Gaur NSX Edge-k eskaintzen dizkigun VPN konfigurazio-aukerei begirada bat emango diegu.
Oro har, VPN teknologiak bi gako motatan bana ditzakegu:
Gunez gune VPN. IPSec-en erabilera ohikoena tunel seguru bat sortzea da, adibidez, bulegoko sare nagusi baten eta sare baten artean urruneko gune batean edo hodeian.
Urruneko sarbidea VPN. Erabiltzaile indibidualak sare pribatu korporatiboetara konektatzeko erabiltzen da VPN bezeroaren softwarea erabiliz.
NSX Edge-k bi aukerak erabiltzeko aukera ematen digu.
Proba-banku bat erabiliz konfiguratuko dugu bi NSX Edgerekin, Linux zerbitzari bat instalatutako deabru batekin mapatxea eta Windows ordenagailu eramangarri bat Urruneko Sarbide VPN probatzeko.
IPsec
vCloud Director interfazean, joan Administrazio atalera eta hautatu vDC. Edge Gateways fitxan, hautatu behar dugun Edge, egin klik eskuineko botoiarekin eta hautatu Edge Gateway Services.
NSX Edge interfazean, joan VPN-IPsec VPN fitxara, ondoren IPsec VPN Guneak atalera eta egin klik + gune berri bat gehitzeko.
Bete beharrezko eremuak:
Gaituta β urruneko gunea aktibatzen du.
PFS β ziurtatzen du gako kriptografiko berri bakoitza ez dagoela aurreko gako batekin lotuta.
Tokiko IDa eta Local Endpointt NSX Edge-ren kanpoko helbidea da.
tokiko azpisareas - IPsec VPN erabiliko duten sare lokalak.
Peer ID eta Peer Endpoint β urruneko gunearen helbidea.
Peer azpisareak β urruneko aldean IPsec VPN erabiliko duten sareak.
Dena prest dago, gunez gune IPsec VPN martxan dago.
Adibide honetan, PSK erabili dugu parekoen autentifikaziorako, baina ziurtagirien autentifikazioa ere posible da. Horretarako, joan Konfigurazio Globala fitxara, gaitu ziurtagiriaren autentifikazioa eta hautatu ziurtagiria bera.
Gainera, gunearen ezarpenetan, autentifikazio-metodoa aldatu beharko duzu.
Kontuan izan dut IPsec tunel kopurua zabaldutako Edge Gateway-ren tamainaren araberakoa dela (irakurri honi buruz gure lehen artikulua).
SSL VPN
SSL VPN-Plus Urruneko Sarbide VPN aukeretako bat da. Urrutiko erabiltzaile indibidualak NSX Edge Gateway-ren atzean dagoen sare pribatuetara segurtasunez konektatzeko aukera ematen du. SSL VPN-plus-en kasuan enkriptatutako tunel bat ezartzen da bezeroaren (Windows, Linux, Mac) eta NSX Edgeren artean.
Has gaitezen konfiguratzen. Edge Gateway zerbitzuaren kontrol-panelean, joan SSL VPN-Plus fitxara, gero zerbitzariaren ezarpenetara. Zerbitzariak sarrerako konexioak entzungo dituen helbidea eta ataka hautatzen ditugu, erregistroa gaitu eta beharrezko enkriptazio algoritmoak hautatzen ditugu.
Hemen zerbitzariak erabiliko duen ziurtagiria ere alda dezakezu.
Dena prest dagoenean, piztu zerbitzaria eta ez ahaztu ezarpenak gordetzea.
Ondoren, konektatzean bezeroei emango dizkiegun helbide multzo bat konfiguratu behar dugu. Sare hau zure NSX ingurunean dagoen edozein azpisaretik bereizita dago eta ez da zertan sare fisikoetako beste gailu batzuetan konfiguratu behar, bertara zuzentzen diren bideetan izan ezik.
Joan IP Pools fitxara eta egin klik +.
Hautatu helbideak, azpisare maskara eta atebidea. Hemen DNS eta WINS zerbitzarien ezarpenak ere alda ditzakezu.
Ondorioz igerilekua.
Orain gehi ditzagun VPNra konektatzen diren erabiltzaileek sarbidea izango duten sareak. Joan Sare Pribatuak fitxara eta egin klik +.
Betetzen dugu:
Sarea - urruneko erabiltzaileek sarbidea izango duten sare lokala.
Bidali trafikoa, bi aukera ditu:
- tunelaren gainean - bidali trafikoa sarera tunelaren bidez,
β saihestu tunela β trafikoa sarera bidali zuzenean tunela saihestuz.
Gaitu TCP optimizazioa - egiaztatu tunelaren gaineko aukera aukeratu duzun. Optimizazioa gaituta dagoenean, trafikoa optimizatu nahi duzun ataka-zenbakiak zehaztu ditzakezu. Sare jakin horretako gainerako portuetarako trafikoa ez da optimizatuko. Portu-zenbakirik zehazten ez bada, ataka guztien trafikoa optimizatuko da. Irakurri gehiago eginbide honi buruz Hemen.
Ondoren, joan Autentifikazio fitxara eta egin klik +. Autentifikaziorako, NSX Edgen bertan zerbitzari lokal bat erabiliko dugu.
Hemen pasahitz berriak sortzeko politikak hauta ditzakegu eta erabiltzaile-kontuak blokeatzeko aukerak konfiguratu ditzakegu (adibidez, pasahitza gaizki sartzen bada errepikapenen kopurua).
Tokiko autentifikazioa erabiltzen ari garenez, erabiltzaileak sortu behar ditugu.
Izena eta pasahitza bezalako oinarrizko gauzez gain, hemen, adibidez, erabiltzaileari pasahitza aldatzea debekatu diezaiokezu edo, alderantziz, saioa hasten den hurrengoan pasahitza aldatzera behartu.
Beharrezko erabiltzaile guztiak gehitu ondoren, joan Instalazio paketeak fitxara, egin klik + eta sortu instalatzailea bera, urruneko langile batek deskargatuko duena instalatzeko.
Sakatu +. Hautatu bezeroa konektatuko den zerbitzariaren helbidea eta ataka, eta instalazio paketea sortu nahi duzun plataformak.
Leiho honen azpian, Windows-en bezeroaren ezarpenak zehaztu ditzakezu. Aukeratu:
Hasi bezeroa saioa hasten denean - VPN bezeroa urruneko makinan abiarazteko gehituko da;
sortu mahaigaineko ikonoa - VPN bezeroaren ikono bat sortuko du mahaigainean;
zerbitzariaren segurtasun-ziurtagiriaren baliozkotzea - ββkonektatzean zerbitzariaren ziurtagiria baliozkotuko du.
Zerbitzariaren konfigurazioa osatu da.
Orain deskarga dezagun azken urratsean sortu dugun instalazio paketea urruneko PC batera. Zerbitzaria konfiguratzean, bere kanpoko helbidea (185.148.83.16) eta ataka (445) zehaztu ditugu. Helbide horretara joan behar dugu web arakatzaile batean. Nire kasuan hala da 185.148.83.16: 445.
Baimen leihoan, lehenago sortu ditugun erabiltzailearen kredentzialak sartu behar dituzu.
Baimenaren ondoren, sortutako instalazio paketeen zerrenda ikusiko dugu deskargatzeko eskuragarri. Bat bakarra sortu dugu - deskargatuko dugu.
Estekan klik egiten dugu, bezeroaren deskarga hasten da.
Deskonpaktatu deskargatutako artxiboa eta exekutatu instalatzailea.
Instalatu ondoren, abiarazi bezeroa, baimen-leihoan, sakatu Saioa hasi.
Ziurtagiria egiaztatzeko leihoan, hautatu Bai.
Aurretik sortutako erabiltzailearen kredentzialak sartzen ditugu eta konexioa behar bezala amaitu dela ikusten dugu.
VPN bezeroaren estatistikak egiaztatzen ditugu tokiko ordenagailuan.
Windows komando-lerroan (ipconfig / all), egokitzaile birtual gehigarri bat agertu dela ikusten dugu eta urruneko sarerako konexioa dagoela, dena funtzionatzen du:
Eta azkenik, egiaztatu Edge Gateway kontsolatik.
L2 VPN
L2VPN beharrezkoa izango da geografikoki hainbat konbinatu behar dituzunean
banatutako sareak emisio-domeinu batean.
Hau erabilgarria izan daiteke, adibidez, makina birtual bat migratzerakoan: VM bat beste eremu geografiko batera mugitzen denean, makinak bere IP helbideratze ezarpenak mantenduko ditu eta ez du galduko harekin L2 domeinu berean dauden beste makinekiko konexioa.
Gure proba-ingurunean, bi gune konektatuko ditugu elkarren artean, A eta B deituko dizkiegu, hurrenez hurren.Bi NSX eta berdin-berdin sortutako bi bideratu sare ditugu Edges ezberdinetara lotuta. A makinak 10.10.10.250/24 helbidea du, B makinak 10.10.10.2/24 helbidea.
vCloud Director-en, joan Administrazio fitxara, joan behar dugun VDCra, joan Org VDC Networks fitxara eta gehitu bi sare berri.
Hautatu bideratutako sare mota eta lotu sare hau gure NSX-ra. Sortu azpiinterfaze gisa kontrol-laukia jarri dugu.
Ondorioz, bi sare lortu beharko genituzke. Gure adibidean, sare-a eta sare-b deitzen dira atebide-ezarpen eta maskara berdinarekin.
Orain goazen lehen NSX-ren ezarpenetara. Hau A Sarea atxikita dagoen NSX izango da. Zerbitzari gisa jardungo du.
NSx Edge interfazera itzuliko gara / Joan VPN fitxara -> L2VPN. L2VPN aktibatzen dugu, Zerbitzariaren funtzionamendu modua hautatzen dugu, Server Global ezarpenetan tunelaren atakak entzungo duen kanpoko NSX IP helbidea zehazten dugu. Lehenespenez, socketa 443 atakan irekiko da, baina hau alda daiteke. Ez ahaztu etorkizuneko tunelerako enkriptazio-ezarpenak hautatzea.
Joan zerbitzari-guneak fitxara eta gehitu pareko bat.
Peer-a pizten dugu, izena, deskribapena ezartzen dugu, behar izanez gero, erabiltzaile-izena eta pasahitza ezartzen ditugu. Datu hauek geroago beharko ditugu bezeroaren gunea konfiguratzerakoan.
Egress Optimization Gateway Address atalean atebidearen helbidea ezarri dugu. Beharrezkoa da IP helbideen gatazkarik egon ez dadin, gure sareetako atariak helbide bera baitu. Ondoren, egin klik HAUTATU AZPI INTERFAZEAK botoian.
Hemen nahi den azpiinterfazea hautatuko dugu. Ezarpenak gordetzen ditugu.
Ezarpenetan sortu berri den bezeroaren gunea agertu dela ikusten dugu.
Orain pasa gaitezen NSX bezeroaren aldetik konfiguratzera.
NSX alde B-ra joango gara, joan VPN -> L2VPN, gaitu L2VPN, ezarri L2VPN modua bezero moduan. Bezero globala fitxan, ezarri NSX A-ren helbidea eta ataka, lehenago Entzuteko IP eta Portua zerbitzariaren aldean zehaztu ditugunak. Era berean, beharrezkoa da enkriptazio-ezarpen berberak ezartzea, tunela altxatzen denean koherenteak izan daitezen.
Behean mugitzen gara, hautatu L2VPNren tunela eraikiko den azpiinterfazea.
Egress Optimization Gateway Address atalean atebidearen helbidea ezarri dugu. Ezarri erabiltzailearen IDa eta pasahitza. Azpiinterfazea hautatzen dugu eta ez dugu ahaztu ezarpenak gordetzea.
Egia esan, hori da dena. Bezeroaren eta zerbitzariaren ezarpenak ia berdinak dira, Γ±abardura batzuk izan ezik.
Orain ikus dezakegu gure tunelak funtzionatu duela Estatistikak -> L2VPN edozein NSX-ra joanda.
Orain edozein Edge Gatewayren kontsolara joaten bagara, horietako bakoitzean arp taulan ikusiko ditugu bi VM-en helbideak.
Hori guztia VPN-n NSX Edge-n. Zerbait argi ez dagoen galdetu. NSX Edge-rekin lan egiteari buruzko artikulu sortaren azken zatia ere bada. Lagungarriak izan direla espero dugu π