NSX Data Center 6.4.2 以降では、IPsec 経由で L2 VPN サービスを使用して、2 つのサイト間のレイヤー 2 ネットワークを拡張できます。IPsec 経由の L2 VPN サービスを設定する前に、ルート ベースの IPsec VPN トンネルを作成する必要があります。さらに、このルート ベースの IPsec VPN トンネルを使用して、2 つのサイト間の L2 VPN トンネルを作成します。
vSphere Web Client を使用して、ルートベースの IPsec VPN トンネルを作成および編集することはできません。NSX REST API を使用する必要があります。ルート ベースの IPsec VPN トンネルの作成方法については、『NSX API ガイド』を参照してください。
IPsec 経由で L2 VPN サービスを設定する場合のワークフロー
サーバとクライアントの両方の Edge で IPsec 経由の L2 VPN サービスを構成するには、NSX REST API を使用する必要があります。
ワークフローの手順は、NSX REST API でのみサポートされます。このドキュメントには、API URL のみが記載されています。API パラメータの詳細、要求および応答のサンプルについては、『NSX API ガイド』を参照してください。
最初に、次の手順に従って、
NSX Edge でサーバ(ハブ)モードの L2 VPN サービスを設定します。サーバ モードで設定した Edge は、
NSX Edge にする必要があります。
- L2 VPN サーバ(ハブ)として設定する Edge で、ルート ベースの IPsec VPN トンネルを作成します。トンネルを作成すると、サイト ID が自動的に生成されます。
PUT /api/4.0/edges/{edgeId}/ipsec/config
- クライアントに L2 VPN トンネルを作成し、手順 1 で生成されたサイト ID を使用して、この L2 VPN トンネルを割り当てます。
POST /api/4.0/edges/{edgeId}/l2t/config/l2tunnels
- このクライアントのピア コードを取得します。このピア コードは、クライアントの Edge で L2 VPN サービスを構成するため入力コード(共有コード)になります。
GET /api/4.0/edges/{edgeId}/l2t/config/l2tunnels/{l2tunnelId}/peercodes
- IPsec サービス経由の L2 VPN を有効にします。
POST /api/4.0/edges/{edgeId}/l2t/config
L2 ネットワークを他のサイトに拡張する場合は、他のサイトの L2 VPN クライアントのサーバで前述の 3 つの手順を繰り返します。
次の手順に従って、別の Edge でクライアント(スポーク)モードの L2 VPN サービスを設定します。この Edge は、
NSX で管理される Edge、またはスタンドアローンの Edge のいずれかです。
- サーバの Edge で、ルート ベースの IPsec VPN トンネルの構成で使用した同じパラメータを使用して、ルート ベースの IPsec VPN トンネルを作成します。
- スポーク モードで Edge を設定します。
PUT /api/4.0/edges/{edgeId}/l2t/config/globalconfig
- サーバから取得したピア コードとサーバで生成されたサイト ID を使用して、L2 VPN トンネルを作成します。
- IPsec サービス経由の L2 VPN を有効にします。