A partire dalla versione 10.3.1, VMware Cloud Director supporta la creazione, l'eliminazione e la gestione di tunnel VPN L2 tra gateway edge NSX.

VPN L2 permette di estendere il VDC dell'organizzazione consentendo alle macchine virtuali di mantenere la connettività di rete in aree geografiche diverse, mantenendo lo stesso indirizzo IP. La connessione è protetta con un tunnel IPSec basato su route tra i due lati del tunnel.

È possibile configurare il servizio VPN L2 in un gateway edge NSX nell'ambiente di VMware Cloud Director e creare un tunnel VPN L2. Le macchine virtuali rimangono nella stessa subnet e ciò consente di estendere il VDC dell'organizzazione allargandone la rete. In questo modo, un gateway edge in un sito può fornire tutti i servizi alle macchine virtuali nell'altro sito.

Per creare il tunnel VPN L2, è necessario configurare un server VPN L2 e un client VPN L2.

Il tipo di servizio, server o client, configurato nel primo tunnel VPN L2 in un gateway edge determina la modalità di sessione per tutti gli altri tunnel VPN L2 nel gateway edge. È possibile configurare una sola sessione client per gateway edge.

Dopo aver creato un tunnel, non è possibile modificarne la modalità di sessione da server a client o viceversa. Ad esempio, se si desidera modificare la modalità della sessione in un gateway edge NSX da server a client, è necessario eliminare tutti i tunnel server esistenti.

Quando si crea un endpoint del tunnel del server VPN L2, alla rete VDC dell'organizzazione che viene estesa viene assegnato automaticamente un ID tunnel e viene generato un codice peer. Sul lato client del tunnel, è necessario aggiungere una rete corrispondente allo stesso ID tunnel, lo stesso codice peer e la stessa subnet.

Per ulteriori informazioni sulla VPN L2 per NSX, vedere Guida per l'amministratore di NSX.

Configurazione del gateway edge NSX come server VPN L2

Il server VPN L2 è l'edge NSX di destinazione a cui il client VPN L2 sta per connettersi.

In modalità sessione Server, il gateway edge NSX funge da lato server del tunnel VPN L2 e genera i codici peer da distribuire per le sessioni client.

È possibile connettere più siti peer a un singolo server VPN L2.

Prerequisiti

  • Verificare che il gateway edge NSX sia connesso a una rete di virtual data center dell'organizzazione instradata.
  • Verificare che il proprio ruolo includa il diritto Gateway VDC dell'organizzazione: Configura VPN L2.

Procedura

  1. Nella barra di navigazione superiore, fare clic su Rete, quindi fare clic sulla scheda Gateway edge.
  2. Fare clic sul gateway edge.
  3. In Servizi, fare clic su VPN L2.
  4. Per configurare un tunnel VPN L2, fare clic su Nuovo.
  5. Se questo è il primo tunnel VPN L2 per questo gateway edge, selezionare la modalità di sessione Server e fare clic su Avanti.
  6. Immettere un nome e facoltativamente una descrizione per il tunnel VPN L2.
  7. Scegliere una chiave precondivisa da immettere.
    Se si cambia la chiave precondivisa dopo la configurazione iniziale del server VPN L2, è necessario riconfigurare tutti i tunnel client che utilizzano la chiave precondivisa con un nuovo codice peer.
  8. Per abilitare il tunnel al momento della creazione, attivare l'opzione Stato.
  9. (Facoltativo) Per abilitare la registrazione, attivare l'opzione Registrazione.
  10. Fare clic su Avanti.
  11. Nel menu a discesa, selezionare uno degli indirizzi IP disponibili per il gateway edge per l'endpoint locale.
    L'indirizzo IP deve essere l'IP primario del gateway edge o un indirizzo IP allocato separatamente al gateway edge.
  12. Immettere un indirizzo di subnet nella notazione CIDR per l'interfaccia del tunnel che protegge la connessione.
  13. Immettere l'indirizzo IP per l'endpoint remoto.
  14. Selezionare una modalità di avvio e fare clic su Avanti.
    Opzione Descrizione
    Iniziatore L'endpoint locale avvia la configurazione del tunnel VPN L2 e risponde alle richieste di configurazione di tunnel in arrivo dai gateway peer.
    Solo risposta L'endpoint locale si limita a rispondere alle richieste di configurazione dei tunnel in entrata, senza avviare la configurazione del tunnel VPN L2.
  15. Selezionare una o più reti VDC dell'organizzazione a cui collegare il tunnel e fare clic su Avanti.
  16. Nella pagina Pronto per il completamento, controllare le impostazioni e fare clic su Fine.

risultati

Il nuovo tunnel VPN L2 viene visualizzato nell'elenco.

Operazioni successive

Nella riga Reti VDC dell'organizzazione dell'elenco di tunnel VPN L2, fare clic su Info e prendere nota degli ID tunnel per le reti VDC dell'organizzazione che si desidera estendere.

Copia del codice peer VPN L2 da un endpoint del server VPN L2

Per configurare un gateway edge NSX come client VPN L2, è necessario copiare il codice peer generato dal lato server VPN L2 del tunnel.

Prerequisiti

Verificare di aver configurato l'endpoint del server VPN L2 del tunnel.

Procedura

  1. Nella barra di navigazione superiore, fare clic su Rete, quindi fare clic sulla scheda Gateway edge.
  2. Fare clic sul gateway edge.
  3. In Servizi, fare clic su VPN L2.
  4. Selezionare il tunnel VPN L2 per cui si desidera copiare il codice peer.
  5. Fare clic sul pulsante Copia codice peer.

risultati

Il codice peer viene copiato negli Appunti.

Configurazione di un gateway edge NSX come client VPN L2

È possibile creare un solo tunnel client in un gateway edge NSX.

Prerequisiti

Procedura

  1. Nella barra di navigazione superiore, fare clic su Rete, quindi fare clic sulla scheda Gateway edge.
  2. Fare clic sul gateway edge.
  3. In Servizi, fare clic su VPN L2.
  4. Per configurare un tunnel VPN L2, fare clic su Nuovo.
  5. Se si tratta del primo tunnel VPN L2 per questo gateway edge, selezionare la modalità di sessione Client e fare clic su Avanti.
  6. Immettere un nome e facoltativamente una descrizione per il tunnel VPN L2.
  7. Incollare il codice peer dal tunnel del server VPN L2 con cui si desidera stabilire la connessione.
  8. Per abilitare il tunnel al momento della creazione, attivare l'opzione Stato.
  9. (Facoltativo) Per abilitare la registrazione, attivare l'opzione Registrazione.
  10. Fare clic su Avanti.
  11. Immettere uno degli indirizzi IP disponibili per il gateway edge per l'endpoint locale.
    L'indirizzo IP deve essere quello specificato come endpoint remoto sul lato server del tunnel.
  12. Immettere l'indirizzo IP per l'endpoint remoto.
    L'indirizzo IP deve essere quello specificato come endpoint locale sul lato server del tunnel.
  13. Selezionare la rete o le reti VDC dell'organizzazione a cui collegare il tunnel, specificare l'ID del tunnel per ogni rete e fare clic su Avanti.
    Gli ID tunnel utilizzati per ogni rete VDC dell'organizzazione devono coincidere con gli ID tunnel delle reti VDC dell'organizzazione sul lato server.
  14. Nella pagina Pronto per il completamento, controllare le impostazioni e fare clic su Fine.