Extiende las redes de capa 2 locales a una nube privada mediante NSX-T

En este documento, se describe cómo extender una red de capa 2 del entorno local a la nube privada de Google Cloud VMware Engine mediante una VPN de capa 2 basada en NSX-T. Para extender una red de capa 2 mediante una extensión de red HCX, consulta la documentación de VMware HCX.

La extensión basada en VPN de capa 2 de las redes de capa 2 puede funcionar con redes basadas en NSX-T en el entorno de VMware local o sin ellas. Si no tienes redes superpuestas basadas en NSX-T para cargas de trabajo locales, usa un perímetro autónomo de NSX-T, que tiene interfaces habilitadas para el kit de desarrollo del plano de datos (DPDK) de alto rendimiento.

Extender una red de capa 2 mediante NSX-T tiene las siguientes ventajas en comparación con una extensión de red de HCX:

• La VPN de capa 2 que se extiende en NSX-T admite el uso de una interfaz troncal.
• La capacidad de procesamiento de la red en NSX-T es mayor que cuando se usa una extensión de red de HCX.
• NSX-T tiene menos actualizaciones y menos tiempo de inactividad en comparación con HCX.
• Una extensión de red de HCX requiere una licencia local de vSphere Enterprise Plus, pero la extensión de VPN de capa 2 puede funcionar en una licencia local de vSphere Standard.

Situación de implementación

Para extender la red local mediante una VPN de capa 2, en la situación de implementación descrita, se configura un servidor de VPN de capa 2 y un cliente de VPN de capa 2. El proceso consta de los siguientes pasos principales:

1. En tu entorno local, implementa el perímetro autónomo de NSX-T (cliente de VPN de capa 2).
2. En tu nube privada, configura un servidor de VPN de capa 2 en NSX-T Manager.
3. En tu entorno local, configura el cliente de VPN de capa 2 en el perímetro autónomo.
4. En tu entorno local, implementa el perímetro autónomo secundario (cliente de VPN de capa 2) en modo de alta disponibilidad (opcional).

La nube privada está conectada al entorno local mediante Cloud VPN o Cloud Interconnect. Esta configuración garantiza que exista un enrutamiento entre la puerta de enlace nivel 0 o nivel 1 en tu nube privada y el cliente perimetral autónomo en tu red local.

Para ver especificaciones de muestra de una implementación de VPN de capa 2, consulta la sección Implementación de VPN de capa 2 de muestra.

Antes de comenzar

Antes de comenzar, haz lo siguiente:

• Conecta tu entorno local a la red de VPC.
• Identifica la red de carga de trabajo de capa 2 que deseas extender a tu nube privada.
• Identifica dos VLAN en tu entorno local para implementar tu dispositivo perimetral autónomo (cliente de VPN de capa 2).
• Crea una nube privada.
• Configura el reenvío de DNS en los servidores DNS locales para que el dominio apunte a los servidores DNS de nube privada.
• Permite que el tráfico de UDP en los puertos 500 y 4500 entre la dirección IP de enlace de subida del perímetro autónomo y la dirección IP del extremo local se use en la puerta de enlace de nivel 0 o nivel 1 de tu nube privada.

Además, verifica que se cumplan los siguientes requisitos previos:

• La versión de vSphere local debe ser 6.7U1+ o 6.5P03+. La licencia correspondiente debe estar a nivel de Enterprise Plus (para el interruptor distribuido de vSphere).
• La versión del dispositivo perimetral autónomo es compatible con la versión de NSX-T Manager que se usa en la nube privada.
• La latencia de tiempo de ida y vuelta (RTT) es menor o igual que 150 ms, como se requiere para que vMotion funcione en los dos sitios (en caso de que se intente la migración de la carga de trabajo).

Limitaciones y consideraciones

En la siguiente tabla, se enumeran las versiones de vSphere compatibles y los tipos de adaptador de red:

Versión de vSphere	Tipo de vSwitch de origen	Controlador de NIC virtual	Tipo de vSwitch de destino	¿Es compatible?
Todos	DVS	Todos	DVS	Sí
vSphere 6.7UI o superior, 6.5P03 o superior	DVS	VMXNET3	N-VDS	Sí
vSphere 6.7UI o superior, 6.5P03 o superior	DVS	E1000	N-VDS	No compatible con VMware
vSphere 6.7UI o 6.5P03, NSX-V o versiones anteriores a NSX-T2.2, 6.5P03 o versiones posteriores	Todos	Todos	N-VDS	No compatible con VMware

Implementa el perímetro autónomo de NSX-T (cliente de VPN de capa 2)

Para implementar el perímetro autónomo de NSX-T en el entorno local, compila un grupo de puertos troncal local y, luego, crea el perímetro autónomo con ese grupo de puertos.

Crea y configura un grupo de puertos troncal

En los siguientes pasos, se muestra cómo crear y configurar un grupo de puertos troncal:

1. Crea un grupo de puertos distribuido con el tipo de VLAN configurado como troncos de VLAN. Proporciona las VLAN que quieres extender.

   

2. En las opciones de Seguridad (Security), configura Modo promiscuo y Transmisiones falsificadas en Aceptar.

3. En las opciones de formación de equipos y conmutación por error, configura Balanceo de cargas en Use explicit failover order.

4. En las opciones de formación de equipos y conmutación por error, configura Active uplinks en uplink1 y Standby uplinks en uplink2.

5. Completa los pasos restantes para la creación del grupo de puertos.

Implementa un perímetro autónomo en tu entorno local

En los siguientes pasos, se muestra cómo implementar el perímetro autónomo de NSX-T (cliente de VPN de capa 2) en tu entorno local:

1. Comunícate con Atención al cliente de Cloud para descargar la versión correcta de NSX Edge para VMware ESXi.

2. Implementa el archivo OVA de NSX Edge como una plantilla OVF.

   1. En el paso Configuración (Configuration), selecciona la configuración Large para que coincida con el factor de forma grande de NSX-T Edge que viene con la nube privada de VMware Engine.
   2. En el paso Select storage, selecciona el almacén de datos que deseas usar.

   3. En el paso Select networks, proporciona los grupos de puertos que se usarán para diferentes tipos de tráfico:

      • Red 0 (eth1 en el dispositivo) (Network 0): selecciona el grupo de puertos reservado para el tráfico de administración.
      • Red 1 (eth2 en el dispositivo) (Network 1): selecciona el grupo de puertos reservado para el tráfico de enlace de subida.
      • Red 2 (eth3 en el dispositivo) (Network 2): selecciona el grupo de puertos troncal.
      • Red 3 (eth4 en el dispositivo) (Network 3): selecciona el grupo de puertos reservado para el tráfico de alta disponibilidad. En la siguiente imagen, el grupo de puertos reservado para el tráfico de administración también se usa en el tráfico de alta disponibilidad.

      

   4. En el paso Customize template, ingresa los siguientes detalles:

      1. En la sección Aplicación, haz lo siguiente:

         1. Configura System Root User Password.
         2. Configura CLI "admin" User Password.
         3. Selecciona la casilla de verificación Is Autonomous Edge.
         4. Deja los campos restantes vacíos.

      2. En la sección Network Properties, haz lo siguiente:

         1. Configura Nombre de host.
         2. Configura Default IPv4 Gateway. Esta es la puerta de enlace predeterminada de la red de administración.
         3. Configura Management Network IPv4 Address. Esta es la IP de administración para el perímetro autónomo.
         4. Configura Management Network Netmask. Esta es la longitud del prefijo de red de administración.

      3. En la sección DNS, haz lo siguiente:

         1. En el campo DNS Server list, ingresa las direcciones IP del servidor DNS separadas por espacios.
         2. En el campo Domain Search List, ingresa el nombre de dominio.

      4. En la sección Services Configuration, haz lo siguiente:

         1. Ingresa la lista de servidores NTP.
         2. Ingresa los servidores NTP, separados por espacios.
         3. Selecciona la casilla de verificación Enable SSH.
         4. Selecciona la casilla de verificación Allow Root SSH logins.
         5. Ingresa el servidor de registro (si hay alguno).

      5. En la sección External, haz lo siguiente:

         1. Ingresa los detalles del puerto externo en el siguiente formato: VLAN ID,Exit Interface,IP,Prefix Length. Por ejemplo: 2871,eth2,172.16.8.46,28. Reemplaza los siguientes valores:

            • VLAN ID: el ID de VLAN de la VLAN de enlace de subida
            • Exit Interface: el ID de interfaz reservado para el tráfico de enlace de subida
            • IP: la dirección IP reservada para la interfaz de enlace de subida
            • Prefix Length: longitud de prefijo para la red de enlace de subida

         2. En el campo External Gateway, ingresa la puerta de enlace predeterminada de la red de enlace de subida.

      6. En la sección HA, haz lo siguiente:

         1. Ingresa los detalles del puerto de alta disponibilidad en el siguiente formato: VLAN ID,exitPnic,IP,Prefix Length. Por ejemplo: 2880,eth4,172.16.8.46,28. Reemplaza los siguientes valores:

            • VLAN ID: el ID de VLAN de la VLAN de administración
            • exitPnic: el ID de interfaz reservado para el tráfico de alta disponibilidad
            • IP: la dirección IP reservada para la interfaz de alta disponibilidad
            • Prefix Length: la longitud de prefijo para la red con alta disponibilidad

         2. En el campo HA Port Default Gateway, ingresa la puerta de enlace predeterminada de la red de administración. Si usas una red diferente para la comunicación con alta disponibilidad, proporciona la puerta de enlace predeterminada correspondiente.

         3. Deja los campos restantes vacíos.

3. Completa los pasos de implementación de plantillas OVF restantes.

Configura el servidor de VPN de capa 2 en NSX-T Manager en tu nube privada

En los siguientes pasos, se describe cómo configurar el servidor de VPN de capa 2 en una puerta de enlace de nivel 0 o nivel 1 en NSX-T Manager de nube privada.

Crea un servicio de VPN de capa 2

1. En NSX-T Manager, ve a Herramientas de redes > VPN > Servicios de VPN > Agregar servicio > IPSec

2. Ingresa los siguientes detalles para crear un servicio de IPSec:

   • Ingresa el nombre.
   • En la columna Tier0/Tier1 Gateway, selecciona la puerta de enlace en la que deseas que se ejecute el servidor VPN de capa 2.
   • Deja los demás campos en blanco.

   

3. Ve a Herramientas de redes > VPN > Local Endpoints.

4. Ingresa los siguientes detalles para crear un extremo local:

   • Ingresa el nombre.
   • En la columna Servicio de VPN (VPN Service), selecciona el servicio de VPN IPSec que acabas de crear.
   • En el campo Dirección IP, ingresa la dirección IP que está reservada para el extremo local, que también será la dirección IP en la que finaliza el túnel VPN de IPSec/capa 2.
   • En el campo Local ID, ingresa la misma dirección IP reservada.
   • Deja los demás campos en blanco.

5. Ve a Herramientas de redes > VPN > Servicios de VPN > Agregar servicio > L2 VPN Server.

6. Ingresa los siguientes detalles para crear un servicio de VPN de capa 2:

   • Ingresa el nombre.
   • En la columna Tier0/Tier1 Gateway, selecciona la puerta de enlace en la que deseas que se ejecute el servidor de VPN de capa 2 (la misma puerta de enlace que se usó en el paso 2).
   • Deja los demás campos en blanco.

Crea una sesión de VPN de capa 2

1. En NSX-T Manager, ve a Herramientas de redes > VPN > Sesiones VPN de L2 > Add L2 VPN Session > L2 VPN Server.

2. Ingresa los siguientes detalles para crear una sesión de VPN de capa 2:

   • Ingresa el nombre.
   • Selecciona el extremo local/IP local que creaste antes en el paso 4 de Crea un servicio de VPN de capa 2.
   • En el campo IP remota, ingresa la dirección IP de enlace de subida del perímetro autónomo en tu entorno local.
   • Ingresa la clave precompartida.
   • En el campo Tunnel Interface, ingresa una dirección IP de la subred de la interfaz del túnel reservada.
   • En el campo Remote ID, ingresa el valor de Remote IP.
   • Deja los demás campos en blanco.

Crea un segmento de red para extender a tu VLAN local

1. En NSX-T Manager, ve a Herramienta de redes > Segmentos > Agregar segmento.

2. Proporciona los siguientes detalles para crear un segmento que se extienda a tu VLAN local:

   • Ingresa el nombre del segmento.
   • En el campo Connected Gateway, selecciona Ninguna (None).
   • En Zona de transporte (Transport Zone), selecciona TZ-Overlay.
   • En el campo VPN de L2 (L2 VPN), selecciona la sesión VPN de capa 2 que se creó antes en Crea una sesión de VPN de capa 2.
   • En el campo VPN Tunnel ID, ingresa un ID de túnel único (por ejemplo, 100). Este ID de túnel debe coincidir con el ID de túnel que se usa cuando se extiende la VLAN desde las instalaciones locales.
   • Deja los demás campos en blanco.

   

3. Ve a Herramientas de redes > VPN > Sesiones VPN de L2.

4. Expande la Sesión y haz clic en Descargar configuración para descargar la configuración de VPN de capa 2.

5. Abre el archivo descargado con cualquier editor de texto y copia la string peer_code sin las comillas. Usarás esta string más adelante cuando configures el perímetro autónomo local para las VPN de capa 2 en las secciones posteriores.

Anuncia la IP del extremo local de IPSec a una red externa

Este paso varía según si usas una puerta de enlace de nivel 1 o de nivel 0 para los servicios de VPN de capa 2.

Anuncia desde una puerta de enlace de nivel 0

Si usas una puerta de enlace de nivel 0, haz lo siguiente para anunciar la IP del extremo local de IPSec de la puerta de enlace de nivel 0 a la red externa:

1. Ve a Herramientas de redes > Tier-0 Gateways.
2. Edita la puerta de enlace de nivel 0 que se usa para la VPN de capa 2 (lo ideal sería proveedor-LR).
3. Expande Route Re-Distribution.
4. En la sección Tier-0 Subnets, selecciona la casilla de verificación IPSec Local IP.
5. Haz clic en Guardar.

6. Agrega la subred del extremo local de IPSec en la puerta de enlace de nivel 0. La agregación de routers en la puerta de enlace de nivel 0 es necesaria para que el extremo local de IPSec sea accesible a la IP de enlace de subida del perímetro autónomo local y no se filtre en la estructura de la red.

   1. Ve a Herramientas de redes > Tier-0 Gateways.
   2. Edita la puerta de enlace de nivel 0 seleccionada para la VPN de capa 2 (lo ideal sería proveedor-LR).
   3. Ve a BGP > Route Aggregation > Add Prefix.
   4. En la columna Prefix, ingresa la red local de extremos.
   5. En la columna Summary-Only, selecciona Sí.
   6. Haz clic en Aplicar y en Guardar.

Anuncia desde una puerta de enlace de nivel 1

Si usas una puerta de enlace de nivel 1 para los servicios de VPN de capa 2 (como en la implementación de muestra), sigue estos pasos:

1. Agrega la subred del extremo local de IPSec en la puerta de enlace de nivel 0. La agregación de routers en la puerta de enlace de nivel 0 es necesaria para que el extremo local de IPSec sea accesible a la IP de enlace de subida del perímetro autónomo local y no se filtre en la estructura de la red.

   1. Ve a Herramientas de redes > Tier-0 Gateways.
   2. Edita la puerta de enlace de nivel 0 seleccionada para la VPN de capa 2 (lo ideal sería proveedor-LR).
   3. Ve a BGP > Route Aggregation > Add Prefix.
   4. En la columna Prefix, ingresa la red local de extremos.
   5. En la columna Summary-Only, selecciona Sí.
   6. Haz clic en Aplicar y en Guardar.

2. Ve a Herramientas de redes > Tier-1 Gateways.

3. Edita la puerta de enlace de nivel 1 que se usa para la VPN de capa 2 (lo ideal sería proveedor-LR).

4. En la sección Anuncio de ruta, habilita el botón de activación IPSec Local Endpoint.

5. Haz clic en Guardar.

Configura el cliente de VPN de capa 2 en el perímetro autónomo (local)

En los siguientes pasos, se muestra cómo configurar un cliente de VPN de capa 2 en el perímetro autónomo implementado de forma local en Implementa el perímetro autónomo de NSX-T:

1. Accede al perímetro autónomo de NSX-T en su dirección IP del dispositivo de administración.

2. Agrega una sesión de VPN de capa 2:

   1. Ve a VPN de L2 y haz clic en Add Session.

   2. Ingresa los siguientes detalles:

      • En el campo Session Name, ingresa el nombre de la sesión configurado en Crea una sesión de VPN de capa 2.
      • Configura Admin Status en Habilitado.
      • En el campo Local IP, ingresa la dirección IP de enlace de subida del perímetro autónomo.
      • En el campo IP remota, ingresa la dirección IP configurada como un extremo local en Configura el servidor de VPN de capa 2 en NSX-T Manager en tu nube privada.
      • En el campo Peer code, ingresa la string peer_code copiada en Configura el servidor de VPN de capa 2 en NSX-T Manager en tu nube privada.

   3. Haz clic en Guardar.

3. Extiende la VLAN local:

   1. Ve a Puerto y haz clic en Agregar puerto.

   2. Ingresa los siguientes detalles:

      • En el campo Nombre del puerto, ingresa el nombre del puerto.
      • Deja en blanco el campo Subred.
      • En el campo VLAN, ingresa el ID de VLAN de la VLAN local que se extenderá.
      • En Exit Interface, selecciona la interfaz de enlace de subida (como eth2).

   3. Haz clic en Guardar.

4. Conecta el puerto a la sesión de VPN de L2.

   1. Ve a VPN de L2 y haz clic en Attach Port.

   2. Ingresa los siguientes detalles:

      • Selecciona la sesión de VPN de L2 que creaste antes en el paso 2.
      • Selecciona el puerto que creaste en el paso 3.
      • En el campo Tunnel ID, ingresa el mismo ID de túnel que se usa para extender el segmento en tu nube privada (en Configura el servidor de VPN de capa 2 en NSX-T Manager en tu nube privada).

   3. La sesión de VPN de capa 2 aparece en la tabla con un estado de "UP". La VLAN local ahora se extiende a la nube privada de VMware Engine (segmento extendido). Las cargas de trabajo conectadas a la VLAN extendida local serán accesibles para las cargas de trabajo conectadas a un segmento extendido en tu nube privada de VMware Engine.

Implementa el perímetro autónomo de NSX-T secundario (cliente de VPN de capa 2) en modo de alta disponibilidad

De forma opcional, usa los siguientes pasos para implementar un perímetro autónomo secundario de NSX-T (cliente de VPN de capa 2) en modo de alta disponibilidad en tu entorno local:

1. Sigue los pasos que se indican en Implementa el perímetro autónomo de NSX-T en el entorno local hasta llegar al paso Customize template.

2. En el paso Customize template, haz lo siguiente:

   1. En la sección Aplicación, ingresa los siguientes detalles:

      • Configura System Root User Password.
      • Configura CLI "admin" User Password.
      • Selecciona la casilla de verificación Is Autonomous Edge.
      • Deja el resto de los campos vacíos.

   2. En la sección Network Properties, ingresa los siguientes detalles:

      • Configura Nombre de host.
      • Configura Default IPv4 Gateway. Esta es la puerta de enlace predeterminada de la red de administración.
      • Configura Management Network IPv4 Address. Esta es la IP de administración para el perímetro autónomo secundario.
      • Configura Management Network Netmask. Esta es la longitud del prefijo de red de administración.

   3. En la sección DNS, ingresa los siguientes detalles:

      • Ingresa la lista del servidor DNS.
      • Ingresa las direcciones IP del servidor DNS, separadas por espacios.
      • Ingresa la lista de búsqueda de dominio.
      • Ingresa el nombre de dominio.

   4. En la sección Services Configuration, ingresa los siguientes detalles:

      • Ingresa la lista de servidores NTP.
      • Ingresa los servidores NTP, separados por espacios.
      • Selecciona la casilla de verificación Enable SSH.
      • Selecciona la casilla de verificación Allow Root SSH logins.
      • Ingresa el servidor de registro (si hay alguno).

   5. Deja la sección External vacía.

   6. En la sección HA, ingresa los siguientes detalles:

      • Ingresa los detalles del puerto de alta disponibilidad en el siguiente formato: VLAN ID,exitPnic,IP,Prefix Length. Por ejemplo: 2880,eth4,172.16.8.11,28. Reemplaza los siguientes valores:

        • VLAN ID: el ID de VLAN de la VLAN de administración
        • exitPnic: el ID de interfaz reservado para el tráfico de alta disponibilidad
        • IP: la dirección IP reservada para la interfaz de alta disponibilidad para el perímetro autónomo secundario
        • Prefix Length: la longitud del prefijo de la red de alta disponibilidad

      • En el campo HA Port Default Gateway, ingresa la puerta de enlace predeterminada de la red de administración.

      • Selecciona la casilla de verificación Secondary API Node.

      • En el campo Primary Node Management IP, ingresa la dirección IP de administración del perímetro autónomo principal.

      • En el campo Primary Node Username, ingresa el nombre de usuario del perímetro autónomo principal (por ejemplo, "administrador").

      • En el campo Primary Node Password, ingresa la contraseña del perímetro autónomo principal.

      • En el campo Primary Node Management Thumbprint, ingresa la huella digital de la API del perímetro autónomo principal. Para conseguirlo, puedes conectarte con SSH al perímetro autónomo principal mediante las credenciales de administrador y ejecutar el comando get certificate api thumbprint.

3. Completa los pasos de implementación de plantillas OVF restantes para implementar el perímetro autónomo secundario (cliente de VPN de capa 2 local).

El perímetro autónomo resultante tiene un estado de alta disponibilidad de activo.

Implementación de VPN de capa 2 de muestra

En las siguientes tablas, se proporcionan especificaciones para una implementación de VPN de capa 2 de muestra.

Red local que se extenderá

Propiedad de la red	Valor
VLAN	2875
CIDR	172.16.8.16/28

Red local en la que se implementa el perímetro autónomo

Propiedad de la red	Valor
VLAN de administración	2880
CIDR de administración	172.16.8.0/28
VLAN de enlace de subida	2871
CIDR de enlace de subida	172.16.8.32/28
VLAN de alta disponibilidad (igual que la administración)	2880
CIDR de alta disponibilidad (igual que la administración)	172.16.8.0/28
Dirección IP de administración del perímetro autónomo principal	172.16.8.14
Dirección IP de enlace de subida del perímetro autónomo principal	172.16.8.46
Dirección IP de alta disponibilidad del perímetro autónomo principal	172.16.8.12
Dirección IP de administración del perímetro autónomo secundario	172.16.8.13
Dirección IP de alta disponibilidad del perímetro autónomo secundario	172.16.8.11

Esquema de IP de nube privada para el router NSX-T de nivel 1 (servidor de VPN de capa 2)

Propiedad de la red	Valor
Dirección IP del extremo local	192.168.198.198
Red de extremos local	192.168.198.198/31
Interfaz de túnel	192.168.199.1/30
Segmento (extendido)	VPN-Seg-test de L2
Interfaz de bucle invertido (dirección IP de NAT)	104.40.21.81

Red privada de la nube para asignar a la red extendida

Propiedad de la red	Valor
Segmento (extendido)	VPN-Seg-test de L2
CIDR	172.16.8.16/28

¿Qué sigue?

• Para obtener más información sobre la extensión de redes locales con la VPN de capa 2 de NSX-T, consulta la documentación de VMware Comprende una VPN de capa 2.