Si l'un des sites que vous souhaitez étendre n'est pas sauvegardé sur NSX, vous pouvez déployer un dispositif Edge autonome en tant que client VPN de niveau 2 sur ce site.

Pour changer le mode FIPS sur un dispositif Edge autonome, exécutez la commande fips enable ou fips disable. Pour plus d'informations, consultez la Référence de l'interface de ligne de commandes de NSX.

Vous pouvez déployer une paire de clients Edge L2VPN autonomes et activer HA entre eux pour la prise en charge de la redondance du VPN. Les deux clients Edge VPN L2 autonomes sont appelés nœud 0 et nœud 1. Il n'est pas obligatoire de spécifier des paramètres de configuration HA sur les deux dispositifs Edge L2VPN autonomes au moment du déploiement. Toutefois, vous devez activer HA au moment du déploiement.

Les étapes de la procédure suivante s'appliquent lorsque vous souhaitez déployer le dispositif Edge autonome en tant que client VPN L2 pour acheminer le trafic via un tunnel SSL ou un tunnel VPN IPSec.

Conditions préalables

Vous avez créé un groupe de ports de jonction pour l'interface de jonction du dispositif Edge autonome auquel se connecter. Ce groupe de ports requiert une configuration manuelle :

  • Si le groupe de ports de jonction est situé sur un commutateur vSphere standard, procédez ainsi :
    • Activez les transmissions forgées.
    • Activez le mode Proximité.

    Reportez-vous au Guide de mise en réseau vSphere.

  • Si le groupe de ports de jonction est situé sur un vSphere Distributed Switch, procédez ainsi :
    • Activez les transmissions forgées. Reportez-vous au Guide de mise en réseau vSphere.
    • Activez le port de réception pour la vNic de jonction ou le mode promiscuité. Il est recommandé d'activer un port de réception.

    Le port de réception doit être configuré après le déploiement du dispositif Edge autonome, car vous devez modifier la configuration du port connecté à la vNIC de jonction du dispositif Edge.

Procédure

  1. Connectez-vous à l'aide de vSphere Web Client à l'instance de vCenter Server qui gère l'environnement non-NSX.
  2. Sélectionnez les Hôtes et clusters (Hosts and Clusters), puis développez les clusters pour afficher les hôtes disponibles.
  3. Cliquez avec le bouton droit sur l'hôte sur lequel vous souhaitez installer le dispositif Edge autonome et sélectionnez Déployer le modèle OVF (Deploy OVF Template).
  4. Entrez l'URL pour télécharger et installer le fichier OVF à partir d'Internet ou cliquez sur Parcourir (Browse) pour accéder au dossier de l'ordinateur qui contient le fichier OVF Edge autonome, puis cliquez sur Suivant (Next).
  5. Sur la page Détails de modèle OVF, vérifiez les détails du modèle et cliquez sur Suivant (Next).
  6. Sur la page Sélectionner un nom et un dossier, saisissez un nom pour le dispositif Edge autonome et sélectionnez le dossier ou le centre de données dans lequel vous souhaitez effectuer le déploiement. Cliquez ensuite sur Suivant (Next).
  7. Sur la page Sélectionner un stockage, sélectionnez l'emplacement dans lequel stocker les fichiers du modèle déployé.
  8. Sur la page Sélectionner les réseaux, configurer les réseaux que le modèle déployé doit utiliser. Cliquez sur Suivant (Next).
    • L'interface publique est l'interface de liaison montante.
    • L'interface de jonction est utilisée pour créer des sous-interfaces pour les réseaux qui seront étendus. Connectez cette interface au groupe de ports de jonction créé.
    • L'interface HA est utilisée pour configurer la haute disponibilité sur les dispositifs Edge L2VPN autonomes. Sélectionnez un groupe de ports distribués pour l'interface HA.
  9. Sur la page Personnaliser le modèle, spécifiez les valeurs suivantes.
    1. Composez et confirmez le mot de passe administrateur de l'interface de ligne de commande.
    2. Composez et confirmez le mot de passe d'activation de l'interface de ligne de commande.
    3. Composez et confirmez le mot de passe racine de l'interface de ligne de commande.
    4. Tapez l'adresse IP de liaison montante, la longueur de préfixe et, facultativement, la passerelle par défaut et l'adresse IP du DNS.
    5. Sélectionnez le chiffrement à utiliser pour l'authentification. La valeur sélectionnée doit correspondre au chiffrement utilisé sur le serveur VPN L2.
      Note : Effectuez cette étape uniquement lorsque vous souhaitez configurer un VPN L2 sur SSL.
    6. Pour activer l'optimisation de sortie, tapez les adresses IP de la passerelle pour laquelle le trafic doit être acheminé localement ou pour laquelle le trafic doit être bloqué dans le tunnel.
    7. (Facultatif) Cochez la case Activer le réglage libre TCP lorsque vous souhaitez que la connexion TCP existante (par exemple, une session SSH) sur la VM sur VPN L2 reste active après la migration de la VM.
      Ce réglage est désactivé par défaut. Lorsque ce paramètre est désactivé, la connexion TCP existante sur la VM sur VPN L2 est perdue après la migration de la VM. Vous devez ouvrir une nouvelle connexion TCP sur la VM une fois la migration effectuée.
    8. Pour activer la haute disponibilité sur le dispositif Edge L2VPN autonome, cochez la case Activer la haute disponibilité pour ce dispositif (Enable High Availability for this appliance).
    9. (Facultatif) Tapez l'adresse IP du premier dispositif Edge L2VPN autonome (nœud 0). L'adresse IP doit se trouver dans le sous-réseau IP /30.
    10. (Facultatif) Tapez l'adresse IP du second dispositif Edge L2VPN autonome (nœud 1). L'adresse IP doit se trouver dans le sous-réseau IP /30.
    11. (Facultatif) Sur le dispositif nœud 0, sélectionnez 0 pour attribuer l'adresse IP du nœud 0 pour l'interface HA. De même, sur le dispositif nœud 1, sélectionnez 1 pour que l'adresse IP du nœud 1 soit utilisée pour l'interface HA.
    12. (Facultatif) Spécifiez un nombre entier pour la durée d'intervalle d'inactivité en secondes. Par exemple, tapez 15.
      Note : Si vous spécifiez des paramètres de configuration HA lors du déploiement d'un client Edge VPN L2 autonome, la VM du dispositif Edge autonome obtient un état HA en veille jusqu'à ce que HA soit entièrement configurée. Cela signifie que les interfaces réseau sur la VM du dispositif Edge sont désactivées. Assurez-vous de définir les nœuds homologues HA pour créer les dispositifs actifs et en veille. Pour des instructions détaillées, reportez-vous à la section Configurer HA sur des clients L2VPN autonomes.
    13. Tapez l'adresse et le port du serveur VPN de niveau 2.
      Si vous configurez le client VPN L2 de sorte qu'il achemine le trafic via le tunnel VPN IPSec, vous devez spécifier l'adresse IP du site homologue et le code de l'homologue.
    14. Tapez le nom d'utilisateur et le mot de passe avec lesquels le site homologue doit être authentifié.
      Note : Effectuez cette étape uniquement lorsque vous souhaitez configurer un VPN L2 sur SSL.
    15. Dans les sous-interfaces VLAN (ID de tunnel), tapez le ou les ID de VLAN des réseaux que vous souhaitez étendre. Vous pouvez répertorier les ID de VLAN sous forme de liste séparée par des virgules ou de plage. Par exemple, 2,3,10-20.
      Si vous souhaitez modifier l'ID de VLAN du réseau avant d'étendre celui-ci au site Edge autonome, tapez l'ID de VLAN du réseau, puis l'ID de tunnel entre parenthèses. Par exemple, 2(100),3(200). L'ID de tunnel permet de mapper les réseaux en cours d'étirement. En revanche, vous ne pouvez pas spécifier l'ID de tunnel avec une plage. Par exemple, ce qui suit n'est pas autorisé : 10(100)-14(104). Vous devez le réécrire ainsi : 10(100),11(101),12(102),13(103),14(104).
    16. Si le dispositif Edge autonome ne dispose pas d'un accès direct à Internet et doit atteindre le dispositif NSX Edge source (serveur) via un serveur proxy, tapez l'adresse, le port, le nom d'utilisateur et le mot de passe du proxy.
    17. Si une autorité de certification racine est disponible, vous pouvez la coller dans la section Certificat.
    18. Cliquez sur Suivant (Next).
  10. Dans la page Prêt à terminer, passez en revue les paramètres du dispositif Edge autonome et cliquez sur Terminer (Finish).

Que faire ensuite

  • Mettez sous tension le dispositif Edge autonome.
  • Notez le numéro de port de la vNIC de jonction et configurez le port de réception. Reportez-vous à la section Configurer un port de réception.
  • Si vous avez spécifié des paramètres de configuration HA, tels que l'adresse IP HA, la valeur d'index HA et la durée d'intervalle d'inactivité lors du déploiement des dispositifs Edge L2VPN autonomes, vous pouvez valider la configuration HA sur la console des nœuds déployés avec la commande show configuration.
  • Si vous n'avez pas spécifié les paramètres de configuration HA pendant le déploiement, vous pouvez le faire plus tard depuis la console NSX Edge en exécutant la commande ha set-config sur chaque nœud.

Effectuez toute modification de configuration supplémentaire au moyen de l'interface de ligne de commande du dispositif Edge autonome. Reportez-vous à Référence de l'interface de ligne de commandes de NSX.