VMware NSX maka ụmụntakịrị. Nkebi 6: VPN Ntọlite

Akụkụ nke mbụ. mmeghe
Akụkụ nke abụọ. Na-ahazi Firewall na Iwu NAT
Akụkụ nke atọ. Na-ahazi DHCP
Akụkụ anọ. Nhazi ụzọ ụzọ
Akụkụ nke ise. Ịtọlite ​​ihe nkwụnye ibu

Taa, anyị ga-eleba anya na nhọrọ nhazi VPN nke NSX Edge na-enye anyị.

N'ozuzu, anyị nwere ike kewaa teknụzụ VPN n'ime ụdị isi abụọ:

• VPN saịtị-na-saịtị. Ihe a na-ejikarị IPSec eme ihe bụ ịmepụta ọwara echedoro, dịka ọmụmaatụ, n'etiti netwọk ụlọ ọrụ na netwọk na saịtị dịpụrụ adịpụ ma ọ bụ n'igwe ojii.
• Nnweta ime anya VPN. A na-eji ngwa ndị ahịa VPN jikọọ ndị ọrụ n'otu n'otu na netwọkụ ụlọ ọrụ nkeonwe.

NSX Edge na-enye anyị ohere iji nhọrọ abụọ ahụ.
Anyị ga-ahazi iji bench ule nwere NSX Edge abụọ, ihe nkesa Linux nwere daemon arụnyere raji yana laptọọpụ Windows iji nwalee VPN Access Remote.

IPsec

1. Na interface vCloud Director, gaa na ngalaba nchịkwa wee họrọ vDC. Na taabụ Edge Gateways, họrọ Edge anyị chọrọ, pịa aka nri wee họrọ Ọrụ Gateway Edge.
   
2. Na interface NSX Edge, gaa na taabụ VPN-IPsec VPN, wee gaa na ngalaba saịtị IPsec VPN wee pịa + ka ịgbakwunye saịtị ọhụrụ.

   

3. Dejupụta mpaghara achọrọ:
   • Kwadoro – na-eme ka saịtị dịpụrụ adịpụ rụọ ọrụ.
   • PFS - na-achọpụta na igodo cryptographic ọhụrụ ọ bụla ejikọtaghị na igodo ọ bụla gara aga.
   • NJ mpaghara na ebe njedebe mpagharat bụ adreesị mpụga nke NSX Edge.
   • subnet mpagharas - netwọk mpaghara ga-eji IPsec VPN.
   • NJ ndị ọgbọ na njedebe ndị ọgbọ – adreesị nke saịtị dịpụrụ adịpụ.
   • Ndị ọgbọ subnets - netwọk ga-eji IPsec VPN n'akụkụ dịpụrụ adịpụ.
   • Algorithm nzuzo - algọridim nzuzo nzuzo ọwara.

   
   

   • Nyocha - ka anyị ga-esi gosi ndị ọgbọ. Ị nwere ike iji igodo Ekekọrịtara mbụ ma ọ bụ asambodo.
   • Igodo nke mbu - kọwapụta igodo a ga-eji maka nyocha ma ga-adakọrịrị n'akụkụ abụọ.
   • Otu diffie Hellman - isi mgbanwe algọridim.

   Mgbe dejupụtara mpaghara achọrọ, pịa Debe.

   

4. Emela.

   

5. Mgbe gbakwunyere saịtị ahụ, gaa na taabụ ọnọdụ ọrụ ma mee ọrụ IPsec.

   

6. Mgbe etinyere ntọala ahụ, gaa na Statistics -> IPsec VPN taabụ wee lelee ọkwa nke ọwara. Anyị na-ahụ na ọwara ebiliwo.

   

7. Lelee ọkwa ọwara site na Edge gateway console:
   • show service ipsec - lelee ọnọdụ ọrụ ahụ.

     

   • gosi ọrụ ipsec saịtị - Ozi gbasara ọnọdụ saịtị na paramita kwurịtara.

     

   • show service ipsec sa - lelee ọkwa nke Security Association (SA).

     

8. Jiri saịtị dịpụrụ adịpụ lelee njikọ:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   Faịlụ nhazi yana iwu agbakwunyere maka nchọpụta nchọpụta sitere na sava Linux dịpụrụ adịpụ:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. Ihe niile dị njikere, saịtị-na-saịtị IPsec VPN na-arụ ọrụ.

   N'ọmụmaatụ a, anyị ji PSK maka nyocha ndị ọgbọ, mana nkwenye asambodo nwekwara ike. Iji mee nke a, gaa na Global Configuration taabụ, mee ka nyocha asambodo wee họrọ asambodo n'onwe ya.

   Na mgbakwunye, na ntọala saịtị, ị ga-achọ ịgbanwe usoro nyocha.

   
   
   
   
   Achọpụtara m na ọnụ ọgụgụ nke IPsec tunnels dabere na nha nke Edge Gateway ebugara (gụọ banyere nke a na anyị). mbụ isiokwu).

   

SSL Okwey

SSL VPN-Plus bụ otu n'ime ohere ohere VPN nhọrọ. Ọ na-enye ndị ọrụ dịpụrụ adịpụ ohere ijikọ na netwọkụ nkeonwe n'azụ NSX Edge Gateway. E hiwere ọwara ezoro ezo n'ihe gbasara SSL VPN-gbakwunyere n'etiti onye ahịa (Windows, Linux, Mac) na NSX Edge.

1. Ka anyị malite ịtọlite. Na ogwe njikwa ọrụ Edge Gateway, gaa na SSL VPN-Plus taabụ, wee gaa na Ntọala nkesa. Anyị na-ahọrọ adreesị na ọdụ ụgbọ mmiri nke ihe nkesa ga-ege ntị maka njikọ mbata, mee ka ịbanye ma họrọ algọridim nzuzo dị mkpa.

   
   
   Ebe ị nwekwara ike ịgbanwe asambodo nke ihe nkesa ga-eji.

   

2. Mgbe ihe niile dị njikere, gbanye ihe nkesa ma echefula ịchekwa ntọala.

   

3. Ọzọ, anyị kwesịrị ịmepụta ọdọ mmiri nke anyị ga-enye ndị ahịa mgbe njikọ. Netwọk a dị iche na subnet ọ bụla dị na gburugburu NSX gị na ọ dịghị mkpa ka ahazi ya na ngwaọrụ ndị ọzọ na netwọk anụ ahụ, belụsọ maka ụzọ na-arụtụ aka na ya.

   Gaa na IP ọdọ mmiri taabụ wee pịa +.

   

4. Họrọ adreesị, nkpuchi subnet na ọnụ ụzọ ámá. N'ebe a, ị nwekwara ike ịgbanwe ntọala maka sava DNS na WINS.

   

5. Ọdọ mmiri nke pụta.

   

6. Ugbu a, ka anyị gbakwunye netwọk ndị ọrụ na-ejikọta na VPN ga-enwe ike ịnweta. Gaa na taabụ netwọk nkeonwe wee pịa +.

   

7. Anyị dejupụta:
   • Netwọk - netwọk mpaghara nke ndị ọrụ ime obodo ga-enwe ohere.
   • Ziga okporo ụzọ, ọ nwere nhọrọ abụọ:
     - n'elu ọwara - zipu okporo ụzọ na netwọk site na ọwara,
     — uzo ọwara — zipu okporo ụzọ na netwọk ozugbo gafere ọwara.
   • Kwado njikarịcha TCP - lelee ma ị họọrọ nhọrọ karịrị ọwara. Mgbe agbanyere njikarịcha, ị nwere ike dee nọmba ọdụ ụgbọ mmiri nke ịchọrọ ịkwalite okporo ụzọ. Agaghị ahazi okporo ụzọ maka ọdụ ụgbọ mmiri ndị fọdụrụ na netwọkụ ahụ. Ọ bụrụ na akọwapụtaghị nọmba ọdụ ụgbọ mmiri, a na-ahazi okporo ụzọ maka ọdụ ụgbọ mmiri niile. Gụkwuo maka njirimara a ebe a.

   

8. Ọzọ, gaa na taabụ Nyocha wee pịa +. Maka nyocha, anyị ga-eji sava mpaghara na NSX Edge n'onwe ya.

   

9. N'ebe a, anyị nwere ike họrọ atumatu maka ịmepụta okwuntughe ọhụrụ wee hazie nhọrọ maka igbochi akaụntụ onye ọrụ (dịka ọmụmaatụ, ọnụọgụ nyochagharị ma ọ bụrụ na etinyere paswọọdụ ezighi ezi).

   
   
   

10. Ebe anyị na-eji nyocha mpaghara, anyị kwesịrị ịmepụta ndị ọrụ.

    

11. Na mgbakwunye na ihe ndị bụ isi dị ka aha na paswọọdụ, ebe a ị nwere ike, dịka ọmụmaatụ, machibido onye ọrụ ịgbanwe paswọọdụ ma ọ bụ, ọzọ, manye ya ka ọ gbanwee paswọọdụ oge ọzọ ọ na-abanye.

    

12. Mgbe agbakwunyere ndị ọrụ niile dị mkpa, gaa na ngwugwu ngwugwu, pịa + wee mepụta installer n'onwe ya, nke onye ọrụ dịpụrụ adịpụ ga-ebudata maka nrụnye.

    

13. Pịa +. Họrọ adreesị na ọdụ ụgbọ mmiri nke ihe nkesa nke onye ahịa ga-ejikọta, yana nyiwe nke ịchọrọ ịmepụta ngwugwu nwụnye.

    
    
    N'okpuru na mpio a, ị nwere ike ezipụta ntọala ndị ahịa maka Windows. Họrọ:

    • malite onye ahịa na logon - a ga-agbakwunye onye ahịa VPN na mmalite na igwe dịpụrụ adịpụ;
    • mepụta akara ngosi desktọpụ - ga-emepụta akara ngosi ndị ahịa VPN na desktọpụ;
    • Asambodo nchekwa nchekwa ihe nkesa - ga-akwado asambodo nkesa na njikọ.
      Nhazi nkesa agwụla.

    

14. Ugbu a, ka anyị budata ngwungwu nwụnye anyị mepụtara na nzọụkwụ ikpeazụ na PC dịpụrụ adịpụ. Mgbe ị na-edozi ihe nkesa ahụ, anyị akọwapụtara adreesị mpụga ya (185.148.83.16) na ọdụ ụgbọ mmiri (445). Ọ bụ na adreesị a ka anyị kwesịrị ịga na ihe nchọgharị weebụ. N'ọnọdụ m ọ bụ 185.148.83.16: 445.

    Na mpio ikike, ị ga-etinyerịrị nzere onye ọrụ nke anyị mepụtara na mbụ.

    

15. Mgbe ikike gasịrị, anyị na-ahụ ndepụta ngwugwu nrụnye emepụtara maka nbudata. Anyị kere naanị otu - anyị ga-ebudata ya.

    

16. Anyị pịa njikọ ahụ, nbudata nke onye ahịa na-amalite.

    

17. Bupụ ihe ndekọ ebudatara wee mee ihe nrụnye.

    

18. Mgbe echichi, ẹkedori ahịa, na ikike window, pịa Nbanye.

    

19. Na mpio nkwenye asambodo, họrọ Ee.

    

20. Anyị na-abanye nzere maka onye ọrụ emebere mbụ wee hụ na emechara njikọ ahụ nke ọma.

    
    
    

21. Anyị na-enyocha ọnụ ọgụgụ nke onye ahịa VPN na kọmputa mpaghara.

    
    
    

22. Na ahịrị iwu Windows (ipconfig / niile), anyị na-ahụ na ihe nkwụnye mebere ọzọ apụtala ma enwere njikọ na netwọkụ dịpụrụ adịpụ, ihe niile na-arụ ọrụ:

    
    
    

23. N'ikpeazụ, lelee site na Edge Gateway console.

    

L2 VPN

A ga-achọ L2VPN mgbe ịchọrọ ijikọ ọtụtụ mpaghara
netwọk kesara n'ime otu ngalaba mgbasa ozi.

Nke a nwere ike ịba uru, dịka ọmụmaatụ, mgbe ị na-akwaga igwe mebere: mgbe VM na-akwaga na mpaghara mpaghara ọzọ, igwe ahụ ga-ejigide ntọala adreesị IP ya na ọ gaghị efunahụ njikọ ya na igwe ndị ọzọ dị n'otu ngalaba L2 na ya.

Na gburugburu ule anyị, anyị ga-ejikọta saịtị abụọ n'otu n'otu, anyị ga-akpọ ha A na B n'otu n'otu. Anyị nwere NSX abụọ na netwọk abụọ a na-emepụta n'otu aka ahụ jikọtara na Edges dị iche iche. Igwe A nwere adreesị 10.10.10.250/24, igwe B nwere adreesị 10.10.10.2/24.

1. Na vCloud Director, gaa na nchịkwa nchịkwa, gaa na VDC anyị chọrọ, gaa na Org VDC Networks tab ma tinye netwọk abụọ ọhụrụ.

   

2. Họrọ ụdị netwọk a chụpụrụ wee kechie netwọk a na NSX anyị. Anyị na-etinye checkbox Mepụta dị ka subinterface.

   

3. N'ihi ya, anyị kwesịrị ịnweta netwọk abụọ. N'ihe atụ anyị, a na-akpọ ha network-a na network-b nwere otu ntọala ọnụ ụzọ ámá yana otu nkpuchi.

   
   
   

4. Ugbu a, ka anyị gaa na ntọala NSX mbụ. Nke a ga-abụ NSX nke Network A na-ejikọta ya. Ọ ga-arụ ọrụ dị ka ihe nkesa.

   Anyị na-alaghachi na interface NSx Edge / Gaa na taabụ VPN -> L2VPN. Anyị na-agbanye L2VPN, họrọ ọnọdụ ọrụ nkesa, na Ntọala Global Server anyị na-akọwapụta adreesị IP NSX mpụga nke ọdụ ụgbọ mmiri maka ọwara ga-ege ntị. Site na ndabara, oghere ga-emeghe na ọdụ ụgbọ mmiri 443, mana enwere ike ịgbanwe nke a. Echefula ịhọrọ ntọala nzuzo maka ọwara n'ọdịnihu.

   

5. Gaa na taabụ Saịtị nkesa wee tinye onye ọgbọ.

   

6. Anyị na-agbanye onye ọgbọ, tọọ aha, nkọwa, ọ bụrụ na ọ dị mkpa, tọọ aha njirimara na paswọọdụ. Anyị ga-achọ data a ma emechaa mgbe ị na-edozi saịtị ndị ahịa.

   Na adreesị ọnụ ụzọ ámá Egress Optimization anyị debere adreesị ọnụ ụzọ ámá. Nke a dị mkpa ka enweghị esemokwu nke adreesị IP, n'ihi na ọnụ ụzọ nke netwọk anyị nwere otu adreesị ahụ. Wee pịa bọtịnụ Họrọ SUB-INTERFACES.

   

7. N'ebe a, anyị na-ahọrọ subinterface achọrọ. Anyị na-echekwa ntọala.

   

8. Anyị na-ahụ na saịtị ndị ahịa emepụtara ọhụrụ apụtala na ntọala.

   

9. Ugbu a, ka anyị gaa n'ihu ịhazi NSX site n'akụkụ ndị ahịa.

   Anyị na-aga n'akụkụ NSX B, gaa na VPN -> L2VPN, mee ka L2VPN nwee ike, tọọ ọnọdụ L2VPN na ọnọdụ ndị ahịa. Na taabụ Global Client, tọọ adreesị na ọdụ ụgbọ mmiri NSX A, nke anyị kọwara na mbụ dị ka IP na-ege ntị na Port n'akụkụ sava. Ọ dịkwa mkpa ịtọ otu ntọala ezoro ezo ka ha na-agbanwe agbanwe mgbe ewelitere ọwara ahụ.

   
   
   Anyị pịgharịa n'okpuru, họrọ subinterface nke a ga-eji wuo ọwara L2VPN.
   Na adreesị ọnụ ụzọ ámá Egress Optimization anyị debere adreesị ọnụ ụzọ ámá. Tọọ njirimara-id na paswọọdụ. Anyị na-ahọrọ subinterface ma echefula ichekwa ntọala.

   

10. N'ezie, nke ahụ bụ naanị. Ntọala nke onye ahịa na akụkụ ihe nkesa fọrọ nke nta ka ọ bụrụ otu, ewezuga nuances ole na ole.
11. Ugbu a, anyị nwere ike ịhụ na ọwara anyị arụ ọrụ site na ịga na Statistics -> L2VPN na NSX ọ bụla.

    

12. Ọ bụrụ na anyị na-aga ugbu a na console nke ọ bụla Edge Gateway, anyị ga-ahụ na nke ọ bụla n'ime ha na arp table adreesị nke VM abụọ.

    

Nke ahụ bụ ihe niile gbasara VPN na NSX Edge. Jụọ ma ihe edoghị anya. Ọ bụkwa akụkụ ikpeazụ nke usoro isiokwu na-arụ ọrụ na NSX Edge. Anyị nwere olileanya na ha nyere aka 🙂

isi: www.habr.com