使用 NSX-T 將內部部署的第 2 層網路延伸至私有雲

本文件說明如何使用以 NSX-T 為基礎的第 2 層 VPN，將第 2 層網路從內部部署環境延伸至 Google Cloud VMware Engine 私有雲端。如要改用 HCX 網路擴充功能來延伸第 2 層網路，請參閱 VMware HCX 說明文件。

在內部部署 VMware 環境中，以第 2 層 VPN 為基礎的延伸第 2 層網路，無論是否搭配以 NSX-T 為基礎的網路，皆可正常運作。如果您沒有用於內部部署工作負載的 NSX-T 式覆蓋網路，請使用 NSX-T Autonomous Edge，因為它具有支援 Data Plane Development Kit (DPDK) 的介面，可提供高效能。

相較於使用 HCX 網路延伸功能，使用 NSX-T 延伸第 2 層網路具有以下優點：

• NSX-T 中的第 2 層 VPN 延伸功能支援使用主幹介面。
• NSX-T 的網路傳輸量高於使用 HCX 網路擴充功能時。
• 與 HCX 相比，NSX-T 的升級次數和停機時間較少。
• HCX 網路擴充功能需要內部部署 vSphere Enterprise Plus 授權，但第 2 層 VPN 延伸功能可在內部部署 vSphere Standard 授權上運作。

部署情境

如要使用第 2 層 VPN 擴展內部部署網路，所述部署情況會設定第 2 層 VPN 伺服器和第 2 層 VPN 用戶端。這個程序包含以下主要步驟：

1. 在內部部署環境中，部署 NSX-T Autonomous Edge (第 2 層 VPN 用戶端)。
2. 在私有雲中，在 NSX-T Manager 上設定第 2 層 VPN 伺服器。
3. 在內部部署環境中，在自主邊緣上設定第 2 層 VPN 用戶端。
4. (選用) 在內部部署環境中，以高可用性模式部署次要自主邊緣 (第 2 層 VPN 用戶端)。

您的私有雲端會透過 Cloud VPN 或 Cloud Interconnect 連線至內部部署環境。這項設定可確保私有雲端中的第 0 層或第 1 層閘道，與內部網路中的自主邊緣用戶端之間存在路由路徑。

如需第 2 層 VPN 部署作業的範例規格，請參閱「第 2 層 VPN 部署作業範例」一節。

事前準備

開始之前，請先執行下列操作：

• 將地端環境連線至虛擬私有雲網路。
• 找出要延伸至私有雲的工作負載第 2 層網路。
• 在內部部署環境中找出兩個 VLAN，用於部署自主邊緣裝置 (第 2 層 VPN 用戶端)。
• 建立私有雲。
• 在內部部署 DNS 伺服器上設定 DNS 轉送，讓網域指向私有雲 DNS 伺服器。
• 允許在自治邊緣的上行連線 IP 位址和本機端點 IP 位址之間的 500 和 4500 通訊埠上，使用私有雲中的第 0 層或第 1 層閘道上的 UDP 流量。

此外，請確認已完成下列必要條件：

• 內部部署 vSphere 版本必須為 6.7U1 以上版本或 6.5P03 以上版本。相應的授權必須為 Enterprise Plus 等級 (適用於 vSphere Distributed Switch)。
• 自主邊緣裝置的版本與私有雲中使用的 NSX-T Manager 版本相容。
• 封包往返時間 (RTT) 延遲時間小於或等於 150 毫秒，這是 vMotion 在兩個站點間運作 (在嘗試工作負載遷移時) 所需的延遲時間。

限制和注意事項

下表列出支援的 vSphere 版本和網路適配器類型：

vSphere 版本	來源 vSwitch 類型	虛擬網路介面控制器驅動程式	目標 vSwitch 類型	是否支援？
全部	DVS	全部	DVS	是
vSphere 6.7UI 以上版本、6.5P03 以上版本	DVS	VMXNET3	N-VDS	是
vSphere 6.7UI 以上版本、6.5P03 以上版本	DVS	E1000	N-VDS	根據 VMware 的說法，不支援
vSphere 6.7UI 或 6.5P03、NSX-V 或 NSX-T2.2 以下版本、6.5P03 以上版本	全部	全部	N-VDS	根據 VMware 的說法，不支援

部署 NSX-T 自主邊緣 (第 2 層 VPN 用戶端)

如要在內部部署 NSX-T Autonomous Edge，請在內部建立主幹埠群組，然後使用該群組建立 Autonomous Edge。

建立及設定主幹埠群組

以下步驟說明如何建立及設定主幹埠群組：

1. 建立分散式埠群組，並將「VLAN 類型」設為「VLAN 群組」。提供要延伸的 VLAN。

   

2. 在「安全性」選項中，將「Promiscuous mode」和「Forged transmits」都設為「Accept」。

3. 在群組和容錯移轉選項中，將「負載平衡」設為「使用明確的容錯移轉順序」。

4. 在組隊和容錯選項中，將「有效上行鏈路」設為「uplink1」，並將「待命上行鏈路」設為 uplink2。

5. 完成其他 port 群組建立步驟。

在內部部署環境中部署自主邊緣

下列步驟說明如何在內部部署環境中部署 NSX-T Autonomous Edge (第 2 層 VPN 用戶端)：

1. 請與 Cloud Customer Care 團隊聯絡，下載正確版本的 NSX Edge for VMware ESXi。

2. 將 NSX Edge OVA 部署為 OVF 範本。

   1. 在「Configuration」步驟中，選取「Large」設定，以便與 VMware Engine Private Cloud 隨附的大型 NSX-T Edge 相符。
   2. 在「Select storage」(選取儲存空間) 步驟中，選取要使用的資料儲存庫。

   3. 在「選取網路」步驟中，提供要用於不同流量類型的通訊埠群組：

      • 網路 0 (裝置上的 eth1)：選取用於管理流量的通訊埠群組。
      • 網路 1 (裝置上的 eth2)：選取用於上行連線流量的通訊埠群組。
      • 網路 2 (裝置上的 eth3)：選取主幹線埠群組。
      • 網路 3 (裝置上的 eth4)：選取保留給 HA 流量的通訊埠群組。在下圖中，為管理流量保留的連接埠群組也用於 HA 流量。

      

   4. 在「自訂範本」步驟中，輸入下列詳細資料：

      1. 在「Application」部分執行下列操作：

         1. 設定系統超級使用者密碼。
         2. 設定 CLI「admin」使用者密碼。
         3. 勾選「Is Autonomous Edge」(是否為自主邊緣) 核取方塊。
         4. 將剩餘欄位留空。

      2. 在「Network Properties」部分執行下列操作：

         1. 設定主機名稱。
         2. 設定「預設 IPv4 閘道」。這是管理網路的預設閘道。
         3. 設定管理網路 IPv4 位址。這是自主邊緣的管理 IP。
         4. 設定管理網路遮罩。這是管理網路前置碼長度。

      3. 在「DNS」DNS部分執行下列操作：

         1. 在「DNS 伺服器清單」欄位中，輸入 DNS 伺服器 IP 位址，並以空格分隔。
         2. 在「網域搜尋清單」欄位中輸入網域名稱。

      4. 在「服務設定」部分，執行下列操作：

         1. 輸入 NTP 伺服器清單。
         2. 請輸入 NTP 伺服器，並以空格分隔。
         3. 勾選「Enable SSH」核取方塊。
         4. 勾選「允許 SSH 根目錄登入」核取方塊。
         5. 輸入記錄伺服器 (如有)。

      5. 在「External」(外部) 部分執行下列操作：

         1. 請按照下列格式輸入「外部連接埠」詳細資料： VLAN ID,Exit Interface,IP,Prefix Length。例如：2871,eth2,172.16.8.46,28。請替換下列值：

            • VLAN ID：上行連線 VLAN 的 VLAN ID
            • Exit Interface：保留用於上行連線流量的介面 ID
            • IP：保留用於上行鏈路介面的 IP 位址
            • Prefix Length：上行網路的前置字串長度

         2. 在「External Gateway」欄位中，輸入上行網路的預設閘道。

      6. 在「HA」HA部分執行下列操作：

         1. 請使用下列格式輸入 HA Port 詳細資料：VLAN ID,exitPnic,IP,Prefix Length。例如：2880,eth4,172.16.8.46,28。請替換下列值：

            • VLAN ID：管理 VLAN 的 VLAN ID
            • exitPnic：保留給 HA 流量的介面 ID
            • IP：保留給 HA 介面的 IP 位址
            • Prefix Length：HA 網路的前置字串長度

         2. 在「HA Port Default Gateway」欄位中，輸入管理網路的預設閘道。如果使用其他網路進行 HA 通訊，請提供對應的預設閘道。

         3. 將剩餘欄位留空。

3. 完成 OVF 範本的其餘部署步驟。

在私有雲中的 NSX-T Manager 上設定第 2 層 VPN 伺服器

下列步驟說明如何在私有雲 NSX-T Manager 中，針對第 0 層或第 1 層閘道設定第 2 層 VPN 伺服器。

建立第 2 層 VPN 服務

1. 在 NSX-T Manager 中，依序前往「Networking」>「VPN」>「VPN Services」>「Add Service」>「IPSec」。

2. 輸入下列詳細資料，建立 IPSec 服務：

   • 輸入名稱。
   • 在「Tier0/Tier1 Gateway」欄中，選取要執行第 2 層 VPN 伺服器的閘道。
   • 將其他欄位留空。

   

3. 依序前往「網路」>「VPN」>「本機端點」。

4. 輸入下列詳細資料，建立本機端點：

   • 輸入名稱。
   • 在「VPN Service」欄中，選取您剛剛建立的 IPSec VPN 服務。
   • 在「IP 位址」欄位中，輸入保留給本機端點的 IP 位址，這也是 IPSec/第 2 層 VPN 通道終止的 IP 位址。
   • 在「Local ID」欄位中，輸入相同的保留 IP 位址。
   • 將其他欄位留空。

5. 依序前往「網路」>「VPN 服務」>「新增服務」>「L2 VPN 伺服器」。

6. 輸入下列詳細資料，建立第 2 層 VPN 服務：

   • 輸入名稱。
   • 在「Tier0/Tier1 Gateway」欄中，選取要執行第 2 層 VPN 伺服器的閘道 (與先前在步驟 2 中使用的閘道相同)。
   • 將其他欄位留空。

建立第 2 層 VPN 工作階段

1. 在 NSX-T Manager 中，依序前往「Networking」>「VPN」>「L2 VPN 工作階段」>「Add L2 VPN Session」>「L2 VPN Server」。

2. 輸入下列詳細資料，建立第 2 層 VPN 工作階段：

   • 輸入名稱。
   • 選取先前在「建立第 2 層 VPN 服務」步驟 4 中建立的「Local Endpoint/IP」。
   • 在「遠端 IP」欄位中，輸入內部部署環境中自主邊緣的上行鏈路 IP 位址。
   • 輸入預先共用金鑰。
   • 在「Tunnel Interface」欄位中，輸入保留的隧道介面子網路中的一個 IP 位址。
   • 在「Remote ID」欄位中，輸入「Remote IP」的值。
   • 將其他欄位留空。

建立網路區段，將網路延伸至內部部署 VLAN

1. 在 NSX-T Manager 中，依序前往「Networking」>「Segments」>「Add Segment」。

2. 提供下列詳細資料，建立可延伸至內部 VLAN 的區段：

   • 輸入「區隔名稱」。
   • 在「連線網關」欄位中，選取「無」。
   • 在「Transport Zone」(傳輸區) 中，選取「TZ-Overlay」。
   • 在「L2 VPN」欄位中，選取先前在「建立第 2 層 VPN 工作階段」一文中建立的第 2 層 VPN 工作階段。
   • 在「VPN 通道 ID」欄位中輸入專屬的通道 ID (例如 100)。這個通道 ID 必須與從內部部署擴充 VLAN 時使用的通道 ID 相符。
   • 將其他欄位留空。

   

3. 依序前往「網路」>「VPN」>「L2 VPN 工作階段」。

4. 展開「Session」，然後點選「Download Config」，下載第 2 層 VPN 設定。

5. 使用任何文字編輯器開啟下載的檔案，然後複製 peer_code 字串，但不要複製引號。稍後在後續章節中，您將使用這個字串設定內部部署的自主邊緣，以便使用第 2 層 VPN。

向外部網路通告 IPSec 本機端點 IP

這個步驟會因您為第 2 層 VPN 服務使用第 1 層或第 0 層閘道而有所不同。

透過第 0 層閘道放送廣告

如果您使用第 0 層閘道，請按照下列步驟，從第 0 層閘道向外部網路宣傳 IPSec 本機端點 IP：

1. 依序前往「Networking」>「Tier-0 Gateways」。
2. 編輯用於第 2 層 VPN 的 Tier-0 閘道 (最好是 Provider-LR)。
3. 展開「Route Re-Distribution」。
4. 在「Tier-0 子網路」區段中，選取「IPSec Local IP」核取方塊。
5. 按一下 [儲存]。

6. 在第 0 層閘道上匯總 IPSec 本機端點子網路。您必須在第 0 層閘道上匯總路由器，才能讓 IPSec 本機端點可連至內部部署自主邊緣的上行連線 IP，且不會在網路結構中遭到篩除。

   1. 依序前往「Networking」>「Tier-0 Gateways」。
   2. 編輯所選用於第 2 層 VPN 的 Tier-0 閘道 (建議使用 Provider-LR)。
   3. 依序前往「BGP」>「路由匯集」>「新增前置字」。
   4. 在「Prefix」欄中，輸入本機端點網路。
   5. 在「僅摘要」欄中，選取「是」。
   6. 依序按一下「套用」和「儲存」。

透過第 1 層閘道放送廣告

如果您將第 1 層閘道用於第 2 層 VPN 服務 (例如 部署範例)，請改為執行下列步驟：

1. 在第 0 層閘道上匯總 IPSec 本機端點子網路。您必須在第 0 層閘道上匯總路由器，才能讓 IPSec 本機端點可連至內部部署自主邊緣的上行連線 IP，且不會在網路結構中遭到篩除。

   1. 依序前往「Networking」>「Tier-0 Gateways」。
   2. 編輯所選用於第 2 層 VPN 的 Tier-0 閘道 (建議使用 Provider-LR)。
   3. 依序前往「BGP」>「路由匯集」>「新增前置字」。
   4. 在「Prefix」欄中，輸入本機端點網路。
   5. 在「僅摘要」欄中，選取「是」。
   6. 依序按一下「套用」和「儲存」。

2. 依序前往「Networking」>「Tier-1 Gateways」。

3. 編輯用於第 2 層 VPN 的 Tier-1 閘道 (建議使用 Provider-LR)。

4. 在「Route Advertisement」專區中，啟用「IPSec Local Endpoint」切換鈕。

5. 按一下 [儲存]。

在自主邊緣 (內部部署) 上設定第 2 層 VPN 用戶端

下列步驟說明如何在部署 NSX-T 自主邊緣中，在內部部署的自主邊緣上設定第 2 層 VPN 用戶端：

1. 使用管理設備的 IP 位址登入 NSX-T Autonomous Edge。

2. 新增第 2 層 VPN 工作階段：

   1. 前往「L2 VPN」，然後按一下「新增工作階段」。

   2. 輸入下列詳細資訊：

      • 在「Session Name」欄位中，輸入在「Create a Layer 2 VPN session」中設定的會話名稱。
      • 將「管理員狀態」設為「已啟用」。
      • 在「Local IP」欄位中，輸入自主邊緣的上行鏈路 IP 位址。
      • 在「遠端 IP」欄位中，輸入在「在私有雲中設定 NSX-T Manager 的 Layer 2 VPN 伺服器」中設定為本機端點的 IP 位址。
      • 在「Peer code」欄位中，輸入「在私有雲中的 NSX-T Manager 上設定第 2 層 VPN 伺服器」中複製的 peer_code 字串。

   3. 按一下 [儲存]。

3. 擴充內部 VLAN：

   1. 前往「Port」，然後按一下「Add Port」。

   2. 輸入下列詳細資訊：

      • 在「Port Name」欄位中輸入通訊埠名稱。
      • 將「子網路」欄位留空。
      • 在「VLAN」欄位中，輸入要擴充的內部部署 VLAN 的 VLAN ID。
      • 在「Exit Interface」中，選取上行鏈路介面 (例如 eth2)。

   3. 按一下 [儲存]。

4. 將埠附加至 L2 VPN 工作階段。

   1. 前往「L2 VPN」，然後按一下「連結通訊埠」。

   2. 輸入下列詳細資訊：

      • 選取先前在步驟 2 中建立的 L2 VPN 工作階段。
      • 選取先前在步驟 3 中建立的「Port」。
      • 在「Tunnel ID」欄位中，輸入用於在私有雲端延伸區段的相同通道 ID (在「在私有雲端的 NSX-T Manager 上設定第 2 層 VPN 伺服器」中)。

   3. 表格中會顯示第 2 層 VPN 工作階段，其「狀態」為「UP」。內部部署的 VLAN 現已擴充至 VMware Engine 私有雲 (擴充區段)。附加至內部部署擴充 VLAN 的工作負載，可與 VMware Engine 私有雲中附加至擴充區段的工作負載互通。

以 HA 模式部署次要 NSX-T 自主邊緣 (第 2 層 VPN 用戶端)

您可以選擇在內部部署環境中，以高可用性模式部署次要 NSX-T 自主邊緣 (第 2 層 VPN 用戶端)：

1. 請按照「在內部部署 NSX-T Autonomous Edge」一文中的步驟操作，直到抵達「自訂範本」步驟為止。

2. 在「自訂範本」步驟中，改為執行下列操作：

   1. 在「Application」部分輸入以下詳細資料：

      • 設定系統超級使用者密碼。
      • 設定 CLI「admin」使用者密碼。
      • 勾選「Is Autonomous Edge」核取方塊。
      • 將其他所有欄位留空。

   2. 在「Network Properties」(網路屬性) 部分輸入以下詳細資料：

      • 設定主機名稱。
      • 設定「預設 IPv4 閘道」。這是管理網路的預設閘道。
      • 設定管理網路 IPv4 位址。這是次要自主邊緣的管理 IP。
      • 設定管理網路遮罩。這是管理網路前置碼長度。

   3. 在「DNS 部分」中，輸入下列詳細資料：

      • 輸入 DNS 伺服器清單。
      • 輸入 DNS 伺服器 IP 位址，並以空格分隔。
      • 輸入網域搜尋清單。
      • 輸入網域名稱。

   4. 在「服務設定」部分中，輸入下列詳細資料：

      • 輸入 NTP 伺服器清單。
      • 請輸入 NTP 伺服器，並以空格分隔。
      • 勾選「Enable SSH」核取方塊。
      • 勾選「允許 SSH 根目錄登入」核取方塊。
      • 輸入記錄伺服器 (如有)。

   5. 將「External」部分留空。

   6. 在「HA 部分」中，輸入以下詳細資料：

      • 請使用下列格式輸入 HA Port 詳細資料：VLAN ID,exitPnic,IP,Prefix Length。例如：2880,eth4,172.16.8.11,28。替換下列值：

        • VLAN ID：管理 VLAN 的 VLAN ID
        • exitPnic：保留給 HA 流量的介面 ID
        • IP：HA 介面為次要自主邊緣保留的 IP 位址
        • Prefix Length：HA 網路的前置字串長度

      • 在「HA Port Default Gateway」欄位中，輸入管理網路的預設閘道。

      • 勾選「Secondary API Node」核取方塊。

      • 在「Primary Node Management IP」欄位中，輸入主要自主邊緣的管理 IP 位址。

      • 在「Primary Node Username」欄位中輸入主要自主邊緣的使用者名稱 (例如「admin」)。

      • 在「Primary Node Password」欄位中輸入主要自主邊的密碼。

      • 在「Primary Node Management Thumbprint」欄位中輸入主要自主邊緣的 API 指紋。您可以使用管理員憑證透過 SSH 連線至主要的自主邊緣，然後執行 get certificate api thumbprint 指令，即可取得這項資訊。

3. 完成 OVF 範本的其餘部署步驟，以便部署次要自主邊緣 (內部部署的 Layer 2 VPN 用戶端)。

產生的自主邊緣的「高可用性狀態」為「啟用」。

層 2 VPN 部署範例

下表列出第 2 層 VPN 部署作業的規格。

要擴展的內部部署網路

聯播網資源	值
VLAN	2875
CIDR	172.16.8.16/28

部署自主邊緣的內部部署網路

聯播網資源	值
管理 VLAN	2880
管理 CIDR	172.16.8.0/28
上行連結 VLAN	2871
上行 CIDR	172.16.8.32/28
HA VLAN (與管理類型相同)	2880
HA CIDR (與管理相同)	172.16.8.0/28
主要自主邊緣管理 IP 位址	172.16.8.14
主要自主邊緣上行鏈路 IP 位址	172.16.8.46
主要自主邊緣 HA IP 位址	172.16.8.12
次要自主邊緣管理 IP 位址	172.16.8.13
次要自主邊緣 HA IP 位址	172.16.8.11

NSX-T 層級 1 路由器 (第 2 層 VPN 伺服器) 的私有雲 IP 架構

聯播網資源	值
本機端點 IP 位址	192.168.198.198
本機端點網路	192.168.198.198/31
通道介面	192.168.199.1/30
區隔 (拉長)	L2 VPN-Seg-test
回送介面 (NAT IP 位址)	104.40.21.81

要對應至延展網路的私有雲網路

聯播網資源	值
區隔 (拉長)	L2 VPN-Seg-test
CIDR	172.16.8.16/28

後續步驟

• 如要進一步瞭解如何使用 NSX-T 第 2 層 VPN 擴充內部網路，請參閱 VMware 說明文件「瞭解第 2 層 VPN」。