À partir de NSX Data Center 6.4.2, vous pouvez étendre vos réseaux de couche 2 entre deux sites avec le service VPN L2 sur IPSec. Avant de configurer le service VPN L2 sur IPSec, vous devez tout d'abord créer un tunnel VPN IPSec basé sur le routage. Vous utilisez ensuite ce tunnel VPN IPSec basé sur le routage pour créer un tunnel VPN L2 entre les deux sites.

Il n'est pas possible de créer et de modifier un tunnel VPN IPSec basé sur l'itinéraire à l'aide de vSphere Web Client. Vous devez utiliser les REST API de NSX. Pour plus d'informations sur la création de tunnels VPN IPSec basés sur le routage, consultez le Guide des API de NSX.

Workflow de configuration d'un service VPN L2 sur IPSec

Vous devez utiliser les API REST de NSX pour configurer le service VPN L2 sur IPSec sur le serveur et le client Edge.

Les étapes du workflow sont prises en charge uniquement avec les API REST de NSX. Dans cette documentation, seules les URL d'API sont mentionnées. Pour obtenir des informations détaillées sur les paramètres d'API, les exemples de demandes et de réponses, reportez-vous au NSX Guide de l'API.

Commencez par configurer le service VPN L2 en mode serveur (hub) sur le dispositif NSX Edge en procédant comme suit. Le dispositif Edge que vous configurez en mode serveur doit être un dispositif NSX Edge.
  1. Créez un tunnel VPN IPSec basé sur le routage avec le dispositif Edge que vous souhaitez configurer en tant que serveur (hub) VPN L2. Un ID de site est généré automatiquement lorsque vous créez le tunnel.
    PUT /api/4.0/edges/{edgeId}/ipsec/config
  2. Créez un tunnel VPN L2 pour un client, puis liez ce tunnel VPN L2 à l'ID de site généré à l'étape 1.
    POST /api/4.0/edges/{edgeId}/l2t/config/l2tunnels
  3. Récupérez le code d'homologue de ce client. Ce code d'homologue devient le code d'entrée (code partagé) permettant de configurer le service VPN L2 sur le client Edge.
    GET /api/4.0/edges/{edgeId}/l2t/config/l2tunnels/{l2tunnelId}/peercodes
  4. Activez le service VPN L2 sur IPSec.
    POST /api/4.0/edges/{edgeId}/l2t/config

Si vous souhaitez étendre le réseau L2 avec d'autres sites, répétez les trois étapes précédentes sur le serveur pour les clients VPN L2 d'autres sites.

Configurez à présent le service VPN L2 en mode client (spoke) sur un autre dispositif Edge en procédant comme suit. Ce dispositif Edge peut être géré par NSX ou autonome.
  1. Créez un tunnel VPN IPSec basé sur le routage avec les mêmes paramètres que ceux utilisés pour configurer le tunnel VPN IPSec basé sur le routage sur le serveur Edge.
  2. Configurez le dispositif Edge en mode spoke.
    PUT /api/4.0/edges/{edgeId}/l2t/config/globalconfig
  3. Créez un tunnel VPN L2 à l'aide de l'ID de site généré sur le serveur et du code d'homologue récupéré à partir du serveur.
  4. Activez le service VPN L2 sur IPSec.