Memperluas jaringan Lapisan 2 lokal ke cloud pribadi menggunakan NSX-T

Dokumen ini menjelaskan cara memperluas jaringan Lapisan 2 dari lingkungan lokal ke cloud pribadi Google Cloud VMware Engine menggunakan VPN Lapisan 2 berbasis NSX-T. Untuk meregangkan jaringan Lapisan 2 menggunakan ekstensi jaringan HCX, lihat dokumentasi VMware HCX.

Perluasan jaringan Layer 2 berbasis VPN Layer 2 dapat berfungsi dengan atau tanpa jaringan berbasis NSX-T di lingkungan VMware lokal Anda. Jika Anda tidak memiliki jaringan overlay berbasis NSX-T untuk workload lokal, gunakan NSX-T Autonomous Edge, yang memiliki antarmuka yang kompatibel dengan Data Plane Development Kit (DPDK) untuk performa tinggi.

Memperluas jaringan Lapisan 2 menggunakan NSX-T memiliki keunggulan berikut dibandingkan menggunakan ekstensi jaringan HCX:

  • Perluasan VPN Lapisan 2 di NSX-T mendukung penggunaan antarmuka trunk.
  • Throughput jaringan di NSX-T lebih tinggi daripada saat menggunakan ekstensi jaringan HCX.
  • NSX-T memiliki lebih sedikit upgrade dan lebih sedikit downtime dibandingkan dengan HCX.
  • Ekstensi jaringan HCX memerlukan lisensi vSphere Enterprise Plus lokal, tetapi peregangan VPN Lapisan 2 dapat berfungsi di lisensi vSphere Standard lokal.

Skenario deployment

Untuk memperluas jaringan lokal Anda menggunakan VPN Lapisan 2, skenario deployment yang dijelaskan akan mengonfigurasi server VPN Lapisan 2 dan klien VPN Lapisan 2. Proses ini terdiri dari langkah-langkah utama berikut:

  1. Di lingkungan lokal, deploy NSX-T Autonomous Edge (klien VPN lapisan 2).
  2. Di cloud pribadi Anda, konfigurasikan server VPN Lapisan 2 di NSX-T Manager.
  3. Di lingkungan lokal, konfigurasikan klien VPN Lapisan 2 di edge otonom.
  4. (Opsional) Di lingkungan lokal, deploy edge otonom sekunder (klien VPN Lapisan 2) dalam mode HA.

Cloud pribadi Anda terhubung ke lingkungan lokal oleh Cloud VPN atau Cloud Interconnect. Penyiapan ini memastikan bahwa jalur pemilihan rute ada antara gateway tingkat 0 atau tingkat 1 di cloud pribadi Anda dan klien edge otonom di jaringan lokal Anda.

Jaringan Lapisan 2 membentang antara lingkungan lokal dan cloud pribadi.

Untuk contoh spesifikasi deployment VPN Lapisan 2, lihat bagian Contoh deployment VPN Lapisan 2.

Sebelum memulai

Sebelum memulai, lakukan hal berikut:

  • Hubungkan lingkungan lokal Anda ke jaringan VPC Anda.
  • Identifikasi jaringan Lapisan 2 workload yang ingin Anda perluas ke cloud pribadi.
  • Identifikasi dua VLAN di lingkungan lokal untuk men-deploy perangkat edge otonom (klien VPN Lapisan 2).
  • Buat cloud pribadi.
  • Siapkan penerusan DNS di server DNS lokal agar domain mengarah ke server DNS cloud pribadi.
  • Izinkan traffic UDP di port 500 dan 4500 antara alamat IP uplink edge otonom dan alamat IP endpoint lokal yang akan digunakan di gateway tingkat-0 atau tingkat-1 di cloud pribadi Anda.

Selain itu, pastikan prasyarat berikut sudah ada:

  • Versi vSphere lokal harus 6.7U1+ atau 6.5P03+. Lisensi yang sesuai harus berada di tingkat Enterprise Plus (untuk vSphere Distributed Switch).
  • Versi appliance edge otonom kompatibel dengan versi NSX-T Manager yang digunakan di cloud pribadi Anda.
  • Latensi waktu round-trip (RTT) kurang dari atau sama dengan 150 md, yang diperlukan agar vMotion berfungsi di kedua situs (jika migrasi workload dicoba).

Batasan dan pertimbangan

Tabel berikut mencantumkan versi vSphere dan jenis adaptor jaringan yang didukung:

Versi vSphere Jenis vSwitch sumber Driver Virtual NIC Jenis vSwitch target Didukung?
Semua DVS Semua DVS Ya
vSphere 6.7UI atau yang lebih tinggi, 6.5P03 atau yang lebih tinggi DVS VMXNET3 N-VDS Ya
vSphere 6.7UI atau yang lebih tinggi, 6.5P03 atau yang lebih tinggi DVS E1000 N-VDS Tidak didukung, menurut VMware
vSphere 6.7UI atau 6.5P03, NSX-V atau versi di bawah NSX-T2.2, 6.5P03, atau yang lebih tinggi Semua Semua N-VDS Tidak didukung, menurut VMware

Men-deploy NSX-T Autonomous Edge (klien VPN Lapisan 2)

Untuk men-deploy NSX-T Autonomous Edge di lingkungan lokal, build grup port batang di lokal, lalu buat autonomous edge menggunakan grup port tersebut.

Membuat dan mengonfigurasi grup port trunk

Langkah-langkah berikut menunjukkan cara membuat dan mengonfigurasi grup port trunk:

  1. Buat grup port terdistribusi dengan jenis VLAN ditetapkan ke trunking VLAN. Berikan VLAN yang ingin Anda rentangkan.

    Berikan setelan konfigurasi VLAN untuk grup port terdistribusi baru.

  2. Di opsi Security, tetapkan Promiscuous mode dan Forged transmits ke Accept.

  3. Di opsi teaming dan failover, tetapkan Load balancing ke Use explicit failover order.

  4. Di opsi teaming dan failover, tetapkan Uplink aktif ke uplink1 dan Uplink standby ke uplink2.

  5. Selesaikan langkah-langkah pembuatan grup port yang tersisa.

Men-deploy edge otonom di lingkungan lokal

Langkah-langkah berikut menunjukkan cara men-deploy NSX-T Autonomous Edge (klien VPN Lapisan 2) di lingkungan lokal Anda:

  1. Hubungi Cloud Customer Care untuk mendownload versi NSX Edge untuk VMware ESXi yang benar.
  2. Deploy OVA NSX Edge sebagai template OVF.

    1. Pada langkah Konfigurasi, pilih konfigurasi Besar agar cocok dengan faktor bentuk NSX-T Edges besar yang disertakan dengan cloud pribadi VMware Engine Anda.
    2. Pada langkah Select storage, pilih datastore yang ingin Anda gunakan.
    3. Pada langkah Select networks, berikan grup port yang akan digunakan untuk berbagai jenis traffic:

      • Jaringan 0 (eth1 di appliance): Pilih grup port yang dicadangkan untuk traffic pengelolaan.
      • Jaringan 1 (eth2 di appliance): Pilih grup port yang dicadangkan untuk traffic uplink.
      • Jaringan 2 (eth3 di appliance): Pilih grup port trunk.
      • Jaringan 3 (eth4 di appliance): Pilih grup port yang dicadangkan untuk traffic HA. Pada gambar berikut, grup port yang dicadangkan untuk traffic pengelolaan juga digunakan untuk traffic HA.

      Pilih jaringan tujuan untuk setiap jaringan sumber selama deployment template OVF.

    4. Pada langkah Customize template, masukkan detail berikut:

      1. Di bagian Application, lakukan hal berikut:

        1. Tetapkan Sandi Pengguna Root Sistem.
        2. Tetapkan Sandi Pengguna "admin" CLI.
        3. Centang kotak Is Autonomous Edge.
        4. Biarkan kolom yang tersisa kosong.
      2. Di bagian Network Properties, lakukan hal berikut:

        1. Tetapkan Hostname.
        2. Tetapkan Default IPv4 Gateway. Ini adalah gateway default jaringan pengelolaan.
        3. Tetapkan Management Network IPv4 Address. Ini adalah IP pengelolaan untuk edge otonom.
        4. Tetapkan Netmask Jaringan Pengelolaan. Ini adalah panjang awalan jaringan manajemen.
      3. Di bagian DNS, lakukan tindakan berikut:

        1. Di kolom DNS Server list, masukkan alamat IP server DNS yang dipisahkan spasi.
        2. Di kolom Domain Search List, masukkan nama domain.
      4. Di bagian Services Configuration, lakukan hal berikut:

        1. Masukkan Daftar Server NTP.
        2. Masukkan Server NTP, yang dipisahkan dengan spasi.
        3. Centang kotak Enable SSH.
        4. Centang kotak Izinkan login SSH Root.
        5. Masukkan server logging (jika ada).
      5. Di bagian External, lakukan hal berikut:

        1. Masukkan detail External Port dalam format berikut: VLAN ID,Exit Interface,IP,Prefix Length. Misalnya: 2871,eth2,172.16.8.46,28 Ganti nilai berikut:

          • VLAN ID: ID VLAN uplink
          • Exit Interface: ID antarmuka yang dicadangkan untuk traffic uplink
          • IP: Alamat IP yang dicadangkan untuk antarmuka uplink
          • Prefix Length: panjang awalan untuk jaringan uplink
        2. Di kolom External Gateway, masukkan gateway default jaringan uplink.

      6. Di bagian HA, lakukan hal berikut:

        1. Masukkan detail Port HA dalam format berikut: VLAN ID,exitPnic,IP,Prefix Length. Misalnya: 2880,eth4,172.16.8.46,28 Ganti nilai berikut:

          • VLAN ID: ID VLAN VLAN pengelolaan
          • exitPnic: ID antarmuka yang dicadangkan untuk traffic HA
          • IP: Alamat IP yang dicadangkan untuk antarmuka HA
          • Prefix Length: panjang awalan untuk jaringan HA
        2. Di kolom HA Port Default Gateway, masukkan gateway default jaringan pengelolaan. Jika menggunakan jaringan lain untuk komunikasi HA, berikan gateway default yang sesuai.

        3. Biarkan kolom yang tersisa kosong.

  3. Selesaikan langkah-langkah deployment template OVF yang tersisa.

Mengonfigurasi server VPN Lapisan 2 di NSX-T Manager di cloud pribadi Anda

Langkah-langkah berikut menjelaskan cara mengonfigurasi server VPN Lapisan 2 di gateway tingkat 0 atau tingkat 1 di NSX-T Manager cloud pribadi Anda.

Membuat layanan VPN Lapisan 2

  1. Di NSX-T Manager, buka Networking > VPN > VPN Services > Add Service > IPSec.
  2. Masukkan detail berikut untuk membuat layanan IPSec:

    • Masukkan Nama.
    • Di kolom Tier0/Tier1 Gateway, pilih gateway tempat Anda ingin server VPN Lapisan 2 berjalan.
    • Biarkan kolom lainnya kosong.

    Buat layanan VPN IPSec di NSX-T Manager.

  3. Buka Jaringan > VPN > Endpoint Lokal.

  4. Masukkan detail berikut untuk membuat endpoint lokal:

    • Masukkan Nama.
    • Di kolom VPN Service, pilih layanan VPN IPSec yang baru saja Anda buat.
    • Di kolom IP Address, masukkan alamat IP yang dicadangkan untuk endpoint lokal, yang juga akan menjadi alamat IP tempat tunnel VPN IPSec/Layer 2 dihentikan.
    • Di kolom Local ID, masukkan alamat IP yang dicadangkan yang sama.
    • Biarkan kolom lainnya kosong.
  5. Buka Networking > VPN > VPN Services > Add Service > L2 VPN Server.

  6. Masukkan detail berikut untuk membuat layanan VPN Lapisan 2:

    • Masukkan Nama.
    • Di kolom Tier0/Tier1 Gateway, pilih gateway tempat Anda ingin server VPN Lapisan 2 berjalan (gateway yang sama dengan yang digunakan sebelumnya di langkah 2).
    • Biarkan kolom lainnya kosong.

Membuat sesi VPN Lapisan 2

  1. Di NSX-T Manager, buka Networking > VPN > L2 VPN Sessions > Add L2 VPN Session > L2 VPN Server.
  2. Masukkan detail berikut untuk membuat sesi VPN Lapisan 2:

    • Masukkan Nama.
    • Pilih Endpoint/IP Lokal yang dibuat sebelumnya di langkah 4 Membuat layanan VPN Lapisan 2.
    • Di kolom Remote IP, masukkan alamat IP uplink edge otonom di lingkungan lokal Anda.
    • Masukkan Pre-shared key.
    • Di kolom Tunnel Interface, masukkan satu alamat IP dari subnet antarmuka tunnel yang direservasi.
    • Di kolom Remote ID, masukkan nilai dari Remote IP.
    • Biarkan kolom lainnya kosong.

Membuat segmen jaringan untuk diperluas ke VLAN lokal

  1. Di NSX-T Manager, buka Networking > Segments > Add Segment.
  2. Berikan detail berikut untuk membuat segmen yang akan diperluas ke VLAN lokal Anda:

    • Masukkan Nama Segmen.
    • Di kolom Connected Gateway, pilih None.
    • Untuk Transport Zone, pilih TZ-Overlay.
    • Di kolom L2 VPN, pilih sesi VPN Lapisan 2 yang dibuat sebelumnya di Membuat sesi VPN Lapisan 2.
    • Di kolom VPN Tunnel ID, masukkan ID tunnel unik (misalnya, 100). ID tunnel ini harus cocok dengan ID tunnel yang digunakan saat memperluas VLAN dari lokal.
    • Biarkan kolom lainnya kosong.

    Buat segmen jaringan yang menyertakan sesi VPN Lapisan 2 dan ID tunnel VPN.

  3. Buka Networking > VPN > L2 VPN Sessions.

  4. Luaskan Session dan klik Download Config untuk mendownload konfigurasi VPN lapisan 2.

  5. Buka file yang didownload menggunakan editor teks apa pun dan salin string peer_code tanpa tanda kutip. Anda akan menggunakan string ini nanti saat mengonfigurasi edge otonom di tempat untuk VPN Lapisan 2 di bagian berikutnya.

Langkah ini bervariasi bergantung pada apakah Anda menggunakan gateway tingkat 1 atau tingkat 0 untuk layanan VPN Lapisan 2.

Jika Anda menggunakan gateway tingkat 0, lakukan hal berikut untuk mengiklankan IP endpoint lokal IPSec dari gateway tingkat 0 ke jaringan eksternal:

  1. Buka Jaringan > Gateway Tingkat 0.
  2. Edit Gateway Tingkat 0 yang digunakan untuk VPN Lapisan 2 (idealnya Provider-LR).
  3. Luaskan Pembagian Ulang Rute.
  4. Di bagian Tier-0 Subnets, centang kotak IPSec Local IP.
  5. Klik Simpan.
  6. Gabungkan subnet Endpoint Lokal IPSec di gateway tingkat 0. Agregasi router di gateway tingkat 0 diperlukan agar endpoint lokal IPSec dapat dijangkau oleh IP uplink edge otonom lokal dan tidak difilter di fabric jaringan.

    1. Buka Jaringan > Gateway Tingkat 0.
    2. Edit Gateway Tingkat 0 yang dipilih dan digunakan untuk VPN Lapisan 2 (idealnya Provider-LR).
    3. Buka BGP > Agregasi Rute > Tambahkan Prefix.
    4. Di kolom Prefix, masukkan jaringan endpoint lokal.
    5. Di kolom Summary-Only, pilih Yes.
    6. Klik Terapkan dan Simpan.

Jika Anda menggunakan gateway tingkat 1 untuk layanan VPN Lapisan 2 (seperti dalam contoh deployment), lakukan langkah-langkah berikut sebagai gantinya:

  1. Gabungkan subnet Endpoint Lokal IPSec di gateway tingkat 0. Agregasi router di gateway tingkat 0 diperlukan agar endpoint lokal IPSec dapat dijangkau oleh IP uplink edge otonom lokal dan tidak difilter di fabric jaringan.

    1. Buka Jaringan > Gateway Tingkat 0.
    2. Edit Gateway Tingkat 0 yang dipilih dan digunakan untuk VPN Lapisan 2 (idealnya Provider-LR).
    3. Buka BGP > Agregasi Rute > Tambahkan Prefix.
    4. Di kolom Prefix, masukkan jaringan endpoint lokal.
    5. Di kolom Summary-Only, pilih Yes.
    6. Klik Terapkan dan Simpan.
  2. Buka Jaringan > Gateway Tingkat 1.

  3. Edit Gateway Tingkat 1 yang digunakan untuk VPN Lapisan 2 (idealnya Provider-LR).

  4. Di bagian Route Advertisement, aktifkan tombol IPSec Local Endpoint.

  5. Klik Simpan.

Mengonfigurasi klien VPN Lapisan 2 di edge otonom (on-premises)

Langkah-langkah berikut menunjukkan cara mengonfigurasi klien VPN Lapisan 2 di edge otonom yang di-deploy di lokalitas dalam Men-deploy Edge Otonom NSX-T:

  1. Login ke NSX-T Autonomous Edge di alamat IP appliance pengelolaannya.
  2. Tambahkan sesi VPN Lapisan 2:

    1. Buka L2 VPN, lalu klik Tambahkan Sesi.
    2. Masukkan detail berikut:

    3. Klik Simpan.

  3. Luaskan VLAN lokal:

    1. Buka Port, lalu klik Add Port.
    2. Masukkan detail berikut:

      • Di kolom Nama Port, masukkan nama port.
      • Biarkan kolom Subnet kosong.
      • Di kolom VLAN, masukkan ID VLAN VLAN on-premise yang akan diperluas.
      • Untuk Exit Interface, pilih antarmuka uplink (seperti eth2).
    3. Klik Simpan.

  4. Lampirkan port ke Sesi VPN L2.

    1. Buka L2 VPN, lalu klik Attach Port.
    2. Masukkan detail berikut:

    3. Sesi VPN Lapisan 2 muncul di tabel dengan Status "UP". VLAN lokal kini diperluas ke cloud pribadi VMware Engine (segmen yang diperluas). Workload yang dilampirkan ke VLAN yang diperluas di lokal dapat dijangkau oleh workload yang dilampirkan ke segmen yang diperluas di cloud pribadi VMware Engine Anda.

Men-deploy NSX-T Autonomous Edge sekunder (klien VPN Lapisan 2) dalam mode HA

Secara opsional, gunakan langkah-langkah berikut untuk men-deploy Edge Otonom NSX-T sekunder (klien VPN lapisan 2) dalam mode HA di lingkungan lokal Anda:

  1. Ikuti langkah-langkah dalam Men-deploy NSX-T Autonomous Edge di lingkungan lokal hingga Anda mencapai langkah Menyesuaikan template.
  2. Pada langkah Customize template, lakukan hal berikut:

    1. Di bagian Application, masukkan detail berikut:

      • Tetapkan Sandi Pengguna Root Sistem.
      • Tetapkan Sandi Pengguna "admin" CLI.
      • Centang kotak Is Autonomous Edge.
      • Biarkan semua kolom lainnya kosong.
    2. Di bagian Network Properties, masukkan detail berikut:

      • Tetapkan Hostname.
      • Tetapkan Default IPv4 Gateway. Ini adalah gateway default jaringan manajemen.
      • Tetapkan Management Network IPv4 Address. Ini adalah IP pengelolaan untuk edge otonom sekunder.
      • Tetapkan Netmask Jaringan Pengelolaan. Ini adalah panjang awalan jaringan pengelolaan.
    3. Di bagian DNS, masukkan detail berikut:

      • Masukkan Daftar Server DNS.
      • Masukkan alamat IP Server DNS, yang dipisahkan spasi.
      • Masukkan Daftar Penelusuran Domain.
      • Masukkan Nama domain.
    4. Di bagian Services Configuration, masukkan detail berikut:

      • Masukkan Daftar Server NTP.
      • Masukkan Server NTP, yang dipisahkan dengan spasi.
      • Centang kotak Enable SSH.
      • Centang kotak Izinkan login SSH Root.
      • Masukkan server logging (jika ada).
    5. Biarkan bagian Eksternal kosong.

    6. Di bagian HA, masukkan detail berikut:

      • Masukkan detail Port HA dalam format berikut: VLAN ID,exitPnic,IP,Prefix Length. Misalnya: 2880,eth4,172.16.8.11,28 Ganti nilai berikut:

        • VLAN ID: ID VLAN VLAN pengelolaan
        • exitPnic: ID antarmuka yang dicadangkan untuk traffic HA
        • IP: Alamat IP yang dicadangkan untuk antarmuka HA untuk edge otonom sekunder
        • Prefix Length: panjang awalan untuk jaringan HA
      • Di kolom HA Port Default Gateway, masukkan gateway default jaringan pengelolaan.

      • Centang kotak Secondary API Node.

      • Di kolom Primary Node Management IP, masukkan alamat IP manajemen edge otonom utama.

      • Di kolom Primary Node Username, masukkan nama pengguna edge otonom utama (misalnya, "admin").

      • Di kolom Primary Node Password, masukkan sandi edge otonom utama.

      • Di kolom Primary Node Management Thumbprint, masukkan sidik jari API edge otonom utama. Anda bisa mendapatkannya dengan terhubung menggunakan SSH ke edge otonom utama menggunakan kredensial admin dan menjalankan perintah get certificate api thumbprint.

  3. Selesaikan langkah-langkah deployment template OVF yang tersisa untuk men-deploy tepi otonom sekunder (klien VPN Lapisan 2 on-premise).

Edge otonom yang dihasilkan memiliki Status Ketersediaan Tinggi Aktif.

Contoh deployment VPN Lapisan 2

Tabel berikut memberikan spesifikasi untuk contoh deployment VPN Lapisan 2.

Jaringan lokal yang akan diperluas

Properti jaringan Nilai
VLAN 2875
CIDR 172.16.8.16/28

Jaringan lokal tempat edge otonom di-deploy

Properti jaringan Nilai
VLAN Pengelolaan 2880
CIDR Pengelolaan 172.16.8.0/28
VLAN uplink 2871
CIDR uplink 172.16.8.32/28
VLAN HA (sama dengan pengelolaan) 2880
CIDR HA (sama dengan manajemen) 172.16.8.0/28
Alamat IP pengelolaan edge otonom utama 172.16.8.14
Alamat IP uplink tepi otonom utama 172.16.8.46
Alamat IP HA tepi otonom utama 172.16.8.12
Alamat IP pengelolaan edge otonom sekunder 172.16.8.13
Alamat IP HA edge otonom sekunder 172.16.8.11

Skema IP cloud pribadi untuk router tingkat 1 NSX-T (server VPN Lapisan 2)

Properti jaringan Nilai
Alamat IP endpoint lokal 192.168.198.198
Jaringan endpoint lokal 192.168.198.198/31
Antarmuka tunnel 192.168.199.1/30
Segmen (ditarik) Pengujian VPN-Seg-L2
Antarmuka loopback (alamat IP NAT) 104.40.21.81

Jaringan cloud pribadi untuk dipetakan ke jaringan yang diperluas

Properti jaringan Nilai
Segmen (ditarik) Pengujian VPN-Seg-L2
CIDR 172.16.8.16/28

Langkah selanjutnya

  • Untuk informasi selengkapnya tentang cara memperluas jaringan lokal menggunakan VPN Lapisan 2 NSX-T, lihat dokumentasi VMware Memahami VPN Lapisan 2.