Perluas jaringan Lapisan 2 lokal ke cloud pribadi menggunakan NSX-T

Dokumen ini menjelaskan cara meregangkan jaringan Lapisan 2 dari lingkungan lokal Anda ke cloud pribadi Google Cloud VMware Engine menggunakan VPN Lapisan 2 berbasis NSX-T. Untuk meregangkan jaringan Lapisan 2 menggunakan ekstensi jaringan HCX, lihat dokumentasi VMware HCX.

Peregangan jaringan Lapisan 2 berbasis VPN Lapisan 2 dapat berfungsi dengan atau tanpa jaringan berbasis NSX-T di lingkungan VMware lokal. Jika Anda tidak memiliki jaringan overlay berbasis NSX-T untuk workload lokal, gunakan NSX-T Autonomous Edge, dengan antarmuka yang mendukung Data Plane Development Kit (DPDK) untuk mendapatkan performa tinggi.

Meregangkan jaringan Lapisan 2 menggunakan NSX-T memiliki keunggulan berikut dibandingkan menggunakan ekstensi jaringan HCX:

• VPN lapisan 2 yang diperluas di NSX-T mendukung penggunaan antarmuka trunk.
• Throughput jaringan di NSX-T lebih tinggi daripada saat menggunakan ekstensi jaringan HCX.
• NSX-T memiliki lebih sedikit upgrade dan periode nonaktif yang lebih sedikit dibandingkan dengan HCX.
• Ekstensi jaringan HCX memerlukan lisensi vSphere Enterprise Plus lokal, tetapi perluasan VPN Lapisan 2 dapat berfungsi pada lisensi vSphere Standard lokal.

Skenario deployment

Untuk memperluas jaringan lokal menggunakan VPN Lapisan 2, skenario deployment yang dijelaskan akan mengonfigurasi server VPN Lapisan 2 dan klien VPN Lapisan 2. Proses ini terdiri dari langkah-langkah utama berikut:

1. Di lingkungan lokal Anda, deploy NSX-T Autonomous Edge (klien VPN Lapisan 2).
2. Di cloud pribadi Anda, konfigurasikan server VPN Lapisan 2 di NSX-T Manager.
3. Di lingkungan lokal Anda, konfigurasikan klien VPN Lapisan 2 di edge otonom.
4. (Opsional) Di lingkungan lokal Anda, deploy edge otonom sekunder (klien VPN Lapisan 2) dalam mode HA.

Cloud pribadi Anda terhubung ke lingkungan lokal Anda oleh Cloud VPN atau Cloud Interconnect. Penyiapan ini memastikan bahwa jalur perutean ada di antara gateway tingkat 0 atau tingkat-1 di cloud pribadi Anda dan klien edge otonom di jaringan lokal Anda.

Untuk mengetahui contoh spesifikasi deployment VPN Lapisan 2, lihat bagian Contoh deployment VPN Lapisan 2.

Sebelum memulai

Sebelum memulai, lakukan hal berikut:

• Hubungkan lingkungan lokal Anda ke jaringan VPC Anda.
• Identifikasi jaringan beban kerja Lapisan 2 yang ingin Anda perluas ke cloud pribadi.
• Identifikasi dua VLAN di lingkungan lokal Anda untuk men-deploy peralatan edge otonom (klien VPN Lapisan 2).
• Buat cloud pribadi.
• Siapkan penerusan DNS di server DNS lokal sehingga domain mengarah ke server DNS cloud pribadi.
• Izinkan traffic UDP pada port 500 dan 4500 antara alamat IP uplink edge otonom dan alamat IP endpoint lokal untuk digunakan di gateway tingkat 0 atau tingkat 1 di cloud pribadi Anda.

Selain itu, pastikan bahwa prasyarat berikut terpenuhi:

• Versi vSphere lokal harus 6.7U1+ atau 6.5P03+. Lisensi yang sesuai harus berada pada level Enterprise Plus (untuk vSphere Distributed Switch).
• Versi edge appliance otonom kompatibel dengan versi NSX-T Manager yang digunakan di cloud pribadi Anda.
• Latensi waktu round-trip (RTT) kurang dari atau sama dengan 150 md, yang diperlukan agar vMotion berfungsi di kedua situs (jika migrasi beban kerja dicoba).

Batasan dan pertimbangan

Tabel berikut mencantumkan versi vSphere dan jenis adaptor jaringan yang didukung:

Versi vSphere	Jenis vSwitch sumber	Driver NIC virtual	Jenis vSwitch target	Didukung?
Semua	DVS	Semua	DVS	Ya
vSphere 6.7UI atau lebih tinggi, 6.5P03 atau lebih tinggi	DVS	VMXNET3	N-VDS	Ya
vSphere 6.7UI atau lebih tinggi, 6.5P03 atau lebih tinggi	DVS	E1000	N-VDS	Tidak didukung, sesuai VMware
vSphere 6.7UI atau 6.5P03, NSX-V atau versi di bawah NSX-T2.2, 6.5P03 atau yang lebih tinggi	Semua	Semua	N-VDS	Tidak didukung, sesuai VMware

Men-deploy NSX-T Autonomous Edge (klien VPN Lapisan 2)

Untuk men-deploy NSX-T Autonomous Edge di lingkungan lokal Anda, bangun grup port trunk lokal, lalu buat edge otonom menggunakan grup port tersebut.

Membuat dan mengonfigurasi grup port trunk

Langkah-langkah berikut menunjukkan cara membuat dan mengonfigurasi grup port trunk:

1. Buat grup port terdistribusi dengan jenis VLAN yang ditetapkan ke trunking VLAN. Berikan VLAN yang ingin Anda perpanjang.

   

2. Pada opsi Security, tetapkan Promiscuous mode dan Forged mengirimkan ke Accept.

3. Pada opsi pembuatan tim dan failover, tetapkan Load balancing ke Gunakan urutan failover eksplisit.

4. Pada opsi pembuatan tim dan failover, setel Active uplink ke uplink1 dan Standby uplink ke uplink2.

5. Selesaikan langkah-langkah pembuatan grup port yang tersisa.

Deploy edge otonom di lingkungan lokal Anda

Langkah-langkah berikut menunjukkan cara men-deploy NSX-T Autonomous Edge (klien VPN Lapisan 2) di lingkungan lokal:

1. Hubungi Cloud Customer Care untuk mendownload versi NSX Edge untuk VMware ESXi yang benar.

2. Deploy NSX Edge OVA sebagai template OVF.

   1. Pada langkah Configuration, pilih konfigurasi Large agar cocok dengan NSX-T Edges faktor bentuk besar yang disertakan dengan cloud pribadi VMware Engine Anda.
   2. Pada langkah Pilih penyimpanan, pilih datastore yang ingin Anda gunakan.

   3. Pada langkah Pilih jaringan, sediakan grup port yang akan digunakan untuk jenis traffic yang berbeda:

      • Network 0 (eth1 on the appliance): Memilih grup port yang dicadangkan untuk traffic pengelolaan.
      • Network 1 (eth2 on the appliance): Memilih grup port yang dicadangkan untuk traffic uplink.
      • Jaringan 2 (eth3 di perangkat): Pilih grup port trunk.
      • Network 3 (eth4 on the appliance): Pilih grup port yang dicadangkan untuk traffic HA. Pada gambar berikut, grup port yang dicadangkan untuk traffic pengelolaan juga digunakan untuk traffic dengan ketersediaan tinggi (HA).

      

   4. Pada langkah Customize template, masukkan detail berikut:

      1. Di bagian Aplikasi, lakukan hal berikut:

         1. Setel Sandi Pengguna Root Sistem.
         2. Setel Sandi Pengguna "admin" CLI.
         3. Pilih kotak centang Is Autonomous Edge.
         4. Biarkan kolom yang tersisa kosong.

      2. Di bagian Properti Jaringan, lakukan hal berikut:

         1. Setel Nama Host.
         2. Setel Gateway IPv4 Default. Ini adalah gerbang {i>default<i} dari jaringan pengelolaan.
         3. Tetapkan Alamat IPv4 Jaringan Pengelolaan. Ini adalah IP manajemen untuk edge otonom.
         4. Tetapkan Management Network Netmask. Ini adalah panjang awalan jaringan pengelolaan.

      3. Di bagian DNS, lakukan hal berikut:

         1. Di kolom DNS Server list, masukkan alamat IP server DNS yang dipisahkan spasi.
         2. Di kolom Domain Search List, masukkan nama domain.

      4. Di bagian Konfigurasi Layanan, lakukan hal berikut:

         1. Masukkan Daftar Server NTP.
         2. Masukkan Server NTP yang dipisahkan spasi.
         3. Centang kotak Enable SSH.
         4. Centang kotak Allow Root SSH logins.
         5. Masukkan server logging (jika ada).

      5. Di bagian Eksternal, lakukan hal berikut:

         1. Masukkan detail External Port dalam format berikut: VLAN ID,Exit Interface,IP,Prefix Length. Misalnya: 2871,eth2,172.16.8.46,28 Ganti nilai berikut:

            • VLAN ID: ID VLAN VLAN uplink
            • Exit Interface: ID antarmuka yang dicadangkan untuk traffic uplink
            • IP: Alamat IP yang dicadangkan untuk antarmuka uplink
            • Prefix Length: panjang awalan untuk jaringan uplink

         2. Di kolom Gateway Eksternal, masukkan gateway default jaringan uplink.

      6. Di bagian HA, lakukan hal berikut:

         1. Masukkan detail Port HA dalam format berikut: VLAN ID,exitPnic,IP,Prefix Length. Misalnya: 2880,eth4,172.16.8.46,28 Ganti nilai berikut:

            • VLAN ID: ID VLAN VLAN pengelolaan
            • exitPnic: ID antarmuka yang dicadangkan untuk traffic dengan ketersediaan tinggi (HA)
            • IP: Alamat IP yang dicadangkan untuk antarmuka dengan ketersediaan tinggi (HA)
            • Prefix Length: panjang awalan untuk jaringan HA

         2. Di kolom HA Port Default Gateway, masukkan gateway default jaringan pengelolaan. Jika menggunakan jaringan yang berbeda untuk komunikasi HA, sediakan gateway default yang sesuai.

         3. Biarkan kolom yang tersisa kosong.

3. Selesaikan langkah-langkah deployment template OVF yang tersisa.

Konfigurasikan server VPN Lapisan 2 di NSX-T Manager di cloud pribadi Anda

Langkah-langkah berikut menjelaskan cara mengonfigurasi server VPN Lapisan 2 pada gateway tingkat 0 atau tingkat 1 di NSX-T Manager cloud pribadi Anda.

Membuat layanan VPN Lapisan 2

1. Di NSX-T Manager, buka Networking > VPN > Layanan VPN > Add Service > IPSec.

2. Masukkan detail berikut untuk membuat layanan IPSec:

   • Masukkan Nama.
   • Di kolom Tier0/Tier1 Gateway, pilih gateway tempat Anda ingin menjalankan server VPN Lapisan 2.
   • Biarkan kolom lainnya kosong.

   

3. Buka Networking > VPN > Local Endpoints.

4. Masukkan detail berikut untuk membuat endpoint lokal:

   • Masukkan Nama.
   • Di kolom VPN Service, pilih layanan IPSec VPN yang baru saja Anda buat.
   • Di kolom IP Address, masukkan alamat IP yang dicadangkan untuk endpoint lokal, yang juga merupakan alamat IP tempat tunnel VPN IPSec/Layer 2 dihentikan.
   • Di kolom ID Lokal, masukkan alamat IP yang sama yang dicadangkan.
   • Biarkan kolom lainnya kosong.

5. Buka Networking > VPN > Layanan VPN > Add Service > L2 VPN Server.

6. Masukkan detail berikut untuk membuat layanan VPN Lapisan 2:

   • Masukkan Nama.
   • Di kolom Tier0/Tier1 Gateway, pilih gateway tempat Anda ingin menjalankan server VPN Lapisan 2 (gateway yang sama yang digunakan sebelumnya pada langkah 2).
   • Biarkan kolom lainnya kosong.

Membuat sesi VPN Lapisan 2

1. Di NSX-T Manager, buka Networking > VPN > L2 VPN Sessions > Add L2 VPN Session > L2 VPN Server.

2. Masukkan detail berikut untuk membuat sesi VPN Lapisan 2:

   • Masukkan Nama.
   • Pilih Local Endpoint/IP yang dibuat sebelumnya pada langkah 4 dari Membuat layanan VPN Lapisan 2.
   • Di kolom Remote IP, masukkan alamat IP uplink edge otonom di lingkungan lokal Anda.
   • Masukkan Pre-shared key.
   • Di kolom Tunnel Interface, masukkan satu alamat IP dari subnet antarmuka tunnel yang dicadangkan.
   • Di kolom Remote ID, masukkan nilai dari Remote IP.
   • Biarkan kolom lainnya kosong.

Buat segmen jaringan untuk diperluas ke VLAN lokal Anda

1. Di NSX-T Manager, buka Networking > Segmen > Tambahkan Segmen.

2. Berikan detail berikut untuk membuat segmen yang akan diperluas ke VLAN lokal Anda:

   • Masukkan Nama Segmen.
   • Di kolom Gateway Terhubung, pilih Tidak ada.
   • Untuk Zona Transport, pilih TZ-Overlay.
   • Di kolom L2 VPN, pilih sesi VPN Lapisan 2 yang dibuat sebelumnya di Membuat sesi VPN Lapisan 2.
   • Di kolom VPN Tunnel ID, masukkan ID tunnel unik (misalnya, 100). ID tunnel ini harus cocok dengan ID tunnel yang digunakan saat memperluas VLAN dari infrastruktur lokal.
   • Biarkan kolom lainnya kosong.

   

3. Buka Jaringan > VPN > Sesi VPN L2.

4. Luaskan Session, lalu klik Download Config untuk mendownload konfigurasi VPN Layer 2.

5. Buka file yang didownload menggunakan editor teks apa pun, lalu salin string peer_code tanpa tanda petik. Anda akan menggunakan string ini nanti saat mengonfigurasi edge otonom secara lokal untuk VPN Lapisan 2 di bagian berikutnya.

Iklankan IP endpoint lokal IPSec ke jaringan eksternal

Langkah ini bervariasi, bergantung pada apakah Anda menggunakan gateway tingkat 1 atau tingkat 0 untuk layanan VPN Lapisan 2.

Beriklan dari gateway tingkat 0

Jika Anda menggunakan gateway tingkat-0, lakukan hal berikut untuk mengiklankan IP endpoint lokal IPSec dari gateway tingkat-0 ke jaringan eksternal:

1. Buka Networking > Tier-0 Gateways.
2. Edit Gateway Tingkat-0 yang digunakan untuk VPN Lapisan 2 (idealnya Provider-LR).
3. Luaskan Route Re-Distribution.
4. Di bagian Tier-0 Subnets, pilih kotak centang IPSec Local IP.
5. Klik Simpan.

6. Gabungkan subnet Endpoint Lokal IPSec pada gateway tingkat-0. Agregasi router di gateway tingkat-0 diperlukan agar endpoint lokal IPSec dapat dijangkau ke IP uplink edge otonom lokal dan tidak difilter dalam fabric jaringan.

   1. Buka Networking > Tier-0 Gateways.
   2. Edit Gateway Tingkat-0 yang dipilih yang digunakan untuk VPN Lapisan 2 (idealnya Penyedia-LR).
   3. Buka BGP > Route Aggregation > Add Prefix.
   4. Di kolom Awalan, masukkan jaringan endpoint lokal.
   5. Di kolom Summary-Only, pilih Yes.
   6. Klik Apply, lalu Save.

Beriklan dari gateway tingkat 1

Jika Anda menggunakan gateway tingkat 1 untuk layanan VPN Lapisan 2 (seperti dalam contoh deployment), lakukan langkah-langkah berikut:

1. Gabungkan subnet Endpoint Lokal IPSec pada gateway tingkat-0. Agregasi router di gateway tingkat-0 diperlukan agar endpoint lokal IPSec dapat dijangkau ke IP uplink edge otonom lokal dan tidak difilter dalam fabric jaringan.

   1. Buka Networking > Tier-0 Gateways.
   2. Edit Gateway Tingkat-0 yang dipilih yang digunakan untuk VPN Lapisan 2 (idealnya Penyedia-LR).
   3. Buka BGP > Route Aggregation > Add Prefix.
   4. Di kolom Awalan, masukkan jaringan endpoint lokal.
   5. Di kolom Summary-Only, pilih Yes.
   6. Klik Apply, lalu Save.

2. Buka Networking > Gateway Tingkat 1.

3. Edit Gateway Tingkat-1 yang digunakan untuk VPN Lapisan 2 (idealnya Provider-LR).

4. Di bagian Route Advertisingment, aktifkan tombol IPSec Local Endpoint.

5. Klik Simpan.

Mengonfigurasi klien VPN Lapisan 2 di edge otonom (lokal)

Langkah-langkah berikut menunjukkan cara mengonfigurasi klien VPN Lapisan 2 di edge otonom yang di-deploy secara lokal di Men-deploy NSX-T Autonomous Edge:

1. Login ke NSX-T Autonomous Edge di alamat IP peralatan pengelolaannya.

2. Tambahkan sesi VPN Lapisan 2:

   1. Buka L2 VPN, lalu klik Add Session.

   2. Masukkan detail berikut:

      • Di kolom Nama Sesi, masukkan nama sesi yang dikonfigurasi di Membuat sesi VPN Lapisan 2.
      • Setel Admin Status ke Enabled.
      • Di kolom Local IP, masukkan alamat IP uplink edge otonom.
      • Di kolom Remote IP, masukkan alamat IP yang dikonfigurasi sebagai endpoint lokal di Configure Layer 2 VPN server on NSX-T Manager in your private cloud.
      • Di kolom Peer code, masukkan string peer_code yang disalin di Configure Layer 2 VPN server on NSX-T Manager in your private cloud.

   3. Klik Simpan.

3. Memperluas VLAN lokal:

   1. Buka Port, lalu klik Tambahkan Port.

   2. Masukkan detail berikut:

      • Di kolom Port Name, masukkan nama port.
      • Biarkan kolom Subnet kosong.
      • Di kolom VLAN, masukkan ID VLAN dari VLAN lokal yang akan diperluas.
      • Untuk Keluar dari Antarmuka, pilih antarmuka uplink (seperti eth2).

   3. Klik Simpan.

4. Lampirkan port ke Sesi VPN L2.

   1. Buka L2 VPN, lalu klik Attach Port.

   2. Masukkan detail berikut:

      • Pilih Sesi VPN L2 yang sebelumnya dibuat pada langkah 2.
      • Pilih Port yang sebelumnya dibuat pada langkah 3.
      • Di kolom Tunnel ID, masukkan ID tunnel yang sama dengan yang digunakan untuk memperluas segmen di cloud pribadi Anda (di Mengonfigurasi server VPN Layer 2 di NSX-T Manager di cloud pribadi).

   3. Sesi VPN Lapisan 2 muncul dalam tabel dengan Status "UP". VLAN lokal kini diperluas ke cloud pribadi VMware Engine (segmen yang diperluas). Beban kerja yang terpasang pada VLAN yang diperluas lokal dapat dijangkau ke beban kerja yang terpasang ke segmen yang diperluas di cloud pribadi VMware Engine Anda.

Men-deploy NSX-T Autonomous Edge (klien VPN Lapisan 2) sekunder dalam mode HA

Secara opsional, gunakan langkah-langkah berikut untuk men-deploy NSX-T Autonomous Edge (klien VPN Lapisan 2) dalam mode HA di lingkungan lokal Anda:

1. Ikuti langkah-langkah di Men-deploy NSX-T Autonomous Edge di lingkungan lokal hingga Anda mencapai langkah Sesuaikan template.

2. Pada langkah Sesuaikan template, lakukan hal berikut:

   1. Di bagian Aplikasi, masukkan detail berikut:

      • Setel Sandi Pengguna Root Sistem.
      • Setel Sandi Pengguna "admin" CLI.
      • Pilih kotak centang Is Autonomous Edge.
      • Biarkan setiap kolom lainnya kosong.

   2. Di bagian Properti Jaringan, masukkan detail berikut:

      • Setel Nama Host.
      • Setel Gateway IPv4 Default. Ini adalah gateway default jaringan pengelolaan.
      • Tetapkan Alamat IPv4 Jaringan Pengelolaan. Ini adalah IP manajemen untuk tepi otonom sekunder.
      • Tetapkan Management Network Netmask. Ini adalah panjang awalan jaringan pengelolaan.

   3. Di bagian DNS, masukkan detail berikut:

      • Masukkan daftar Server DNS.
      • Masukkan alamat IP Server DNS yang dipisahkan spasi.
      • Masukkan Daftar Penelusuran Domain.
      • Masukkan Nama domain.

   4. Di bagian Konfigurasi Layanan, masukkan detail berikut:

      • Masukkan Daftar Server NTP.
      • Masukkan Server NTP yang dipisahkan spasi.
      • Centang kotak Enable SSH.
      • Centang kotak Allow Root SSH logins.
      • Masukkan server logging (jika ada).

   5. Biarkan bagian External kosong.

   6. Di bagian HA, masukkan detail berikut:

      • Masukkan detail Port HA dalam format berikut: VLAN ID,exitPnic,IP,Prefix Length. Misalnya: 2880,eth4,172.16.8.11,28 Ganti nilai berikut:

        • VLAN ID: ID VLAN VLAN pengelolaan
        • exitPnic: ID antarmuka yang dicadangkan untuk traffic HA
        • IP: Alamat IP yang dicadangkan untuk antarmuka HA untuk edge otonom sekunder
        • Prefix Length: panjang awalan untuk jaringan HA

      • Di kolom HA Port Default Gateway, masukkan gateway default jaringan pengelolaan.

      • Centang kotak Secondary API Node.

      • Di kolom Primary Node Management IP, masukkan alamat IP pengelolaan edge otonom primer.

      • Di kolom Primary Node Username, masukkan nama pengguna tepi otonom utama (misalnya, "admin").

      • Di kolom Sandi Node Utama, masukkan sandi tepi otonom utama.

      • Di kolom Primary Node Management Thumbprint, masukkan thumbprint API dari edge otonom primer. Anda bisa mendapatkannya dengan menghubungkan menggunakan SSH ke edge otonom utama menggunakan kredensial admin dan menjalankan perintah get certificate api thumbprint.

3. Selesaikan langkah-langkah deployment template OVF yang tersisa untuk men-deploy edge otonom sekunder (klien VPN Lapisan 2 lokal).

Edge otonom yang dihasilkan memiliki Status Ketersediaan Tinggi Aktif.

Contoh deployment VPN Lapisan 2

Tabel berikut memberikan spesifikasi untuk contoh deployment VPN Lapisan 2.

Jaringan lokal akan diperluas

Properti jaringan	Nilai
VLAN	2875
CIDR	172.16.8.16/28

Jaringan lokal tempat edge otonom di-deploy

Properti jaringan	Nilai
VLAN pengelolaan	2880
CIDR pengelolaan	172.16.8.0/28
VLAN uplink	2871
CIDR Uplink	172.16.8.32/28
VLAN dengan ketersediaan tinggi (HA) (sama seperti pengelolaan)	2880
CIDR HA (sama seperti pengelolaan)	172.16.8.0/28
Alamat IP pengelolaan edge otonom utama	172.16.8.14
Alamat IP uplink edge otonom primer	172.16.8.46
Alamat IP edge otonom primer	172.16.8.12
Alamat IP pengelolaan edge otonom sekunder	172.16.8.13
Alamat IP edge otonom sekunder	172.16.8.11

Skema IP cloud pribadi untuk router tingkat 1 NSX-T (server VPN Lapisan 2)

Properti jaringan	Nilai
Alamat IP endpoint lokal	192.168.198.198
Jaringan endpoint lokal	192.168.198.198/31
Antarmuka Tunnel	192.168.199.1/30
Segmen (dilebarkan)	Uji-Seg-VPN L2
Antarmuka loopback (alamat IP NAT)	104.40.21.81

Jaringan cloud pribadi untuk dipetakan ke jaringan yang direntangkan

Properti jaringan	Nilai
Segmen (dilebarkan)	Uji-Seg-VPN L2
CIDR	172.16.8.16/28

Langkah selanjutnya

• Untuk mengetahui informasi selengkapnya tentang cara memperluas jaringan lokal menggunakan VPN NSX-T Layer 2, lihat dokumentasi VMware Memahami VPN Lapisan 2.