Con VPN Livello 2 (VPN L2), è possibile estendere le reti Livello 2 (VNI o VLAN) in più siti nello stesso dominio di broadcast. Questa connessione è protetta con un tunnel IPSec basato su route tra il server VPN L2 e il client VPN L2.
La rete estesa è una singola subnet con un singolo dominio di broadcast, il che significa che le macchine virtuali rimangono nella stessa subnet quando vengono spostate tra i siti. Gli indirizzi IP delle macchine virtuali non cambiano quando vengono spostati. Le aziende possono quindi migrare senza problemi le macchine virtuali tra siti di rete. Le macchine virtuali possono essere eseguite su reti basate su VNI o reti basate su VLAN. Per i provider di cloud, VPN L2 offre un meccanismo per eseguire l'onboarding dei tenant senza modificare gli indirizzi IP esistenti utilizzati dalle applicazioni e dai carichi di lavoro.
Oltre a supportare la migrazione del data center, una rete locale estesa con una VPN L2 è utile per un piano di ripristino di emergenza e per coinvolgere in modo dinamico risorse di elaborazione esterne per soddisfare la richiesta aumentata.
I servizi VPN L2 sono supportati nei gateway di livello 0 e livello 1. È possibile configurare un solo servizio VPN L2 (client o server) per il gateway di livello 0 o livello 1.
Ogni sessione VPN L2 dispone di un tunnel GRE (Generic Routing Encapsulation). La ridondanza dei tunnel non è supportata. Una sessione VPN L2 può estendere fino a 4094 segmenti L2.
I segmenti basati su VLAN e su VNI possono essere estesi utilizzando il servizio VPN L2 in un nodo NSX Edge gestito in un ambiente NSX. È possibile estendere le reti L2 da VLAN a VNI, da VLAN a VLAN e da VNI a VNI.
I segmenti possono essere connessi a gateway di livello 0 o livello 1 e utilizzare i servizi VPN L2.
È supportato anche il trunking VLAN che utilizza lo Switch virtuale distribuito (VDS) 7.0 o versione successiva che esegue NSX. Se sono disponibili risorse di elaborazione e di I/O sufficienti, un cluster NSX Edge può estendere più reti VLAN in una singola interfaccia utilizzando il trunking VLAN.
A partire da NSX 3.0, la funzionalità di individuazione MTU percorso VPN L2 (PMTUD) è abilitata per impostazione predefinita. Quando la PMTUD è abilitata, l'host di origine acquisisce il valore MTU del percorso per l'host di destinazione tramite il tunnel VPN L2 e limita la lunghezza del pacchetto IP in uscita al valore acquisito. Questa funzionalità consente di evitare la frammentazione e il riassemblaggio dell'IP all'interno del tunnel, migliorando così le prestazioni della VPN L2.
La funzionalità PMTUD VPN L2 non è applicabile per i pacchetti non IP, non unicast e unicast con il flag DF (Don't Fragment, non frammentare) cancellato. Il timer della cache PMTU globale scade ogni 10 minuti. Per disabilitare o abilitare la funzionalità PMTUD VPN L2, vedere Abilitazione e disabilitazione del rilevamento MTU di percorso VPN L2.
- Tra un server VPN L2 NSX e un client VPN L2 ospitato in un NSX Edge gestito in un ambiente NSX Data Center for vSphere. Un client VPN L2 gestito supporta sia VLAN che VNI.
- Tra un server VPN L2 NSX e un client VPN L2 ospitato in un'NSX Edge autonoma o non gestita. Un client VPN L2 non gestito supporta solo VLAN.
- Tra un server VPN NSX L2 e un client VPN L2 ospitato in un NSX Edge autonomo. Un client VPN L2 autonomo supporta solo VLAN.
- A partire dalla versione NSX 2.4, il supporto del servizio VPN L2 è disponibile tra un server VPN NSX L2 e NSX client VPN L2. In questo scenario, è possibile estendere i segmenti L2 logici tra due SDDC (Software-Defined Data Center) locali.
| Versione server VPN L2 (NSX) | Versione client VPN L2 (NSX) convalidata | Versione client VPN L2 (NSX) supportata non convalidata |
|---|---|---|
| 4.0.1.1 | 4.0.1.1, 4.0.0.1, 3.2.1.2 | N/D |
| 3.2.0 | 3.2.0, 3.1.3, 3.1.2 | 3.1.x o versioni successive |
| 3.1.3 | 3.1.3, 3.1.2, 3.1.1 | 3.0.x o versioni successive |
| 3.1.2 | 3.1.2, 3.1.1, 2.5.3 | 3.0.x o versioni successive |
| 3.1.1 | 3.1.1, 3.1.0, 3.0.1 | 3.0.x o versioni successive |
| 3.1.0 | 3.1.0, 3.0.1, 3.0.0 | 3.0.x o versioni successive |
| 3.0.3 | 3.0.3, 3.0.2, 3.0.1 | 2.5.x o versioni successive |
| 3.0.2 | 3.0.2, 3.0.1, 2.5.2 | 2.5.x o versioni successive |
| 3.0.0 | 3.0.0, 2.5.0, 2.5.1 | 2.5.x o versioni successive |
Nella tabella seguente sono elencate le versioni NSX e NSX-v compatibili che possono essere utilizzate per il client e il server VPN L2.
| Versione server VPN L2 (NSX) | Versione client VPN L2 (NSX-v) convalidata | Versione client VPN L2 (NSX-v) supportata non convalidata |
|---|---|---|
| 3.2.x | 6.4.12 | 6.4.x o versioni successive |
| 3.1.x | 6.4.8 | 6.4.x o versioni successive |
