Grâce à VPN de couche 2 (VPN L2), vous pouvez étendre les réseaux de couche 2 (VNI ou VLAN) sur plusieurs sites dans le même domaine de diffusion. Cette connexion est sécurisée avec un tunnel IPSec basé sur l'itinéraire entre le serveur VPN de couche 2 et le client VPN de couche 2.

Note : Cette fonctionnalité VPN L2 est uniquement disponible pour NSX-T Data Center et n'offre aucune interopérabilité tiers.

Le réseau étendu est un sous-réseau unique comptant un seul domaine de diffusion. Autrement dit, les machines virtuelles demeurent sur le même sous-réseau lorsqu'elles sont déplacées entre les sites. Les adresses IP des machines virtuelles ne changent pas lorsqu'elles sont déplacées. Par conséquent, les entreprises peuvent migrer des machines virtuelles de manière transparente entre les sites réseau. Les machines virtuelles peuvent s'exécuter sur des réseaux VNI ou VLAN. Pour les fournisseurs de cloud, VPN L2 fournit un mécanisme permettant d'intégrer des locataires sans modifier les adresses IP existantes utilisées par leurs charges de travail et leurs applications.

Outre la prise en charge de la migration de centre de données, un réseau sur site étendu avec un VPN L2 est utile pour un plan de récupération d'urgence et l'engagement dynamique de ressources de calcul hors site pour répondre à l'augmentation de la demande.

Les services VPN L2 sont pris en charge sur les passerelles de niveau 0 et de niveau 1. Un seul service VPN L2 (client ou serveur) peut être configuré pour la passerelle de niveau 0 ou de niveau 1.

Chaque session VPN L2 dispose d'un tunnel GRE (Generic Routing Encapsulation). La redondance du tunnel n'est pas prise en charge. Une session VPN de couche 2 peut inclure jusqu'à 4 094 segments de couche 2.

Les segments basés sur VLAN et sur VNI peuvent être étendus à l'aide du service VPN L2 sur un dispositif NSX Edge géré dans un environnement NSX-T Data Center. Vous pouvez étendre les réseaux L2 du VLAN au VNI, du VLAN au VLAN et du VNI au VNI.

Les segments peuvent être connectés à des passerelles de niveau 0 ou de niveau 1, et utilisent des services VPN L2.

Le protocole VLAN Trunking est également pris en charge à l'aide d'un commutateur virtuel distribué (N-VDS) géré par NSX ESX. Si les ressources de calcul et d'E/S sont suffisantes, un cluster NSX Edge peut étendre plusieurs réseaux VLAN sur une seule interface à l'aide de la jonction VLAN.

À partir de NSX-T Data Center 3.0, la fonctionnalité de détection MTU du chemin d'accès du VPN de couche 2 (PMTUD) est activée par défaut. Lorsque PMTUD est activée, l'hôte source apprend la valeur MTU de chemin pour l'hôte de destination via le tunnel VPN L2 et limite la longueur du paquet IP sortant à la valeur apprise. Cette fonctionnalité permet d'éviter la fragmentation et le réassemblage d'adresses IP dans le tunnel, améliorant ainsi les performances du VPN L2.

La fonctionnalité PMTUD VPN L2 n'est pas applicable pour les paquets non-IP, non-monodiffusion et monodiffusion avec l'indicateur DF (Ne pas fragmenter) effacé. Le temporisateur global du cache PMTU expire toutes les 10 minutes. Pour désactiver ou activer la fonctionnalité PMTUD VPN L2, reportez-vous à la section Activer et désactiver la détection MTU du chemin d'accès du VPN de couche 2.

La prise en charge du service VPN L2 est assurée dans les scénarios de déploiement suivants.
  • Entre un serveur VPN de couche 2 NSX-T Data Center et un client VPN de couche 2 hébergé sur un NSX Edge géré dans un environnement NSX Data Center for vSphere. Un client VPN L2 géré prend en charge les VLAN et les VNI.
  • Entre un serveur VPN L2 NSX-T Data Center et un client VPN L2 hébergé sur une instance autonome ou non gérée de NSX Edge. Un client VPN L2 non géré ne prend en charge que les VLAN.
  • Entre un serveur VPN L2 NSX-T Data Center et un client VPN L2 hébergé sur une instance autonome de NSX Edge. Un client VPN L2 autonome ne prend en charge que les VLAN.
  • À partir de NSX-T Data Center 2.4, la prise en charge du service VPN L2 est disponible entre un serveur VPN L2 NSX-T Data Center et des clients VPN L2 NSX-T Data Center. Dans ce scénario, vous pouvez étendre les segments logiques de couche 2 entre deux centres de données software-defined (SDDC) sur site.
Le tableau suivant répertorie les versions de NSX-T Data Center compatibles qui peuvent être utilisées pour le serveur et le client VPN de couche 2.
Tableau 1. Interopérabilité VPN de couche 2
Version de serveur VPN de couche 2 (NSX-T Data Center) Version de client VPN de couche 2 (NSX-T Data Center)
3.1.2 3.1.2, 3.1.1, 2.5.3
3.1.1 3.1.1, 3.1.0, 3.0.1
3.1.0 3.1.0, 3.0.1, 3.0.0
3.0.3 3.0.3, 3.0.2, 3.0.1
3.0.2 3.0.2, 3.0.1, 2.5.2
3.0.0 3.0.0, 2.5.0, 2.5.1