通常地端若要將網路延伸到雲端
都透過WAN來進行延伸
但在WAN傳送資料,有資安的風險
此傳輸但若想要在地端連到雲端後
MAC和網段都不變的話
那麼,就應該使用L2 VPN功能
以將L2打通來做網路的延伸
達到地端和雲端同時都使用一個網段
對地端來說,就是將網路在雲端做了延伸
我的LAB架構如下
相關參數圖如下左邊的部分
二、建置 FortiVM
三、新增 NSX Edge
四、新增 NSX Edge interfaces Uplink
五、設定 NSX Edge Gateway
六、新增 NSX Edge interfaces Trunk
七、新增 NSX Edge interfaces Trunk Sub interfaces
八、設定 NSX L2 VPN
九、新增 NSX L2 VPN Peer Site
十、啟用 NSX L2 VPN
一、LAB的網路環境
因我整個LAB都在VMware WorkStation 完成的
需在Workstation這層,就要將網路先做好設定~
這個LAB需要動用2套vCenter,也就是需要2個Site
所以我建了很多組網路
目的
就是要把SiteA和SiteB隔離開來
其中的VMnet都是Workstation層級的網路
所以這個
FortiVM佔有很重要的角色
這是SiteA環境esxi的網路
是workstation中的VM
這是SiteB環境esxi的網路
可以發現SiteA和SiteB的esxi網路
僅有共用VMnet0
實際上
這個VMnet0是對應到Wifi的USB網卡上
是我拿來臨時要讓環境內的VM出真正internet用的
所以SiteA和SiteB這2個環境是完全隔離的
僅靠架構圖中上方的FortiVM做routing
二、建置 FortiVM
在我的LAB中
會有很多需要FortiVM出場的時候
拿來當L2或是L3都太好用了
我就拿他拿來當WAN
WAN也就是多網段的路由
建置不困難
我就不多做教學
反而是找到FortiVM的ovf會比較麻煩一點
匯入forti VM 的 ovf 後,要先到Console的CLI設定一下後才能使用
預設情況下
帳號為 admin,密碼沒有直接 enter
然後就會提示你,設定新的密碼
然後
設定一下管理用的interface
#config system interface
#edit port1
#set mode static
#set ip 192.168.11.133 255.255.255.0
#set allowaccess ssh ping http https
#end
設定完成後,直接就可以ping通囉~
接下來,就可以透過192.168.11.133去管理囉~
細節的部分我就不多說
直接來看設定吧~
我在FortiVM中的port2, port3,分別把IP設定上去
另外
很重要的是
畢竟這個FortiVM,本來就是拿來當UTM的
所以在Firewall Policy上,要特別去開一下Policy
免得自己嚇自己
題外話...
因為我的LAB環境基本上是不出WAN的
且環境裡面對於 fortinet 的建置也很單純
所以即便是塞了key給 fortiVM
因為找不到相關的驗證主機,最終就會導致連portal都進不去喔~
塞key前,請詳閱說明書~
三、新增 NSX Edge
當然前提是你要有NSX環境前提要設 NSX Transport Zones
前提要設 NSX Segment IDs
前提要設 NSX VXLAN Configured
前提要做 NSX Host Preparation
前提要建 NSX Controller Nodes
前提要將 NSX 的 License 匯入
前提要將 NSX Manager 介接到 vCenter
前提要將 NSX Manager 給建好
呼~以上反向說明
大致上要做的步驟後
估計大約2H~4H之間跑不掉
若一切都順利
就來繼續新增NSX Edge的部分
我習慣
叫做Edge或是 ESG (Edge Services Gateway)
給個名稱
這個名稱就是VM的名稱,建議有個前綴字元會比較好管理
並選擇要放在哪台esxi上
這台Edge
會是一台VM,設定他的密碼,要求的字元數比較多喔
並將SSH打開,未來若需要查看一些資訊的時候
可以連進來方便查看管理
因為Edge也是台VM
既然是VM,也就可以設定規格大小
因為是LAB,還建2座NSX環境
省點用吧~規格就選最小的就好
這規格的選定,會決定了進出這個Edge的流量處理速度喔
會是一台VM,設定他的密碼,要求的字元數比較多喔
並將SSH打開,未來若需要查看一些資訊的時候
可以連進來方便查看管理
因為Edge也是台VM
既然是VM,也就可以設定規格大小
因為是LAB,還建2座NSX環境
省點用吧~規格就選最小的就好
這規格的選定,會決定了進出這個Edge的流量處理速度喔
對於這個Edge的VM規格
VMware有個PDF上面有說明各個效能數據,但是超級難看的懂
他竟然是行列式,而非比較式的表達,唉~大家參考吧
https://docs.vmware.com/en/VMware-NSX-Data-Center-for-vSphere/6.4/NSX%20for%20vSphere%20Recommended%20Configuration%20Maximums_64.pdf
我另外找到別人做好的比較
個人覺得很清楚
有興趣的網友們可以參考URL喔
https://anthonyspiteri.net/nsx-bytes-updated-nsx-edge-feature-and-performance-matrix-2/
部分截圖如下
設定這個Edge的VM
要放置的位置
對於Edge的VM一些基本的設定
算是完成囉~
四、新增 NSX Edge interfaces Uplink
我們先來新增Uplink
選擇【+ADD】
給這個uplink一個名稱
並選擇【Uplink】後,在Connected To的地方點選 鉛筆的icon
選擇欲連結的網路
按我的LAB規劃,我選擇vDS-07_DPG-WAN-P這個DPG
然後
對這個uplink的interfaces新增IP
按照LAB規劃
這邊我設定 192.168.2.2
新增Uplink完成後,就【NEXT】
五、設定 NSX Edge Gateway
按照LAB規劃
對於這個Edge的VM來說
Gateway會是在剛剛所建的interface上,即 L2VPN-Server-Uplink
而IP就是FortiVM往SiteA的這個IP,即 192.168.2.1
Firewall的部分
為了避免自己嚇自己
我雖然是將Firewall給【Enabled】,但預設則選為【Allow】
最後【FINISH】
這樣Edge就新增好囉
六、新增 NSX Edge interfaces Trunk
再去編輯一下剛剛建好的Edge
我另外找到別人做好的比較
個人覺得很清楚
有興趣的網友們可以參考URL喔
https://anthonyspiteri.net/nsx-bytes-updated-nsx-edge-feature-and-performance-matrix-2/
部分截圖如下
設定這個Edge的VM
要放置的位置
對於Edge的VM一些基本的設定
算是完成囉~
四、新增 NSX Edge interfaces Uplink
我們先來新增Uplink
選擇【+ADD】
給這個uplink一個名稱
並選擇【Uplink】後,在Connected To的地方點選 鉛筆的icon
選擇欲連結的網路
按我的LAB規劃,我選擇vDS-07_DPG-WAN-P這個DPG
然後
對這個uplink的interfaces新增IP
按照LAB規劃
這邊我設定 192.168.2.2
新增Uplink完成後,就【NEXT】
五、設定 NSX Edge Gateway
按照LAB規劃
對於這個Edge的VM來說
Gateway會是在剛剛所建的interface上,即 L2VPN-Server-Uplink
而IP就是FortiVM往SiteA的這個IP,即 192.168.2.1
Firewall的部分
為了避免自己嚇自己
我雖然是將Firewall給【Enabled】,但預設則選為【Allow】
最後【FINISH】
這樣Edge就新增好囉
六、新增 NSX Edge interfaces Trunk
再去編輯一下剛剛建好的Edge
因為對這個Edge在做新增的當下,對vnic編輯時
是看不到trunk選項的
所以需要待Edge建好後
再回來編輯vnic,就可以看到囉~
是看不到trunk選項的
所以需要待Edge建好後
再回來編輯vnic,就可以看到囉~
先選一下【vnic1】,再點【EDIT】編輯這個interfaec
這邊名稱命名為 L2VPN-Server-Trunk
Type選擇【Trunk】
Connected To 按LAB規劃,我選擇【vDS-02_DPG-vMotion】
這裡沒有特殊要求,僅是依我的網路,vMotion這個流量比較少
十、啟用 NSX L2 VPN
Type選擇【Trunk】
Connected To 按LAB規劃,我選擇【vDS-02_DPG-vMotion】
這裡沒有特殊要求,僅是依我的網路,vMotion這個流量比較少
我幾乎都沒有在vMotion的
然後,下方 Sub Interfaces 的部分,選擇【+ADD】
七、新增 NSX Edge interfaces Trunk Sub interfaces
新增 Sub interfaces
也就是L2 VPN Tunnel 建立起來後,跑的網路
Name: downlink
Tunnel ID: 1
Connected To: vDS-02_DPG-TEST
然後,下方 Sub Interfaces 的部分,選擇【+ADD】
七、新增 NSX Edge interfaces Trunk Sub interfaces
新增 Sub interfaces
也就是L2 VPN Tunnel 建立起來後,跑的網路
Name: downlink
Tunnel ID: 1
Connected To: vDS-02_DPG-TEST
Configure Subnets: 192.168.12.6/24
下一步
建立interfaces的部分
就算是完成啦~
八、設定 NSX L2 VPN
設定L2 VPN
先選擇L2 VPN的模式為【Server】端
然後【EDIT】
這邊設定
Listener IP: 192.168.2.2
Listener Port: 443
Encryption Algorithm: AES128-GCM-SHA256
IP就如規劃的設定、port就維持不變
加密的部分,我是隨便選一個,應該Client端也要選到相應的加密才行
九、新增 NSX L2 VPN Peer Site
新增Peer Site,選擇【+ADD】
設定
把Peer Site給【Enable】
下一步
建立interfaces的部分
就算是完成啦~
八、設定 NSX L2 VPN
設定L2 VPN
先選擇L2 VPN的模式為【Server】端
然後【EDIT】
這邊設定
Listener IP: 192.168.2.2
Listener Port: 443
Encryption Algorithm: AES128-GCM-SHA256
IP就如規劃的設定、port就維持不變
加密的部分,我是隨便選一個,應該Client端也要選到相應的加密才行
九、新增 NSX L2 VPN Peer Site
新增Peer Site,選擇【+ADD】
設定
把Peer Site給【Enable】
給個名稱【L2VPN-Client】
輸入帳號密碼,這是要給L2 VPN Client端聯的
Stretched interfaces部分,僅能選擇在這個Edge上interface為Trunk的網路
就是L2 VPN Client的 Tunnel 建立起來後,這個帳號可以對接的網路
輸入帳號密碼,這是要給L2 VPN Client端聯的
Stretched interfaces部分,僅能選擇在這個Edge上interface為Trunk的網路
就是L2 VPN Client的 Tunnel 建立起來後,這個帳號可以對接的網路
十、啟用 NSX L2 VPN
最後
就是啟用L2 VPN吧~
這樣L2 VPN Server端就設定完成囉~
這樣L2 VPN Server端就設定完成囉~
沒有留言:
張貼留言