Bu gün NSX Edge-in bizə təklif etdiyi VPN konfiqurasiya seçimlərinə nəzər salacağıq.
Ümumiyyətlə, VPN texnologiyalarını iki əsas növə ayıra bilərik:
Saytdan-sayta VPN. IPSec-in ən ümumi istifadəsi, məsələn, əsas ofis şəbəkəsi ilə uzaq bir saytda və ya buludda şəbəkə arasında təhlükəsiz tunel yaratmaqdır.
Uzaqdan Giriş VPN. VPN müştəri proqram təminatından istifadə edərək fərdi istifadəçiləri korporativ şəxsi şəbəkələrə qoşmaq üçün istifadə olunur.
NSX Edge bizə hər iki variantdan istifadə etməyə imkan verir.
Quraşdırılmış demonu olan Linux serveri olan iki NSX Edge ilə sınaq stendindən istifadə edərək konfiqurasiya edəcəyik racoon və Uzaqdan Giriş VPN-i sınamaq üçün Windows noutbuku.
IPsec
vCloud Director interfeysində İdarəetmə bölməsinə keçin və vDC-ni seçin. Edge Gateways sekmesinde, bizə lazım olan Edge seçin, sağ klikləyin və Edge Gateway Services seçin.
NSX Edge interfeysində VPN-IPsec VPN nişanına, sonra IPsec VPN Saytları bölməsinə keçin və yeni sayt əlavə etmək üçün + düyməsini sıxın.
Tələb olunan sahələri doldurun:
Effektiv – uzaq saytı aktivləşdirir.
PFS – hər bir yeni kriptoqrafik açarın əvvəlki açarla əlaqələndirilməməsini təmin edir.
Lokal ID və Local Endpointt NSX Edge-in xarici ünvanıdır.
yerli alt şəbəkəs - IPsec VPN istifadə edəcək yerli şəbəkələr.
Peer ID və Peer Endpoint – uzaq saytın ünvanı.
Həmyaşıd alt şəbəkələr – uzaq tərəfdə IPsec VPN istifadə edəcək şəbəkələr.
Şifrələmə alqoritmi - tunel şifrələmə alqoritmi.
İdentifikasiyası - həmyaşıdı necə təsdiq edəcəyik. Siz Əvvəlcədən Paylaşılan Açardan və ya sertifikatdan istifadə edə bilərsiniz.
Əvvəlcədən Paylaşılan Açar - autentifikasiya üçün istifadə olunacaq və hər iki tərəfdən uyğun olmalıdır açarı göstərin.
Diffie Hellman Qrupu – açar mübadiləsi alqoritmi.
Tələb olunan sahələri doldurduqdan sonra Saxla düyməsini basın.
Done.
Saytı əlavə etdikdən sonra Aktivləşdirmə Vəziyyəti sekmesine keçin və IPsec Xidmətini aktivləşdirin.
Parametrlər tətbiq edildikdən sonra Statistika -> IPsec VPN sekmesine keçin və tunelin vəziyyətini yoxlayın. Tunelin qalxdığını görürük.
Hər şey hazırdır, saytdan sayta IPsec VPN işləyir və işləyir.
Bu nümunədə biz həmyaşıdların autentifikasiyası üçün PSK-dan istifadə etdik, lakin sertifikatın autentifikasiyası da mümkündür. Bunu etmək üçün Qlobal Konfiqurasiya sekmesine keçin, sertifikatın autentifikasiyasını aktivləşdirin və sertifikatın özünü seçin.
Bundan əlavə, sayt parametrlərində autentifikasiya metodunu dəyişdirməlisiniz.
Qeyd edim ki, IPsec tunellərinin sayı yerləşdirilən Edge Gateway-in ölçüsündən asılıdır (bu barədə bizim səhifəmizdə oxuyun) ilk məqalə).
SSL VPN
SSL VPN-Plus Uzaqdan Giriş VPN seçimlərindən biridir. O, fərdi uzaq istifadəçilərə NSX Edge Gateway arxasında şəxsi şəbəkələrə təhlükəsiz qoşulmağa imkan verir. SSL VPN-plus vəziyyətində müştəri (Windows, Linux, Mac) və NSX Edge arasında şifrələnmiş tunel qurulur.
Quraşdırmağa başlayaq. Edge Gateway xidmət idarəetmə panelində SSL VPN-Plus nişanına, sonra Server Parametrlərinə keçin. Serverin daxil olan əlaqələri dinləyəcəyi ünvanı və portu seçirik, girişi aktivləşdiririk və lazımi şifrələmə alqoritmlərini seçirik.
Burada həmçinin serverin istifadə edəcəyi sertifikatı dəyişə bilərsiniz.
Hər şey hazır olduqdan sonra serveri yandırın və parametrləri yadda saxlamağı unutmayın.
Sonra, qoşulduqda müştərilərə verəcəyimiz ünvanlar hovuzu yaratmalıyıq. Bu şəbəkə NSX mühitinizdə mövcud olan hər hansı alt şəbəkədən ayrıdır və ona işarə edən marşrutlar istisna olmaqla, fiziki şəbəkələrdəki digər cihazlarda konfiqurasiya edilməsinə ehtiyac yoxdur.
IP Hovuzları sekmesine keçin və + düyməsini basın.
Ünvanlar, alt şəbəkə maskası və şlüz seçin. Burada həmçinin DNS və WINS serverlərinin parametrlərini dəyişə bilərsiniz.
Nəticədə hovuz.
İndi VPN-ə qoşulan istifadəçilərin daxil ola biləcəyi şəbəkələri əlavə edək. Şəxsi Şəbəkələr sekmesine keçin və + düyməsini basın.
Biz doldururuq:
Şəbəkə - uzaq istifadəçilərin daxil ola biləcəyi yerli şəbəkə.
Trafik göndərin, onun iki seçimi var:
- tunel üzərində - tunel vasitəsilə şəbəkəyə trafik göndərmək,
— bypass tunel—trafikin birbaşa tuneldən yan keçərək şəbəkəyə göndərilməsi.
TCP Optimizasiyasını aktivləşdirin - tunel üzərindən seçim seçdiyinizi yoxlayın. Optimallaşdırma aktiv olduqda, siz trafiki optimallaşdırmaq istədiyiniz port nömrələrini təyin edə bilərsiniz. Həmin xüsusi şəbəkədə qalan portlar üçün trafik optimallaşdırılmayacaq. Heç bir port nömrələri göstərilməyibsə, bütün portlar üçün trafik optimallaşdırılır. Bu xüsusiyyət haqqında daha çox oxuyun burada.
Sonra, Doğrulama sekmesine keçin və + düyməsini basın. Doğrulama üçün biz NSX Edge-in özündə yerli serverdən istifadə edəcəyik.
Burada biz yeni parolların yaradılması üçün siyasətləri seçə və istifadəçi hesablarının bloklanması variantlarını konfiqurasiya edə bilərik (məsələn, parol səhv daxil edildikdə təkrar cəhdlərin sayı).
Biz yerli autentifikasiyadan istifadə etdiyimiz üçün istifadəçilər yaratmalıyıq.
Ad və parol kimi əsas şeylərə əlavə olaraq, burada, məsələn, istifadəçiyə parolu dəyişdirməyi qadağan edə və ya əksinə, növbəti dəfə daxil olduqda parolu dəyişməyə məcbur edə bilərsiniz.
Bütün lazımi istifadəçilər əlavə edildikdən sonra Quraşdırma Paketləri sekmesine keçin, + düyməsini basın və quraşdırma üçün uzaq bir işçi tərəfindən yüklənəcək quraşdırıcının özünü yaradın.
+ düyməsini basın. Müştərinin qoşulacağı serverin ünvanını və portunu və quraşdırma paketini yaratmaq istədiyiniz platformaları seçin.
Aşağıda bu pəncərədə Windows üçün müştəri parametrlərini təyin edə bilərsiniz. Seçin:
giriş zamanı müştərini işə salın – VPN müştərisi uzaq maşında işə salınmağa əlavə olunacaq;
masa üstü simgesini yarat - masaüstündə VPN müştəri simvolu yaradacaq;
server təhlükəsizlik sertifikatının təsdiqi - qoşulma zamanı server sertifikatını təsdiq edəcək.
Serverin quraşdırılması tamamlandı.
İndi isə son mərhələdə yaratdığımız quraşdırma paketini uzaq kompüterə endirək. Serveri qurarkən onun xarici ünvanını (185.148.83.16) və portunu (445) göstərdik. Məhz bu ünvanda veb brauzerə daxil olmalıyıq. Mənim vəziyyətimdə belədir 185.148.83.16: 445.
Avtorizasiya pəncərəsində əvvəllər yaratdığımız istifadəçi etimadnaməsini daxil etməlisiniz.
Avtorizasiyadan sonra biz endirilə bilən yaradılmış quraşdırma paketlərinin siyahısını görürük. Biz yalnız birini yaratdıq - onu yükləyəcəyik.
Linkə klikləyirik, müştərinin yüklənməsi başlayır.
Yüklənmiş arxivi açın və quraşdırıcını işə salın.
Quraşdırıldıqdan sonra müştərini işə salın, avtorizasiya pəncərəsində Giriş düyməsini basın.
Sertifikat yoxlama pəncərəsində Bəli seçin.
Əvvəllər yaradılmış istifadəçinin etimadnaməsini daxil edirik və əlaqənin uğurla tamamlandığını görürük.
Yerli kompüterdə VPN müştərisinin statistikasını yoxlayırıq.
Windows əmr satırında (ipconfig / all) əlavə virtual adapterin göründüyünü və uzaq şəbəkəyə qoşulma olduğunu görürük, hər şey işləyir:
Və nəhayət, Edge Gateway konsolundan yoxlayın.
L2 VPN
Bir neçə coğrafi baxımdan birləşdirmək lazım olduqda L2VPN tələb olunacaq
şəbəkələri bir yayım domeninə payladı.
Bu, məsələn, virtual maşını köçürərkən faydalı ola bilər: VM başqa coğrafi əraziyə köçdükdə maşın IP ünvanlama parametrlərini saxlayacaq və onunla eyni L2 domenində yerləşən digər maşınlarla əlaqəni itirməyəcək.
Test mühitimizdə iki saytı bir-birinə bağlayacağıq, onları müvafiq olaraq A və B adlandıracağıq.Bizim iki NSX və müxtəlif Edge-lərə qoşulmuş iki eyni şəkildə yaradılmış marşrutlaşdırılmış şəbəkəmiz var. A maşınının 10.10.10.250/24, B maşınının 10.10.10.2/24 ünvanı var.
vCloud Director-da İdarəetmə sekmesine keçin, bizə lazım olan VDC-yə keçin, Org VDC Networks sekmesine keçin və iki yeni şəbəkə əlavə edin.
Yönləndirilmiş şəbəkə növünü seçin və bu şəbəkəni NSX-ə bağlayın. Alt interfeys olaraq yarat qutusunu qoyuruq.
Nəticədə iki şəbəkə əldə etməliyik. Bizim nümunəmizdə onlar eyni şlüz parametrləri və eyni maska ilə şəbəkə-a və şəbəkə-b adlanır.
İndi birinci NSX-in parametrlərinə keçək. Bu, A Şəbəkəsinin qoşulduğu NSX olacaq. O, server kimi fəaliyyət göstərəcək.
NSx Edge interfeysinə qayıdırıq / VPN sekmesine keçin -> L2VPN. L2VPN-i yandırırıq, Server iş rejimini seçirik, Server Qlobal parametrlərində tunel üçün portun dinlənəcəyi xarici NSX IP ünvanını təyin edirik. Varsayılan olaraq, rozetka 443 portda açılacaq, lakin bu dəyişdirilə bilər. Gələcək tunel üçün şifrələmə parametrlərini seçməyi unutmayın.
Server Saytları sekmesine keçin və həmyaşıd əlavə edin.
Peer-i işə salırıq, adı, təsviri təyin edirik, lazım olduqda istifadəçi adı və şifrəni təyin edirik. Bu məlumat bizə daha sonra müştəri saytını qurarkən lazım olacaq.
Egress Optimization Gateway Address-də biz şluz ünvanını təyin etdik. Bu, IP ünvanlarının konfliktinin olmaması üçün lazımdır, çünki şəbəkələrimizin şlüzünün eyni ünvanı var. Sonra SEÇ SUB-INTERFACES düyməsini klikləyin.
Burada istədiyiniz alt interfeysi seçirik. Parametrləri saxlayırıq.
Parametrlərdə yeni yaradılmış müştəri saytının göründüyünü görürük.
İndi müştəri tərəfdən NSX konfiqurasiyasına keçək.
NSX B tərəfinə gedirik, VPN -> L2VPN-ə keçin, L2VPN-ni aktivləşdirin, L2VPN rejimini müştəri rejiminə qoyun. Müştəri Qlobal sekmesinde, server tərəfində daha əvvəl Dinləmə IP və Port kimi qeyd etdiyimiz NSX A ünvanını və portunu təyin edin. Eyni şifrələmə parametrlərini belə qurmaq lazımdır ki, tunel qaldırıldıqda ardıcıl olsun.
Aşağıya sürüşürük, L2VPN üçün tunelin qurulacağı alt interfeysi seçin.
Egress Optimization Gateway Address-də biz şluz ünvanını təyin etdik. İstifadəçi adı və şifrəni təyin edin. Alt interfeysi seçirik və parametrləri saxlamağı unutmayın.
Əslində, hamısı budur. Müştəri və server tərəfinin parametrləri bir neçə nüans istisna olmaqla, demək olar ki, eynidır.
İndi hər hansı NSX-də Statistika -> L2VPN-ə keçməklə tunelimizin işlədiyini görə bilərik.
İndi hər hansı Edge Gateway-in konsoluna getsək, onların hər birində arp cədvəlində hər iki VM-nin ünvanlarını görəcəyik.
Bütün bunlar NSX Edge-də VPN haqqındadır. Bir şey aydın deyilsə soruşun. Bu həm də NSX Edge ilə işləmək haqqında bir sıra məqalələrin sonuncu hissəsidir. Ümid edirik ki, faydalı oldular 🙂