VMware Cloud Director 環境の NSX Data Center for vSphere Edge Gateway では、L2 VPN がサポートされます。L2 VPN により、地理的境界を越えて同じ IP アドレスを保持しながら仮想マシンを常にネットワークに接続できるようになるため、組織仮想データセンターの拡張が可能になります。L2 VPN サービスを Edge Gateway に設定できます。

NSX Data Center for vSphere は、Edge Gateway の L2 VPN 機能を提供します。L2 VPN により、2 つのサイト間のトンネルを設定できます。これらのサイト間で移動した場合も、仮想マシンは同じサブネット上にとどまるため、L2 VPN を使用してネットワークを拡張することにより、組織仮想データセンターを拡張することができます。一方のサイトの Edge Gateway から、他方のサイトの仮想マシンにすべてのサービスを提供できます。

L2 VPN トンネルを作成するには、L2 VPN サーバおよび L2 VPN クライアントを設定します。『NSX 管理ガイド』に記載されているように、L2 VPN サーバがターゲット Edge Gateway に、L2 VPN クライアントがソース Edge Gateway になります。各 Edge Gateway で L2 VPN を設定した後に、サーバとクライアントの両方で L2 VPN サービスを有効にする必要があります。

注: サブインターフェイスとして作成された経路指定済みの組織仮想データセンター ネットワークは、Edge Gateway 上になければなりません。

[L2 VPN] 画面への移動

NSX Data Center for vSphere Edge Gateway の L2 VPN サービスの設定を開始するには、[L2 VPN] 画面に移動する必要があります。

手順

  1. Edge Gateway サービスを開きます。
    1. 上部ナビゲーション バーで [ネットワーク ]をクリックし、[Edge Gateway] をクリックします。
    2. 編集する Edge Gateway を選択し、[サービス] をクリックします。
  2. [VPN] > [L2 VPN] の順に選択します。

次のタスク

L2 VPN サーバを設定します。L2 VPN サーバとしての NSX Data Center for vSphere Edge Gateway の構成を参照してください。

L2 VPN サーバとしての NSX Data Center for vSphere Edge Gateway の構成

L2 VPN サーバは、L2 VPN クライアントが接続するターゲット NSX Edge です。

NSX 管理ガイド』に記載されているように、複数のピア サイトをこの L2 VPN サーバに接続できます。

注: サイトの構成を変更すると、Edge Gateway は既存のすべての接続から切断され、再接続されます。

前提条件

  • Edge Gateway に、Edge Gateway のサブインターフェイスとして構成されている、経路指定された組織仮想データセンター ネットワークがあることを確認してください。
  • [L2 VPN] 画面への移動
  • サービス証明書を L2 VPN 接続にバインドする場合は、サーバ証明書が Edge Gateway にすでにアップロードされていることを確認します。Edge Gateway へのサービス証明書の追加を参照してください。
  • L2 VPN サービスを有効にするには、サーバのリスナー IP アドレス、リスナー ポート、暗号化アルゴリズム、および少なくとも 1 つのピア サイトを構成しておく必要があります。

手順

  1. [L2 VPN] タブで、L2 VPN モードの [サーバ] を選択します。
  2. [サーバー グローバル] タブで、L2 VPN サーバのグローバル構成の詳細を構成します。
    オプション アクション
    リスナー IP アドレス Edge Gateway の外部インターフェイスのプライマリまたはセカンダリ IP アドレスを選択します。
    リスナー ポート 組織のニーズに合わせて、表示される値を編集します。

    L2 VPN サービスのデフォルト ポートは 443 です。

    暗号化アルゴリズム サーバとクライアント間の通信に使用する暗号化アルゴリズムを選択します。
    サービス証明書の詳細 [サーバ証明書を変更] をクリックして、L2 VPN サーバにバインドする証明書を選択します。

    [サーバ証明書を変更] ウィンドウで、[サーバ証明書の検証] を有効にし、リストからサーバ証明書を選択して [OK] をクリックします。

  3. ピア サイトを構成するには、[サーバー サイト] タブをクリックします。
  4. [追加] ボタンをクリックします。
  5. L2 VPN ピア サイトの設定をします。
    オプション アクション
    有効 このピア サイトを有効にします。
    名前 ピア サイトの一意の名前を入力します。
    説明 (オプション)説明を入力します。

    ユーザー ID

    パスワード

    パスワードを確認

    ピア サイトの認証に使用するユーザー名とパスワードを入力します。

    ピア サイトのユーザー認証情報は、クライアント側の認証情報と同じにする必要があります。

    拡張インターフェイス クライアントで拡張されるサブインターフェイスを 1 つ以上選択します。

    選択できるサブインターフェイスは、Edge Gateway でサブインターフェイスとして構成された組織仮想データセンター ネットワークのサブインターフェイスです。

    出力方向最適化ゲートウェイ アドレス (オプション)仮想マシンのデフォルト ゲートウェイが 2 つのサイトで同じである場合は、L2 VPN トンネルを介してトラフィックをローカルに経路指定またはブロックするサブインターフェイスのゲートウェイ IP アドレスを入力します。
  6. [保持] をクリックします。
  7. [変更を保存] をクリックします。

次のタスク

この Edge Gateway で L2 VPN サービスを有効にします。NSX Data Center for vSphere Edge Gateway での L2 VPN サービスの有効化 を参照してください。

L2 VPN クライアントとしての NSX Data Center for vSphere Edge Gateway の構成

L2 VPN クライアントは、ターゲット NSX Edge(L2 VPN サーバ)との通信を開始するソース NSX Edge です。

前提条件

手順

  1. [L2 VPN] タブで、L2 VPN モードの [クライアント] を選択します。
  2. [クライアント グローバル] タブで、L2 VPN クライアントのグローバル構成の詳細を設定します。
    オプション 説明
    サーバ アドレス このクライアントが接続する L2 VPN サーバの IP アドレスを入力します。
    サーバ ポート クライアントが接続する L2 VPN サーバのポートを入力します。

    デフォルト ポートは 443 です。

    暗号化アルゴリズム サーバと通信するための暗号化アルゴリズムを選択します。
    拡張インターフェイス サーバに拡張するサブインターフェイスを選択します。

    選択できるサブインターフェイスは、Edge Gateway でサブインターフェイスとして構成された組織仮想データセンター ネットワークのサブインターフェイスです。

    出力方向最適化ゲートウェイ アドレス (オプション)仮想マシンのデフォルト ゲートウェイが 2 つのサイト間で同じ場合、サブインターフェイスのゲートウェイ IP アドレスか、トラフィックをトンネル経由でフローさせない IP アドレスを入力します。
    ユーザー詳細 サーバ認証で使用するユーザー ID とパスワードを入力します。
  3. [変更を保存] をクリックします。
  4. (オプション) 詳細オプションを設定するには、[クライアント詳細] タブをクリックします。
  5. この L2 VPN クライアント Edge がインターネットに直接アクセスできず、プロキシ サーバを使用して L2 VPN サーバ Edge にアクセスする必要がある場合は、プロキシ設定を指定します。
    オプション 説明
    セキュア プロキシの有効化 選択してセキュアなプロキシを有効にします。
    アドレス プロキシ サーバの IP アドレスを入力します。
    ポート プロキシ サーバ ポートを入力します。

    ユーザー名

    パスワード

    プロキシ サーバの認証情報を入力します。
  6. サーバ認定の検証を有効にするには、[CA 証明書を変更] をクリックし、適切な CA 証明書を選択します。
  7. [変更を保存] をクリックします。

次のタスク

この Edge ゲートウェイで L2 VPN サービスを有効にします。NSX Data Center for vSphere Edge Gateway での L2 VPN サービスの有効化 を参照してください。

NSX Data Center for vSphere Edge Gateway での L2 VPN サービスの有効化

必要な L2 VPN 設定が行われている場合は、Edge Gateway で L2 VPN サービスを有効にできます。

注: この Edge Gateway で HA がすでに構成されている場合、Edge Gateway に 1 つ以上の内部インターフェイスを確実に構成します。1 つのインターフェイスだけがあり、そのインターフェイスが HA 機能によってすでに使用されている場合、同じ内部インターフェイス上の L2 VPN 構成は機能しません。

前提条件

手順

  1. [L2 VPN] タブで [有効化] 切り替えボタンをクリックします。
  2. [変更を保存] をクリックします。

結果

Edge Gateway の L2 VPN サービスがアクティブになります。

次のタスク

ファイアウォールのインターネット側で NAT またはファイアウォール ルールを作成し、L2 VPN サーバが L2 VPN クライアントに接続できるようにします。