VPN situs-situs. Panggunaan IPSec sing paling umum yaiku nggawe trowongan sing aman, contone, ing antarane jaringan kantor utama lan jaringan ing situs sing adoh utawa ing awan.
Akses Remote VPN. Digunakake kanggo nyambungake pangguna individu menyang jaringan pribadi perusahaan nggunakake piranti lunak klien VPN.
NSX Edge ngidini kita nggunakake opsi loro kasebut.
Kita bakal ngatur nggunakake bench test karo loro NSX Edge, server Linux karo daemon diinstal rakun lan laptop Windows kanggo nyoba Remote Access VPN.
IPsec
Ing antarmuka vCloud Director, pindhah menyang bagean Administrasi lan pilih vDC. Ing tab Edge Gateways, pilih Edge sing kita butuhake, klik-tengen banjur pilih Edge Gateway Services.
Ing antarmuka NSX Edge, pindhah menyang tab VPN-IPsec VPN, banjur menyang bagean IPsec VPN Sites lan klik + kanggo nambah situs anyar.
Isi kolom sing dibutuhake:
aktif β ngaktifake situs remot.
PFS - mesthekake yen saben kunci kriptografi anyar ora ana gandhengane karo kunci sadurunge.
ID Lokal lan Titik Akhir Lokalt iku alamat njaba NSX Edge.
Subnet lokals - jaringan lokal sing bakal nggunakake IPsec VPN.
Peer ID lan Peer Endpoint β alamat situs remot.
Subnet peer β jaringan sing bakal nggunakake IPsec VPN ing sisih remot.
Ing conto iki, kita nggunakake PSK kanggo otentikasi peer, nanging otentikasi sertifikat uga bisa. Kanggo nindakake iki, pindhah menyang tab Konfigurasi Global, aktifake otentikasi sertifikat lan pilih sertifikat kasebut dhewe.
Kajaba iku, ing setelan situs, sampeyan kudu ngganti cara otentikasi.
Aku nyathet yen jumlah terowongan IPsec gumantung saka ukuran Edge Gateway sing disebarake (waca babagan iki ing kita artikel pisanan).
SSL VPN
SSL VPN-Plus minangka salah sawijining opsi VPN Akses Jauh. Iki ngidini pangguna remot individu kanthi aman nyambung menyang jaringan pribadi ing mburi NSX Edge Gateway. Trowongan sing dienkripsi ing kasus SSL VPN-plus ditetepake ing antarane klien (Windows, Linux, Mac) lan NSX Edge.
Ayo dadi miwiti nyetel. Ing panel kontrol layanan Edge Gateway, pindhah menyang tab SSL VPN-Plus, banjur menyang Setelan Server. Kita milih alamat lan port sing server bakal ngrungokake sambungan sing mlebu, ngaktifake logging lan pilih algoritma enkripsi sing dibutuhake.
Ing kene sampeyan uga bisa ngganti sertifikat sing bakal digunakake server.
Sawise kabeh wis siyap, uripake server lan aja lali nyimpen setelan kasebut.
Sabanjure, kita kudu nyiyapake blumbang alamat sing bakal ditanggepi kanggo klien nalika disambungake. Jaringan iki kapisah saka subnet sing ana ing lingkungan NSX lan ora perlu dikonfigurasi ing piranti liyane ing jaringan fisik, kajaba rute sing ngarahake.
Pindhah menyang tab Pools IP banjur klik +.
Pilih alamat, subnet mask lan gateway. Ing kene sampeyan uga bisa ngganti setelan kanggo server DNS lan WINS.
Kolam asil.
Saiki ayo tambahake jaringan sing bisa diakses pangguna menyang VPN. Pindhah menyang tab Jaringan Pribadi banjur klik +.
Kita ngisi:
Jaringan - jaringan lokal sing bisa diakses pangguna remot.
Kirim lalu lintas, ana rong pilihan:
- liwat trowongan - ngirim lalu lintas menyang jaringan liwat trowongan,
β bypass trowongan β ngirim lalu lintas menyang jaringan langsung ngliwati trowongan.
Aktifake Optimasi TCP - priksa manawa sampeyan milih opsi liwat trowongan. Nalika optimasi diaktifake, sampeyan bisa nemtokake nomer port sing pengin ngoptimalake lalu lintas. Lalu lintas kanggo port sing isih ana ing jaringan tartamtu kasebut ora bakal dioptimalake. Yen ora ana nomer port sing ditemtokake, lalu lintas kanggo kabeh port dioptimalake. Waca liyane babagan fitur iki kene.
Sabanjure, pindhah menyang tab Authentication banjur klik +. Kanggo otentikasi, kita bakal nggunakake server lokal ing NSX Edge dhewe.
Ing kene kita bisa milih kabijakan kanggo nggawe tembung sandhi anyar lan ngatur pilihan kanggo mblokir akun pangguna (contone, jumlah nyoba maneh yen tembung sandhi salah diketik).
Amarga kita nggunakake otentikasi lokal, kita kudu nggawe pangguna.
Saliyane bab dhasar kaya jeneng lan sandhi, ing kene sampeyan bisa, contone, nglarang pangguna ngganti tembung sandhi utawa, kosok balene, meksa dheweke ngganti tembung sandhi ing wektu sabanjure dheweke mlebu.
Sawise kabeh pangguna sing dibutuhake wis ditambahake, pindhah menyang tab Paket Instalasi, klik + lan nggawe installer dhewe, sing bakal diundhuh dening karyawan remot kanggo instalasi.
Tekan +. Pilih alamat lan port server sing bakal disambungake klien, lan platform sing pengin nggawe paket instalasi.
Ing ngisor jendela iki, sampeyan bisa nemtokake setelan klien kanggo Windows. Pilih:
miwiti klien ing logon - klien VPN bakal ditambahake kanggo wiwitan ing mesin remot;
nggawe lambang desktop - bakal nggawe lambang klien VPN ing desktop;
validasi sertifikat keamanan server - bakal ngesyahke sertifikat server nalika sambungan.
Persiyapan server wis rampung.
Saiki ayo ndownload paket instalasi sing digawe ing langkah pungkasan menyang PC remot. Nalika nyetel server, kita nemtokake alamat eksternal (185.148.83.16) lan port (445). Ing alamat iki kita kudu pindhah menyang browser web. Ing kasusku iku 185.148.83.16: 445.
Ing jendhela wewenang, sampeyan kudu ngetik kredensial pangguna sing digawe sadurunge.
Sawise wewenang, kita ndeleng dhaptar paket instalasi sing digawe sing kasedhiya kanggo didownload. Kita wis nggawe mung siji - kita bakal ngundhuh.
Kita klik link, download klien diwiwiti.
Mbukak arsip sing diundhuh lan mbukak installer.
Sawise instalasi, bukak klien, ing jendela wewenang, klik Login.
Ing jendhela verifikasi sertifikat, pilih Ya.
Kita ngetik kredensial kanggo pangguna sing wis digawe sadurunge lan ndeleng manawa sambungan wis rampung kanthi sukses.
Kita mriksa statistik klien VPN ing komputer lokal.
Ing baris printah Windows (ipconfig / kabeh), kita ndeleng manawa adaptor virtual tambahan wis muncul lan ana panyambungan menyang jaringan remot, kabeh bisa digunakake:
Lan pungkasanipun, mriksa saka console Edge Gateway.
L2 VPN
L2VPN bakal dibutuhake nalika sampeyan kudu nggabungake sawetara sacara geografis
nyebarake jaringan menyang siji domain siaran.
Iki bisa migunani, contone, nalika migrasi mesin virtual: nalika VM pindhah menyang wilayah geografis liyane, mesin bakal nahan setelan alamat IP lan ora bakal kelangan panyambungan karo mesin liyane dumunung ing domain L2 padha karo.
Ing lingkungan test kita, kita bakal nyambung loro situs kanggo saben liyane, kita bakal nelpon mung A lan B. Kita duwe loro NSXs lan loro identik digawe jaringan routed ditempelake ing Edges beda. Mesin A duwe alamat 10.10.10.250/24, Mesin B duwe alamat 10.10.10.2/24.
Ing Direktur vCloud, pindhah menyang tab Administrasi, pindhah menyang VDC sing kita butuhake, pindhah menyang tab Org VDC Networks lan tambahake rong jaringan anyar.
Pilih jinis jaringan rute lan ikatan jaringan iki menyang NSX kita. Kita sijine kothak centhang Gawe minangka subinterface.
Saiki ayo pindhah menyang setelan NSX pisanan. Iki bakal dadi NSX sing disambungake karo Jaringan A. Iku bakal dadi server.
Kita bali menyang antarmuka NSx Edge / Pindhah menyang tab VPN -> L2VPN. Ngaktifake L2VPN, pilih mode operasi Server, ing setelan Global Server kita nemtokake alamat IP NSX eksternal sing bakal dirungokake port kanggo trowongan. Kanthi gawan, soket bakal mbukak ing port 443, nanging iki bisa diganti. Aja lali kanggo milih setelan enkripsi kanggo trowongan mangsa.
Pindhah menyang tab Situs Server lan tambahake kanca.
Kita nguripake peer, nyetel jeneng, gambaran, yen perlu, nyetel jeneng pangguna lan sandhi. Kita bakal mbutuhake data iki mengko nalika nyetel situs klien.
Ing Egress Optimization Gateway Address kita nyetel alamat gateway. Iki perlu supaya ora ana konflik alamat IP, amarga gateway jaringan kita duwe alamat sing padha. Banjur klik tombol PILIH SUB-INTERFACES.
Ing kene kita milih subinterface sing dikarepake. Kita nyimpen setelan.
Kita weruh yen situs klien sing mentas digawe wis katon ing setelan.
Saiki ayo pindhah menyang konfigurasi NSX saka sisih klien.
Kita pindhah menyang NSX sisih B, pindhah menyang VPN -> L2VPN, aktifake L2VPN, setel mode L2VPN menyang mode klien. Ing tab Global Klien, setel alamat lan port NSX A, sing wis ditemtokake sadurunge minangka Listening IP lan Port ing sisih server. Sampeyan uga perlu kanggo nyetel setelan enkripsi padha supaya padha konsisten nalika trowongan wungu.
Kita gulung ing ngisor iki, pilih subinterface sing bakal dibangun trowongan kanggo L2VPN.
Ing Egress Optimization Gateway Address kita nyetel alamat gateway. Setel pangguna-id lan sandhi. Kita milih subinterface lan aja lali nyimpen setelan kasebut.
Bener, iku kabeh. Setelan sisih klien lan server meh padha, kajaba sawetara nuansa.
Saiki kita bisa ndeleng manawa trowongan kita wis digunakake kanthi pindhah menyang Statistik -> L2VPN ing NSX apa wae.
Yen kita saiki menyang console sembarang Edge Gateway, kita bakal weruh ing saben wong ing Tabel arp alamat loro VMs.
Iku kabeh babagan VPN ing NSX Edge. Takon yen ana sing ora jelas. Iki uga minangka bagean pungkasan saka seri artikel babagan nggarap NSX Edge. Kulo pengen padha mbiyantu π