Memperluas jaringan Lapisan 2 lokal ke cloud pribadi menggunakan NSX-T
Dokumen ini menjelaskan cara memperluas jaringan Lapisan 2 dari lingkungan lokal ke cloud pribadi Google Cloud VMware Engine menggunakan VPN Lapisan 2 berbasis NSX-T. Untuk meregangkan jaringan Lapisan 2 menggunakan ekstensi jaringan HCX, lihat dokumentasi VMware HCX.
Perluasan jaringan Layer 2 berbasis VPN Layer 2 dapat berfungsi dengan atau tanpa jaringan berbasis NSX-T di lingkungan VMware lokal Anda. Jika Anda tidak memiliki jaringan overlay berbasis NSX-T untuk workload lokal, gunakan NSX-T Autonomous Edge, yang memiliki antarmuka yang kompatibel dengan Data Plane Development Kit (DPDK) untuk performa tinggi.
Memperluas jaringan Lapisan 2 menggunakan NSX-T memiliki keunggulan berikut dibandingkan menggunakan ekstensi jaringan HCX:
- Perluasan VPN Lapisan 2 di NSX-T mendukung penggunaan antarmuka trunk.
- Throughput jaringan di NSX-T lebih tinggi daripada saat menggunakan ekstensi jaringan HCX.
- NSX-T memiliki lebih sedikit upgrade dan lebih sedikit downtime dibandingkan dengan HCX.
- Ekstensi jaringan HCX memerlukan lisensi vSphere Enterprise Plus lokal, tetapi peregangan VPN Lapisan 2 dapat berfungsi di lisensi vSphere Standard lokal.
Skenario deployment
Untuk memperluas jaringan lokal Anda menggunakan VPN Lapisan 2, skenario deployment yang dijelaskan akan mengonfigurasi server VPN Lapisan 2 dan klien VPN Lapisan 2. Proses ini terdiri dari langkah-langkah utama berikut:
- Di lingkungan lokal, deploy NSX-T Autonomous Edge (klien VPN lapisan 2).
- Di cloud pribadi Anda, konfigurasikan server VPN Lapisan 2 di NSX-T Manager.
- Di lingkungan lokal, konfigurasikan klien VPN Lapisan 2 di edge otonom.
- (Opsional) Di lingkungan lokal, deploy edge otonom sekunder (klien VPN Lapisan 2) dalam mode HA.
Cloud pribadi Anda terhubung ke lingkungan lokal oleh Cloud VPN atau Cloud Interconnect. Penyiapan ini memastikan bahwa jalur pemilihan rute ada antara gateway tingkat 0 atau tingkat 1 di cloud pribadi Anda dan klien edge otonom di jaringan lokal Anda.
Untuk contoh spesifikasi deployment VPN Lapisan 2, lihat bagian Contoh deployment VPN Lapisan 2.
Sebelum memulai
Sebelum memulai, lakukan hal berikut:
- Hubungkan lingkungan lokal Anda ke jaringan VPC Anda.
- Identifikasi jaringan Lapisan 2 workload yang ingin Anda perluas ke cloud pribadi.
- Identifikasi dua VLAN di lingkungan lokal untuk men-deploy perangkat edge otonom (klien VPN Lapisan 2).
- Buat cloud pribadi.
- Siapkan penerusan DNS di server DNS lokal agar domain mengarah ke server DNS cloud pribadi.
- Izinkan traffic UDP di port 500 dan 4500 antara alamat IP uplink edge otonom dan alamat IP endpoint lokal yang akan digunakan di gateway tingkat-0 atau tingkat-1 di cloud pribadi Anda.
Selain itu, pastikan prasyarat berikut sudah ada:
- Versi vSphere lokal harus 6.7U1+ atau 6.5P03+. Lisensi yang sesuai harus berada di tingkat Enterprise Plus (untuk vSphere Distributed Switch).
- Versi appliance edge otonom kompatibel dengan versi NSX-T Manager yang digunakan di cloud pribadi Anda.
- Latensi waktu round-trip (RTT) kurang dari atau sama dengan 150 md, yang diperlukan agar vMotion berfungsi di kedua situs (jika migrasi workload dicoba).
Batasan dan pertimbangan
Tabel berikut mencantumkan versi vSphere dan jenis adaptor jaringan yang didukung:
Versi vSphere | Jenis vSwitch sumber | Driver Virtual NIC | Jenis vSwitch target | Didukung? |
---|---|---|---|---|
Semua | DVS | Semua | DVS | Ya |
vSphere 6.7UI atau yang lebih tinggi, 6.5P03 atau yang lebih tinggi | DVS | VMXNET3 | N-VDS | Ya |
vSphere 6.7UI atau yang lebih tinggi, 6.5P03 atau yang lebih tinggi | DVS | E1000 | N-VDS | Tidak didukung, menurut VMware |
vSphere 6.7UI atau 6.5P03, NSX-V atau versi di bawah NSX-T2.2, 6.5P03, atau yang lebih tinggi | Semua | Semua | N-VDS | Tidak didukung, menurut VMware |
Men-deploy NSX-T Autonomous Edge (klien VPN Lapisan 2)
Untuk men-deploy NSX-T Autonomous Edge di lingkungan lokal, build grup port batang di lokal, lalu buat autonomous edge menggunakan grup port tersebut.
Membuat dan mengonfigurasi grup port trunk
Langkah-langkah berikut menunjukkan cara membuat dan mengonfigurasi grup port trunk:
Buat grup port terdistribusi dengan jenis VLAN ditetapkan ke trunking VLAN. Berikan VLAN yang ingin Anda rentangkan.
Di opsi Security, tetapkan Promiscuous mode dan Forged transmits ke Accept.
Di opsi teaming dan failover, tetapkan Load balancing ke Use explicit failover order.
Di opsi teaming dan failover, tetapkan Uplink aktif ke uplink1 dan Uplink standby ke uplink2.
Selesaikan langkah-langkah pembuatan grup port yang tersisa.
Men-deploy edge otonom di lingkungan lokal
Langkah-langkah berikut menunjukkan cara men-deploy NSX-T Autonomous Edge (klien VPN Lapisan 2) di lingkungan lokal Anda:
- Hubungi Cloud Customer Care untuk mendownload versi NSX Edge untuk VMware ESXi yang benar.
Deploy OVA NSX Edge sebagai template OVF.
- Pada langkah Konfigurasi, pilih konfigurasi Besar agar cocok dengan faktor bentuk NSX-T Edges besar yang disertakan dengan cloud pribadi VMware Engine Anda.
- Pada langkah Select storage, pilih datastore yang ingin Anda gunakan.
Pada langkah Select networks, berikan grup port yang akan digunakan untuk berbagai jenis traffic:
- Jaringan 0 (eth1 di appliance): Pilih grup port yang dicadangkan untuk traffic pengelolaan.
- Jaringan 1 (eth2 di appliance): Pilih grup port yang dicadangkan untuk traffic uplink.
- Jaringan 2 (eth3 di appliance): Pilih grup port trunk.
- Jaringan 3 (eth4 di appliance): Pilih grup port yang dicadangkan untuk traffic HA. Pada gambar berikut, grup port yang dicadangkan untuk traffic pengelolaan juga digunakan untuk traffic HA.
Pada langkah Customize template, masukkan detail berikut:
Di bagian Application, lakukan hal berikut:
- Tetapkan Sandi Pengguna Root Sistem.
- Tetapkan Sandi Pengguna "admin" CLI.
- Centang kotak Is Autonomous Edge.
- Biarkan kolom yang tersisa kosong.
Di bagian Network Properties, lakukan hal berikut:
- Tetapkan Hostname.
- Tetapkan Default IPv4 Gateway. Ini adalah gateway default jaringan pengelolaan.
- Tetapkan Management Network IPv4 Address. Ini adalah IP pengelolaan untuk edge otonom.
- Tetapkan Netmask Jaringan Pengelolaan. Ini adalah panjang awalan jaringan manajemen.
Di bagian DNS, lakukan tindakan berikut:
- Di kolom DNS Server list, masukkan alamat IP server DNS yang dipisahkan spasi.
- Di kolom Domain Search List, masukkan nama domain.
Di bagian Services Configuration, lakukan hal berikut:
- Masukkan Daftar Server NTP.
- Masukkan Server NTP, yang dipisahkan dengan spasi.
- Centang kotak Enable SSH.
- Centang kotak Izinkan login SSH Root.
- Masukkan server logging (jika ada).
Di bagian External, lakukan hal berikut:
Masukkan detail External Port dalam format berikut:
VLAN ID,Exit Interface,IP,Prefix Length
. Misalnya:2871,eth2,172.16.8.46,28
Ganti nilai berikut:VLAN ID
: ID VLAN uplinkExit Interface
: ID antarmuka yang dicadangkan untuk traffic uplinkIP
: Alamat IP yang dicadangkan untuk antarmuka uplinkPrefix Length
: panjang awalan untuk jaringan uplink
Di kolom External Gateway, masukkan gateway default jaringan uplink.
Di bagian HA, lakukan hal berikut:
Masukkan detail Port HA dalam format berikut:
VLAN ID,exitPnic,IP,Prefix Length
. Misalnya:2880,eth4,172.16.8.46,28
Ganti nilai berikut:VLAN ID
: ID VLAN VLAN pengelolaanexitPnic
: ID antarmuka yang dicadangkan untuk traffic HAIP
: Alamat IP yang dicadangkan untuk antarmuka HAPrefix Length
: panjang awalan untuk jaringan HA
Di kolom HA Port Default Gateway, masukkan gateway default jaringan pengelolaan. Jika menggunakan jaringan lain untuk komunikasi HA, berikan gateway default yang sesuai.
Biarkan kolom yang tersisa kosong.
Selesaikan langkah-langkah deployment template OVF yang tersisa.
Mengonfigurasi server VPN Lapisan 2 di NSX-T Manager di cloud pribadi Anda
Langkah-langkah berikut menjelaskan cara mengonfigurasi server VPN Lapisan 2 di gateway tingkat 0 atau tingkat 1 di NSX-T Manager cloud pribadi Anda.
Membuat layanan VPN Lapisan 2
- Di NSX-T Manager, buka Networking > VPN > VPN Services > Add Service > IPSec.
Masukkan detail berikut untuk membuat layanan IPSec:
- Masukkan Nama.
- Di kolom Tier0/Tier1 Gateway, pilih gateway tempat Anda ingin server VPN Lapisan 2 berjalan.
- Biarkan kolom lainnya kosong.
Buka Jaringan > VPN > Endpoint Lokal.
Masukkan detail berikut untuk membuat endpoint lokal:
- Masukkan Nama.
- Di kolom VPN Service, pilih layanan VPN IPSec yang baru saja Anda buat.
- Di kolom IP Address, masukkan alamat IP yang dicadangkan untuk endpoint lokal, yang juga akan menjadi alamat IP tempat tunnel VPN IPSec/Layer 2 dihentikan.
- Di kolom Local ID, masukkan alamat IP yang dicadangkan yang sama.
- Biarkan kolom lainnya kosong.
Buka Networking > VPN > VPN Services > Add Service > L2 VPN Server.
Masukkan detail berikut untuk membuat layanan VPN Lapisan 2:
- Masukkan Nama.
- Di kolom Tier0/Tier1 Gateway, pilih gateway tempat Anda ingin server VPN Lapisan 2 berjalan (gateway yang sama dengan yang digunakan sebelumnya di langkah 2).
- Biarkan kolom lainnya kosong.
Membuat sesi VPN Lapisan 2
- Di NSX-T Manager, buka Networking > VPN > L2 VPN Sessions > Add L2 VPN Session > L2 VPN Server.
Masukkan detail berikut untuk membuat sesi VPN Lapisan 2:
- Masukkan Nama.
- Pilih Endpoint/IP Lokal yang dibuat sebelumnya di langkah 4 Membuat layanan VPN Lapisan 2.
- Di kolom Remote IP, masukkan alamat IP uplink edge otonom di lingkungan lokal Anda.
- Masukkan Pre-shared key.
- Di kolom Tunnel Interface, masukkan satu alamat IP dari subnet antarmuka tunnel yang direservasi.
- Di kolom Remote ID, masukkan nilai dari Remote IP.
- Biarkan kolom lainnya kosong.
Membuat segmen jaringan untuk diperluas ke VLAN lokal
- Di NSX-T Manager, buka Networking > Segments > Add Segment.
Berikan detail berikut untuk membuat segmen yang akan diperluas ke VLAN lokal Anda:
- Masukkan Nama Segmen.
- Di kolom Connected Gateway, pilih None.
- Untuk Transport Zone, pilih TZ-Overlay.
- Di kolom L2 VPN, pilih sesi VPN Lapisan 2 yang dibuat sebelumnya di Membuat sesi VPN Lapisan 2.
- Di kolom VPN Tunnel ID, masukkan ID tunnel unik (misalnya, 100). ID tunnel ini harus cocok dengan ID tunnel yang digunakan saat memperluas VLAN dari lokal.
- Biarkan kolom lainnya kosong.
Buka Networking > VPN > L2 VPN Sessions.
Luaskan Session dan klik Download Config untuk mendownload konfigurasi VPN lapisan 2.
Buka file yang didownload menggunakan editor teks apa pun dan salin string peer_code tanpa tanda kutip. Anda akan menggunakan string ini nanti saat mengonfigurasi edge otonom di tempat untuk VPN Lapisan 2 di bagian berikutnya.
Mengiklankan IP endpoint lokal IPSec ke jaringan eksternal
Langkah ini bervariasi bergantung pada apakah Anda menggunakan gateway tingkat 1 atau tingkat 0 untuk layanan VPN Lapisan 2.
Beriklan dari gateway tingkat 0
Jika Anda menggunakan gateway tingkat 0, lakukan hal berikut untuk mengiklankan IP endpoint lokal IPSec dari gateway tingkat 0 ke jaringan eksternal:
- Buka Jaringan > Gateway Tingkat 0.
- Edit Gateway Tingkat 0 yang digunakan untuk VPN Lapisan 2 (idealnya Provider-LR).
- Luaskan Pembagian Ulang Rute.
- Di bagian Tier-0 Subnets, centang kotak IPSec Local IP.
- Klik Simpan.
Gabungkan subnet Endpoint Lokal IPSec di gateway tingkat 0. Agregasi router di gateway tingkat 0 diperlukan agar endpoint lokal IPSec dapat dijangkau oleh IP uplink edge otonom lokal dan tidak difilter di fabric jaringan.
- Buka Jaringan > Gateway Tingkat 0.
- Edit Gateway Tingkat 0 yang dipilih dan digunakan untuk VPN Lapisan 2 (idealnya Provider-LR).
- Buka BGP > Agregasi Rute > Tambahkan Prefix.
- Di kolom Prefix, masukkan jaringan endpoint lokal.
- Di kolom Summary-Only, pilih Yes.
- Klik Terapkan dan Simpan.
Beriklan dari gateway tingkat 1
Jika Anda menggunakan gateway tingkat 1 untuk layanan VPN Lapisan 2 (seperti dalam contoh deployment), lakukan langkah-langkah berikut sebagai gantinya:
Gabungkan subnet Endpoint Lokal IPSec di gateway tingkat 0. Agregasi router di gateway tingkat 0 diperlukan agar endpoint lokal IPSec dapat dijangkau oleh IP uplink edge otonom lokal dan tidak difilter di fabric jaringan.
- Buka Jaringan > Gateway Tingkat 0.
- Edit Gateway Tingkat 0 yang dipilih dan digunakan untuk VPN Lapisan 2 (idealnya Provider-LR).
- Buka BGP > Agregasi Rute > Tambahkan Prefix.
- Di kolom Prefix, masukkan jaringan endpoint lokal.
- Di kolom Summary-Only, pilih Yes.
- Klik Terapkan dan Simpan.
Buka Jaringan > Gateway Tingkat 1.
Edit Gateway Tingkat 1 yang digunakan untuk VPN Lapisan 2 (idealnya Provider-LR).
Di bagian Route Advertisement, aktifkan tombol IPSec Local Endpoint.
Klik Simpan.
Mengonfigurasi klien VPN Lapisan 2 di edge otonom (on-premises)
Langkah-langkah berikut menunjukkan cara mengonfigurasi klien VPN Lapisan 2 di edge otonom yang di-deploy di lokalitas dalam Men-deploy Edge Otonom NSX-T:
- Login ke NSX-T Autonomous Edge di alamat IP appliance pengelolaannya.
Tambahkan sesi VPN Lapisan 2:
- Buka L2 VPN, lalu klik Tambahkan Sesi.
Masukkan detail berikut:
- Di kolom Nama Sesi, masukkan nama sesi yang dikonfigurasi di Membuat sesi VPN Lapisan 2.
- Setel Admin Status ke Enabled.
- Di kolom Local IP, masukkan alamat IP uplink edge otonom.
- Di kolom Remote IP, masukkan alamat IP yang dikonfigurasi sebagai endpoint lokal di Mengonfigurasi server VPN Lapisan 2 di NSX-T Manager di cloud pribadi Anda.
- Di kolom Peer code, masukkan string peer_code yang disalin di Mengonfigurasi server VPN Lapisan 2 di NSX-T Manager di cloud pribadi Anda.
Klik Simpan.
Luaskan VLAN lokal:
- Buka Port, lalu klik Add Port.
Masukkan detail berikut:
- Di kolom Nama Port, masukkan nama port.
- Biarkan kolom Subnet kosong.
- Di kolom VLAN, masukkan ID VLAN VLAN on-premise yang akan diperluas.
- Untuk Exit Interface, pilih antarmuka uplink (seperti eth2).
Klik Simpan.
Lampirkan port ke Sesi VPN L2.
- Buka L2 VPN, lalu klik Attach Port.
Masukkan detail berikut:
- Pilih Sesi VPN L2 yang sebelumnya dibuat di langkah 2.
- Pilih Port yang sebelumnya dibuat di langkah 3.
- Di kolom Tunnel ID, masukkan ID tunnel yang sama dengan yang digunakan untuk memperluas segmen di private cloud Anda (di Mengonfigurasi server VPN Lapisan 2 di NSX-T Manager di private cloud Anda).
Sesi VPN Lapisan 2 muncul di tabel dengan Status "UP". VLAN lokal kini diperluas ke cloud pribadi VMware Engine (segmen yang diperluas). Workload yang dilampirkan ke VLAN yang diperluas di lokal dapat dijangkau oleh workload yang dilampirkan ke segmen yang diperluas di cloud pribadi VMware Engine Anda.
Men-deploy NSX-T Autonomous Edge sekunder (klien VPN Lapisan 2) dalam mode HA
Secara opsional, gunakan langkah-langkah berikut untuk men-deploy Edge Otonom NSX-T sekunder (klien VPN lapisan 2) dalam mode HA di lingkungan lokal Anda:
- Ikuti langkah-langkah dalam Men-deploy NSX-T Autonomous Edge di lingkungan lokal hingga Anda mencapai langkah Menyesuaikan template.
Pada langkah Customize template, lakukan hal berikut:
Di bagian Application, masukkan detail berikut:
- Tetapkan Sandi Pengguna Root Sistem.
- Tetapkan Sandi Pengguna "admin" CLI.
- Centang kotak Is Autonomous Edge.
- Biarkan semua kolom lainnya kosong.
Di bagian Network Properties, masukkan detail berikut:
- Tetapkan Hostname.
- Tetapkan Default IPv4 Gateway. Ini adalah gateway default jaringan manajemen.
- Tetapkan Management Network IPv4 Address. Ini adalah IP pengelolaan untuk edge otonom sekunder.
- Tetapkan Netmask Jaringan Pengelolaan. Ini adalah panjang awalan jaringan pengelolaan.
Di bagian DNS, masukkan detail berikut:
- Masukkan Daftar Server DNS.
- Masukkan alamat IP Server DNS, yang dipisahkan spasi.
- Masukkan Daftar Penelusuran Domain.
- Masukkan Nama domain.
Di bagian Services Configuration, masukkan detail berikut:
- Masukkan Daftar Server NTP.
- Masukkan Server NTP, yang dipisahkan dengan spasi.
- Centang kotak Enable SSH.
- Centang kotak Izinkan login SSH Root.
- Masukkan server logging (jika ada).
Biarkan bagian Eksternal kosong.
Di bagian HA, masukkan detail berikut:
Masukkan detail Port HA dalam format berikut:
VLAN ID,exitPnic,IP,Prefix Length
. Misalnya:2880,eth4,172.16.8.11,28
Ganti nilai berikut:VLAN ID
: ID VLAN VLAN pengelolaanexitPnic
: ID antarmuka yang dicadangkan untuk traffic HAIP
: Alamat IP yang dicadangkan untuk antarmuka HA untuk edge otonom sekunderPrefix Length
: panjang awalan untuk jaringan HA
Di kolom HA Port Default Gateway, masukkan gateway default jaringan pengelolaan.
Centang kotak Secondary API Node.
Di kolom Primary Node Management IP, masukkan alamat IP manajemen edge otonom utama.
Di kolom Primary Node Username, masukkan nama pengguna edge otonom utama (misalnya, "admin").
Di kolom Primary Node Password, masukkan sandi edge otonom utama.
Di kolom Primary Node Management Thumbprint, masukkan sidik jari API edge otonom utama. Anda bisa mendapatkannya dengan terhubung menggunakan SSH ke edge otonom utama menggunakan kredensial admin dan menjalankan perintah
get certificate api thumbprint
.
Selesaikan langkah-langkah deployment template OVF yang tersisa untuk men-deploy tepi otonom sekunder (klien VPN Lapisan 2 on-premise).
Edge otonom yang dihasilkan memiliki Status Ketersediaan Tinggi Aktif.
Contoh deployment VPN Lapisan 2
Tabel berikut memberikan spesifikasi untuk contoh deployment VPN Lapisan 2.
Jaringan lokal yang akan diperluas
Properti jaringan | Nilai |
---|---|
VLAN | 2875 |
CIDR | 172.16.8.16/28 |
Jaringan lokal tempat edge otonom di-deploy
Properti jaringan | Nilai |
---|---|
VLAN Pengelolaan | 2880 |
CIDR Pengelolaan | 172.16.8.0/28 |
VLAN uplink | 2871 |
CIDR uplink | 172.16.8.32/28 |
VLAN HA (sama dengan pengelolaan) | 2880 |
CIDR HA (sama dengan manajemen) | 172.16.8.0/28 |
Alamat IP pengelolaan edge otonom utama | 172.16.8.14 |
Alamat IP uplink tepi otonom utama | 172.16.8.46 |
Alamat IP HA tepi otonom utama | 172.16.8.12 |
Alamat IP pengelolaan edge otonom sekunder | 172.16.8.13 |
Alamat IP HA edge otonom sekunder | 172.16.8.11 |
Skema IP cloud pribadi untuk router tingkat 1 NSX-T (server VPN Lapisan 2)
Properti jaringan | Nilai |
---|---|
Alamat IP endpoint lokal | 192.168.198.198 |
Jaringan endpoint lokal | 192.168.198.198/31 |
Antarmuka tunnel | 192.168.199.1/30 |
Segmen (ditarik) | Pengujian VPN-Seg-L2 |
Antarmuka loopback (alamat IP NAT) | 104.40.21.81 |
Jaringan cloud pribadi untuk dipetakan ke jaringan yang diperluas
Properti jaringan | Nilai |
---|---|
Segmen (ditarik) | Pengujian VPN-Seg-L2 |
CIDR | 172.16.8.16/28 |
Langkah selanjutnya
- Untuk informasi selengkapnya tentang cara memperluas jaringan lokal menggunakan VPN Lapisan 2 NSX-T, lihat dokumentasi VMware Memahami VPN Lapisan 2.