Այսօր մենք պատրաստվում ենք դիտել VPN կազմաձևման տարբերակները, որոնք մեզ առաջարկում է NSX Edge-ը:
Ընդհանուր առմամբ, մենք կարող ենք VPN տեխնոլոգիաները բաժանել երկու հիմնական տեսակի.
Կայքից կայք VPN: IPSec-ի ամենատարածված օգտագործումը անվտանգ թունելի ստեղծումն է, օրինակ՝ հիմնական գրասենյակի ցանցի և հեռավոր կայքի կամ ամպի մեջ գտնվող ցանցի միջև:
Հեռակա մուտքի VPN: Օգտագործվում է անհատական օգտատերերին կորպորատիվ մասնավոր ցանցերին միացնելու համար՝ օգտագործելով VPN հաճախորդի ծրագրակազմը:
NSX Edge-ը մեզ թույլ է տալիս օգտագործել երկու տարբերակները:
Մենք կկազմաձևենք՝ օգտագործելով թեստային նստարան երկու NSX Edge-ով, Linux սերվեր՝ տեղադրված դևոնով ռակոն և Windows նոութբուք՝ Remote Access VPN-ը փորձարկելու համար:
IPsec
vCloud Director ինտերֆեյսում անցեք Administration բաժին և ընտրեք vDC-ն: Edge Gateways ներդիրում ընտրեք մեզ անհրաժեշտ Edge-ը, սեղմեք աջը և ընտրեք Edge Gateway Services:
NSX Edge ինտերֆեյսում անցեք VPN-IPsec VPN ներդիր, այնուհետև՝ IPsec VPN Sites բաժին և սեղմեք +՝ նոր կայք ավելացնելու համար:
Լրացրեք պահանջվող դաշտերը.
Միացված - ակտիվացնում է հեռավոր կայքը:
PFS – ապահովում է, որ յուրաքանչյուր նոր գաղտնագրային բանալի չի կապված որևէ նախորդ բանալի հետ:
Տեղական ID և տեղական վերջնակետt-ը NSX Edge-ի արտաքին հասցեն է:
տեղական ենթացանցs - տեղական ցանցեր, որոնք կօգտագործեն IPsec VPN:
Հասակակիցների ID և Peer Endpoint - հեռավոր կայքի հասցեն:
Գործընկերների ենթացանցեր – ցանցեր, որոնք կօգտագործեն IPsec VPN հեռավոր կողմում:
Ամեն ինչ պատրաստ է, կայքից կայք IPsec VPN-ը գործարկված է և աշխատում է:
Այս օրինակում մենք օգտագործեցինք PSK-ը գործընկերների նույնականացման համար, սակայն վկայականի իսկությունը նույնպես հնարավոր է: Դա անելու համար անցեք «Գլոբալ կազմաձևում» ներդիր, միացրեք վկայագրի նույնականացումը և ընտրեք ինքնին վկայագիրը:
Բացի այդ, կայքի կարգավորումներում դուք պետք է փոխեք նույնականացման մեթոդը:
Ես նշում եմ, որ IPsec թունելների թիվը կախված է տեղակայված Edge Gateway-ի չափից (այս մասին կարդացեք մեր առաջին հոդվածը).
SSL VPN- ն
SSL VPN-Plus-ը Remote Access VPN տարբերակներից մեկն է: Այն թույլ է տալիս առանձին հեռավոր օգտվողներին ապահով կերպով միանալ NSX Edge Gateway-ի հետևում գտնվող մասնավոր ցանցերին: SSL VPN-plus-ի դեպքում գաղտնագրված թունել է ստեղծվում հաճախորդի (Windows, Linux, Mac) և NSX Edge-ի միջև:
Եկեք սկսենք կարգավորել: Edge Gateway ծառայության կառավարման վահանակում անցեք SSL VPN-Plus ներդիր, այնուհետև՝ Server Settings: Մենք ընտրում ենք հասցեն և նավահանգիստը, որի վրա սերվերը կլսի մուտքային կապերը, միացնում է գրանցումը և ընտրում է անհրաժեշտ գաղտնագրման ալգորիթմները:
Այստեղ կարող եք նաև փոխել սերվերի օգտագործման վկայականը:
Ամեն ինչ պատրաստ լինելուց հետո միացրեք սերվերը և մի մոռացեք պահպանել կարգավորումները:
Հաջորդը, մենք պետք է ստեղծենք հասցեների խումբ, որը մենք կտրամադրենք հաճախորդներին միանալուց հետո: Այս ցանցը առանձին է ձեր NSX միջավայրում գոյություն ունեցող ցանկացած ենթացանցից և կարիք չունի կարգավորելու ֆիզիկական ցանցերի այլ սարքերի վրա, բացառությամբ դեպի այն մատնանշող երթուղիների:
Գնացեք IP Pools ներդիր և սեղմեք +:
Ընտրեք հասցեներ, ենթացանցային դիմակ և դարպաս: Այստեղ կարող եք նաև փոխել DNS և WINS սերվերների կարգավորումները:
Ստացված լողավազան.
Հիմա եկեք ավելացնենք այն ցանցերը, որոնց մուտք կունենան VPN-ին միացող օգտվողները: Գնացեք «Մասնավոր ցանցեր» ներդիր և սեղմեք +:
Մենք լրացնում ենք.
Ցանց - տեղական ցանց, որին հասանելի կլինեն հեռավոր օգտվողները:
Ուղարկեք տրաֆիկ, այն ունի երկու տարբերակ.
- Թունելի վրայով - Թունելի միջոցով երթևեկություն ուղարկել ցանց,
— շրջանցող թունել — ուղարկել երթևեկությունը դեպի ցանց՝ ուղղակիորեն շրջանցելով թունելը:
Միացնել TCP-ի օպտիմիզացումը. ստուգեք, թե արդյոք ընտրել եք Over tunnel տարբերակը: Երբ օպտիմիզացումը միացված է, կարող եք նշել այն նավահանգիստների համարները, որոնց համար ցանկանում եք օպտիմալացնել տրաֆիկը: Այդ ցանցի մնացած նավահանգիստների երթևեկությունը չի օպտիմիզացվելու: Եթե նավահանգիստների համարներ նշված չեն, բոլոր նավահանգիստների երթևեկությունը օպտիմիզացված է: Կարդացեք ավելին այս հատկության մասին այստեղ.
Հաջորդը, անցեք «Վիճակագրում» ներդիր և սեղմեք +: Նույնականացման համար մենք կօգտագործենք տեղական սերվերը հենց NSX Edge-ում:
Այստեղ մենք կարող ենք ընտրել նոր գաղտնաբառեր ստեղծելու քաղաքականություն և կարգավորել օգտատերերի հաշիվների արգելափակման տարբերակները (օրինակ՝ գաղտնաբառի սխալ մուտքագրման դեպքում կրկնվող փորձերի քանակը):
Քանի որ մենք օգտագործում ենք տեղական նույնականացում, մենք պետք է ստեղծենք օգտվողներ:
Բացի հիմնական բաներից, ինչպիսիք են անունը և գաղտնաբառը, այստեղ դուք կարող եք, օրինակ, արգելել օգտատիրոջը փոխել գաղտնաբառը կամ, ընդհակառակը, ստիպել նրան փոխել գաղտնաբառը հաջորդ անգամ, երբ նա մուտք գործի:
Բոլոր անհրաժեշտ օգտվողները ավելացնելուց հետո անցեք Տեղադրման փաթեթներ ներդիր, սեղմեք + և ստեղծեք հենց տեղադրիչը, որը ներբեռնելու է հեռակա աշխատողը տեղադրման համար:
Սեղմեք +: Ընտրեք սերվերի հասցեն և նավահանգիստը, որին միանալու է հաճախորդը, և այն հարթակները, որոնց համար ցանկանում եք ստեղծել տեղադրման փաթեթը:
Ներքևում այս պատուհանում կարող եք նշել Windows-ի հաճախորդի կարգավորումները: Ընտրեք.
սկսել հաճախորդը մուտք գործելու վրա – VPN հաճախորդը կավելացվի հեռակառավարվող մեքենայի գործարկմանը.
ստեղծել աշխատասեղանի պատկերակ - աշխատասեղանի վրա կստեղծի VPN հաճախորդի պատկերակ;
սերվերի անվտանգության վկայագրի վավերացում - կվավերացնի սերվերի վկայականը միանալուց հետո:
Սերվերի կարգավորումն ավարտված է:
Հիմա եկեք ներբեռնենք տեղադրման փաթեթը, որը մենք ստեղծել ենք վերջին քայլում դեպի հեռավոր համակարգիչ: Սերվերը կարգավորելիս մենք նշել ենք նրա արտաքին հասցեն (185.148.83.16) և պորտը (445): Հենց այս հասցեում մենք պետք է գնանք վեբ բրաուզերում: Իմ դեպքում այդպես է 185.148.83.16: 445.
Թույլտվության պատուհանում դուք պետք է մուտքագրեք օգտվողի հավատարմագրերը, որոնք մենք ստեղծել ենք ավելի վաղ:
Թույլտվությունից հետո մենք տեսնում ենք ստեղծված տեղադրման փաթեթների ցանկը, որոնք հասանելի են ներբեռնման համար: Մենք ստեղծել ենք միայն մեկը՝ մենք այն կներբեռնենք։
Մենք սեղմում ենք հղման վրա, սկսվում է հաճախորդի ներբեռնումը:
Բացեք ներբեռնված արխիվը և գործարկեք տեղադրիչը:
Տեղադրվելուց հետո գործարկեք հաճախորդը, թույլտվության պատուհանում սեղմեք Մուտք գործեք:
Վկայագրի ստուգման պատուհանում ընտրեք Այո:
Մենք մուտքագրում ենք նախկինում ստեղծված օգտատիրոջ հավատարմագրերը և տեսնում, որ կապը հաջողությամբ ավարտվել է:
Մենք ստուգում ենք VPN հաճախորդի վիճակագրությունը տեղական համակարգչում:
Windows հրամանի տողում (ipconfig / all) մենք տեսնում ենք, որ լրացուցիչ վիրտուալ ադապտեր է հայտնվել, և կապ կա հեռավոր ցանցին, ամեն ինչ աշխատում է.
Եվ վերջապես, ստուգեք Edge Gateway վահանակից:
L2 VPN
L2VPN-ն անհրաժեշտ կլինի, երբ ձեզ անհրաժեշտ է աշխարհագրականորեն միավորել մի քանիսը
բաշխված ցանցերը մեկ հեռարձակման տիրույթում:
Սա կարող է օգտակար լինել, օրինակ, վիրտուալ մեքենա տեղափոխելիս. երբ VM-ը տեղափոխվում է այլ աշխարհագրական տարածք, մեքենան կպահպանի իր IP հասցեավորման կարգավորումները և չի կորցնի կապը իր հետ նույն L2 տիրույթում տեղակայված այլ մեքենաների հետ:
Մեր թեստային միջավայրում մենք կկապենք երկու կայք միմյանց հետ, դրանք կանվանենք համապատասխանաբար A և B: Մենք ունենք երկու NSX և երկու նույնականորեն ստեղծված երթուղավորված ցանցեր, որոնք կցված են տարբեր Edges: Ա մեքենան ունի 10.10.10.250/24 հասցե, Բ մեքենան՝ 10.10.10.2/24:
vCloud Director-ում գնացեք Administration ներդիր, անցեք մեզ անհրաժեշտ VDC, անցեք Org VDC Networks ներդիր և ավելացրեք երկու նոր ցանց:
Ընտրեք ուղղորդված ցանցի տեսակը և կապեք այս ցանցը մեր NSX-ին: Մենք վանդակը դնում ենք Ստեղծել որպես ենթաինտերֆեյս:
Արդյունքում մենք պետք է ստանանք երկու ցանց։ Մեր օրինակում դրանք կոչվում են network-a և network-b՝ նույն դարպասի կարգավորումներով և նույն դիմակով:
Այժմ եկեք գնանք առաջին NSX-ի կարգավորումներին: Սա կլինի NSX-ը, որին կցված է ցանց A: Այն կգործի որպես սերվեր:
Մենք վերադառնում ենք NSx Edge ինտերֆեյսին / Գնացեք VPN ներդիր -> L2VPN: Մենք միացնում ենք L2VPN-ն, ընտրում ենք Սերվերի շահագործման ռեժիմը, Server Global-ի կարգավորումներում մենք նշում ենք արտաքին NSX IP հասցեն, որի վրա կլսի թունելի նավահանգիստը: Լռելյայնորեն, վարդակը կբացվի 443 նավահանգստում, բայց դա կարող է փոխվել: Մի մոռացեք ընտրել ապագա թունելի գաղտնագրման կարգավորումները:
Գնացեք «Սերվերի կայքեր» ներդիր և ավելացրեք գործընկեր:
Մենք միացնում ենք հասակակիցը, սահմանում ենք անունը, նկարագրությունը, անհրաժեշտության դեպքում սահմանում ենք օգտվողի անունը և գաղտնաբառը: Այս տվյալները մեզ ավելի ուշ պետք կգան հաճախորդի կայքը կարգավորելիս:
Egress Optimization Gateway Address-ում մենք սահմանում ենք դարպասի հասցեն: Սա անհրաժեշտ է, որպեսզի IP հասցեների կոնֆլիկտ չլինի, քանի որ մեր ցանցերի դարպասն ունի նույն հասցեն։ Այնուհետև սեղմեք SELECT SUB-INTERFACES կոճակը:
Այստեղ մենք ընտրում ենք ցանկալի ենթաինտերֆեյսը: Մենք պահպանում ենք կարգավորումները:
Մենք տեսնում ենք, որ նորաստեղծ հաճախորդի կայքը հայտնվել է կարգավորումներում։
Այժմ եկեք անցնենք հաճախորդի կողմից NSX-ի կազմաձևմանը:
Մենք գնում ենք NSX կողմ B, գնում ենք VPN -> L2VPN, միացնում ենք L2VPN, դնում ենք L2VPN ռեժիմը հաճախորդի ռեժիմին: Client Global ներդիրում սահմանեք NSX A-ի հասցեն և նավահանգիստը, որը մենք ավելի վաղ նշել էինք որպես Listening IP և Port սերվերի կողմից: Անհրաժեշտ է նաև սահմանել նույն գաղտնագրման կարգավորումները, որպեսզի դրանք համահունչ լինեն, երբ թունելը բարձրանում է:
Մենք ոլորում ենք ներքևում, ընտրում ենք ենթաինտերֆեյսը, որի միջոցով կկառուցվի թունելը L2VPN-ի համար:
Egress Optimization Gateway Address-ում մենք սահմանում ենք դարպասի հասցեն: Սահմանեք օգտվողի ID-ն և գաղտնաբառը: Մենք ընտրում ենք ենթաինտերֆեյսը և չենք մոռանում պահպանել պարամետրերը:
Իրականում այսքանը: Հաճախորդի և սերվերի կողմի կարգավորումները գրեթե նույնական են, բացառությամբ մի քանի նրբությունների:
Այժմ մենք կարող ենք տեսնել, որ մեր թունելն աշխատել է՝ գնալով Վիճակագրություն -> L2VPN ցանկացած NSX-ի վրա:
Եթե հիմա գնանք որևէ Edge Gateway-ի կոնսոլ, ապա arp աղյուսակում նրանցից յուրաքանչյուրի վրա կտեսնենք երկու VM-ների հասցեները:
Այս ամենը VPN-ի մասին է NSX Edge-ում: Հարցրեք, եթե ինչ-որ բան անհասկանալի է: Սա նաև NSX Edge-ի հետ աշխատելու մասին հոդվածների շարքի վերջին մասն է։ Հուսով ենք, որ նրանք օգտակար էին 🙂