Arbeitslasten mit erweiterten Layer-2-Netzwerken migrieren

Auf dieser Seite wird beschrieben, wie Sie ein Layer-2-Netzwerk mithilfe eines Layer-2-VPN (L2VPN) von Ihrer lokalen Umgebung auf die private Cloud erweitern können.

Das L2VPN-basierte Erweitern von Layer-2-Netzwerken funktioniert mit oder ohne NSX-basierte Netzwerke in der lokalen VMware-Umgebung. Wenn Sie keine NSX-basierten Netzwerke für lokale Arbeitslasten haben, verwenden Sie ein eigenständiges NSX Edge Services Gateway.

Bereitstellungsszenario

Um Ihr lokales Netzwerk mithilfe von L2VPN zu erweitern, müssen Sie einen L2VPN-Server (NSX- Tier0-Zielrouter) und einen L2VPN-Client (eigenständiger Quellclient) konfigurieren.

In diesem Deployment-Szenario verbinden Sie Ihre private Cloud über einen Site-to-Site-VPN-Tunnel mit Ihrer lokalen Umgebung. Der VPN-Tunnel ermöglicht die lokale Verwaltung und vMotion-Subnetze mit der privaten Cloud-Verwaltung und vMotion-Subnetzen. Durch diese Anordnung kann Cross vCenter vMotion (xVC-vMotion) verwendet werden. Sie stellen einen NSX-T-Tier0-Router als L2VPN-Server in der privaten Cloud bereit.

Sie stellen einen eigenständigen NSX-Edge in Ihrer lokalen Umgebung als L2VPN-Client bereit und kombinieren ihn dann mit dem L2VPN-Server. Erstellen Sie auf jeder Seite einen GRE-Tunnelendpunkt und konfigurieren Sie ihn so, dass das lokale Layer-2-Netzwerk auf die private Cloud erweitert wird.

Weitere Informationen zur Migration mit L2-VPN finden Sie in der VMware-Dokumentation unter Virtuelle private Netzwerke.

Vorbereitung

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind, bevor Sie die Lösung bereitstellen und konfigurieren:

  • Ein Site-to-Site-VPN verbindet Ihre lokale Umgebung mit Ihrem privaten Cloud-Rechenzentrum.
  • Die lokale vSphere-Version ist 6.7U1+ oder 6.5P03+.
  • Die lokale vSphere-Lizenz hat die Stufe Enterprise Plus (für vSphere Distributed Switch).
  • Sie haben festgestellt, dass das Layer-2-Netzwerk für die Arbeitslast auf die private Cloud erweitert wurde.
  • Sie haben in Ihrer lokalen Umgebung ein Layer-2-Netzwerk für die Bereitstellung der L2VPN-Client-Appliance ermittelt.
  • Sie haben eine private Cloud erstellt.
  • Die Version der eigenständigen NSX-T-Edge-Appliance ist mit der Version von NSX-T Manager (NSX-T 2.3.0) kompatibel, die in der Umgebung der privaten Cloud verwendet wird.
  • Im lokalen vCenter wurde bereits eine lokale Trunk-Port-Gruppe erstellt.
  • Eine öffentliche IP-Adresse ist für die eigenständige Client-Uplink-IP-Adresse von NSX-T reserviert und es wird eine 1:1-NAT für die Verschiebung zwischen den beiden Adressen bereitgestellt.
  • Die DNS-Weiterleitung wird auf den lokalen DNS-Servern eingestellt, sodass die Domain "cs-needs-review" auf die privaten Cloud DNS-Server verweist.
  • Die RTT-Latenz ist kleiner oder gleich 150 ms, damit vMotion über die beiden Standorte hinweg funktioniert.

Einschränkungen und Überlegungen

In der folgenden Tabelle sind die unterstützten vSphere-Versionen und Netzwerkadaptertypen aufgeführt.

vSphere-Version Typ des Quell-vSwitch Virtuelle NIC-Treiber Typ des Ziel-vSwitch Unterstützt?
Alle DVS Alle DVS Ja
vSphere 6.7 UI oder höher, 6.5P03 oder höher DVS VMXNET3 N-VDS Ja
vSphere 6.7 UI oder höher, 6.5P03 oder höher DVS E1000 N-VDS Nicht von VMware unterstützt
vSphere 6.7UI oder 6.5P03, NSX-V oder Versionen unter NSX-T2.2, 6.5P03 oder höher Alle Alle N-VDS Nicht von VMware unterstützt

Ab dem VMware-Release NSX-T 2.3:

  • Der logische Switch auf Seite der privaten Cloud, der über L2VPN auf das lokale Netzwerk erweitert wird, kann nicht gleichzeitig weitergeleitet werden. Der erweiterte logische Switch kann nicht mit einem logischen Router verbunden werden.
  • L2VPN- und routenbasierte IPSEC-VPNs können nur mit API-Aufrufen konfiguriert werden.

Weitere Informationen finden Sie in der VMware-Dokumentation unter Virtuelle private Netzwerke.

L2-VPN-Beispielbereitstellung

Die folgenden Tabellen enthalten Beispielspezifikationen für die L2VPN-Bereitstellung.

Lokales Netzwerk, in dem der eigenständige ESG (L2-VPN-Client) bereitgestellt wird

Posten Wert
Netzwerkname MGMT_NET_VLAN469
VLAN 469
CIDR 10.250.0.0/24
IP-Adresse der eigenständigen Edge-Appliance 10.250.0.111
NAT-IP-Adresse der eigenständigen Edge-Appliance 192.227.85.167

Lokales Netzwerk, das erweitert werden soll

Posten Wert
VLAN 472
CIDR 10.250.3.0/24

IP-Schema der privaten Cloud für NSX-T-Tier0-Router (L2-VPN-Server)

Posten Wert
Loopback-Schnittstelle 192.168.254.254/32
Tunnelschnittstelle 5.5.5.1/29
Logischer Switch (erweitert) Stretch_LS
Loopback-Schnittstelle (NAT-IP-Adresse) 104.40.21.81

Netzwerk der privaten Cloud, das dem erweiterten Netzwerk zugeordnet werden soll

Posten Wert
VLAN 712
CIDR 10.200.15.0/24

ID des logischen Routers abrufen, die für L2VPN erforderlich ist

Die folgenden Schritte zeigen, wie die ID des logischen Routers einer logischen Tier0-Routerinstanz für die Notfallwiederherstellung zur Verwendung für IPsec- und L2VPN-Dienste abgerufen wird. Verwenden Sie die ID des logischen Routers später bei der Implementierung des L2VPN.

  1. Melden Sie sich beim NSX-T Manager an und wählen Sie Networking > Routers > Provider-LR > Overview aus. Wählen Sie für High Availability Mode die Option Active-Standby aus. Dadurch öffnet sich ein Pop-up-Fenster mit der Edge-VM, auf der der Tier0-Router derzeit aktiv ist.
  2. Wählen Sie Fabric > Nodes > Edges aus. Notieren Sie sich die Verwaltungs-IP-Adresse der aktiven Edge-VM (Edge VM1), die im vorherigen Schritt ermittelt wurde.
  3. Öffnen Sie eine SSH-Sitzung zur Verwaltungs-IP-Adresse der Edge-VM. Führen Sie den Befehl get-logical-router aus:
  4. Falls der Eintrag DR-Provider-LR nicht angezeigt wird, führen Sie die folgenden Schritte aus:
    • Erstellen Sie zwei logische Switches mit Overlay-Unterstützung. Ein logischer Switch wird auf den lokalen Standort der migrierten Arbeitslasten erweitert. Weitere Informationen finden Sie unter Logischen Switch erstellen.
    • Verbinden Sie den zweiten logischen Switch mit einer Link-Local-IP-Adresse oder einem nicht überlappenden Subnetz aus der lokalen Umgebung oder aus der privaten Cloud mit dem Tier1-Router. Weitere Informationen finden Sie unter Downlink-Port zu einem logischen Tier1-Router hinzufügen.
    • Führen Sie den Befehl get logical-router in der SSH-Sitzung der Edge-VM noch einmal aus. Die Ausgabe zeigt, dass die UUID des logischen Routers DR-Provider-LR angezeigt wird. Notieren Sie sich die UUID, die zum Konfigurieren des L2VPN erforderlich ist.

ID des logischen Switches abrufen, die für L2VPN erforderlich ist

  1. Melden Sie sich beim NSX-T Manager an.
  2. Wählen Sie Networking > Switching > Switches > Overview aus.
  3. Notieren Sie sich die UUID des erweiterten logischen Switches, die zum Konfigurieren des L2VPN erforderlich ist.

Routing- und Sicherheitsaspekte für L2VPN

Zum Einrichten eines routenbasiertesn IPsec-VPN zwischen dem NSX-T-Tier0-Router und dem eigenständigen NSX-Edge-Client muss die Loopback-Schnittstelle des NSX-T-Tier0-Routers lokal mit der öffentlichen IP-Adresse des eigenständigen NSX-Clients über UDP 500/4500 kommunizieren können.

UDP 500/4500 für IPsec zulassen

  1. Erstellen Sie eine öffentliche IP-Adresse für die NSX-T-Tier0-Loopback-Schnittstelle im Portal von Google Cloud VMware Engine.
  2. Erstellen Sie eine Firewalltabelle mit zustandsorientierten Regeln, die eingehenden Traffic über UDP 500/4.500 zulassen, und hängen Sie die Firewalltabelle an das NSX-T-HostTransport-Subnetz an.
  1. Erstellen Sie eine Nullroute für das Loopback-Schnittstellennetzwerk.
    • Melden Sie sich beim NSX-T-Manager an und wählen Sie Networking > Routing > Routers > Provider-LR > Routing > Static routes aus.
    • Klicken Sie auf Add.
    • Geben Sie für Network die IP-Adresse der Loopback-Schnittstelle ein.
    • Klicken Sie für Next Hops auf Add und geben Sie für den nächsten Hop Null an. Behalten Sie für Admin distance den Standardwert "1" bei.
  2. Erstellen Sie eine IP-Präfixliste.
    • Melden Sie sich beim NSX-T-Manager an und wählen Sie Networking > Routing > Routers > Provider-LR > Routing > IP prefix lists aus.
    • Klicken Sie auf Add.
    • Geben Sie einen Namen zur Identifizierung der Liste ein.
    • Klicken Sie unter Prefixes zweimal auf Add.
    • Geben Sie in der ersten Zeile für Network den Wert 0.0.0.0/0 und für Action Deny ein.
    • Wählen Sie in der zweiten Zeile für Network die Option Any und für Action die Option Permit aus.
  3. Hängen Sie die IP-Präfixliste an beide BGP-Nachbarn (TOR) an. Durch Anhängen der IP-Präfixliste an das benachbarte BGP wird verhindert, dass im BGP ein Advertising der Standardroute zu den TOR-Switches erfolgt. Jede andere Route, die die Nullroute enthält, bewirbt aber die IP-Adresse der Loopback-Schnittstelle mit den STOR-Switchen.
  4. Melden Sie sich beim NSX-T-Manager an und wählen Sie Networking > Routing > Routers > Provider-LR > Routing > BGP > Neighbors aus. Wählen Sie den ersten Nachbarn aus.
    • Klicken Sie auf Edit > Address families.
    • Bearbeiten Sie für die IPv4-Familie die Spalte Out filter und wählen Sie die erstellte IP-Präfixliste aus. Klicken Sie auf Speichern. Wiederholen Sie diesen Schritt für den zweiten Nachbarn.
  5. Verteilen Sie die statische Nullroute in BGP um. Damit ein Advertising der Route der Loopback-Schnittstelle zum Underlay erfolgen kann, müssen Sie die statische Nullroute an BGP weitergeben.
    • Melden Sie sich beim NSX-T-Manager an und wählen Sie Networking > Routing > Routers > Provider-LR > Routing > Route redistribution > Neighbors aus.
    • Wählen Sie Provider-LR-route_redistribution aus und klicken Sie auf Edit.
    • Klicken Sie auf das Kästchen Static und dann auf Save.

Routenbasiertes VPN auf dem NSX-T-Tier0-Router konfigurieren

Verwenden Sie die folgende Vorlage, um alle Details zum Konfigurieren eines routenbasierten VPN auf dem NSX-T-Tier0-Router bereitzustellen. Die UUIDs in jedem POST-Aufruf sind für nachfolgende POST-Aufrufe erforderlich.

Die IP-Adressen für die Loopback- und Tunnelschnittstellen für L2VPN müssen eindeutig sein und dürfen sich nicht mit den lokalen Netzwerken oder den Netzwerken der privaten Cloud überschneiden. Das Loopback-Schnittstellennetzwerk muss immer /32 sein.

Loopback interface ip : 192.168.254.254/32
Tunnel interface subnet : 5.5.5.0/29
Logical-router ID : UUID of Tier0 DR logical router obtained in section "Steps to fetch Logical-Router ID needed for L2VPN"
Logical-switch ID(Stretch) : UUID of Stretch Logical Switch obtained earlier
IPSec Service ID :
IKE profile ID :
DPD profile ID :
Tunnel Profile ID :
Local-endpoint ID :
Peer end-point ID :
IPSec VPN session ID (route-based) :
L2VPN service ID :
L2VPN session ID :
Logical-Port ID :
Peer Code :

Ersetzen Sie bei allen folgenden API-Aufrufen die IP-Adresse durch die IP-Adresse von NSX-T-Manager. Sie können alle diese API-Aufrufe mit curl-Befehlen ausführen.

IPSec-VPN-Dienst auf dem logischen Router aktivieren

POST   https://192.168.110.201/api/v1/vpn/ipsec/services/
{
"resource_type": "IPSecVPNService",
"description": "Manage VPN service",
"display_name": "IPSec VPN service",
"logical_router_id": "Logical-router ID",
"ike_log_level": "INFO",
"enabled": true
}

Profile erstellen: IKE

POST https://192.168.110.201/api/v1/vpn/ipsec/ike-profiles

{
"resource_type": "IPSecVPNIKEProfile",
"description": "IKEProfile for siteA",
"display_name": "IKEProfile siteA",
"encryption_algorithms": ["AES_128"],
"ike_version": "IKE_V2",
"digest_algorithms": ["SHA2_256"],
"sa_life_time":21600,
"dh_groups": ["GROUP14"]
}

Profile erstellen: DPD

POST  https://192.168.110.201/api/v1/vpn/ipsec/dpd-profiles

{
"resource_type": "IPSecVPNDPDProfile",
"display_name": "nsx-default-dpd-profile",
"enabled": true
}

Profile erstellen: Tunnel

POST  https://192.168.110.201/api/v1/vpn/ipsec/tunnel-profiles

{
"resource_type": "IPSecVPNTunnelProfile",
"display_name": "nsx-default-tunnel-profile",
"enable_perfect_forward_secrecy": true,
"encryption_algorithms": ["AES_GCM_128"],
"digest_algorithms": [],
"sa_life_time":3600,
"dh_groups": ["GROUP14"],
"encapsulation_mode": "TUNNEL_MODE",
"transform_protocol": "ESP",
"df_policy": "COPY"
}

Lokalen Endpunkt erstellen

{
"resource_type": "IPSecVPNLocalEndpoint",
"description": "Local endpoint",
"display_name": "Local endpoint",
"local_id": "Public IP of Loopback interface",
"ipsec_vpn_service_id": {
"target_id": "IPSec VPN service ID"},
"local_address": "IP of Loopback interface",
"trust_ca_ids": [],
"trust_crl_ids": []
}

Peer-Endpunkt erstellen

POST https://192.168.110.201/api/v1/vpn/ipsec/peer-endpoints

{
"resource_type": "IPSecVPNPeerEndpoint",
"description": "Peer endpoint for site B",
"display_name": "Peer endpoint for site B",
"connection_initiation_mode": "INITIATOR",
"authentication_mode": "PSK",
"ipsec_tunnel_profile_id": "IPSec Tunnel profile ID",
"dpd_profile_id": "DPD profile ID",
"psk":"nsx",
"ike_profile_id": "IKE profile ID",
"peer_address": "Public IP of Standalone client",
"peer_id": "Public IP of Standalone client"
}

Routenbasierte VPN-Sitzung erstellen

POST :  https://192.168.110.201/api/v1/vpn/ipsec/sessions

{
"resource_type": "RouteBasedIPSecVPNSession",
"peer_endpoint_id": "Peer Endpoint ID",
"ipsec_vpn_service_id": "IPSec VPN service ID",
"local_endpoint_id": "Local Endpoint ID",
"enabled": true,
"tunnel_ports": [
{
"ip_subnets": [
{
"ip_addresses": [
 "5.5.5.1"
],
"prefix_length": 24
}
  ]
}
]
}

L2VPN auf einem NSX-T-Tier0-Router konfigurieren

Geben Sie nach jedem POST-Aufruf die folgenden Informationen an: Die IDs sind in nachfolgenden POST-Aufrufen erforderlich.

L2VPN Service ID:
L2VPN Session ID:
Logical Port ID:

L2VPN-Dienst erstellen

Die Ausgabe des folgenden GET-Befehls ist leer, da die Konfiguration noch nicht abgeschlossen ist.

GET : https://192.168.110.201/api/v1/vpn/l2vpn/services

Für den folgenden POST-Befehl ist die ID des logischen Routers die zuvor abgerufene UUID des logischen Tier0-Notfallwiederherstellungsrouters.

POST : https://192.168.110.201/api/v1/vpn/l2vpn/services

{
"logical_router_id": "Logical Router ID",
"enable_full_mesh" : true
}

L2VPN-Sitzung erstellen

Für den folgenden POST-Befehl ist die L2VPN-Dienst-ID die ID, die Sie gerade abgerufen haben. Die Sitzungs-ID der IPsec-VPN ist die ID, die Sie im vorherigen Abschnitt abgerufen haben.

POST: https://192.168.110.201/api/v1/vpn/l2vpn/sessions

{
"l2vpn_service_id" : "L2VPN service ID",
"transport_tunnels" : [
{
"target_id" : "IPSec VPN session ID"
}
]
}

Mit diesen Aufrufen wird ein GRE-Tunnelendpunkt erstellt. Führen Sie zum Prüfen des Status den folgenden Befehl aus.

edge-2> get tunnel-port
Tunnel      : 44648dae-8566-5bc9-a065-b1c4e5c3e03f
IFUID       : 328
LOCAL       : 169.254.64.1
REMOTE      : 169.254.64.2
ENCAP       : GRE

Tunnel      : cf950ca1-5cf8-5438-9b1a-d2c8c8e7229b
IFUID       : 318
LOCAL       : 192.168.140.155
REMOTE      : 192.168.140.152
ENCAP       : GENEVE

Tunnel      : 63639321-87c5-529e-8a61-92c1939799b2
IFUID       : 304
LOCAL       : 192.168.140.155
REMOTE      : 192.168.140.156
ENCAP       : GENEVE

Logischen Port mit der angegebenen Tunnel-ID erstellen

   POST https://192.168.110.201/api/v1/logical-ports/

{
"resource_type": "LogicalPort",
"display_name": "Extend logicalSwitch, port for service",
"logical_switch_id": "Logical switch ID",
"admin_state" : "UP",
"attachment": {
"attachment_type":"L2VPN_SESSION",
"id":"L2VPN session ID",
"context" : {
"resource_type" : "L2VpnAttachmentContext",
    "tunnel_id" : 10
}
    }
        }

Peer-Code für L2VPN auf der Seite von NSX-T abrufen

Rufen Sie den Peer-Code des NSX-T-Endpunkts ab. Der Peer-Code ist zum Konfigurieren des Remote-Endpunkts erforderlich. Wie das L2VPN abgerufen wird, erfahren Sie im vorherigen Abschnitt. Weitere Informationen finden Sie unter NSX-T 2.3 API.

GET https://192.168.110.201/api/v1/vpn/l2vpn/sessions/session-id/peer-codes

Eigenständigen NSX-T-Client bereitstellen (lokal)

Überprüfen Sie vor der Bereitstellung, ob Ihre lokalen Firewallregeln eingehenden und ausgehenden UDP 500/4500-Traffic von der öffentlichen IP-Adresse oder zu dieser IP-Adresse zulassen, die zuvor für die Loopback-Schnittstelle des NSX-T-T0-Routers reserviert wurde.

  1. Laden Sie den eigenständigen Edge-Client OVF herunter und extrahieren Sie die Dateien aus dem heruntergeladenen Paket in einen Ordner.
  2. Öffnen Sie den Ordner mit allen extrahierten Dateien.
  3. Wählen Sie alle vmdks-Dateien aus und klicken Sie auf Next.
    • NSX-l2t-client-large.mf und NSX-l2t-client-large.ovf für große Appliances.
    • NSX-l2t-client-Xlarge.mf und NSX-l2t-client-Xlarge.ovf für extragroße Appliances.
  4. Geben Sie einen Namen für den eigenständigen NSX-T-Client ein und klicken Sie auf Next.
  5. Klicken Sie nach Bedarf auf Next, um die erforderlichen Datenspeichereinstellungen zu erreichen.
  6. Wählen Sie den entsprechenden Datenspeicher für den eigenständigen NSX-T-Client aus und klicken Sie auf Next.
  7. Wählen Sie für den eigenständigen NSX-T-Client die korrekten Portgruppen für die Schnittstellen Trunk (Trunk PG), Öffentlich (Uplink PG) und HA (Uplink PG) aus. Klicken Sie auf Weiter.
  8. Geben Sie im Bildschirm Customize template die folgenden Informationen an und klicken Sie auf Next.
    • Maximieren Sie L2T:
      • Peer-Adresse. Geben Sie die im Portal von Google Cloud VMware Engine reservierte IP-Adresse für die NSX-T-Tier0-Loopback-Schnittstelle ein.
      • Peer-Code. Fügen Sie den Peer-Code ein, der bei der L2VPN-Serverbereitstellung abgerufen wurde.
      • Subschnittstellen-VLAN (Tunnel-ID). Geben Sie die VLAN-ID ein, die erweitert werden soll. Geben Sie in Klammern () die Tunnel-ID ein, die zuvor konfiguriert wurde.
    • Uplink-Benutzeroberfläche maximieren:
      • DNS-IP-Adresse. Geben Sie die lokale DNS-IP-Adresse ein.
      • Standardgateway. Geben Sie das Gateway des VLANs ein, das als Standardgateway für diesen Client dienen soll.
      • IP-Adresse Geben Sie die Uplink-IP-Adresse des eigenständigen Clients ein.
      • Präfixlänge. Geben Sie die Präfixlänge des Uplink-VLANs/-Subnetzes ein.
      • Befehlszeilenpasswort des Administrator-/Aktivierungs-/Root-Nutzers. Legen Sie das Passwort für das Administrator-/Aktivierungs-/Root-Konto fest.
  9. Prüfen Sie die Einstellungen und klicken Sie auf Finish.

Lokalen Senkenport konfigurieren

Wenn an einem der VPN-Standorte kein NSX bereitgestellt ist, können Sie ein L2-VPN konfigurieren. Stellen Sie dazu einen eigenständigen NSX-Edge an diesem Standort bereit. Damit eine Gateway-Appliance für Edge-Dienste als L2-VPN-Client fungiert, müssen Sie eine eigenständige Edge mit einer OVF-Datei auf einem Host bereitstellen, der nicht von NSX verwaltet wird.

Ist ein eigenständiger Edge-Trunk-vNIC mit einem verteilten vSphere-Switch verbunden, wird für die L2-VPN-Funktion entweder der promiskuitive Modus oder ein Senkenport benötigt. Die Verwendung des promiskuitiven Modus kann zu doppelten Pings und doppelten Antworten führen. Verwenden Sie daher bei der eigenständigen NSX-Edge-Konfiguration des L2-VPN den Senkenportmodus. Weitere Informationen finden Sie unter Senkenport konfigurieren.

IPsec-VPN- und L2VPN-Überprüfung

Prüfen Sie mit den folgenden Befehlen die IPsec- und L2VPN-Sitzungen des eigenständigen NSX-T-Edges.

nsx-l2t-edge> show service ipsec
-----------------------------------------------------------------------
vShield Edge IPSec Service Status:
IPSec Server is running.
AESNI is enabled.
Total Sites: 1, 1 UP, 0 Down
Total Tunnels: 1, 1 UP, 0 Down
----------------------------------
Site:  10.250.0.111_0.0.0.0/0-104.40.21.81_0.0.0.0/0
Channel: PeerIp: 104.40.21.81    LocalIP: 10.250.0.111  Version: IKEv2  Status: UP
Tunnel: PeerSubnet: 0.0.0.0/0    LocalSubnet: 0.0.0.0/0   Status: UP
----------------------------------
nsx-l2t-edge> show service l2vpn
L2 VPN is running
----------------------------------------
L2 VPN type: Client/Spoke

SITENAME                       IPSECSTATUS          VTI                  GRE
1ecb00fb-a538-4740-b788-c9049e8cb6c6 UP                   vti-100              l2t-1

Prüfen Sie mit den folgenden Befehlen die IPsec- und L2VPN-Sitzungen des NSX-T-Tier0-Routers.

edge-2> get ipsecvpn session
Total Number of Sessions: 1

IKE Session ID : 3
UUID           : 1ecb00fb-a538-4740-b788-c9049e8cb6c6
Type           : Route

Local IP       : 192.168.254.254      Peer IP        : 192.227.85.167
Local ID       : 104.40.21.81         Peer ID        : 192.227.85.167
Session Status : Up

Policy Rules
    VTI UUID       : 4bf96e3b-e50b-49cc-a16e-43a6390e3d53
    ToRule ID      : 560874406            FromRule ID    : 2708358054
    Local Subnet   : 0.0.0.0/0            Peer Subnet    : 0.0.0.0/0
    Tunnel Status  : Up
edge-2> get l2vpn session
Session       : f7147137-5dd0-47fe-9e53-fdc2b687b160
Tunnel        : b026095b-98c8-5932-96ff-dda922ffe316
IPSEC Session : 1ecb00fb-a538-4740-b788-c9049e8cb6c6
Status        : UP

Mit den folgenden Befehlen können Sie den Senkenport auf dem ESXi-Host überprüfen, wobei sich die eigenständige NSX-T-Client-VM in der lokalen Umgebung befindet.

[root@esxi02:~] esxcfg-vswitch -l |grep NSX
  53                  1           NSXT-client-large.eth2
  225                1           NSXT-client-large.eth1
  52                  1           NSXT-client-large.eth0
[root@esxi02:~] net-dvs -l | grep "port\ [0-9]\|SINK\|com.vmware.common.alias"
                com.vmware.common.alias = csmlab2DS ,   propType = CONFIG
        port 24:
        port 25:
        port 26:
        port 27:
        port 13:
        port 19:
        port 169:
        port 54:
        port 110:
        port 6:
        port 107:
        port 4:
        port 199:
        port 168:
        port 201:
        port 0:
        port 49:
        port 53:
        port 225:
                com.vmware.etherswitch.port.extraEthFRP =   SINK
        port 52:

Weitere Informationen