Ampliar redes de capa 2 on-premise a una nube privada con NSX

En este documento se describe cómo extender una red de capa 2 desde tu entorno on-premise a tu nube privada de Google Cloud VMware Engine mediante una VPN de capa 2 basada en NSX. Para ampliar una red de capa 2 mediante una extensión de red de HCX, consulta la documentación de VMware HCX.

La ampliación de redes de capa 2 basada en VPN de capa 2 puede funcionar con o sin redes basadas en NSX en tu entorno de VMware on-premise. Si no tienes redes de superposición basadas en NSX para cargas de trabajo locales, usa un NSX-T Autonomous Edge, que tiene interfaces habilitadas para Data Plane Development Kit (DPDK) para ofrecer un alto rendimiento.

Ampliar una red de capa 2 con NSX tiene las siguientes ventajas con respecto a usar una extensión de red de HCX:

• La extensión de VPN de capa 2 en NSX admite el uso de una interfaz de tronco.
• El rendimiento de la red en NSX es mayor que cuando se usa una extensión de red de HCX.
• NSX tiene menos actualizaciones y menos tiempo de inactividad que HCX.
• Para usar la extensión de red de HCX, se necesita una licencia de vSphere Enterprise Plus on-premise, pero la extensión de VPN de capa 2 puede funcionar con una licencia de vSphere Standard on-premise.

Situación de implementación

Para ampliar tu red local mediante una VPN de capa 2, el escenario de implementación descrito configura un servidor VPN de capa 2 y un cliente VPN de capa 2. El proceso consta de los siguientes pasos principales:

1. En tu entorno local, implementa NSX-T Autonomous Edge (cliente de VPN de capa 2).
2. En tu instancia de Private Cloud, configura un servidor VPN de capa 2 en NSX-T Manager.
3. En tu entorno local, configura el cliente de VPN de capa 2 en el borde autónomo.
4. (Opcional) En tu entorno on-premise, implementa el perímetro autónomo secundario (cliente de VPN de capa 2) en modo de alta disponibilidad.

Tu nube privada está conectada a tu entorno on-premise mediante Cloud VPN o Cloud Interconnect. Esta configuración asegura que haya una ruta entre la pasarela de nivel 0 o 1 de tu nube privada y el cliente de edge autónomo de tu red local.

Para ver especificaciones de ejemplo de una implementación de VPN de capa 2, consulta la sección Implementación de VPN de capa 2 de ejemplo.

Antes de empezar

Antes de empezar, haz lo siguiente:

• Conecta tu entorno local a tu red de VPC.
• Identifica la red de capa 2 de la carga de trabajo que quieres extender a tu nube privada.
• Identifica dos VLANs en tu entorno local para desplegar tu dispositivo perimetral autónomo (cliente de VPN de capa 2).
• Crea una nube privada.
• Configura el reenvío de DNS en los servidores DNS locales para que el dominio apunte a los servidores DNS de la nube privada.
• Permite que el tráfico UDP en los puertos 500 y 4500 entre la dirección IP de enlace ascendente del perímetro autónomo y la dirección IP del endpoint local se use en la puerta de enlace de nivel 0 o de nivel 1 de tu nube privada.

Además, comprueba que se cumplan los siguientes requisitos previos:

• La versión local de vSphere debe ser 6.7U1 o una posterior, o 6.5P03 o una posterior. La licencia correspondiente debe ser de nivel Enterprise Plus (para vSphere Distributed Switch).
• La versión del dispositivo perimetral autónomo es compatible con la versión de NSX-T Manager que se usa en tu instancia de Private Cloud.
• La latencia del tiempo de ida y vuelta (RTT) es inferior o igual a 150 ms, lo que es necesario para que vMotion funcione en los dos sitios (en caso de que se intente migrar la carga de trabajo).

Limitaciones y consideraciones

En la siguiente tabla se indican las versiones de vSphere y los tipos de adaptadores de red compatibles:

Versión de vSphere	Tipo de vSwitch de origen	Controlador de NIC virtual	Tipo de vSwitch de destino	¿Es compatible?
Todo	DVS	Todo	DVS	Sí
vSphere 6.7UI o versiones posteriores, 6.5P03 o versiones posteriores	DVS	VMXNET3	N-VDS	Sí
vSphere 6.7UI o versiones posteriores, 6.5P03 o versiones posteriores	DVS	E1000	N-VDS	No compatible, según VMware
vSphere 6.7UI o 6.5P03, NSX-V o versiones anteriores a NSX-T2.2, 6.5P03 o versiones posteriores	Todo	Todo	N-VDS	No compatible, según VMware

Desplegar el NSX-T Autonomous Edge (cliente de VPN de capa 2)

Para implementar NSX-T Autonomous Edge en tu entorno local, crea un grupo de puertos troncales en las instalaciones y, a continuación, crea el Autonomous Edge con ese grupo de puertos.

Crear y configurar un grupo de puertos troncales

En los siguientes pasos se muestra cómo crear y configurar un grupo de puertos troncales:

1. Crea un grupo de puertos distribuidos con el tipo de VLAN definido como trunking de VLAN. Proporciona las VLANs que quieras ampliar.

   

2. En las opciones de Seguridad, selecciona Aceptar en Modo promiscuo y en Transmisiones falsificadas.

3. En las opciones de creación de equipos y conmutación por error, selecciona Equilibrio de carga > Usar orden de conmutación por error explícito.

4. En las opciones de teaming y failover, asigna el valor uplink1 a Uplinks activos y el valor uplink2 a Uplinks de reserva.

5. Completa el resto de los pasos para crear el grupo de puertos.

Implementar el perímetro autónomo en un entorno local

En los siguientes pasos se muestra cómo implementar NSX-T Autonomous Edge (cliente de VPN de capa 2) en tu entorno local:

1. Ponte en contacto con el equipo de Atención al cliente de Google Cloud para descargar la versión correcta de NSX Edge para VMware ESXi.

2. Despliega el archivo OVA de NSX Edge como una plantilla OVF.

   1. En el paso Configuración, selecciona la configuración Grande para que coincida con los NSX Edges de gran tamaño que vienen con tu nube privada de VMware Engine.
   2. En el paso Seleccionar almacenamiento, elija el almacén de datos que quiera usar.

   3. En el paso Seleccionar redes, indica los grupos de puertos que se van a usar para los distintos tipos de tráfico:

      • Red 0 (eth1 en el dispositivo): selecciona el grupo de puertos reservado para el tráfico de gestión.
      • Red 1 (eth2 en el dispositivo): selecciona el grupo de puertos reservado para el tráfico de enlace ascendente.
      • Red 2 (eth3 en el dispositivo): seleccione el grupo de puertos troncales.
      • Red 3 (eth4 en el dispositivo): seleccione el grupo de puertos reservado para el tráfico de alta disponibilidad. En la siguiente imagen, el grupo de puertos reservado para el tráfico de gestión también se usa para el tráfico de alta disponibilidad.

      

   4. En el paso Personalizar plantilla, introduce los siguientes datos:

      1. En la sección Aplicación, haga lo siguiente:

         1. Define la contraseña del usuario raíz del sistema.
         2. Define la contraseña de usuario "admin" de la CLI.
         3. Seleccione la casilla Is Autonomous Edge (Es Autonomous Edge).
         4. Deja el resto de los campos en blanco.

      2. En la sección Propiedades de la red, haga lo siguiente:

         1. Define el nombre de host.
         2. Define la puerta de enlace IPv4 predeterminada. Esta es la puerta de enlace predeterminada de la red de gestión.
         3. Define la dirección IPv4 de la red de gestión. Esta es la IP de gestión del perímetro autónomo.
         4. Define la máscara de red de la red de gestión. Esta es la longitud del prefijo de red de gestión.

      3. En la sección DNS, haga lo siguiente:

         1. En el campo Lista de servidores DNS, introduce las direcciones IP de los servidores DNS separadas por espacios.
         2. En el campo Domain Search List (Lista de búsqueda de dominios), introduce el nombre del dominio.

      4. En la sección Configuración de servicios, haga lo siguiente:

         1. Introduce la lista de servidores NTP.
         2. Introduce los servidores NTP separados por espacios.
         3. Marca la casilla Habilitar SSH.
         4. Marca la casilla Permitir inicios de sesión SSH de root.
         5. Introduce el servidor de registro (si hay alguno).

      5. En la sección External (Externo), haga lo siguiente:

         1. Introduce los detalles del Puerto externo en el siguiente formato: VLAN ID,Exit Interface,IP,Prefix Length. Por ejemplo: 2871,eth2,172.16.8.46,28. Sustituye los siguientes valores:

            • VLAN ID: ID de VLAN de la VLAN de enlace ascendente.
            • Exit Interface: ID de interfaz reservado para el tráfico de enlace ascendente
            • IP: dirección IP reservada para la interfaz de enlace ascendente
            • Prefix Length: longitud del prefijo de la red de enlace ascendente

         2. En el campo External Gateway (Pasarela externa), introduce la pasarela predeterminada de la red de enlace ascendente.

      6. En la sección HA, haga lo siguiente:

         1. Introduce los detalles de la portabilidad de hardware en el siguiente formato: VLAN ID,exitPnic,IP,Prefix Length. Por ejemplo: 2880,eth4,172.16.8.46,28. Sustituye los siguientes valores:

            • VLAN ID: ID de VLAN de la VLAN de gestión
            • exitPnic: ID de interfaz reservado para el tráfico de HA
            • IP: dirección IP reservada para la interfaz de alta disponibilidad
            • Prefix Length: longitud del prefijo de la red de alta disponibilidad

         2. En el campo HA Port Default Gateway (Puerta de enlace predeterminada del puerto de alta disponibilidad), introduce la puerta de enlace predeterminada de la red de gestión. Si usas otra red para la comunicación de alta disponibilidad, proporciona la puerta de enlace predeterminada correspondiente.

         3. Deja el resto de los campos en blanco.

3. Completa los pasos restantes para implementar la plantilla OVF.

Configurar un servidor VPN de capa 2 en NSX-T Manager en una nube privada

En los siguientes pasos se describe cómo configurar un servidor VPN de capa 2 en una gateway de nivel 0 o de nivel 1 de tu nube privada NSX-T Manager.

Crear un servicio VPN de capa 2

1. En NSX-T Manager, vaya a Redes > VPN > Servicios de VPN > Agregar servicio > IPSec.

2. Introduce los siguientes detalles para crear un servicio IPSec:

   • Escribe el nombre.
   • En la columna Tier0/Tier1 Gateway (Puerta de enlace de nivel 0 o 1), seleccione la puerta de enlace en la que quiera que se ejecute el servidor VPN de capa 2.
   • Deja los demás campos en blanco.

   

3. Ve a Redes > VPN > Endpoints locales.

4. Introduce los siguientes detalles para crear un endpoint local:

   • Escribe el nombre.
   • En la columna Servicio de VPN, selecciona el servicio de VPN IPSec que acabas de crear.
   • En el campo Dirección IP, introduce la dirección IP reservada para el endpoint local, que también será la dirección IP en la que finaliza el túnel de VPN IPSec/capa 2.
   • En el campo ID local, introduce la misma dirección IP reservada.
   • Deja los demás campos en blanco.

5. Ve a Redes > VPN > Servicios VPN > Añadir servicio > Servidor VPN L2.

6. Introduce los siguientes detalles para crear un servicio de VPN de capa 2:

   • Escribe el nombre.
   • En la columna Tier0/Tier1 Gateway (Puerta de enlace de nivel 0 o 1), seleccione la puerta de enlace en la que quiera que se ejecute el servidor VPN de nivel 2 (la misma puerta de enlace que ha usado en el paso 2).
   • Deja los demás campos en blanco.

Crear una sesión de VPN de capa 2

1. En NSX-T Manager, vaya a Redes > VPN > Sesiones de VPN de capa 2 > Añadir sesión de VPN de capa 2 > Servidor de VPN de capa 2.

2. Introduce los siguientes detalles para crear una sesión de VPN de capa 2:

   • Escribe el nombre.
   • Selecciona el Endpoint/IP local que has creado en el paso 4 de Crear un servicio VPN de capa 2.
   • En el campo IP remota, introduce la dirección IP de enlace ascendente del borde autónomo de tu entorno local.
   • Introduce la clave precompartida.
   • En el campo Interfaz de túnel, introduzca una dirección IP de la subred de interfaz de túnel reservada.
   • En el campo ID remoto, introduce el valor de IP remota.
   • Deja los demás campos en blanco.

Crear un segmento de red para ampliarlo a tu VLAN local

1. En NSX-T Manager, vaya a Redes > Segmentos > Añadir segmento.

2. Proporcione los siguientes detalles para crear un segmento que se extienda a su VLAN local:

   • Escribe el nombre del segmento.
   • En el campo Connected Gateway (Pasarela conectada), selecciona None (Ninguna).
   • En Transport Zone (Zona de transporte), selecciona TZ-Overlay (Superposición de zona horaria).
   • En el campo VPN de capa 2, selecciona la sesión de VPN de capa 2 que has creado anteriormente en Crear una sesión de VPN de capa 2.
   • En el campo VPN Tunnel ID (ID de túnel VPN), introduce un ID de túnel único (por ejemplo, 100). Este ID de túnel debe coincidir con el que se usa al ampliar la VLAN desde las instalaciones.
   • Deja los demás campos en blanco.

   

3. Ve a Redes > VPN > Sesiones de VPN L2.

4. Despliega Sesión y haz clic en Descargar configuración para descargar la configuración de la VPN de capa 2.

5. Abre el archivo descargado con cualquier editor de texto y copia la cadena peer_code sin las comillas. Usarás esta cadena más adelante para configurar el perímetro autónomo local para la VPN de capa 2 en las secciones posteriores.

Anunciar la IP del endpoint local de IPSec a la red externa

Este paso varía en función de si utilizas una pasarela de nivel 1 o de nivel 0 para los servicios de VPN de capa 2.

Anunciar productos desde una pasarela de nivel 0

Si usas una pasarela de nivel 0, haz lo siguiente para anunciar la IP del endpoint local de IPSec desde la pasarela de nivel 0 a la red externa:

1. Ve a Redes > Pasarelas de nivel 0.
2. Edita la pasarela de nivel 0 que se usa para la VPN de capa 2 (lo ideal es que sea Provider-LR).
3. Expande Redistribución de rutas.
4. En la sección Subredes de nivel 0, selecciona la casilla IP local de IPSec.
5. Haz clic en Guardar.

6. Agrega la subred del endpoint local de IPSec en la pasarela de nivel 0. Se necesita la agregación de routers en la pasarela de nivel 0 para que el endpoint local de IPSec sea accesible para la IP de enlace ascendente del perímetro autónomo local y no se filtre en la estructura de red.

   1. Ve a Redes > Pasarelas de nivel 0.
   2. Edita la pasarela de nivel 0 seleccionada que se usa para la VPN de capa 2 (lo ideal es que sea de proveedor).
   3. Ve a BGP > Agregación de rutas > Añadir prefijo.
   4. En la columna Prefix (Prefijo), introduzca la red del punto final local.
   5. En la columna Solo resumen, selecciona Sí.
   6. Haz clic en Aplicar y en Guardar.

Anunciar productos desde una pasarela de nivel 1

Si usas una pasarela de nivel 1 para los servicios de VPN de capa 2 (como en la implementación de ejemplo), sigue estos pasos:

1. Agrega la subred del endpoint local de IPSec en la pasarela de nivel 0. Se necesita la agregación de routers en la pasarela de nivel 0 para que el endpoint local de IPSec sea accesible para la IP de enlace ascendente del perímetro autónomo local y no se filtre en la estructura de red.

   1. Ve a Redes > Pasarelas de nivel 0.
   2. Edita la pasarela de nivel 0 seleccionada que se usa para la VPN de capa 2 (lo ideal es que sea de proveedor).
   3. Ve a BGP > Agregación de rutas > Añadir prefijo.
   4. En la columna Prefix (Prefijo), introduzca la red del punto final local.
   5. En la columna Solo resumen, selecciona Sí.
   6. Haz clic en Aplicar y en Guardar.

2. Ve a Redes > Pasarelas de nivel 1.

3. Edita la pasarela de nivel 1 que se usa para la VPN de capa 2 (lo ideal es que sea Provider-LR).

4. En la sección Route Advertisement (Anuncio de ruta), habilita el interruptor IPSec Local Endpoint (Punto final local de IPSec).

5. Haz clic en Guardar.

Configurar un cliente de VPN de capa 2 en un perímetro autónomo (in situ)

En los siguientes pasos se muestra cómo configurar un cliente de VPN de capa 2 en el perímetro autónomo implementado en las instalaciones locales en Implementar el perímetro autónomo de NSX-T:

1. Inicia sesión en NSX-T Autonomous Edge con la dirección IP de su appliance de gestión.

2. Añade una sesión de VPN de capa 2:

   1. Ve a VPN de capa 2 y haz clic en Añadir sesión.

   2. Introduce los siguientes datos:

      • En el campo Nombre de sesión, introduce el nombre de la sesión configurado en Crear una sesión de VPN de capa 2.
      • En Estado de administrador, selecciona Habilitado.
      • En el campo IP local, introduce la dirección IP de enlace ascendente del perímetro autónomo.
      • En el campo IP remota, introduce la dirección IP configurada como endpoint local en Configurar el servidor VPN de capa 2 en NSX-T Manager en tu instancia de Private Cloud.
      • En el campo Peer code (Código de peer), introduce la cadena peer_code que has copiado en Configurar el servidor VPN de capa 2 en NSX-T Manager en tu instancia de Private Cloud.

   3. Haz clic en Guardar.

3. Extiende la VLAN local:

   1. Ve a Puerto y haz clic en Añadir puerto.

   2. Introduce los siguientes datos:

      • En el campo Nombre de la portabilidad, introduce el nombre de la portabilidad.
      • Deja el campo Subnet (Subred) en blanco.
      • En el campo VLAN, introduzca el ID de la VLAN local que quiera ampliar.
      • En Interfaz de salida, selecciona la interfaz de enlace ascendente (como eth2).

   3. Haz clic en Guardar.

4. Asocia el puerto a la sesión de VPN de capa 2.

   1. Ve a VPN de capa 2 y haz clic en Adjuntar puerto.

   2. Introduce los siguientes datos:

      • Seleccione la sesión de VPN de capa 2 que ha creado en el paso 2.
      • Selecciona el Puerto que has creado en el paso 3.
      • En el campo ID de túnel, introduce el mismo ID de túnel que se ha usado para ampliar el segmento en tu instancia de Private Cloud (en Configurar el servidor VPN de capa 2 en NSX-T Manager en tu instancia de Private Cloud).

   3. La sesión de VPN de capa 2 aparece en la tabla con el estado "UP". La VLAN on-premise ahora se ha ampliado a la nube privada de VMware Engine (segmento ampliado). Las cargas de trabajo conectadas a la VLAN extendida on-premise se pueden comunicar con las cargas de trabajo conectadas al segmento extendido de tu nube privada de VMware Engine.

Desplegar el NSX-T Autonomous Edge secundario (cliente de VPN de capa 2) en modo de alta disponibilidad

Opcionalmente, siga estos pasos para implementar un NSX-T Autonomous Edge secundario (cliente de VPN de capa 2) en modo de alta disponibilidad en su entorno local:

1. Sigue los pasos que se indican en Desplegar NSX-T Autonomous Edge en tu entorno local hasta llegar al paso Personalizar plantilla.

2. En el paso Personalizar plantilla, haga lo siguiente:

   1. En la sección Aplicación, introduce los siguientes detalles:

      • Define la contraseña del usuario raíz del sistema.
      • Define la contraseña de usuario "admin" de la CLI.
      • Seleccione la casilla Is Autonomous Edge (Es Autonomous Edge).
      • Deja el resto de los campos en blanco.

   2. En la sección Propiedades de la red, introduce los siguientes datos:

      • Define el nombre de host.
      • Define la puerta de enlace IPv4 predeterminada. Esta es la puerta de enlace predeterminada de la red de gestión.
      • Define la dirección IPv4 de la red de gestión. Esta es la IP de gestión del perímetro autónomo secundario.
      • Define la máscara de red de la red de gestión. Es la longitud del prefijo de la red de gestión.

   3. En la sección DNS, introduce los siguientes detalles:

      • Introduce la lista de servidores DNS.
      • Introduce las direcciones IP del servidor DNS separadas por espacios.
      • Acceda a la lista de búsqueda de dominios.
      • Introduce el nombre de dominio.

   4. En la sección Configuración de servicios, introduce los siguientes detalles:

      • Introduce la lista de servidores NTP.
      • Introduce los servidores NTP separados por espacios.
      • Marca la casilla Habilitar SSH.
      • Marca la casilla Permitir inicios de sesión SSH de root.
      • Introduce el servidor de registro (si hay alguno).

   5. Deja vacía la sección External (Externo).

   6. En la sección de alta disponibilidad, introduce los siguientes detalles:

      • Introduce los detalles de la portabilidad de hardware en el siguiente formato: VLAN ID,exitPnic,IP,Prefix Length. Por ejemplo: 2880,eth4,172.16.8.11,28. Sustituye los siguientes valores:

        • VLAN ID: ID de VLAN de la VLAN de gestión
        • exitPnic: ID de interfaz reservado para el tráfico de alta disponibilidad
        • IP: dirección IP reservada para la interfaz de alta disponibilidad para el edge autónomo secundario
        • Prefix Length: longitud del prefijo de la red HA

      • En el campo HA Port Default Gateway (Puerta de enlace predeterminada del puerto de alta disponibilidad), introduce la puerta de enlace predeterminada de la red de gestión.

      • Selecciona la casilla Nodo de API secundario.

      • En el campo IP de gestión del nodo principal, introduce la dirección IP de gestión del perímetro autónomo principal.

      • En el campo Nombre de usuario del nodo principal, introduce el nombre de usuario del nodo de perímetro autónomo principal (por ejemplo, "admin").

      • En el campo Contraseña del nodo principal, introduce la contraseña del borde autónomo principal.

      • En el campo Primary Node Management Thumbprint (Huella digital de gestión del nodo principal), introduce la huella digital de la API del perímetro autónomo principal. Para obtenerlo, conéctate mediante SSH al edge autónomo principal con las credenciales de administrador y ejecuta el comando get certificate api thumbprint.

3. Completa los pasos restantes de la implementación de la plantilla OVF para implementar el edge autónomo secundario (cliente VPN de capa 2 local).

El edge autónomo resultante tiene el estado de alta disponibilidad Activo.

Implementación de VPN de capa 2 de ejemplo

En las siguientes tablas se proporcionan las especificaciones de una implementación de VPN de capa 2 de ejemplo.

Red on-premise que se va a ampliar

Propiedad de red	Valor
VLAN	2875
CIDR	172.16.8.16/28

Red local en la que se ha implementado el perímetro autónomo

Propiedad de red	Valor
VLAN de gestión	2880
CIDR de gestión	172.16.8.0/28
VLAN de enlace ascendente	2871
CIDR de enlace ascendente	172.16.8.32/28
VLAN de alta disponibilidad (igual que la de gestión)	2880
CIDR de alta disponibilidad (igual que el de gestión)	172.16.8.0/28
Dirección IP de gestión de edge autónomo principal	172.16.8.14
Dirección IP de enlace ascendente de borde autónomo principal	172.16.8.46
Dirección IP de alta disponibilidad de edge autónomo principal	172.16.8.12
Dirección IP de gestión de edge autónoma secundaria	172.16.8.13
Dirección IP de alta disponibilidad de edge autónomo secundaria	172.16.8.11

Esquema de IP de nube privada para el router de nivel 1 de NSX (servidor VPN de capa 2)

Propiedad de red	Valor
Dirección IP del endpoint local	192.168.198.198
Red de endpoints locales	192.168.198.198/31
Interfaz de túnel	192.168.199.1/30
Segmento (estirado)	L2 VPN-Seg-test
Interfaz de bucle invertido (dirección IP de NAT)	104.40.21.81

Red de nube privada que se va a asignar a la red extendida

Propiedad de red	Valor
Segmento (estirado)	L2 VPN-Seg-test
CIDR	172.16.8.16/28

Siguientes pasos

• Para obtener más información sobre cómo ampliar las redes locales mediante la VPN de capa 2 de NSX, consulta la documentación de VMware Understanding Layer 2 VPN (Información sobre la VPN de capa 2).