Configurazione di VPN L2

I gateway edge NSX Data Center for vSphere in un ambiente VMware Cloud Director supportano VPN L2. VPN L2 permette l'estensione del virtual data center dell'organizzazione consentendo alle macchine virtuali di mantenere la connettività di rete mantenendo lo stesso indirizzo IP in aree geografiche diverse. È possibile configurare il servizio VPN L2 in un gateway edge.

NSX Data Center for vSphere offre le funzionalità VPN L2 di un gateway edge. VPN L2 consente di configurare un tunnel tra due siti. Le macchine virtuali rimangono nella stessa subnet nonostante vengano trasferite tra questi siti e ciò consente di estendere il virtual data center dell'organizzazione estendendone la rete tramite VPN L2. Un gateway edge in un sito può fornire tutti i servizi alle macchine virtuali nell'altro sito.

Per creare il tunnel VPN L2, è necessario configurare un server VPN L2 e un client VPN L2. Come descritto nella Guida per l'amministratore di NSX, il server VPN L2 è il gateway edge di destinazione e il client VPN L2 è il gateway edge di origine. Dopo aver configurato le impostazioni VPN L2 in ciascun gateway edge, è quindi necessario abilitare il servizio VPN L2 sia nel server che nel client.

Nota: Nei gateway edge deve essere presente una rete di virtual data center dell'organizzazione instradata creata come interfaccia secondaria.

Passaggio alla schermata VPN L2

Per iniziare la configurazione del servizio VPN L2 per un gateway edge NSX Data Center for vSphere, è necessario passare alla schermata VPN L2.

Procedura

Aprire i servizi gateway edge.
1. Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
2. Selezionare il gateway edge da modificare e fare clic su Servizi.
Passare a VPN > VPN L2.

Operazioni successive

Configurare il server VPN L2. Vedere Configurazione del gateway edge NSX Data Center for vSphere come server VPN L2.

Configurazione del gateway edge NSX Data Center for vSphere come server VPN L2

Il server VPN L2 è l'edge NSX di destinazione a cui il client VPN L2 sta per connettersi.

Come descritto in NSX Administration Guide, è possibile connettere più siti peer a questo server VPN L2.

Nota: La modifica delle impostazioni di configurazione del sito comporta la disconnessione del gateway edge e la riconnessione di tutte le connessioni esistenti.

Prerequisiti

Verificare che il gateway edge disponga di una rete di virtual data center dell'organizzazione instradata configurata come interfaccia secondaria nel gateway edge.
Passaggio alla schermata VPN L2.
Se si desidera associare un certificato di servizio alla connessione VPN L2, verificare che il certificato del server sia già stato caricato nel gateway edge. Vedere Aggiunta di un certificato di servizio al gateway edge.
Per poter abilitare il servizio VPN L2, è necessario disporre dell'IP listener del server, della porta del listener, dell'algoritmo di crittografia e di almeno un sito peer configurato.

Procedura

Nella scheda VPN L2, selezionare Server per la modalità VPN L2.

Nella scheda Globale server, configurare i dettagli di configurazione globale del server VPN L2.

Opzione	Azione
IP listener	Selezionare l'indirizzo IP primario o secondario di un'interfaccia esterna del gateway edge.
Porta listener	Modificare il valore visualizzato in base alle esigenze della propria organizzazione. La porta predefinita per il servizio VPN L2 è la 443.
Algoritmo di crittografia	Selezionare l'algoritmo di crittografia per la comunicazione tra il server e il client.
Dettagli certificato servizio	Fare clic su Modifica certificato server per selezionare il certificato da associare al server VPN L2. Nella finestra Modifica certificato server, attivare Convalida certificato server, selezionare un certificato server nell'elenco e fare clic su OK.

Per configurare i siti peer, fare clic sulla scheda Siti server.
Fare clic sul pulsante Aggiungi.

Configurare le impostazioni per un sito peer VPN L2.

Opzione	Azione
Abilitato	Abilitare questo sito peer.
Nome	Immettere un nome univoco per il sito peer.
Descrizione	(Facoltativo) Digitare una descrizione.
ID utente Password Conferma password	Immettere il nome utente e la password con cui eseguire l'autenticazione del sito peer. Le credenziali dell'utente nel sito peer devono essere uguali alle credenziali sul lato client.
Interfacce estese	Selezionare almeno un'interfaccia secondaria da estendere con il client. Le interfacce secondarie disponibili per la selezione sono le reti di virtual data center dell'organizzazione configurate come interfacce secondarie nel gateway edge.
Indirizzo gateway ottimizzazione in uscita	(Facoltativo) Se il gateway predefinito per le macchine virtuali è lo stesso per i due siti, immettere gli indirizzi IP del gateway delle interfacce secondarie per cui si desidera che il traffico venga instradato o bloccato localmente attraverso il tunnel VPN L2.

Fare clic su Mantieni.
Fare clic su Salva modifiche.

Operazioni successive

Abilitare il servizio VPN L2 in questo gateway edge. Vedere Abilitazione del servizio VPN L2 in un gateway edge NSX Data Center for vSphere.

Configurazione di un gateway edge NSX Data Center for vSphere come client VPN L2

Il client VPN L2 è l'istanza di NSX Edge di origine che avvia la comunicazione con l'istanza di NSX Edge di destinazione, ovvero il server VPN L2.

Prerequisiti

Passaggio alla schermata VPN L2.
Se il client VPN L2 si connette a un server VPN L2 che utilizza un certificato del server, verificare che il certificato CA corrispondente sia caricato nel gateway edge per abilitare la convalida del certificato del server per il client VPN L2. Vedere Aggiunta di un certificato CA al gateway edge per la verifica di attendibilità dei certificati SSL.

Procedura

Nella scheda VPN L2, selezionare Client per la modalità VPN L2.

Nella scheda Globale client, configurare i dettagli di configurazione globale del client VPN L2.

Opzione	Descrizione
Indirizzo server	Immettere l'indirizzo IP del server VPN L2 a cui questo client dovrà connettersi.
Porta server	Immettere la porta del server VPN L2 a cui il client dovrà connettersi. La porta predefinita è 443.
Algoritmo di crittografia	Selezionare l'algoritmo di crittografia per la comunicazione con il server.
Interfacce estese	Selezionare le interfacce secondarie da estendere al server. Le interfacce secondarie disponibili per la selezione sono le reti di virtual data center dell'organizzazione configurate come interfacce secondarie nel gateway edge.
Indirizzo gateway ottimizzazione in uscita	(Facoltativo) Se il gateway predefinito per le macchine virtuali è lo stesso tra i due siti, digitare gli indirizzi IP del gateway delle interfacce secondarie o gli indirizzi IP per i quali il traffico non deve passare attraverso il tunnel.
Dettagli utente	Immettere l'ID utente e la password per l'autenticazione nel server.

Fare clic su Salva modifiche.
(Facoltativo) Per configurare le opzioni avanzate, fare clic sulla scheda Avanzato client .

Se questo client edge VPN L2 non dispone di accesso diretto a Internet e deve raggiungere l'edge server VPN L2 tramite un server proxy, specificare le impostazioni del proxy.

Opzione	Descrizione
Abilita proxy sicuro	Selezionare per abilitare il proxy sicuro.
Indirizzo	Immettere l'indirizzo IP del server proxy.
Porta	Immettere la porta del server proxy.
Nome utente Password	Immettere le credenziali di autenticazione del server proxy.

Per abilitare la convalida del certificato del server, fare clic su Modifica certificato CA e selezionare il certificato CA appropriato.
Fare clic su Salva modifiche.

Operazioni successive

Abilitare il servizio VPN L2 in questo gateway edge. Vedere Abilitazione del servizio VPN L2 in un gateway edge NSX Data Center for vSphere.

Abilitazione del servizio VPN L2 in un gateway edge NSX Data Center for vSphere

Quando si configurano le impostazioni di VPN L2 richieste, è possibile abilitare il servizio VPN L2 nel gateway edge.

Nota: Se in questo gateway edge è già configurata la funzionalità HA, assicurarsi che nel gateway edge siano configurate più interfacce interne. Se è presente solo un'interfaccia ed è già stata utilizzata dalla funzionalità HA, non sarà possibile eseguire la configurazione di VPN L2 nella stessa interfaccia interna.

Prerequisiti

Se questo gateway edge è un server VPN L2, ovvero l'NSX Edge di destinazione, verificare che siano configurate le impostazioni del server VPN L2 richieste e almeno un sito peer VPN L2. Vedere la procedura descritta in Configurazione del gateway edge NSX Data Center for vSphere come server VPN L2.
Se questo gateway edge è un client VPN L2, ovvero l'NSX Edge di origine, verificare che siano configurate le impostazioni del client VPN L2. Vedere la procedura descritta in Configurazione di un gateway edge NSX Data Center for vSphere come client VPN L2.
Passaggio alla schermata VPN L2.

Procedura

Nella scheda VPN L2, fare clic sull'interruttore Abilita.
Fare clic su Salva modifiche.

risultati

Il servizio VPN L2 del gateway edge viene attivato.

Operazioni successive

Creare regole firewall o NAT sul lato firewall della connessione a Internet in modo da abilitare il server VPN L2 per la connessione al client VPN L2.