Memperluas jaringan Lapisan 2 lokal ke cloud pribadi menggunakan NSX

Dokumen ini menjelaskan cara memperluas jaringan Layer 2 dari lingkungan lokal ke cloud pribadi Google Cloud VMware Engine menggunakan VPN Layer 2 berbasis NSX. Untuk memperluas jaringan Lapisan 2 menggunakan ekstensi jaringan HCX, lihat dokumentasi VMware HCX.

Perluasan jaringan Lapisan 2 berbasis VPN dapat berfungsi dengan atau tanpa jaringan berbasis NSX di lingkungan VMware lokal Anda. Jika Anda tidak memiliki jaringan overlay berbasis NSX untuk workload lokal, gunakan NSX-T Autonomous Edge, yang memiliki antarmuka yang mendukung Data Plane Development Kit (DPDK) untuk performa tinggi.

Memperluas jaringan Lapisan 2 menggunakan NSX memiliki keunggulan berikut dibandingkan menggunakan ekstensi jaringan HCX:

• Perluasan VPN Lapisan 2 di NSX mendukung penggunaan antarmuka trunk.
• Throughput jaringan di NSX lebih tinggi daripada saat menggunakan ekstensi jaringan HCX.
• NSX memiliki lebih sedikit upgrade dan waktu henti yang lebih singkat dibandingkan dengan HCX.
• Ekstensi jaringan HCX memerlukan lisensi vSphere Enterprise Plus lokal, tetapi perluasan VPN Layer 2 dapat berfungsi pada lisensi vSphere Standard lokal.

Skenario deployment

Untuk memperluas jaringan lokal menggunakan VPN Lapisan 2, skenario deployment yang dijelaskan mengonfigurasi server VPN Lapisan 2 dan klien VPN Lapisan 2. Proses ini terdiri dari langkah-langkah utama berikut:

1. Di lingkungan lokal Anda, deploy NSX-T Autonomous Edge (klien VPN Lapisan 2).
2. Di private cloud Anda, konfigurasi server VPN Layer 2 di NSX-T Manager.
3. Di lingkungan lokal, konfigurasikan klien VPN Layer 2 di autonomous edge.
4. (Opsional) Di lingkungan lokal, deploy autonomous edge sekunder (klien VPN Layer 2) dalam mode HA.

Cloud pribadi Anda terhubung ke lingkungan lokal Anda oleh Cloud VPN atau Cloud Interconnect. Penyiapan ini memastikan bahwa jalur perutean ada di antara gateway tingkat 0 atau tingkat 1 di cloud pribadi Anda dan klien edge otonom di jaringan lokal Anda.

Untuk contoh spesifikasi deployment VPN Layer 2, lihat bagian Contoh deployment VPN Layer 2.

Sebelum memulai

Sebelum memulai, lakukan hal berikut:

• Hubungkan lingkungan lokal ke jaringan VPC Anda.
• Identifikasi jaringan Layer 2 workload yang ingin Anda perluas ke cloud pribadi Anda.
• Identifikasi dua VLAN di lingkungan lokal Anda untuk men-deploy perangkat edge otonom (klien VPN Lapisan 2).
• Buat cloud pribadi.
• Siapkan penerusan DNS di server DNS lokal agar domain mengarah ke server DNS cloud pribadi.
• Izinkan traffic UDP di port 500 dan 4500 antara alamat IP uplink edge otonom dan alamat IP endpoint lokal yang akan digunakan di gateway tingkat 0 atau tingkat 1 di cloud pribadi Anda.

Selain itu, pastikan prasyarat berikut terpenuhi:

• Versi vSphere lokal harus 6.7U1+ atau 6.5P03+. Lisensi yang sesuai harus berada di tingkat Enterprise Plus (untuk vSphere Distributed Switch).
• Versi perangkat edge otonom kompatibel dengan versi NSX-T Manager yang digunakan di Private Cloud Anda.
• Latensi waktu round trip (RTT) kurang dari atau sama dengan 150 md, yang diperlukan agar vMotion berfungsi di dua situs (jika migrasi workload dicoba).

Batasan dan pertimbangan

Tabel berikut mencantumkan versi vSphere dan jenis adaptor jaringan yang didukung:

Versi vSphere	Jenis vSwitch sumber	Driver NIC virtual	Jenis vSwitch target	Didukung?
Semua	DVS	Semua	DVS	Ya
vSphere 6.7UI atau yang lebih tinggi, 6.5P03 atau yang lebih tinggi	DVS	VMXNET3	N-VDS	Ya
vSphere 6.7UI atau yang lebih tinggi, 6.5P03 atau yang lebih tinggi	DVS	E1000	N-VDS	Tidak didukung, menurut VMware
vSphere 6.7UI atau 6.5P03, NSX-V atau versi di bawah NSX-T2.2, 6.5P03 atau yang lebih tinggi	Semua	Semua	N-VDS	Tidak didukung, menurut VMware

Men-deploy NSX-T Autonomous Edge (klien VPN Lapisan 2)

Untuk men-deploy NSX-T Autonomous Edge di lingkungan lokal, buat grup port trunk di lokal, lalu buat autonomous edge menggunakan grup port tersebut.

Membuat dan mengonfigurasi grup port trunk

Langkah-langkah berikut menunjukkan cara membuat dan mengonfigurasi grup port trunk:

1. Buat grup port terdistribusi dengan jenis VLAN yang ditetapkan ke trunking VLAN. Berikan VLAN yang ingin Anda perluas.

   

2. Di opsi Security, tetapkan Promiscuous mode dan Forged transmits ke Accept.

3. Di opsi penggabungan dan failover, tetapkan Load balancing ke Gunakan urutan failover eksplisit.

4. Di opsi penggabungan dan failover, tetapkan Uplink aktif ke uplink1 dan Uplink siaga ke uplink2.

5. Selesaikan langkah-langkah pembuatan grup port yang tersisa.

Men-deploy edge otonom di lingkungan lokal Anda

Langkah-langkah berikut menunjukkan cara men-deploy NSX-T Autonomous Edge (klien VPN Layer 2) di lingkungan lokal Anda:

1. Hubungi Cloud Customer Care untuk mendownload versi NSX Edge for VMware ESXi yang benar.

2. Deploy NSX Edge OVA sebagai template OVF.

   1. Pada langkah Configuration, pilih konfigurasi Large agar sesuai dengan NSX Edge berukuran besar yang disertakan dengan cloud pribadi VMware Engine Anda.
   2. Pada langkah Select storage, pilih penyimpanan data yang ingin Anda gunakan.

   3. Pada langkah Pilih jaringan, berikan grup port yang akan digunakan untuk berbagai jenis traffic:

      • Network 0 (eth1 di appliance): Pilih grup port yang dicadangkan untuk traffic pengelolaan.
      • Network 1 (eth2 di appliance): Pilih grup port yang dicadangkan untuk traffic uplink.
      • Network 2 (eth3 di appliance): Pilih grup port trunk.
      • Network 3 (eth4 di appliance): Pilih grup port yang dicadangkan untuk traffic HA. Pada gambar berikut, grup port yang dicadangkan untuk traffic pengelolaan juga digunakan untuk traffic HA.

      

   4. Pada langkah Sesuaikan template, masukkan detail berikut:

      1. Di bagian Aplikasi, lakukan hal berikut:

         1. Setel Sandi Pengguna Root Sistem.
         2. Tetapkan Sandi Pengguna "admin" CLI.
         3. Centang kotak Is Autonomous Edge.
         4. Biarkan kolom lainnya kosong.

      2. Di bagian Network Properties, lakukan hal berikut:

         1. Tetapkan Hostname.
         2. Tetapkan Default IPv4 Gateway. Ini adalah gateway default jaringan pengelolaan.
         3. Tetapkan Management Network IPv4 Address. Ini adalah IP pengelolaan untuk edge otonom.
         4. Tetapkan Management Network Netmask. Ini adalah panjang awalan jaringan pengelolaan.

      3. Di bagian DNS, lakukan tindakan berikut:

         1. Di kolom Daftar Server DNS, masukkan alamat IP server DNS yang dipisahkan dengan spasi.
         2. Di kolom Domain Search List, masukkan nama domain.

      4. Di bagian Services Configuration, lakukan hal berikut:

         1. Masukkan Daftar Server NTP.
         2. Masukkan Server NTP, yang dipisahkan dengan spasi.
         3. Centang kotak Enable SSH.
         4. Centang kotak Izinkan login SSH Root.
         5. Masukkan server logging (jika ada).

      5. Di bagian Eksternal, lakukan hal berikut:

         1. Masukkan detail External Port dalam format berikut: VLAN ID,Exit Interface,IP,Prefix Length. Misalnya: 2871,eth2,172.16.8.46,28 Ganti nilai berikut:

            • VLAN ID: ID VLAN dari VLAN uplink
            • Exit Interface: ID antarmuka yang dicadangkan untuk traffic uplink
            • IP: Alamat IP yang dicadangkan untuk antarmuka uplink
            • Prefix Length: panjang awalan untuk jaringan uplink

         2. Di kolom External Gateway, masukkan gateway default jaringan uplink.

      6. Di bagian HA, lakukan hal berikut:

         1. Masukkan detail HA Port dalam format berikut: VLAN ID,exitPnic,IP,Prefix Length. Misalnya: 2880,eth4,172.16.8.46,28 Ganti nilai berikut:

            • VLAN ID: ID VLAN dari VLAN pengelolaan
            • exitPnic: ID antarmuka yang dicadangkan untuk traffic HA
            • IP: Alamat IP yang dicadangkan untuk antarmuka HA
            • Prefix Length: panjang awalan untuk jaringan HA

         2. Di kolom HA Port Default Gateway, masukkan gateway default jaringan pengelolaan. Jika menggunakan jaringan yang berbeda untuk komunikasi HA, berikan gateway default yang sesuai.

         3. Biarkan kolom lainnya kosong.

3. Selesaikan langkah-langkah deployment template OVF yang tersisa.

Mengonfigurasi server VPN Lapisan 2 di NSX-T Manager di Private Cloud Anda

Langkah-langkah berikut menjelaskan cara mengonfigurasi server VPN Layer 2 di gateway tingkat 0 atau tingkat 1 di NSX-T Manager cloud pribadi Anda.

Membuat layanan VPN Layer 2

1. Di NSX-T Manager, buka Networking > VPN > VPN Services > Add Service > IPSec.

2. Masukkan detail berikut untuk membuat layanan IPSec:

   • Masukkan Nama.
   • Di kolom Tier0/Tier1 Gateway, pilih gateway tempat Anda ingin server VPN Layer 2 berjalan.
   • Biarkan kolom lainnya kosong.

   

3. Buka Networking > VPN > Local Endpoints.

4. Masukkan detail berikut untuk membuat endpoint lokal:

   • Masukkan Nama.
   • Di kolom VPN Service, pilih layanan IPSec VPN yang baru saja Anda buat.
   • Di kolom IP Address, masukkan alamat IP yang dicadangkan untuk endpoint lokal, yang juga akan menjadi alamat IP tempat tunnel VPN IPSec/Layer 2 berakhir.
   • Di kolom Local ID, masukkan alamat IP yang sama yang dicadangkan.
   • Biarkan kolom lainnya kosong.

5. Buka Networking > VPN > VPN Services > Add Service > L2 VPN Server.

6. Masukkan detail berikut untuk membuat layanan VPN Layer 2:

   • Masukkan Nama.
   • Di kolom Tier0/Tier1 Gateway, pilih gateway tempat Anda ingin server VPN Layer 2 berjalan (gateway yang sama dengan yang digunakan sebelumnya di langkah 2).
   • Biarkan kolom lainnya kosong.

Membuat sesi VPN Layer 2

1. Di NSX-T Manager, buka Networking > VPN > L2 VPN Sessions > Add L2 VPN Session > L2 VPN Server.

2. Masukkan detail berikut untuk membuat sesi VPN Layer 2:

   • Masukkan Nama.
   • Pilih Local Endpoint/IP yang dibuat sebelumnya di langkah 4 Membuat layanan VPN Layer 2.
   • Di kolom Remote IP, masukkan alamat IP uplink edge otonom di lingkungan lokal Anda.
   • Masukkan Pre-shared key.
   • Di kolom Tunnel Interface, masukkan satu alamat IP dari subnet antarmuka tunnel yang dicadangkan.
   • Di kolom Remote ID, masukkan nilai dari Remote IP.
   • Biarkan kolom lainnya kosong.

Membuat segmen jaringan untuk diperluas ke VLAN lokal Anda

1. Di NSX-T Manager, buka Networking > Segments > Add Segment.

2. Berikan detail berikut untuk membuat segmen yang akan diperluas ke VLAN lokal Anda:

   • Masukkan Nama Segmen.
   • Di kolom Connected Gateway, pilih None.
   • Untuk Transport Zone, pilih TZ-Overlay.
   • Di kolom L2 VPN, pilih sesi VPN Layer 2 yang dibuat sebelumnya di Buat sesi VPN Layer 2.
   • Di kolom VPN Tunnel ID, masukkan ID tunnel unik (misalnya, 100). ID tunnel ini harus cocok dengan ID tunnel yang digunakan saat memperluas VLAN dari lokal.
   • Biarkan kolom lainnya kosong.

   

3. Buka Networking > VPN > L2 VPN Sessions.

4. Luaskan Session, lalu klik Download Config untuk mendownload konfigurasi VPN Layer 2.

5. Buka file yang didownload menggunakan editor teks apa pun dan salin string peer_code tanpa tanda kutip. Anda akan menggunakan string ini nanti saat mengonfigurasi edge otonom lokal untuk VPN Lapisan 2 di bagian berikutnya.

Mengiklankan IP endpoint lokal IPSec ke jaringan eksternal

Langkah ini bervariasi, bergantung pada apakah Anda menggunakan gateway tingkat 1 atau tingkat 0 untuk layanan VPN Lapisan 2.

Mengiklankan dari gateway tingkat 0

Jika Anda menggunakan gateway tier-0, lakukan hal berikut untuk mengiklankan IP endpoint lokal IPSec dari gateway tier-0 ke jaringan eksternal:

1. Buka Networking > Tier-0 Gateways.
2. Edit Gateway Tier-0 yang digunakan untuk VPN Layer 2 (idealnya Provider-LR).
3. Luaskan Route Re-Distribution.
4. Di bagian Tier-0 Subnets section, centang kotak IPSec Local IP.
5. Klik Simpan.

6. Gabungkan subnet Endpoint Lokal IPSec di gateway tier-0. Agregasi router di gateway tier-0 diperlukan agar endpoint lokal IPSec dapat dijangkau oleh IP uplink edge otonom lokal dan tidak difilter di fabric jaringan.

   1. Buka Networking > Tier-0 Gateways.
   2. Edit Gateway Tier-0 yang dipilih dan digunakan untuk VPN Layer 2 (idealnya Provider-LR).
   3. Buka BGP > Agregasi Rute > Tambahkan Awalan.
   4. Di kolom Prefix, masukkan jaringan endpoint lokal.
   5. Di kolom Khusus Ringkasan, pilih Ya.
   6. Klik Terapkan dan Simpan.

Mengiklankan dari gateway tingkat 1

Jika Anda menggunakan gateway tingkat 1 untuk layanan VPN Layer 2 (seperti dalam deployment contoh), lakukan langkah-langkah berikut sebagai gantinya:

1. Gabungkan subnet Endpoint Lokal IPSec di gateway tier-0. Agregasi router di gateway tier-0 diperlukan agar endpoint lokal IPSec dapat dijangkau oleh IP uplink edge otonom lokal dan tidak difilter di fabric jaringan.

   1. Buka Networking > Tier-0 Gateways.
   2. Edit Gateway Tier-0 yang dipilih dan digunakan untuk VPN Layer 2 (idealnya Provider-LR).
   3. Buka BGP > Agregasi Rute > Tambahkan Awalan.
   4. Di kolom Prefix, masukkan jaringan endpoint lokal.
   5. Di kolom Khusus Ringkasan, pilih Ya.
   6. Klik Terapkan dan Simpan.

2. Buka Networking > Tier-1 Gateways.

3. Edit Gateway Tingkat 1 yang digunakan untuk VPN Layer 2 (idealnya Provider-LR).

4. Di bagian Route Advertisement, aktifkan tombol IPSec Local Endpoint.

5. Klik Simpan.

Mengonfigurasi klien VPN Layer 2 di edge otonom (lokal)

Langkah-langkah berikut menunjukkan cara mengonfigurasi klien VPN Lapisan 2 di autonomous edge yang di-deploy secara lokal di Deploy the NSX-T Autonomous Edge:

1. Login ke NSX-T Autonomous Edge di alamat IP appliance pengelolaannya.

2. Tambahkan sesi VPN Layer 2:

   1. Buka L2 VPN, lalu klik Add Session.

   2. Masukkan detail berikut:

      • Di kolom Session Name, masukkan nama sesi yang dikonfigurasi di Create a Layer 2 VPN session.
      • Setel Admin Status ke Enabled.
      • Di kolom Local IP, masukkan alamat IP uplink dari autonomous edge.
      • Di kolom Remote IP, masukkan alamat IP yang dikonfigurasi sebagai endpoint lokal di Mengonfigurasi server VPN Layer 2 di NSX-T Manager di cloud pribadi Anda.
      • Di kolom Peer code, masukkan string peer_code yang disalin di Mengonfigurasi server VPN Layer 2 di NSX-T Manager di Private Cloud Anda.

   3. Klik Simpan.

3. Perluas VLAN lokal:

   1. Buka Port, lalu klik Add Port.

   2. Masukkan detail berikut:

      • Di kolom Port Name, masukkan nama port.
      • Biarkan kolom Subnet kosong.
      • Di kolom VLAN, masukkan ID VLAN dari VLAN lokal yang akan diperluas.
      • Untuk Exit Interface, pilih antarmuka uplink (seperti eth2).

   3. Klik Simpan.

4. Hubungkan port ke Sesi VPN L2.

   1. Buka L2 VPN, lalu klik Attach Port.

   2. Masukkan detail berikut:

      • Pilih Sesi L2 VPN yang dibuat sebelumnya di langkah 2.
      • Pilih Port yang dibuat sebelumnya pada langkah 3.
      • Di kolom Tunnel ID, masukkan ID tunnel yang sama yang digunakan untuk memperluas segmen di private cloud Anda (di Mengonfigurasi server VPN Layer 2 di NSX-T Manager di private cloud Anda).

   3. Sesi VPN Layer 2 muncul di tabel dengan Status "UP". VLAN lokal kini diperluas ke cloud pribadi VMware Engine (segmen yang diperluas). Workload yang terhubung ke VLAN yang diperluas di lokal dapat dijangkau oleh workload yang terhubung ke segmen yang diperluas di cloud pribadi VMware Engine Anda.

Men-deploy NSX-T Autonomous Edge sekunder (klien VPN Lapisan 2) dalam mode HA

Atau, gunakan langkah-langkah berikut untuk men-deploy NSX-T Autonomous Edge sekunder (klien VPN Layer 2) dalam mode HA di lingkungan lokal Anda:

1. Ikuti langkah-langkah dalam Men-deploy NSX-T Autonomous Edge di lingkungan lokal Anda hingga Anda mencapai langkah Sesuaikan template.

2. Pada langkah Sesuaikan template, lakukan hal berikut:

   1. Di bagian Aplikasi, masukkan detail berikut:

      • Setel Sandi Pengguna Root Sistem.
      • Tetapkan Sandi Pengguna "admin" CLI.
      • Centang kotak Is Autonomous Edge.
      • Biarkan setiap kolom lainnya kosong.

   2. Di bagian Network Properties, masukkan detail berikut:

      • Tetapkan Hostname.
      • Tetapkan Default IPv4 Gateway. Ini adalah gateway default jaringan pengelolaan.
      • Tetapkan Management Network IPv4 Address. Ini adalah IP pengelolaan untuk edge otonom sekunder.
      • Tetapkan Management Network Netmask. Ini adalah panjang awalan jaringan pengelolaan.

   3. Di bagian DNS, masukkan detail berikut:

      • Masukkan Daftar Server DNS.
      • Masukkan alamat IP Server DNS, yang dipisahkan oleh spasi.
      • Masukkan Daftar Penelusuran Domain.
      • Masukkan Nama domain.

   4. Di bagian Konfigurasi Layanan, masukkan detail berikut:

      • Masukkan Daftar Server NTP.
      • Masukkan Server NTP, yang dipisahkan dengan spasi.
      • Centang kotak Enable SSH.
      • Centang kotak Izinkan login SSH Root.
      • Masukkan server logging (jika ada).

   5. Biarkan bagian Eksternal kosong.

   6. Di bagian HA, masukkan detail berikut:

      • Masukkan detail HA Port dalam format berikut: VLAN ID,exitPnic,IP,Prefix Length. Misalnya: 2880,eth4,172.16.8.11,28 Ganti nilai berikut:

        • VLAN ID: ID VLAN dari VLAN pengelolaan
        • exitPnic: ID antarmuka yang dicadangkan untuk traffic HA
        • IP: Alamat IP yang dicadangkan untuk antarmuka HA untuk edge otonom sekunder
        • Prefix Length: panjang awalan untuk jaringan HA

      • Di kolom HA Port Default Gateway, masukkan gateway default jaringan pengelolaan.

      • Centang kotak Secondary API Node.

      • Di kolom Primary Node Management IP, masukkan alamat IP pengelolaan edge otonom utama.

      • Di kolom Primary Node Username, masukkan nama pengguna autonomous edge utama (misalnya, "admin").

      • Di kolom Primary Node Password, masukkan sandi autonomous edge utama.

      • Di kolom Primary Node Management Thumbprint, masukkan sidik jari API dari edge otonom utama. Anda bisa mendapatkan informasi ini dengan menghubungkan menggunakan SSH ke edge otonom utama menggunakan kredensial admin dan menjalankan perintah get certificate api thumbprint.

3. Selesaikan langkah-langkah deployment template OVF yang tersisa untuk men-deploy edge otonom sekunder (klien VPN Layer 2 lokal).

Edge otonom yang dihasilkan memiliki Status Ketersediaan Tinggi Aktif.

Contoh deployment VPN Layer 2

Tabel berikut memberikan spesifikasi untuk contoh deployment VPN Layer 2.

Jaringan lokal yang akan diperluas

Properti jaringan	Nilai
VLAN	2875
CIDR	172.16.8.16/28

Jaringan lokal tempat edge otonom di-deploy

Properti jaringan	Nilai
VLAN pengelolaan	2880
CIDR Pengelolaan	172.16.8.0/28
VLAN uplink	2871
CIDR Uplink	172.16.8.32/28
VLAN HA (sama dengan pengelolaan)	2880
CIDR HA (sama dengan pengelolaan)	172.16.8.0/28
Alamat IP pengelolaan edge otonom utama	172.16.8.14
Alamat IP uplink edge otonom utama	172.16.8.46
Alamat IP HA edge otonom utama	172.16.8.12
Alamat IP pengelolaan edge otonom sekunder	172.16.8.13
Alamat IP HA edge otonom sekunder	172.16.8.11

Skema IP cloud pribadi untuk router tingkat 1 NSX (server VPN Lapisan 2)

Properti jaringan	Nilai
Alamat IP endpoint lokal	192.168.198.198
Jaringan endpoint lokal	192.168.198.198/31
Antarmuka tunnel	192.168.199.1/30
Segmen (diregangkan)	L2 VPN-Seg-test
Antarmuka loopback (alamat IP NAT)	104.40.21.81

Jaringan cloud pribadi untuk dipetakan ke jaringan yang diperluas

Properti jaringan	Nilai
Segmen (diregangkan)	L2 VPN-Seg-test
CIDR	172.16.8.16/28

Langkah berikutnya

• Untuk mengetahui informasi selengkapnya tentang memperluas jaringan lokal menggunakan VPN Layer 2 NSX, lihat dokumentasi VMware Understanding Layer 2 VPN.