NSX-T 3.2 L2VPN ハブ & スポーク構成

こちらを参照して、VMware NSX-T Data Center の L2VPN ハブ＆スポーク構成 の動作検証を実施しましたので、簡単にまとめます。

• 検証環境
• vCenter Server : 7.0 U3c
• ESXi : 7.0 U3c
• NSX-T：3.2.0.1

NSX-T L2VPN 検証構成

今回の検証構成は下記の形となり、本社と支店2か所間でハブ＆スポーク構成でL2VPN（172.110.10.0/24）を設定する想定です。
検証の前提としては、各サイトで仮想マシンをセグメント及びTier-1、Tier-0に接続し、外部ルータを介してOSPF（又はBGP）で 3拠点のルーティングを構成する事が必要となります。
L2VPNは NSX-T 3.0以降、Tier-0又はTier-1にてサポートされていますが、今回はTier-1で検証をしました。（Tier-0で設定する場合は、アクティブ/スタンバイ構成が必要です）

NSX-T L2VPNの設定手順：L2VPN サーバ

こちらを参照して、以下の手順で実施します。

1. IPsec VPNサービスの作成
L2VPNの前提となるIPsec VPNサービスを[ネットワーク] > [VPN] > [VPN サービス] > [サービスの追加] > [IPsec] より作成します。

2. L2VPNサーバ サービスの作成
次に [ネットワーク] > [VPN] > [VPN サービス] タブに移動し、[サービスの追加] > [L2 VPN サーバ] より、L2VPNサーバ サービスを作成します。また、[ハブアンドスポーク] も有効化します。

3. ローカルエンドポイントの作成
[ネットワーク] > [VPN] > [ローカル エンドポイント] より、[ローカル エンドポイントの追加] を実施します。今回はTier-1でL2VPNを有効化する為、Tier-1でIPsec ローカル エンドポイントのルートアドバタイズを有効化する必要があります。　
※ 6. IPsecローカルエンドポイントのアドレスを再配布

4. L2VPNサーバ セッションの作成
[ネットワーク] > [VPN] > [L2 VPN セッション] > [L2 VPN セッションの追加] より [L2 VPN サーバ]セッションを作成します。（各スポーク毎に作成）

5. ローカルのセグメントをL2VPNセッションに接続
対象のセグメントを編集し、L2VPNセッションに接続します。

6. IPsecローカルエンドポイントのアドレスを再配布
Tier-0、Tier-1にて、[IPsecローカルエンドポイント] のアドレスを広報します。

NSX-T L2VPNの設定手順：L2VPN クライアント

1. IPsec VPNサービスの作成
サーバ側の手順と同様にIPsec VPNサービスを作成します。

2. L2VPNクライアント サービスの作成
サーバ側の手順と同様にL2VPNクライアントサービスを作成します。

3. L2VPNクライアント セッションの作成（各スポーク毎に設定）
L2VPNクライアント セッションの作成にあたり、L2VPNサーバセッションの[設定のダウンロード]より、[ピアコード]を取得します。

ダウンロードしたテキストより、[peer code：]以降の、ダブルクォートを抜いた文字列をコピーします。

上記のコードを利用して、L2VPNクライアントセッションを作成します。

4. ローカルのセグメントをL2VPNセッションに接続

5. IPsecローカルエンドポイントのアドレスを再配布
サーバ側と同様に、Tier-0、Tier-1にて、[IPsecローカルエンドポイント] のアドレスを広報します。

6. 通信確認
L2VPNセッションが、サーバー及びクライアントを含め、状態が正常である事を確認します。

意図通り、拠点間の ハブを経由した、同一L2の通信が可能であることを確認します。
（支店2 VM → 本社→ 支店1 VM)

参考URL