הרחבת רשתות מקומיות בשכבה 2 לענן פרטי באמצעות NSX

במאמר הזה נסביר איך להרחיב רשת Layer 2 מהסביבה המקומית שלכם לענן הפרטי שלכם ב-Google Cloud VMware Engine באמצעות VPN Layer 2 מבוסס NSX. כדי להרחיב רשת Layer 2 באמצעות הרחבת רשת HCX, אפשר לעיין במסמכי התיעוד של VMware HCX.

אפשר להשתמש ב-VPN בשכבה 2 כדי להרחיב רשתות בשכבה 2 עם רשתות מבוססות NSX בסביבת VMware המקומית, או בלי רשתות כאלה. אם אין לכם רשתות שכבת-על מבוססות NSX לעומסי עבודה מקומיים, אתם יכולים להשתמש ב-NSX-T Autonomous Edge, שיש לו ממשקי Data Plane Development Kit (DPDK) שמופעלים לביצועים גבוהים.

לשימוש ב-NSX כדי להרחיב רשת Layer 2 יש את היתרונות הבאים בהשוואה לשימוש בהרחבת רשת HCX:

• הארכת VPN בשכבה 2 ב-NSX תומכת בשימוש בממשק trunk.
• קצב העברת הנתונים ברשת ב-NSX גבוה יותר מאשר כשמשתמשים בהרחבת רשת HCX.
• ב-NSX יש פחות שדרוגים ופחות זמן השבתה בהשוואה ל-HCX.
• כדי להשתמש בהרחבת רשת HCX, צריך רישיון vSphere Enterprise Plus מקומי, אבל אפשר להשתמש בהרחבת VPN בשכבה 2 עם רישיון vSphere Standard מקומי.

תרחיש פריסה

כדי להרחיב את הרשת המקומית באמצעות VPN בשכבה 2, בתרחיש הפריסה שמתואר כאן מוגדר שרת VPN בשכבה 2 ולקוח VPN בשכבה 2. התהליך מורכב מהשלבים העיקריים הבאים:

1. בסביבה המקומית, פורסים את NSX-T Autonomous Edge (לקוח VPN בשכבה 2).
2. בענן הפרטי, מגדירים שרת VPN בשכבה 2 ב-NSX-T Manager.
3. בסביבה המקומית, מגדירים את לקוח ה-VPN בשכבה 2 ב-autonomous edge.
4. (אופציונלי) בסביבה המקומית, פורסים את ה-autonomous edge המשני (לקוח VPN בשכבה 2) במצב HA.

הענן הפרטי שלכם מחובר לסביבה המקומית באמצעות Cloud VPN או Cloud Interconnect. ההגדרה הזו מבטיחה שקיים נתיב ניתוב בין שער ברמה 0 או ברמה 1 בענן הפרטי שלכם לבין לקוח קצה אוטונומי ברשת המקומית שלכם.

דוגמאות למפרטים של פריסת VPN בשכבה 2 מופיעות בקטע דוגמה לפריסת VPN בשכבה 2.

לפני שמתחילים

לפני שמתחילים, צריך לבצע את הפעולות הבאות:

• חיבור הסביבה המקומית לרשת ה-VPC.
• מזהים את רשת עומס העבודה בשכבה 2 שרוצים להרחיב לענן הפרטי.
• מזהים שתי רשתות VLAN בסביבה המקומית כדי לפרוס את מכשיר הקצה האוטונומי (לקוח VPN בשכבה 2).
• יצירת ענן פרטי
• מגדירים העברת DNS בשרתי ה-DNS המקומיים כדי שהדומיין יפנה לשרתי ה-DNS בענן הפרטי.
• צריך לאפשר תעבורת UDP ביציאות 500 ו-4500 בין כתובת ה-IP של הקישור העולה של קצה הרשת האוטונומי לבין כתובת ה-IP של נקודת הקצה המקומית, לשימוש בשער tier-0 או tier-1 בענן הפרטי.

בנוסף, צריך לוודא שהדרישות המוקדמות הבאות מתקיימות:

• גרסת vSphere המקומית צריכה להיות 6.7U1+‎ או 6.5P03+‎. הרישיון המתאים צריך להיות ברמה Enterprise Plus (ל-vSphere Distributed Switch).
• הגרסה של מכשיר הקצה האוטונומי תואמת לגרסת NSX-T Manager שבה נעשה שימוש בענן הפרטי.
• זמן האחזור (RTT) של זמן הלוך ושוב הוא עד 150 אלפיות השנייה, שזהו הערך הנדרש כדי ש-vMotion יפעל בשני האתרים (במקרה של ניסיון להעביר עומס עבודה).

מגבלות ושיקולים

בטבלה הבאה מפורטות גרסאות vSphere נתמכות וסוגים של מתאמי רשת:

גרסת vSphere	סוג vSwitch של המקור	דרייבר של כרטיס רשת וירטואלי	סוג יעד של מתג וירטואלי	האם יש תמיכה?
הכול	DVS	הכול	DVS	כן
‫vSphere 6.7UI ומעלה, 6.5P03 ומעלה	DVS	VMXNET3	N-VDS	כן
‫vSphere 6.7UI ומעלה, 6.5P03 ומעלה	DVS	E1000	N-VDS	לא נתמך, לפי VMware
‫vSphere 6.7UI או 6.5P03, ‏ NSX-V או גרסאות מתחת ל-NSX-T2.2, ‏ 6.5P03 ואילך	הכול	הכול	N-VDS	לא נתמך, לפי VMware

פריסת NSX-T Autonomous Edge (לקוח VPN בשכבה 2)

כדי לפרוס את NSX-T Autonomous Edge בסביבה המקומית, צריך ליצור קבוצת יציאות של Trunking בסביבה המקומית, ואז ליצור את Autonomous Edge באמצעות קבוצת היציאות הזו.

יצירה והגדרה של קבוצת יציאות של Trunk

בשלבים הבאים מוסבר איך ליצור ולהגדיר קבוצת יציאות של Trunk:

1. יוצרים קבוצת יציאות מבוזרת עם סוג ה-VLAN שמוגדר לVLAN trunking. מזינים את ה-VLAN שרוצים להרחיב.

   

2. באפשרויות Security, מגדירים את Promiscuous mode ואת Forged transmits לערך Accept.

3. באפשרויות של צירוף לצוות וגיבוי אוטומטי, מגדירים את איזון העומסים לשימוש בסדר גיבוי אוטומטי מפורש.

4. באפשרויות של צירוף ממשקים וגיבוי במקרה של כשל, מגדירים את Active uplinks (ממשקי העלייה הפעילים) ל-uplink1 ואת Standby uplinks (ממשקי העלייה במצב המתנה) ל-uplink2.

5. משלימים את השלבים שנותרו ליצירת קבוצת יציאות.

פריסת Autonomous Edge בסביבה המקומית

כדי לפרוס את NSX-T Autonomous Edge (לקוח VPN בשכבה 2) בסביבה המקומית:

1. פנו אל Cloud Customer Care כדי להוריד את הגרסה הנכונה של NSX Edge for VMware ESXi.

2. פורסים את NSX Edge OVA כתבנית OVF.

   1. בשלב Configuration (הגדרה), בוחרים בהגדרה Large (גדול) כדי להתאים לגורמי הצורה הגדולים של NSX Edges שמגיעים עם הענן הפרטי של VMware Engine.
   2. בשלב Select storage (בחירת אחסון), בוחרים את מאגר הנתונים שרוצים להשתמש בו.

   3. בשלב Select networks, מציינים את קבוצות היציאות שבהן רוצים להשתמש עבור סוגי תנועה שונים:

      • רשת 0 (eth1 במכשיר): בוחרים את קבוצת היציאות ששמורה לתנועת ניהול.
      • רשת 1 (eth2 במכשיר): בוחרים את קבוצת היציאות ששמורה לתעבורת נתונים של קישור עלייה.
      • רשת 2 (eth3 במכשיר): בוחרים את קבוצת יציאות ה-trunk.
      • רשת 3 (eth4 במכשיר): בוחרים את קבוצת היציאות ששמורה לתעבורת HA. בתמונה הבאה, קבוצת היציאות ששמורה לתנועת ניהול משמשת גם לתנועת HA.

      

   4. בשלב התאמה אישית של התבנית, מזינים את הפרטים הבאים:

      1. בקטע Application, מבצעים את הפעולות הבאות:

         1. מגדירים את סיסמת משתמש הבסיס של המערכת.
         2. מגדירים את הסיסמה של המשתמש 'admin' ב-CLI.
         3. מסמנים את תיבת הסימון Is Autonomous Edge (האם מדובר ב-Autonomous Edge).
         4. משאירים את שאר השדות ריקים.

      2. בקטע Network Properties (מאפייני הרשת), מבצעים את הפעולות הבאות:

         1. מגדירים את שם המארח.
         2. מגדירים את שער ברירת המחדל של IPv4. זהו שער ברירת המחדל של רשת הניהול.
         3. מגדירים את כתובת ה-IPv4 של רשת הניהול. זוהי כתובת ה-IP לניהול של ה-Autonomous Edge.
         4. מגדירים את מסיכת הרשת של רשת הניהול. זהו אורך הקידומת של רשת הניהול.

      3. בקטע DNS, מבצעים את הפעולות הבאות:

         1. בשדה רשימת שרתי DNS, מזינים את כתובות ה-IP של שרתי ה-DNS, מופרדות ברווחים.
         2. בשדה Domain Search List (רשימת חיפושי דומיינים), מזינים את שם הדומיין.

      4. בקטע Services Configuration (הגדרת שירותים), מבצעים את הפעולות הבאות:

         1. מזינים את רשימת שרתי NTP.
         2. מזינים את שרתי ה-NTP, מופרדים ברווחים.
         3. מסמנים את התיבה Enable SSH.
         4. מסמנים את תיבת הסימון Allow Root SSH logins (התרת כניסות SSH של משתמש על).
         5. מזינים את שרת הרישום ביומן (אם יש כזה).

      5. בקטע External (חיצוני), מבצעים את הפעולות הבאות:

         1. מזינים את פרטי הניוד החיצוני בפורמט הבא: VLAN ID,Exit Interface,IP,Prefix Length. לדוגמה: 2871,eth2,172.16.8.46,28. מחליפים את הערכים הבאים:

            • ‫VLAN ID: מזהה ה-VLAN של ה-VLAN של הקישור העולה
            • ‫Exit Interface: מזהה הממשק שמור לתנועה של קישור העלייה
            • ‫IP: כתובת ה-IP שמורה לממשק של הקישור העולה
            • ‫Prefix Length: אורך הקידומת של הרשת של הקישור העולה

         2. בשדה External Gateway, מזינים את שער ברירת המחדל של רשת הקישור העולה.

      6. בקטע HA:

         1. מזינים את פרטי הניוד של HA בפורמט הבא: VLAN ID,exitPnic,IP,Prefix Length. לדוגמה: 2880,eth4,172.16.8.46,28. מחליפים את הערכים הבאים:

            • ‫VLAN ID: מזהה ה-VLAN של ה-VLAN לניהול
            • ‫exitPnic: מזהה הממשק ששמור לתנועת HA
            • ‫IP: כתובת IP שמורה לממשק HA
            • ‫Prefix Length: אורך הקידומת של רשת HA

         2. בשדה HA Port Default Gateway (שער ברירת מחדל של יציאת HA), מזינים את שער ברירת המחדל של רשת הניהול. אם משתמשים ברשת אחרת לתקשורת של זמינות גבוהה, צריך לספק את שער ברירת המחדל המתאים.

         3. משאירים את שאר השדות ריקים.

3. משלימים את שאר השלבים של פריסת תבנית OVF.

הגדרת שרת VPN בשכבה 2 ב-NSX-T Manager בענן הפרטי

בשלבים הבאים מוסבר איך להגדיר שרת VPN בשכבה 2 בשער Tier-0 או Tier-1 בענן הפרטי NSX-T Manager.

יצירת שירות VPN בשכבה 2

1. ב-NSX-T Manager, עוברים אל Networking > VPN > VPN Services > Add Service > IPSec.

2. מזינים את הפרטים הבאים כדי ליצור שירות IPSec:

   • מזינים את השם.
   • בעמודה Tier0/Tier1 Gateway, בוחרים את השער שבו רוצים להפעיל את שרת ה-VPN של Layer 2.
   • משאירים את שאר השדות ריקים.

   

3. עוברים אל Networking > VPN > Local Endpoints.

4. כדי ליצור נקודת קצה מקומית, צריך להזין את הפרטים הבאים:

   • מזינים את השם.
   • בעמודה VPN Service, בוחרים את שירות ה-IPSec VPN שיצרתם.
   • בשדה IP Address (כתובת IP), מזינים את כתובת ה-IP ששמורה לנקודת קצה מקומית, שתהיה גם כתובת ה-IP שבה מסתיים מנהרת ה-VPN של IPSec/Layer 2.
   • בשדה Local ID (מזהה מקומי), מזינים את אותה כתובת IP שמורה.
   • משאירים את שאר השדות ריקים.

5. עוברים אל Networking > VPN > VPN Services > Add Service > L2 VPN Server.

6. כדי ליצור שירות VPN בשכבה 2, מזינים את הפרטים הבאים:

   • מזינים את השם.
   • בעמודה Tier0/Tier1 Gateway, בוחרים את השער שבו רוצים להפעיל את שרת ה-VPN של שכבה 2 (אותו שער שבו השתמשתם קודם בשלב 2).
   • משאירים את שאר השדות ריקים.

יצירת סשן VPN בשכבה 2

1. ב-NSX-T Manager, עוברים אל Networking > VPN > L2 VPN Sessions > Add L2 VPN Session > L2 VPN Server.

2. כדי ליצור סשן VPN בשכבה 2, מזינים את הפרטים הבאים:

   • מזינים את השם.
   • בוחרים את Local Endpoint/IP (נקודת קצה מקומית/כתובת IP) שנוצרו קודם בשלב 4 של יצירת שירות VPN בשכבה 2.
   • בשדה Remote IP, מזינים את כתובת ה-IP של הקישור העולה של קצה אוטונומי בסביבה המקומית.
   • מזינים את המפתח ששותף מראש.
   • בשדה Tunnel Interface (ממשק מנהרה), מזינים כתובת IP אחת מרשת המשנה השמורה של ממשק המנהרה.
   • בשדה מזהה מרוחק, מזינים את הערך מכתובת IP מרוחקת.
   • משאירים את שאר השדות ריקים.

יצירת פלח רשת להרחבה ל-VLAN המקומי

1. ב-NSX-T Manager, עוברים אל Networking > Segments > Add Segment (רשת > פלחים > הוספת פלח).

2. כדי ליצור פלח להרחבה ל-VLAN המקומי, צריך לספק את הפרטים הבאים:

   • מזינים את שם הפלח.
   • בשדה Connected Gateway (שער מחובר), בוחרים באפשרות None (ללא).
   • בשדה Transport Zone, בוחרים באפשרות TZ-Overlay.
   • בשדה L2 VPN, בוחרים את סשן ה-VPN בשכבה 2 שיצרתם קודם בקטע יצירת סשן VPN בשכבה 2.
   • בשדה VPN Tunnel ID (מזהה מנהרת ה-VPN), מזינים מזהה מנהרה ייחודי (לדוגמה, 100). מזהה המנהרה הזה צריך להיות זהה למזהה המנהרה שמשמש להרחבת ה-VLAN מהמערכות המקומיות.
   • משאירים את שאר השדות ריקים.

   

3. עוברים אל רשתות > VPN > L2 VPN Sessions (ייעוץ מקצועי בנושא VPN L2).

4. מרחיבים את Session (סשן) ולוחצים על Download Config (הורדת הגדרות) כדי להוריד את הגדרות ה-VPN של שכבה 2.

5. פותחים את הקובץ שהורד באמצעות כלי לעריכת טקסט ומעתיקים את המחרוזת peer_code בלי המירכאות. תשתמשו במחרוזת הזו בהמשך, כשמגדירים רשת VPN אוטונומית מקומית בשכבה 2 בקטעים הבאים.

פרסום כתובת ה-IP של נקודת הקצה המקומית של IPSec ברשת חיצונית

השלב הזה משתנה בהתאם לשאלה אם משתמשים בשער ברמה 1 או ברמה 0 עבור שירותי VPN בשכבה 2.

פרסום משער ברמה 0

אם משתמשים בשער ברמה 0, צריך לבצע את הפעולות הבאות כדי לפרסם את כתובת ה-IP של נקודת הקצה המקומית של IPSec מהשער ברמה 0 לרשת החיצונית:

1. עוברים אל Networking > Tier-0 Gateways.
2. עורכים את Tier-0 Gateway שמשמש ל-Layer 2 VPN (באופן אידיאלי Provider-LR).
3. מרחיבים את האפשרות Route Re-Distribution.
4. בקטע Tier-0 Subnets, מסמנים את התיבה IPSec Local IP.
5. לוחצים על Save.

6. מצברים את רשת המשנה של נקודת הקצה המקומית של IPSec בשער ברמה 0. צריך לבצע צבירה של נתבי (Router) בשער ברמה 0 כדי שנקודת הקצה המקומית של IPSec תהיה נגישה לכתובת ה-IP של הקישור העולה של קצה אוטונומי מקומי, ולא תסונן ב-network fabric.

   1. עוברים אל Networking > Tier-0 Gateways.
   2. עורכים את שער Tier-0 שנבחר ומשמש ל-VPN בשכבה 2 (מומלץ Provider-LR).
   3. עוברים אל BGP > Route Aggregation > Add Prefix.
   4. בעמודה Prefix (קידומת), מזינים את הרשת של נקודת הקצה המקומית.
   5. בעמודה Summary-Only (סיכום בלבד), בוחרים באפשרות Yes (כן).
   6. לוחצים על אישור ואז על שמירה.

פרסום משער ברמה 1

אם אתם משתמשים בשער ברמה 1 לשירותי VPN בשכבה 2 (כמו בפריסה לדוגמה), צריך לבצע את השלבים הבאים במקום זאת:

1. מצברים את רשת המשנה של נקודת הקצה המקומית של IPSec בשער ברמה 0. צריך לבצע צבירה של נתבי (Router) בשער ברמה 0 כדי שנקודת הקצה המקומית של IPSec תהיה נגישה לכתובת ה-IP של הקישור העולה של קצה אוטונומי מקומי, ולא תסונן ב-network fabric.

   1. עוברים אל Networking > Tier-0 Gateways.
   2. עורכים את שער Tier-0 שנבחר ומשמש ל-VPN בשכבה 2 (מומלץ Provider-LR).
   3. עוברים אל BGP > Route Aggregation > Add Prefix.
   4. בעמודה Prefix (קידומת), מזינים את הרשת של נקודת הקצה המקומית.
   5. בעמודה Summary-Only (סיכום בלבד), בוחרים באפשרות Yes (כן).
   6. לוחצים על אישור ואז על שמירה.

2. עוברים אל Networking > Tier-1 Gateways.

3. עורכים את Tier-1 Gateway שמשמש ל-Layer 2 VPN (באופן אידיאלי Provider-LR).

4. בקטע Route Advertisement, מפעילים את המתג IPSec Local Endpoint.

5. לוחצים על Save.

הגדרת לקוח VPN בשכבה 2 בקצה אוטונומי (במקום)

בשלבים הבאים מוסבר איך להגדיר לקוח VPN בשכבה 2 ב-Autonomous Edge שנפרס בפריסה מקומית, כפי שמתואר במאמר Deploy the NSX-T Autonomous Edge:

1. נכנסים ל-NSX-T Autonomous Edge בכתובת ה-IP של מכשיר הניהול שלו.

2. להוסיף סשן VPN בשכבה 2:

   1. עוברים אל L2 VPN ולוחצים על Add Session (הוספת סשן).

   2. מזינים את הפרטים הבאים:

      • בשדה Session Name (שם הסשן), מזינים את שם הסשן שהוגדר ביצירת סשן VPN בשכבה 2.
      • מגדירים את סטטוס האדמין למצב מופעל.
      • בשדה Local IP (כתובת IP מקומית), מזינים את כתובת ה-IP של הקישור העולה של קצה אוטונומי.
      • בשדה Remote IP (כתובת IP מרוחקת), מזינים את כתובת ה-IP שהוגדרה כנקודת קצה מקומית בהגדרת שרת VPN בשכבה 2 ב-NSX-T Manager בענן הפרטי.
      • בשדה Peer code (קוד עמית), מזינים את המחרוזת peer_code שהועתקה בקטע הגדרת שרת VPN בשכבה 2 ב-NSX-T Manager בענן הפרטי.

   3. לוחצים על Save.

3. הרחבת ה-VLAN המקומי:

   1. עוברים אל Port ולוחצים על Add Port.

   2. מזינים את הפרטים הבאים:

      • בשדה שם הניוד, מזינים את שם הניוד.
      • משאירים את השדה Subnet (רשת משנה) ריק.
      • בשדה VLAN, מזינים את מזהה ה-VLAN של ה-VLAN המקומי שרוצים להרחיב.
      • בקטע Exit Interface (ממשק יציאה), בוחרים את ממשק העלייה (למשל eth2).

   3. לוחצים על Save.

4. מצרפים את היציאה לסשן L2 VPN.

   1. עוברים אל L2 VPN ולוחצים על Attach Port.

   2. מזינים את הפרטים הבאים:

      • בוחרים את L2 VPN Session (סשן VPN L2) שיצרתם קודם בשלב 2.
      • בוחרים את היציאה שיצרתם קודם בשלב 3.
      • בשדה Tunnel ID (מזהה המנהרה), מזינים את אותו מזהה מנהרה ששימש להרחבת הפלח בענן הפרטי (בקטע Configure Layer 2 VPN server on NSX-T Manager in your private cloud).

   3. סשן ה-VPN בשכבה 2 מופיע בטבלה עם סטטוס של 'פעיל'. ה-VLAN המקומי מורחב עכשיו לענן הפרטי של VMware Engine (פלח מורחב). עומסי עבודה שמצורפים ל-VLAN המורחב המקומי הופכים לנגישים לעומסי עבודה שמצורפים לפלח המורחב בענן הפרטי של VMware Engine.

פריסת NSX-T Autonomous Edge משני (לקוח VPN בשכבה 2) במצב HA

אפשר גם לפעול לפי השלבים הבאים כדי לפרוס NSX-T Autonomous Edge משני (לקוח VPN בשכבה 2) במצב HA בסביבה המקומית:

1. פועלים לפי השלבים במאמר פריסת NSX-T Autonomous Edge בסביבה המקומית עד שמגיעים לשלב התאמה אישית של התבנית.

2. במקום זאת, בשלב Customize template (התאמה אישית של התבנית), מבצעים את הפעולות הבאות:

   1. בקטע Application (בקשה), מזינים את הפרטים הבאים:

      • מגדירים את סיסמת משתמש הבסיס של המערכת.
      • מגדירים את הסיסמה של המשתמש 'admin' ב-CLI.
      • מסמנים את תיבת הסימון Is Autonomous Edge (האם מדובר ב-Autonomous Edge).
      • משאירים את כל שאר השדות ריקים.

   2. בקטע Network Properties (מאפייני הרשת), מזינים את הפרטים הבאים:

      • מגדירים את שם המארח.
      • מגדירים את שער ברירת המחדל של IPv4. זהו שער ברירת המחדל של רשת הניהול.
      • מגדירים את כתובת ה-IPv4 של רשת הניהול. זהו ה-IP לניהול של ה-Edge המשני האוטונומי.
      • מגדירים את מסיכת הרשת של רשת הניהול. זהו אורך הקידומת של רשת הניהול.

   3. בקטע DNS, מזינים את הפרטים הבאים:

      • מזינים את רשימת שרתי ה-DNS.
      • מזינים את כתובות ה-IP של שרתי ה-DNS, מופרדות ברווחים.
      • נכנסים אל רשימת חיפוש הדומיינים.
      • מזינים את שם הדומיין.

   4. בקטע Services Configuration (הגדרת שירותים), מזינים את הפרטים הבאים:

      • מזינים את רשימת שרתי NTP.
      • מזינים את שרתי ה-NTP, מופרדים ברווחים.
      • מסמנים את התיבה Enable SSH.
      • מסמנים את תיבת הסימון Allow Root SSH logins (התרת כניסות SSH של משתמש על).
      • מזינים את שרת הרישום ביומן (אם יש כזה).

   5. משאירים את הקטע External (חיצוני) ריק.

   6. בקטע HA, מזינים את הפרטים הבאים:

      • מזינים את פרטי הניוד של HA בפורמט הבא: VLAN ID,exitPnic,IP,Prefix Length. לדוגמה: 2880,eth4,172.16.8.11,28. מחליפים את הערכים הבאים:

        • ‫VLAN ID: מזהה ה-VLAN של ה-VLAN לניהול
        • ‫exitPnic: מזהה הממשק ששמור לתנועה של זמינות גבוהה
        • ‫IP: כתובת ה-IP שמורה לממשק HA עבור שרת Edge משני אוטונומי
        • ‫Prefix Length: אורך הקידומת של רשת ה-HA

      • בשדה HA Port Default Gateway (שער ברירת מחדל של יציאת HA), מזינים את שער ברירת המחדל של רשת הניהול.

      • מסמנים את תיבת הסימון Secondary API Node (צומת API משני).

      • בשדה Primary Node Management IP, מזינים את כתובת ה-IP לניהול של ה-Autonomous Edge הראשי.

      • בשדה שם המשתמש של הצומת הראשי, מזינים את שם המשתמש של קצה אוטונומי ראשי (לדוגמה, 'admin').

      • בשדה Primary Node Password, מזינים את הסיסמה של קצה אוטונומי ראשי.

      • בשדה Primary Node Management Thumbprint, מזינים את טביעת האצבע של ה-API של ה-Edge האוטונומי הראשי. כדי לקבל את הנתון הזה, מתחברים באמצעות SSH ל-Autonomous Edge הראשי באמצעות פרטי כניסה של אדמין ומריצים את הפקודה get certificate api thumbprint.

3. משלימים את שאר השלבים של פריסת תבנית OVF כדי לפרוס את ה-edge המשני האוטונומי (לקוח VPN בשכבה 2 מקומית).

התוצאה היא רשת קצה אוטונומית עם סטטוס זמינות גבוהה של פעיל.

דוגמה לפריסת VPN בשכבה 2

בטבלאות הבאות מפורטים המפרטים של פריסת VPN לדוגמה בשכבה 2.

רשת מקומית שצריך להרחיב

נכס רשת	ערך
VLAN	2875
CIDR	172.16.8.16/28

רשת מקומית שבה נפרס קצה אוטונומי

נכס רשת	ערך
VLAN לניהול	2880
CIDR לניהול	172.16.8.0/28
VLAN של קישור Uplink	2871
Uplink CIDR	172.16.8.32/28
HA VLAN (זהה לניהול)	2880
‫HA CIDR (זהה לניהול)	172.16.8.0/28
כתובת ה-IP הראשית לניהול קצה אוטונומי	172.16.8.14
כתובת ה-IP הראשית של הקישור העולה של קצה הרשת האוטונומי	172.16.8.46
כתובת ה-IP הראשית של קצה אוטונומי עם זמינות גבוהה	172.16.8.12
כתובת IP משנית לניהול אוטונומי של קצה הרשת	‫172.16.8.13
כתובת IP משנית של קצה אוטונומי עם זמינות גבוהה	172.16.8.11

סכימת כתובות IP בענן פרטי לנתב NSX ברמה 1 (שרת VPN בשכבה 2)

נכס רשת	ערך
כתובת ה-IP של נקודת הקצה המקומית	192.168.198.198
רשת מקומית של נקודות קצה	192.168.198.198/31
ממשק מנהרה	192.168.199.1/30
פלח (מומתח)	L2 VPN-Seg-test
ממשק לולאה חוזרת (כתובת IP של NAT)	104.40.21.81

רשת ענן פרטי למיפוי לרשת המורחבת

נכס רשת	ערך
פלח (מומתח)	L2 VPN-Seg-test
CIDR	172.16.8.16/28

המאמרים הבאים

• מידע נוסף על הרחבת רשתות מקומיות באמצעות NSX Layer 2 VPN זמין במסמכי התיעוד של VMware בנושא הסבר על Layer 2 VPN.