I gateway edge NSX Data Center for vSphere in un ambiente VMware Cloud Director supportano VPN L2. VPN L2 permette l'estensione del virtual data center dell'organizzazione consentendo alle macchine virtuali di mantenere la connettività di rete mantenendo lo stesso indirizzo IP in aree geografiche diverse. È possibile configurare il servizio VPN L2 in un gateway edge.
NSX Data Center for vSphere offre le funzionalità VPN L2 di un gateway edge. VPN L2 consente di configurare un tunnel tra due siti. Le macchine virtuali rimangono nella stessa subnet nonostante vengano trasferite tra questi siti e ciò consente di estendere il virtual data center dell'organizzazione estendendone la rete tramite VPN L2. Un gateway edge in un sito può fornire tutti i servizi alle macchine virtuali nell'altro sito.
Per creare il tunnel VPN L2, è necessario configurare un server VPN L2 e un client VPN L2. Come descritto nella Guida per l'amministratore di NSX, il server VPN L2 è il gateway edge di destinazione e il client VPN L2 è il gateway edge di origine. Dopo aver configurato le impostazioni VPN L2 in ciascun gateway edge, è quindi necessario abilitare il servizio VPN L2 sia nel server che nel client.
Passaggio alla schermata VPN L2
Per iniziare la configurazione del servizio VPN L2 per un gateway edge NSX Data Center for vSphere, è necessario passare alla schermata VPN L2.
Procedura
- Aprire i servizi gateway edge.
- Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
- Selezionare il gateway edge da modificare e fare clic su Servizi.
- Passare a .
Operazioni successive
Configurare il server VPN L2. Vedere Configurazione del gateway edge NSX Data Center for vSphere come server VPN L2.
Configurazione del gateway edge NSX Data Center for vSphere come server VPN L2
Il server VPN L2 è l'edge NSX di destinazione a cui il client VPN L2 sta per connettersi.
Come descritto in NSX Administration Guide, è possibile connettere più siti peer a questo server VPN L2.
Prerequisiti
- Verificare che il gateway edge disponga di una rete di virtual data center dell'organizzazione instradata configurata come interfaccia secondaria nel gateway edge.
- Passaggio alla schermata VPN L2.
- Se si desidera associare un certificato di servizio alla connessione VPN L2, verificare che il certificato del server sia già stato caricato nel gateway edge. Vedere Aggiunta di un certificato di servizio al gateway edge.
- Per poter abilitare il servizio VPN L2, è necessario disporre dell'IP listener del server, della porta del listener, dell'algoritmo di crittografia e di almeno un sito peer configurato.
Procedura
- Nella scheda VPN L2, selezionare Server per la modalità VPN L2.
- Nella scheda Globale server, configurare i dettagli di configurazione globale del server VPN L2.
Opzione Azione IP listener Selezionare l'indirizzo IP primario o secondario di un'interfaccia esterna del gateway edge. Porta listener Modificare il valore visualizzato in base alle esigenze della propria organizzazione. La porta predefinita per il servizio VPN L2 è la 443.
Algoritmo di crittografia Selezionare l'algoritmo di crittografia per la comunicazione tra il server e il client. Dettagli certificato servizio Fare clic su Modifica certificato server per selezionare il certificato da associare al server VPN L2. Nella finestra Modifica certificato server, attivare Convalida certificato server, selezionare un certificato server nell'elenco e fare clic su OK.
- Per configurare i siti peer, fare clic sulla scheda Siti server.
- Fare clic sul pulsante Aggiungi.
- Configurare le impostazioni per un sito peer VPN L2.
Opzione Azione Abilitato Abilitare questo sito peer. Nome Immettere un nome univoco per il sito peer. Descrizione (Facoltativo) Digitare una descrizione. ID utente
Password
Conferma password
Immettere il nome utente e la password con cui eseguire l'autenticazione del sito peer. Le credenziali dell'utente nel sito peer devono essere uguali alle credenziali sul lato client.
Interfacce estese Selezionare almeno un'interfaccia secondaria da estendere con il client. Le interfacce secondarie disponibili per la selezione sono le reti di virtual data center dell'organizzazione configurate come interfacce secondarie nel gateway edge.
Indirizzo gateway ottimizzazione in uscita (Facoltativo) Se il gateway predefinito per le macchine virtuali è lo stesso per i due siti, immettere gli indirizzi IP del gateway delle interfacce secondarie per cui si desidera che il traffico venga instradato o bloccato localmente attraverso il tunnel VPN L2. - Fare clic su Mantieni.
- Fare clic su Salva modifiche.
Operazioni successive
Abilitare il servizio VPN L2 in questo gateway edge. Vedere Abilitazione del servizio VPN L2 in un gateway edge NSX Data Center for vSphere.
Configurazione di un gateway edge NSX Data Center for vSphere come client VPN L2
Il client VPN L2 è l'istanza di NSX Edge di origine che avvia la comunicazione con l'istanza di NSX Edge di destinazione, ovvero il server VPN L2.
Prerequisiti
- Passaggio alla schermata VPN L2.
- Se il client VPN L2 si connette a un server VPN L2 che utilizza un certificato del server, verificare che il certificato CA corrispondente sia caricato nel gateway edge per abilitare la convalida del certificato del server per il client VPN L2. Vedere Aggiunta di un certificato CA al gateway edge per la verifica di attendibilità dei certificati SSL.
Procedura
- Nella scheda VPN L2, selezionare Client per la modalità VPN L2.
- Nella scheda Globale client, configurare i dettagli di configurazione globale del client VPN L2.
Opzione Descrizione Indirizzo server Immettere l'indirizzo IP del server VPN L2 a cui questo client dovrà connettersi. Porta server Immettere la porta del server VPN L2 a cui il client dovrà connettersi. La porta predefinita è 443.
Algoritmo di crittografia Selezionare l'algoritmo di crittografia per la comunicazione con il server. Interfacce estese Selezionare le interfacce secondarie da estendere al server. Le interfacce secondarie disponibili per la selezione sono le reti di virtual data center dell'organizzazione configurate come interfacce secondarie nel gateway edge.
Indirizzo gateway ottimizzazione in uscita (Facoltativo) Se il gateway predefinito per le macchine virtuali è lo stesso tra i due siti, digitare gli indirizzi IP del gateway delle interfacce secondarie o gli indirizzi IP per i quali il traffico non deve passare attraverso il tunnel. Dettagli utente Immettere l'ID utente e la password per l'autenticazione nel server. - Fare clic su Salva modifiche.
- (Facoltativo) Per configurare le opzioni avanzate, fare clic sulla scheda Avanzato client .
- Se questo client edge VPN L2 non dispone di accesso diretto a Internet e deve raggiungere l'edge server VPN L2 tramite un server proxy, specificare le impostazioni del proxy.
Opzione Descrizione Abilita proxy sicuro Selezionare per abilitare il proxy sicuro. Indirizzo Immettere l'indirizzo IP del server proxy. Porta Immettere la porta del server proxy. Nome utente
Password
Immettere le credenziali di autenticazione del server proxy. - Per abilitare la convalida del certificato del server, fare clic su Modifica certificato CA e selezionare il certificato CA appropriato.
- Fare clic su Salva modifiche.
Operazioni successive
Abilitare il servizio VPN L2 in questo gateway edge. Vedere Abilitazione del servizio VPN L2 in un gateway edge NSX Data Center for vSphere.
Abilitazione del servizio VPN L2 in un gateway edge NSX Data Center for vSphere
Quando si configurano le impostazioni di VPN L2 richieste, è possibile abilitare il servizio VPN L2 nel gateway edge.
Prerequisiti
- Se questo gateway edge è un server VPN L2, ovvero l'NSX Edge di destinazione, verificare che siano configurate le impostazioni del server VPN L2 richieste e almeno un sito peer VPN L2. Vedere la procedura descritta in Configurazione del gateway edge NSX Data Center for vSphere come server VPN L2.
- Se questo gateway edge è un client VPN L2, ovvero l'NSX Edge di origine, verificare che siano configurate le impostazioni del client VPN L2. Vedere la procedura descritta in Configurazione di un gateway edge NSX Data Center for vSphere come client VPN L2.
- Passaggio alla schermata VPN L2.
Procedura
- Nella scheda VPN L2, fare clic sull'interruttore Abilita.
- Fare clic su Salva modifiche.
risultati
Il servizio VPN L2 del gateway edge viene attivato.
Operazioni successive
Creare regole firewall o NAT sul lato firewall della connessione a Internet in modo da abilitare il server VPN L2 per la connessione al client VPN L2.