Estendi reti on-premise di livello 2 a un cloud privato utilizzando NSX-T

Questo documento descrive come estendere una rete di livello 2 dall'ambiente on-premise al cloud privato Google Cloud VMware Engine utilizzando la VPN di livello 2 basata su NSX-T. Per estendere una rete di livello 2 utilizzando invece un'estensione di rete HCX, consulta la documentazione di VMware HCX.

Lo stretching delle reti di livello 2 basato su VPN di livello 2 può funzionare con o senza reti basate su NSX-T nell'ambiente VMware on-premise. Se non hai reti overlay basate su NSX-T per carichi di lavoro on-premise, utilizza un NSX-T Autonomous Edge con interfacce abilitate per il Data Plane Development Kit (DPDK) per garantire prestazioni elevate.

L'estensione di una rete di livello 2 mediante NSX-T presenta i seguenti vantaggi rispetto all'utilizzo di un'estensione di rete HCX:

• Lo stretching della VPN di livello 2 in NSX-T supporta l'utilizzo di un'interfaccia trunk.
• La velocità effettiva di rete in NSX-T è superiore rispetto a quando si utilizza un'estensione di rete HCX.
• NSX-T offre meno upgrade e meno tempi di inattività rispetto a HCX.
• Un'estensione di rete HCX richiede una licenza vSphere Enterprise Plus on-premise, ma lo stretching della VPN di livello 2 può funzionare su una licenza vSphere Standard on-premise.

Scenario di deployment

Per estendere la tua rete on-premise utilizzando la VPN di livello 2, lo scenario di deployment descritto configura un server VPN di livello 2 e un client VPN di livello 2. La procedura prevede i seguenti passaggi principali:

1. Nel tuo ambiente on-premise, esegui il deployment di NSX-T Autonomous Edge (client VPN di livello 2).
2. Nel cloud privato, configura un server VPN di livello 2 su NSX-T Manager.
3. Nel tuo ambiente on-premise, configura il client VPN di livello 2 sul perimetro autonomo.
4. (Facoltativo) Nel tuo ambiente on-premise, esegui il deployment del perimetro autonomo secondario (client VPN di livello 2) in modalità ad alta disponibilità.

Il cloud privato è connesso all'ambiente on-premise da Cloud VPN o Cloud Interconnect. Questa configurazione garantisce l'esistenza di un percorso di routing tra il gateway di livello 0 o di livello 1 nel cloud privato e il client perimetrale autonomo nella rete on-premise.

Per le specifiche di esempio di un deployment VPN di livello 2, consulta la sezione Deployment di VPN di livello 2 di esempio.

Prima di iniziare

Prima di iniziare, procedi nel seguente modo:

• Connetti il tuo ambiente on-premise alla rete VPC.
• Configura l'accesso privato ai servizi dalla tua rete VPC.
• Completa la creazione della connessione privata nel portale VMware Engine.
• Identifica la rete di livello 2 del carico di lavoro che vuoi estendere al tuo cloud privato.
• Identifica due VLAN nel tuo ambiente on-premise per il deployment della tua appliance perimetrale autonoma (client VPN di livello 2).
• Crea un cloud privato.
• Configura l'inoltro DNS sui server DNS on-premise in modo che il dominio rimandi ai server Cloud DNS privati.
• Consenti l'utilizzo del traffico UDP sulle porte 500 e 4500 tra l'indirizzo IP di uplink del perimetro autonomo e l'indirizzo IP dell'endpoint locale sul gateway di livello 0 o 1 nel tuo cloud privato.

Inoltre, verifica che siano soddisfatti i seguenti prerequisiti:

• La versione on-premise di vSphere deve essere 6.7U1+ o 6.5P03+. La licenza corrispondente deve essere a livello di Enterprise Plus (per lo switch distribuito vSphere).
• La versione dell'appliance perimetrale autonoma è compatibile con la versione di NSX-T Manager utilizzata nel cloud privato.
• La latenza del tempo di round trip (RTT) è inferiore o uguale a 150 ms, necessaria per il funzionamento di vMotion tra i due siti (in caso di tentativo di migrazione del carico di lavoro).

Limitazioni e considerazioni

La seguente tabella elenca le versioni di vSphere e i tipi di adattatori di rete supportati:

Versione vSphere	Tipo di vSwitch di origine	Driver NIC virtuale	Tipo di vSwitch di destinazione	Supportato?
Tutti	DVS	Tutti	DVS	Sì
vSphere 6.7UI o superiore, 6.5P03 o successiva	DVS	VMXNET3	N-VDS	Sì
vSphere 6.7UI o superiore, 6.5P03 o successiva	DVS	E1000	N-VDS	Non supportato, per VMware
vSphere 6.7UI o 6.5P03, NSX-V o versioni precedenti a NSX-T2.2, 6.5P03 o successive	Tutti	Tutti	N-VDS	Non supportato, per VMware

Esegui il deployment di NSX-T Autonomous Edge (client VPN di livello 2)

Per eseguire il deployment di NSX-T Autonomous Edge nel tuo ambiente on-premise, crea un gruppo di porte trunk on-premise, quindi crea il perimetro autonomo utilizzando quel gruppo di porte.

Crea e configura un gruppo di porte trunk

I passaggi seguenti mostrano come creare e configurare un gruppo di porte trunk:

1. Crea un gruppo di porte distribuite con il tipo VLAN impostato su trunking VLAN. Fornisci le VLAN da estendere.

   

2. Nelle opzioni Sicurezza, imposta sia Modalità promiscuo sia Trasmissioni forgiate su Accetta.

3. Nelle opzioni di teaming e failover, imposta Bilanciamento del carico su Utilizza ordine di failover esplicito.

4. Nelle opzioni di teaming e failover, imposta uplink attivi su uplink1 e uplink in standby su uplink2.

5. Completa i restanti passaggi di creazione del gruppo di porte.

Esegui il deployment del perimetro autonomo nel tuo ambiente on-premise

I passaggi seguenti mostrano come eseguire il deployment di NSX-T Autonomous Edge (client VPN di livello 2) nel tuo ambiente on-premise:

1. Scarica la versione NSX-T 3.1.2 Advanced di NSX Edge for VMware ESXi.

2. Esegui il deployment dell'OVA di NSX Edge come modello OVF.

   1. Nel passaggio Configurazione, seleziona la configurazione Large in modo che corrisponda ai NSX-T Edge con fattore di forma di grandi dimensioni inclusi nel cloud privato VMware Engine.
   2. Nel passaggio Seleziona spazio di archiviazione, scegli il datastore che vuoi utilizzare.

   3. Nel passaggio Seleziona reti, indica i gruppi di porte da utilizzare per i diversi tipi di traffico:

      • Rete 0 (eth1 sull'appliance): seleziona il gruppo di porte riservato per il traffico di gestione.
      • Rete 1 (eth2 sull'appliance): seleziona il gruppo di porte riservato per il traffico di uplink.
      • Rete 2 (eth3 sull'appliance): seleziona il gruppo di porte del trunk.
      • Rete 3 (eth4 sull'appliance): seleziona il gruppo di porte riservato per il traffico ad alta disponibilità. Nell'immagine seguente, il gruppo di porte riservato per la gestione del traffico viene utilizzato anche per il traffico ad alta disponibilità.

      

   4. Nel passaggio Personalizza modello, inserisci i seguenti dettagli:

      1. Nella sezione Applicazione, procedi nel seguente modo:

         1. Imposta la Password utente root di sistema.
         2. Imposta la password dell'utente "amministratore" dell'interfaccia a riga di comando.
         3. Seleziona la casella di controllo È autonomo.
         4. Lascia vuoti i campi rimanenti.

      2. Nella sezione Proprietà di rete, procedi nel seguente modo:

         1. Imposta il Nome host.
         2. Imposta il Gateway IPv4 predefinito. Questo è il gateway predefinito della rete di gestione.
         3. Imposta l'Indirizzo IPv4 della rete di gestione. Questo è l'IP di gestione per il perimetro autonomo.
         4. Imposta la netmask della rete di gestione. ovvero la lunghezza del prefisso della rete di gestione.

      3. Nella sezione DNS, procedi nel seguente modo:

         1. Nel campo Elenco server DNS, inserisci gli indirizzi IP dei server DNS separati da spazi.
         2. Nel campo Domain Search List (Elenco ricerca dominio), inserisci il nome del dominio.

      4. Nella sezione Configurazione dei servizi, procedi nel seguente modo:

         1. Inserisci l'elenco dei server NTP.
         2. Inserisci i server NTP separati da spazi.
         3. Seleziona la casella di controllo Abilita SSH.
         4. Seleziona la casella di controllo Consenti accessi SSH root.
         5. Inserisci l'eventuale server di logging.

      5. Nella sezione Sorgenti di traffico esterne, procedi nel seguente modo:

         1. Inserisci i dettagli della Porta esterna nel seguente formato: VLAN ID,Exit Interface,IP,Prefix Length. Ad esempio: 2871,eth2,172.16.8.46,28. Sostituisci i seguenti valori:

            • VLAN ID: ID VLAN della VLAN di uplink
            • Exit Interface: ID interfaccia riservato per il traffico di uplink
            • IP: indirizzo IP riservato per l'interfaccia di uplink
            • Prefix Length: lunghezza del prefisso per la rete di uplink

         2. Nel campo Gateway esterno, inserisci il gateway predefinito della rete di uplink.

      6. Nella sezione Alta disponibilità, procedi nel seguente modo:

         1. Inserisci i dettagli della Porta ad alta disponibilità nel seguente formato: VLAN ID,exitPnic,IP,Prefix Length. Ad esempio: 2880,eth4,172.16.8.46,28. Sostituisci i seguenti valori:

            • VLAN ID: ID VLAN della VLAN di gestione
            • exitPnic: ID interfaccia riservato per il traffico ad alta disponibilità
            • IP: indirizzo IP riservato per l'interfaccia ad alta disponibilità
            • Prefix Length: lunghezza del prefisso per la rete ad alta disponibilità

         2. Nel campo Gateway predefinito della porta ad alta disponibilità, inserisci il gateway predefinito della rete di gestione. Se utilizzi una rete diversa per la comunicazione ad alta disponibilità, fornisci il gateway predefinito corrispondente.

         3. Lascia vuoti i campi rimanenti.

3. Completa i restanti passaggi di deployment del modello OVF.

Configura il server VPN di livello 2 su NSX-T Manager nel tuo cloud privato

I passaggi seguenti descrivono come configurare il server VPN di livello 2 su un gateway di livello 0 o 1 nel tuo NSX-T Manager del cloud privato.

Crea un servizio VPN di livello 2

1. In NSX-T Manager, vai a Networking > VPN > Servizi VPN > Aggiungi servizio > IPsec.

2. Inserisci i seguenti dettagli per creare un servizio IPsec:

   • Inserisci il Nome.
   • Nella colonna Gateway Tier 0/Tier1, seleziona il gateway in cui vuoi che venga eseguito il server VPN di livello 2.
   • Lascia vuoti gli altri campi.

   

3. Vai a Networking > VPN > Endpoint locali.

4. Inserisci i seguenti dettagli per creare un endpoint locale:

   • Inserisci il Nome.
   • Nella colonna Servizio VPN, seleziona il servizio VPN IPsec appena creato.
   • Nel campo Indirizzo IP, inserisci l'indirizzo IP riservato per l'endpoint locale, che corrisponderà anche all'indirizzo IP su cui termina il tunnel IPsec o VPN di livello 2.
   • Nel campo ID locale, inserisci lo stesso indirizzo IP riservato.
   • Lascia vuoti gli altri campi.

5. Vai a Networking > VPN > Servizi VPN > Aggiungi servizio > Server VPN L2.

6. Inserisci i seguenti dettagli per creare un servizio VPN di livello 2:

   • Inserisci il Nome.
   • Nella colonna Gateway Tier 0/Tier1, seleziona il gateway in cui deve essere eseguito il server VPN di livello 2 (lo stesso gateway utilizzato in precedenza nel passaggio 2).
   • Lascia vuoti gli altri campi.

Crea una sessione VPN di livello 2

1. In NSX-T Manager, vai a Networking > VPN > Sessioni VPN L2 > Aggiungi sessione VPN L2 > Server VPN L2.

2. Inserisci i seguenti dettagli per creare una sessione VPN di livello 2:

   • Inserisci il Nome.
   • Seleziona l'endpoint/IP locale creato in precedenza nel passaggio 4 della sezione Creare un servizio VPN di livello 2.
   • Nel campo IP remoto, inserisci l'indirizzo IP di uplink del perimetro autonomo nel tuo ambiente on-premise.
   • Inserisci la Chiave precondivisa.
   • Nel campo Tunnel Interface, inserisci un indirizzo IP dalla subnet dell'interfaccia del tunnel riservata.
   • Nel campo ID remoto, inserisci il valore di IP remoto.
   • Lascia vuoti gli altri campi.

Crea un segmento di rete da estendere alla tua VLAN on-premise

1. In NSX-T Manager, vai a Networking > Segmenti > Aggiungi segmento.

2. Fornisci i seguenti dettagli per creare un segmento da estendere alla tua VLAN on-premise:

   • Inserisci il Nome del segmento.
   • Nel campo Gateway connesso, seleziona Nessuno.
   • Per Transport Zone (Zona di trasporto), seleziona TZ-Overlay.
   • Nel campo VPN L2, seleziona la sessione VPN di livello 2 creata in precedenza in Creare una sessione VPN di livello 2.
   • Nel campo ID tunnel VPN, inserisci un ID tunnel univoco (ad esempio 100). Questo ID tunnel deve corrispondere all'ID tunnel utilizzato durante l'estensione della VLAN da on-premise.
   • Lascia vuoti gli altri campi.

   

3. Vai a Networking > VPN > Sessioni VPN L2.

4. Espandi la sezione Sessione e fai clic su Scarica configurazione per scaricare la configurazione VPN di livello 2.

5. Apri il file scaricato utilizzando un qualsiasi editor di testo e copia la stringa peer_code senza le virgolette. Utilizzerai questa stringa in un secondo momento, durante la configurazione di Autonomous Edge on-premise per la VPN di livello 2, nelle sezioni successive.

Annuncia l'IP dell'endpoint locale IPsec alla rete esterna

Questo passaggio varia a seconda che si utilizzi un gateway di livello 1 o 0 per i servizi VPN di livello 2.

Fai pubblicità da un gateway di livello 0

Se utilizzi un gateway di livello 0, procedi come segue per pubblicizzare l'IP dell'endpoint locale IPsec dal gateway di livello 0 alla rete esterna:

1. Vai a Networking > Gateway di livello 0.
2. Modifica il gateway di livello 0 utilizzato per la VPN di livello 2 (preferibilmente Provider-LR).
3. Espandi Route Re-Distribution (Ridistribuzione percorso).
4. Nella sezione Subnet Tier-0, seleziona la casella di controllo IP locale IPsec.
5. Fai clic su Salva.

6. Aggrega la subnet endpoint locale IPsec sul gateway di livello 0. L'aggregazione del router sul gateway di livello 0 è necessaria in modo che l'endpoint locale IPsec sia raggiungibile all'IP di uplink del perimetro autonomo on-premise e non sia filtrato nell'infrastruttura di rete.

   1. Vai a Networking > Gateway di livello 0.
   2. Modifica il Gateway Tier-0 selezionato utilizzato per la VPN di livello 2 (preferibilmente Provider-LR).
   3. Vai a BGP > Route Aggregation > Aggiungi prefisso.
   4. Nella colonna Prefisso, inserisci la rete di endpoint locali.
   5. Nella colonna Summary-Only (Solo riepilogo), seleziona Yes (Sì).
   6. Fai clic su Applica e Salva.

Fai pubblicità da un gateway di livello 1

Se utilizzi un gateway di livello 1 per i servizi VPN di livello 2 (come nel deployment di esempio), segui invece questi passaggi:

1. Aggrega la subnet endpoint locale IPSec sul gateway di livello 0. L'aggregazione del router sul gateway di livello 0 è necessaria in modo che l'endpoint locale IPsec sia raggiungibile all'IP di uplink del perimetro autonomo on-premise e non sia filtrato nell'infrastruttura di rete.

   1. Vai a Networking > Gateway di livello 0.
   2. Modifica il Gateway Tier-0 selezionato utilizzato per la VPN di livello 2 (preferibilmente Provider-LR).
   3. Vai a BGP > Route Aggregation > Aggiungi prefisso.
   4. Nella colonna Prefisso, inserisci la rete di endpoint locali.
   5. Nella colonna Summary-Only (Solo riepilogo), seleziona Yes (Sì).
   6. Fai clic su Applica e Salva.

2. Vai a Networking > Gateway di livello 1.

3. Modifica il Gateway di livello 1 utilizzato per la VPN di livello 2 (preferibilmente Provider-LR).

4. Nella sezione Annunci di route, abilita il pulsante di attivazione/disattivazione Endpoint locale IPsec.

5. Fai clic su Salva.

Configura un client VPN di livello 2 sul perimetro autonomo (on-premise)

I passaggi seguenti mostrano come configurare un client VPN di livello 2 sul perimetro autonomo di cui è stato eseguito il deployment on-premise in Deployment di NSX-T Autonomous Edge:

1. Accedi ad NSX-T Autonomous Edge all'indirizzo IP dell'appliance di gestione.

2. Aggiungi una sessione VPN di livello 2:

   1. Vai a L2 VPN e fai clic su Add Session (Aggiungi sessione).

   2. Inserisci i seguenti dettagli:

      • Nel campo Nome sessione, inserisci il nome della sessione configurato in Creare una sessione VPN di livello 2.
      • Imposta Stato amministratore su Attivato.
      • Nel campo IP locale, inserisci l'indirizzo IP di uplink del perimetro autonomo.
      • Nel campo IP remoto, inserisci l'indirizzo IP configurato come endpoint locale in Configura il server VPN di livello 2 su NSX-T Manager nel tuo cloud privato.
      • Nel campo Codice peer, inserisci la stringa peer_code copiata in Configurare il server VPN di livello 2 su NSX-T Manager nel tuo cloud privato.

   3. Fai clic su Salva.

3. Estendi la VLAN on-premise:

   1. Vai a Porta e fai clic su Aggiungi porta.

   2. Inserisci i seguenti dettagli:

      • Nel campo Nome porta, inserisci il nome della porta.
      • Lascia vuoto il campo Subnet.
      • Nel campo VLAN, inserisci l'ID VLAN della VLAN on-premise da estendere.
      • In Interfaccia di uscita, seleziona l'interfaccia di uplink (ad es. eth2).

   3. Fai clic su Salva.

4. Collega la porta alla sessione VPN L2.

   1. Vai a VPN L2 e fai clic su Collega porta.

   2. Inserisci i seguenti dettagli:

      • Seleziona la Sessione VPN L2 creata in precedenza nel passaggio 2.
      • Seleziona la Porta creata in precedenza nel passaggio 3.
      • Nel campo ID tunnel, inserisci lo stesso ID tunnel utilizzato per estendere il segmento nel cloud privato (in Configurare il server VPN di livello 2 su NSX-T Manager nel cloud privato).

   3. La sessione VPN di livello 2 viene visualizzata nella tabella con lo stato "UP". La VLAN on-premise è ora estesa al cloud privato di VMware Engine (segmento esteso). I carichi di lavoro collegati alla VLAN estesa on-premise diventano raggiungibili ai carichi di lavoro collegati al segmento esteso nel cloud privato di VMware Engine.

Esegui il deployment dell'Autonomous Edge NSX-T secondario (client VPN di livello 2) in modalità ad alta disponibilità

Facoltativamente, segui questi passaggi per eseguire il deployment di un perimetro autonomo NSX-T (client VPN di livello 2) in modalità ad alta disponibilità nell'ambiente on-premise:

1. Segui i passaggi descritti in Eseguire il deployment di NSX-T Autonomous Edge nel tuo ambiente on-premise fino a raggiungere il passaggio Personalizza modello.

2. Nel passaggio Personalizza modello, procedi nel seguente modo:

   1. Nella sezione Applicazione, inserisci i seguenti dettagli:

      • Imposta la Password utente root di sistema.
      • Imposta la password dell'utente "amministratore" dell'interfaccia a riga di comando.
      • Seleziona la casella di controllo È autonomo.
      • Lascia vuoti tutti gli altri campi.

   2. Nella sezione Proprietà di rete, inserisci i seguenti dettagli:

      • Imposta il Nome host.
      • Imposta il Gateway IPv4 predefinito. Questo è il gateway predefinito della rete di gestione.
      • Imposta l'Indirizzo IPv4 della rete di gestione. Questo è l'IP di gestione per il perimetro autonomo secondario.
      • Imposta la netmask della rete di gestione. Questa è la lunghezza del prefisso della rete di gestione.

   3. Nella sezione DNS, inserisci i seguenti dettagli:

      • Inserisci l'elenco dei server DNS.
      • Inserisci gli indirizzi IP del server DNS, separati da spazi.
      • Inserisci l'elenco di ricerca domini.
      • Inserisci il Nome di dominio.

   4. Nella sezione Services Configuration (Configurazione servizi), inserisci i seguenti dettagli:

      • Inserisci l'elenco dei server NTP.
      • Inserisci i server NTP separati da spazi.
      • Seleziona la casella di controllo Abilita SSH.
      • Seleziona la casella di controllo Consenti accessi SSH root.
      • Inserisci l'eventuale server di logging.

   5. Lascia vuota la sezione Esterno.

   6. Nella sezione Alta disponibilità, inserisci i seguenti dettagli:

      • Inserisci i dettagli della Porta ad alta disponibilità nel seguente formato: VLAN ID,exitPnic,IP,Prefix Length. Ad esempio: 2880,eth4,172.16.8.11,28. Sostituisci i seguenti valori:

        • VLAN ID: ID VLAN della VLAN di gestione
        • exitPnic: ID interfaccia riservato per il traffico ad alta disponibilità
        • IP: indirizzo IP riservato per l'interfaccia ad alta disponibilità per il perimetro autonomo secondario
        • Prefix Length: lunghezza del prefisso per la rete ad alta disponibilità

      • Nel campo Gateway predefinito della porta ad alta disponibilità, inserisci il gateway predefinito della rete di gestione.

      • Seleziona la casella di controllo Nodo API secondario.

      • Nel campo IP gestione nodo primario, inserisci l'indirizzo IP di gestione del perimetro autonomo principale.

      • Nel campo Nome utente del nodo principale, inserisci il nome utente del perimetro autonomo principale (ad esempio "amministratore").

      • Nel campo Password nodo principale, inserisci la password del perimetro autonomo principale.

      • Nel campo PRIMARY Node Management Thumbprint (Impronta personale di gestione dei nodi principali), inserisci l'identificazione personale dell'API del perimetro autonomo principale. Per farlo, ti connetti tramite SSH al perimetro autonomo principale tramite credenziali di amministratore ed esegui il comando get certificate api thumbprint.

3. Completa i restanti passaggi di deployment del modello OVF per eseguire il deployment del perimetro autonomo secondario (client VPN di livello 2 on-premise).

Il perimetro autonomo risultante ha uno stato di alta disponibilità impostato su Attivo.

Deployment VPN di livello 2 di esempio

Le seguenti tabelle forniscono le specifiche per un deployment VPN di livello 2 di esempio.

Ampliamento della rete on-premise

Proprietà della rete	Valore
VLAN	2875
CIDR	172.16.8.16/28

Rete on-premise in cui viene eseguito il deployment del perimetro autonomo

Proprietà della rete	Valore
VLAN di gestione	2880
CIDR gestione	172.16.8.0/28
VLAN di uplink	2871
CIDR di uplink	172.16.8.32/28
VLAN ad alta disponibilità (come per la gestione)	2880
CIDR ad alta disponibilità (uguale alla gestione)	172.16.8.0/28
Indirizzo IP della gestione perimetrale autonoma principale	172.16.8.14
Indirizzo IP uplink perimetrale autonomo principale	172.16.8.46
Indirizzo IP ad alta disponibilità perimetrale autonomo principale	172.16.8.12
Indirizzo IP gestione perimetrale autonoma secondario	172.16.8.13
Indirizzo IP ad alta disponibilità perimetrale autonomo secondario	172.16.8.11

Schema IP cloud privato per router NSX-T di livello 1 (server VPN di livello 2)

Proprietà della rete	Valore
Indirizzo IP dell'endpoint locale	192.168.198.198
Rete di endpoint locali	192.168.198.198/31
Interfaccia tunnel	192.168.199.1/30
Segmento (esteso)	Test-Seg-VPN L2
Interfaccia di loopback (indirizzo IP NAT)	104.40.21.81

Rete cloud privata da mappare alla rete estesa

Proprietà della rete	Valore
Segmento (esteso)	Test-Seg-VPN L2
CIDR	172.16.8.16/28

Passaggi successivi

• Per ulteriori informazioni sull'estensione delle reti on-premise utilizzando la VPN di livello 2 NSX-T, consulta la documentazione di VMware Informazioni sulla VPN di livello 2.