elle a déjà été utilisée par la fonctionnalité HA, la configuration de VPN L2 sur la même interface interne échoue.

Conditions préalables

Si la passerelle Edge est un serveur VPN L2, sur le dispositif NSX Edge de destination, vérifiez que les paramètres du serveur VPN L2 requis et au moins un site homologue de VPN L2 sont configurés. Reportez-vous à la procédure décrite dans la section Configurer la passerelle Edge NSX Data Center for vSphere en tant que serveur VPN L2 dans le VMware Cloud Director Service Provider Admin Portal.
Si la passerelle Edge est un client VPN L2, sur le dispositif NSX Edge source, vérifiez que les paramètres du client VPN L2 sont configurés. Reportez-vous à la procédure décrite dans la section Configurer la passerelle Edge NSX Data Center for vSphere en tant que client VPN L2 dans le VMware Cloud Director Service Provider Admin Portal.
Accéder à l'écran VPN L2 à l'aide de votre VMware Cloud Director Service Provider Admin Portal.

Procédure

Dans l'onglet VPN L2, cliquez sur le bouton Activer.
Cliquez sur Enregistrer les modifications.

Résultats

Le service VPN L2 de la passerelle Edge est désormais activé.

Que faire ensuite

Créez des règles NAT ou de pare-feu sur le côté du pare-feu exposé à Internet pour permettre au serveur VPN L2 de se connecter au client VPN L2.