🥇VMware NSX សម្រាប់កូនតូច។ ផ្នែកទី 6. ការដំឡើង VPN

ផ្នែកទីមួយ។ ការណែនាំ
ផ្នែកទីពីរ។ កំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើង និងច្បាប់ NAT
ផ្នែកទីបី។ ការកំណត់រចនាសម្ព័ន្ធ DHCP
ផ្នែកទីបួន។ ការកំណត់ផ្លូវ
ផ្នែកទីប្រាំ។ ការដំឡើងឧបករណ៍ផ្ទុកតុល្យភាព

ថ្ងៃនេះយើងនឹងពិនិត្យមើលជម្រើសនៃការកំណត់រចនាសម្ព័ន្ធ VPN ដែល NSX Edge ផ្តល់ជូនយើង។

ជាទូទៅ យើងអាចបែងចែកបច្ចេកវិទ្យា VPN ជាពីរប្រភេទសំខាន់ៗ៖

តំបន់បណ្តាញទៅតំបន់បណ្តាញ VPN ។ ការប្រើប្រាស់ IPSec ជាទូទៅបំផុតគឺបង្កើតផ្លូវរូងក្រោមដីដែលមានសុវត្ថិភាព ជាឧទាហរណ៍ រវាងបណ្តាញការិយាល័យធំ និងបណ្តាញនៅកន្លែងដាច់ស្រយាល ឬក្នុងពពក។
ការចូលប្រើពីចម្ងាយ VPN ។ ប្រើដើម្បីភ្ជាប់អ្នកប្រើប្រាស់ម្នាក់ៗទៅបណ្តាញឯកជនសាជីវកម្មដោយប្រើកម្មវិធីម៉ាស៊ីនភ្ញៀវ VPN ។

NSX Edge អនុញ្ញាតឱ្យយើងប្រើជម្រើសទាំងពីរ។
យើងនឹងកំណត់រចនាសម្ព័ន្ធដោយប្រើការសាកល្បងជាមួយ NSX Edge ពីរ ដែលជាម៉ាស៊ីនមេលីនុចដែលមានដេមិនដែលបានដំឡើង រណារ និងកុំព្យូទ័រយួរដៃ Windows ដើម្បីសាកល្បងការចូលប្រើពីចម្ងាយ VPN ។

IPsec

នៅក្នុងចំណុចប្រទាក់ vCloud Director សូមចូលទៅកាន់ផ្នែករដ្ឋបាល ហើយជ្រើសរើស vDC ។ នៅលើផ្ទាំង Edge Gateways ជ្រើសរើស Edge ដែលយើងត្រូវការ ចុចខាងស្តាំ ហើយជ្រើសរើស Edge Gateway Services ។
នៅក្នុងចំណុចប្រទាក់ NSX Edge សូមចូលទៅកាន់ផ្ទាំង VPN-IPsec VPN បន្ទាប់មកទៅកាន់ផ្នែក IPsec VPN Sites ហើយចុច + ដើម្បីបន្ថែមគេហទំព័រថ្មី។
បំពេញវាលដែលត្រូវការ៖
- បានបើក - បើកដំណើរការគេហទំព័រពីចម្ងាយ។
- ភីអេសអេសអេស - ធានាថាសោគ្រីបគ្រីបថ្មីនីមួយៗមិនត្រូវបានភ្ជាប់ជាមួយសោពីមុនណាមួយឡើយ។
- លេខសម្គាល់ក្នុងស្រុក និងចំណុចបញ្ចប់ក្នុងស្រុកt គឺជាអាសយដ្ឋានខាងក្រៅរបស់ NSX Edge ។
- បណ្តាញរងក្នុងស្រុកs - បណ្តាញមូលដ្ឋានដែលនឹងប្រើ IPsec VPN ។
- Peer ID និង Peer Endpoint - អាសយដ្ឋាននៃគេហទំព័រពីចម្ងាយ។
- បណ្តាញរង Peer - បណ្តាញដែលនឹងប្រើ IPsec VPN នៅផ្នែកដាច់ស្រយាល។
- ក្បួនដោះស្រាយការអ៊ិនគ្រីប - ក្បួនដោះស្រាយការអ៊ិនគ្រីបផ្លូវរូងក្រោមដី។
- ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ - របៀបដែលយើងនឹងផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។ អ្នកអាចប្រើសោដែលបានចែករំលែកជាមុន ឬវិញ្ញាបនបត្រ។
- គន្លឹះមុនការចែករំលែក - បញ្ជាក់គន្លឹះដែលនឹងត្រូវប្រើសម្រាប់ការផ្ទៀងផ្ទាត់ ហើយត្រូវតែផ្គូផ្គងទាំងសងខាង។
- ក្រុម Diffie Hellman - ក្បួនដោះស្រាយការផ្លាស់ប្តូរគន្លឹះ។
បន្ទាប់ពីបំពេញក្នុងវាលដែលត្រូវការសូមចុចរក្សា។
ធ្វើ។
បន្ទាប់ពីបន្ថែមគេហទំព័រ សូមចូលទៅកាន់ផ្ទាំងស្ថានភាពធ្វើឱ្យសកម្ម ហើយធ្វើឱ្យសេវា IPsec សកម្ម។
បន្ទាប់ពីការកំណត់ត្រូវបានអនុវត្ត សូមចូលទៅកាន់ Statistics -> IPsec VPN tab ហើយពិនិត្យមើលស្ថានភាពផ្លូវរូងក្រោមដី។ យើងឃើញថាផ្លូវរូងក្រោមដីបានកើនឡើង។
ពិនិត្យមើលស្ថានភាពផ្លូវរូងក្រោមដីពី Edge gateway console៖
- បង្ហាញសេវាកម្ម ipsec - ពិនិត្យមើលស្ថានភាពនៃសេវាកម្ម។
- បង្ហាញសេវាកម្មគេហទំព័រ ipsec - ព័ត៌មានអំពីស្ថានភាពនៃគេហទំព័រ និងប៉ារ៉ាម៉ែត្រដែលបានចរចា។
- បង្ហាញសេវាកម្ម ipsec sa - ពិនិត្យមើលស្ថានភាពនៃសមាគមសន្តិសុខ (SA) ។

ពិនិត្យការតភ្ជាប់ជាមួយគេហទំព័រពីចម្ងាយ៖

root@racoon:~# ifconfig eth0:1 | grep inet
        inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0

root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms

--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms

ឯកសារកំណត់រចនាសម្ព័ន្ធ និងពាក្យបញ្ជាបន្ថែមសម្រាប់ការវិនិច្ឆ័យពីម៉ាស៊ីនមេលីនុចពីចម្ងាយ៖

root@racoon:~# cat /etc/racoon/racoon.conf 

log debug;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
  isakmp 80.211.43.73 [500];
   strict_address;
}

remote 185.148.83.16 {
        exchange_mode main,aggressive;
        proposal {
                 encryption_algorithm aes256;
                 hash_algorithm sha1;
                 authentication_method pre_shared_key;
                 dh_group modp1536;
         }
         generate_policy on;
}
 
sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
         encryption_algorithm aes256;
         authentication_algorithm hmac_sha1;
         compression_algorithm deflate;
}

===

root@racoon:~# cat /etc/racoon/psk.txt
185.148.83.16 testkey

===

root@racoon:~# cat /etc/ipsec-tools.conf 
#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
      esp/tunnel/185.148.83.16-80.211.43.73/require;

spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
      esp/tunnel/80.211.43.73-185.148.83.16/require;

===


root@racoon:~# racoonctl show-sa isakmp
Destination            Cookies                           Created
185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 

===

root@racoon:~# racoonctl show-sa esp
80.211.43.73 185.148.83.16 
        esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
        E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
        A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=1 pid=7739 refcnt=0
185.148.83.16 80.211.43.73 
        esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
        E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
        A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
        diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
        last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
        current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 860  hard: 0 soft: 0
        sadb_seq=0 pid=7739 refcnt=0

អ្វីគ្រប់យ៉ាងគឺរួចរាល់ IPsec VPN ពីគេហទំព័រមួយទៅគេហទំព័រមួយបានដំណើរការហើយ។
ក្នុងឧទាហរណ៍នេះ យើងបានប្រើ PSK សម្រាប់ការផ្ទៀងផ្ទាត់ភាពដូចគ្នា ប៉ុន្តែការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រក៏អាចធ្វើទៅបានដែរ។ ដើម្បីធ្វើដូច្នេះ សូមចូលទៅកាន់ផ្ទាំងការកំណត់រចនាសម្ព័ន្ធសកល បើកការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ ហើយជ្រើសរើសវិញ្ញាបនបត្រដោយខ្លួនឯង។

លើសពីនេះទៀតនៅក្នុងការកំណត់គេហទំព័រ អ្នកនឹងត្រូវផ្លាស់ប្តូរវិធីសាស្ត្រផ្ទៀងផ្ទាត់។

ខ្ញុំចំណាំថាចំនួនផ្លូវរូងក្រោមដី IPsec អាស្រ័យលើទំហំនៃ Edge Gateway ដែលបានដាក់ពង្រាយ (អានអំពីរឿងនេះនៅក្នុងរបស់យើង អត្ថបទដំបូង).

អេសភីអេសភីភី

SSL VPN-Plus គឺជាជម្រើសមួយក្នុងចំនោមជម្រើសនៃការចូលប្រើពីចម្ងាយ VPN។ វាអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ពីចម្ងាយម្នាក់ៗភ្ជាប់ដោយសុវត្ថិភាពទៅបណ្តាញឯកជននៅពីក្រោយ NSX Edge Gateway ។ ផ្លូវរូងក្រោមដីដែលបានអ៊ិនគ្រីបនៅក្នុងករណីនៃ SSL VPN-plus ត្រូវបានបង្កើតឡើងរវាងម៉ាស៊ីនភ្ញៀវ (Windows, Linux, Mac) និង NSX Edge ។

តោះចាប់ផ្តើមរៀបចំ។ នៅក្នុងផ្ទាំងគ្រប់គ្រងសេវាកម្ម Edge Gateway សូមចូលទៅកាន់ផ្ទាំង SSL VPN-Plus បន្ទាប់មកចូលទៅកាន់ការកំណត់ម៉ាស៊ីនមេ។ យើងជ្រើសរើសអាសយដ្ឋាន និងច្រកដែលម៉ាស៊ីនមេនឹងស្តាប់សម្រាប់ការតភ្ជាប់ចូល បើកការកត់ត្រា និងជ្រើសរើសក្បួនដោះស្រាយការអ៊ិនគ្រីបចាំបាច់។

នៅទីនេះអ្នកក៏អាចផ្លាស់ប្តូរវិញ្ញាបនបត្រដែលម៉ាស៊ីនមេនឹងប្រើផងដែរ។
បន្ទាប់ពីអ្វីៗរួចរាល់សូមបើកម៉ាស៊ីនមេហើយកុំភ្លេចរក្សាទុកការកំណត់។
បន្ទាប់មក យើងត្រូវរៀបចំអាស័យដ្ឋានដែលយើងនឹងចេញជូនអតិថិជននៅពេលភ្ជាប់។ បណ្តាញនេះគឺដាច់ដោយឡែកពីបណ្តាញរងដែលមានស្រាប់នៅក្នុងបរិស្ថាន NSX របស់អ្នក ហើយមិនចាំបាច់កំណត់រចនាសម្ព័ន្ធនៅលើឧបករណ៍ផ្សេងទៀតនៅលើបណ្តាញរូបវន្តទេ លើកលែងតែផ្លូវដែលចង្អុលទៅវា។
ចូលទៅកាន់ផ្ទាំង IP Pools ហើយចុច + ។
ជ្រើសរើសអាសយដ្ឋាន របាំងបណ្ដាញរង និងច្រកផ្លូវ។ នៅទីនេះអ្នកក៏អាចផ្លាស់ប្តូរការកំណត់សម្រាប់ម៉ាស៊ីនមេ DNS និង WINS ផងដែរ។
អាងលទ្ធផល។
ឥឡូវនេះ សូមបន្ថែមបណ្តាញដែលអ្នកប្រើប្រាស់ភ្ជាប់ទៅ VPN នឹងមានសិទ្ធិចូលប្រើប្រាស់។ ចូលទៅកាន់ផ្ទាំង Private Networks ហើយចុច + ។
យើងបំពេញ៖
- បណ្តាញ - បណ្តាញមូលដ្ឋានដែលអ្នកប្រើប្រាស់ពីចម្ងាយនឹងមានសិទ្ធិចូលប្រើ។
- ផ្ញើចរាចរណ៍ វាមានជម្រើសពីរ៖
  - ឆ្លងកាត់ផ្លូវរូងក្រោមដី - បញ្ជូនចរាចរទៅកាន់បណ្តាញតាមរយៈផ្លូវរូងក្រោមដី,
  — ឆ្លងកាត់ផ្លូវរូងក្រោមដី — បញ្ជូនចរាចរណ៍ទៅបណ្តាញដោយផ្ទាល់ដោយឆ្លងកាត់ផ្លូវរូងក្រោមដី។
- បើកដំណើរការ TCP Optimization - ពិនិត្យមើលថាតើអ្នកជ្រើសរើសជម្រើសផ្លូវរូងក្រោមដីឬអត់។ នៅពេលការបង្កើនប្រសិទ្ធភាពត្រូវបានបើក អ្នកអាចបញ្ជាក់លេខច្រកដែលអ្នកចង់បង្កើនប្រសិទ្ធភាពចរាចរណ៍។ ចរាចរណ៍សម្រាប់ច្រកដែលនៅសល់នៅលើបណ្តាញជាក់លាក់នោះនឹងមិនត្រូវបានធ្វើឱ្យប្រសើរទេ។ ប្រសិនបើគ្មានលេខច្រកត្រូវបានបញ្ជាក់ទេ ចរាចរណ៍សម្រាប់ច្រកទាំងអស់ត្រូវបានធ្វើឱ្យប្រសើរ។ សូមអានបន្ថែមអំពីមុខងារនេះ។ នៅទីនេះ.
បន្ទាប់មកចូលទៅកាន់ផ្ទាំង Authentication ហើយចុច + ។ សម្រាប់ការផ្ទៀងផ្ទាត់ យើងនឹងប្រើម៉ាស៊ីនមេក្នុងស្រុកនៅលើ NSX Edge ខ្លួនឯង។
នៅទីនេះយើងអាចជ្រើសរើសគោលការណ៍សម្រាប់បង្កើតពាក្យសម្ងាត់ថ្មី និងកំណត់រចនាសម្ព័ន្ធជម្រើសសម្រាប់ការទប់ស្កាត់គណនីអ្នកប្រើប្រាស់ (ឧទាហរណ៍ ចំនួននៃការព្យាយាមម្តងទៀត ប្រសិនបើពាក្យសម្ងាត់ត្រូវបានបញ្ចូលមិនត្រឹមត្រូវ)។
ដោយសារយើងកំពុងប្រើការផ្ទៀងផ្ទាត់មូលដ្ឋាន យើងត្រូវបង្កើតអ្នកប្រើប្រាស់។
បន្ថែមពីលើអ្វីដែលជាមូលដ្ឋានដូចជាឈ្មោះ និងពាក្យសម្ងាត់ នៅទីនេះអ្នកអាចឧទាហរណ៍ ហាមឃាត់អ្នកប្រើប្រាស់មិនឱ្យផ្លាស់ប្តូរពាក្យសម្ងាត់ ឬផ្ទុយទៅវិញបង្ខំគាត់ឱ្យផ្លាស់ប្តូរពាក្យសម្ងាត់នៅពេលគាត់ចូលបន្ទាប់។
បន្ទាប់ពីអ្នកប្រើប្រាស់ចាំបាច់ទាំងអស់ត្រូវបានបន្ថែម សូមចូលទៅកាន់ផ្ទាំងដំឡើង កញ្ចប់ចុច + ហើយបង្កើតកម្មវិធីដំឡើងដោយខ្លួនឯង ដែលនឹងត្រូវបានទាញយកដោយបុគ្គលិកពីចម្ងាយសម្រាប់ការដំឡើង។
ចុច + ។ ជ្រើសរើសអាសយដ្ឋាន និងច្រកនៃម៉ាស៊ីនមេដែលម៉ាស៊ីនភ្ញៀវនឹងភ្ជាប់ និងវេទិកាដែលអ្នកចង់បង្កើតកញ្ចប់ដំឡើង។

ខាងក្រោមនៅក្នុងបង្អួចនេះ អ្នកអាចបញ្ជាក់ការកំណត់ម៉ាស៊ីនភ្ញៀវសម្រាប់ Windows ។ ជ្រើសរើស៖
- ចាប់ផ្តើមម៉ាស៊ីនភ្ញៀវនៅពេលចូល - ម៉ាស៊ីនភ្ញៀវ VPN នឹងត្រូវបានបន្ថែមទៅការចាប់ផ្តើមនៅលើម៉ាស៊ីនពីចម្ងាយ។
- បង្កើតរូបតំណាងផ្ទៃតុ - នឹងបង្កើតរូបតំណាងម៉ាស៊ីនភ្ញៀវ VPN នៅលើផ្ទៃតុ។
- សុពលភាពវិញ្ញាបនបត្រសុវត្ថិភាពម៉ាស៊ីនមេ - នឹងធ្វើឱ្យវិញ្ញាបនបត្រម៉ាស៊ីនមេមានសុពលភាពនៅពេលភ្ជាប់។
  ការដំឡើងម៉ាស៊ីនមេបានបញ្ចប់។
ឥឡូវនេះ ចូរយើងទាញយកកញ្ចប់ដំឡើងដែលយើងបានបង្កើតក្នុងជំហានចុងក្រោយទៅកាន់កុំព្យូទ័រពីចម្ងាយ។ នៅពេលដំឡើងម៉ាស៊ីនមេ យើងបានបញ្ជាក់អាសយដ្ឋានខាងក្រៅរបស់វា (185.148.83.16) និងច្រក (445) ។ វាគឺនៅអាសយដ្ឋាននេះដែលយើងត្រូវចូលទៅក្នុងកម្មវិធីរុករកបណ្ដាញ។ ក្នុងករណីរបស់ខ្ញុំវាគឺ 185.148.83.16: 445 ។
នៅក្នុងបង្អួចអនុញ្ញាត អ្នកត្រូវតែបញ្ចូលព័ត៌មានសម្គាល់អ្នកប្រើប្រាស់ដែលយើងបានបង្កើតមុន។
បន្ទាប់ពីការអនុញ្ញាត យើងឃើញបញ្ជីនៃកញ្ចប់ដំឡើងដែលបានបង្កើតដែលមានសម្រាប់ទាញយក។ យើងបានបង្កើតតែមួយប៉ុណ្ណោះ - យើងនឹងទាញយកវា។
យើងចុចលើតំណ ការទាញយករបស់អតិថិជនចាប់ផ្តើម។
ពន្លាប័ណ្ណសារដែលបានទាញយក ហើយដំណើរការកម្មវិធីដំឡើង។
បន្ទាប់ពីដំឡើងរួច បើកដំណើរការម៉ាស៊ីនភ្ញៀវ នៅក្នុងបង្អួចអនុញ្ញាតសូមចុច ចូល។
នៅក្នុងបង្អួចផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ ជ្រើសរើសបាទ/ចាស។
យើងបញ្ចូលព័ត៌មានសម្ងាត់សម្រាប់អ្នកប្រើប្រាស់ដែលបានបង្កើតពីមុន ហើយឃើញថាការតភ្ជាប់ត្រូវបានបញ្ចប់ដោយជោគជ័យ។
យើងពិនិត្យមើលស្ថិតិរបស់ម៉ាស៊ីនភ្ញៀវ VPN នៅលើកុំព្យូទ័រមូលដ្ឋាន។
នៅក្នុងបន្ទាត់ពាក្យបញ្ជាវីនដូ (ipconfig / all) យើងឃើញថាអាដាប់ទ័រនិម្មិតបន្ថែមបានបង្ហាញខ្លួនហើយមានការតភ្ជាប់ទៅបណ្តាញពីចម្ងាយអ្វីគ្រប់យ៉ាងដំណើរការ:
ហើយចុងក្រោយ សូមពិនិត្យមើលពីកុងសូល Edge Gateway។

L2 VPN

L2VPN នឹងត្រូវការនៅពេលដែលអ្នកត្រូវការបញ្ចូលគ្នាជាច្រើនតាមភូមិសាស្ត្រ
បណ្តាញចែកចាយទៅក្នុងដែនផ្សាយមួយ។

វាអាចមានប្រយោជន៍ ជាឧទាហរណ៍ នៅពេលផ្ទេរម៉ាស៊ីននិម្មិត៖ នៅពេលដែល VM ផ្លាស់ទីទៅតំបន់ភូមិសាស្រ្តមួយផ្សេងទៀត ម៉ាស៊ីននឹងរក្សាការកំណត់អាសយដ្ឋាន IP របស់វា ហើយនឹងមិនបាត់បង់ការតភ្ជាប់ជាមួយម៉ាស៊ីនផ្សេងទៀតដែលស្ថិតនៅក្នុងដែន L2 ដូចគ្នាជាមួយវាឡើយ។

នៅក្នុងបរិយាកាសសាកល្បងរបស់យើង យើងនឹងភ្ជាប់បណ្តាញពីរទៅគ្នាទៅវិញទៅមក យើងនឹងហៅពួកវាថា A និង B រៀងៗខ្លួន។ យើងមាន NSXs ពីរ និងបណ្តាញបញ្ជូនពីរដែលបង្កើតដូចគ្នាបេះបិទភ្ជាប់ទៅគែមផ្សេងគ្នា។ ម៉ាស៊ីន A មានអាសយដ្ឋាន 10.10.10.250/24 ម៉ាស៊ីន B មានអាសយដ្ឋាន 10.10.10.2/24 ។

នៅក្នុង vCloud Director សូមចូលទៅកាន់ផ្ទាំងរដ្ឋបាល ចូលទៅកាន់ VDC ដែលយើងត្រូវការ ចូលទៅកាន់ផ្ទាំង Org VDC Networks ហើយបន្ថែមបណ្តាញថ្មីពីរ។
ជ្រើសរើសប្រភេទបណ្តាញដែលបានបញ្ជូន ហើយភ្ជាប់បណ្តាញនេះទៅ NSX របស់យើង។ យើងដាក់ប្រអប់ធីក Create as subinterface។
ជាលទ្ធផលយើងគួរតែទទួលបានបណ្តាញពីរ។ ក្នុងឧទាហរណ៍របស់យើង ពួកវាត្រូវបានគេហៅថា network-a និង network-b ជាមួយនឹងការកំណត់ច្រកផ្លូវដូចគ្នា និងរបាំងដូចគ្នា។
ឥឡូវនេះសូមចូលទៅកាន់ការកំណត់របស់ NSX ដំបូង។ វានឹងក្លាយជា NSX ដែលបណ្តាញ A ត្រូវបានភ្ជាប់។ វានឹងដើរតួជាម៉ាស៊ីនមេ។
យើងត្រឡប់ទៅចំណុចប្រទាក់ NSx Edge / ចូលទៅកាន់ផ្ទាំង VPN -> L2VPN ។ យើងបើក L2VPN ជ្រើសរើសរបៀបប្រតិបត្តិការម៉ាស៊ីនមេ នៅក្នុងការកំណត់ Server Global យើងបញ្ជាក់អាសយដ្ឋាន IP NSX ខាងក្រៅដែលច្រកសម្រាប់ផ្លូវរូងក្រោមដីនឹងស្តាប់។ តាមលំនាំដើម រន្ធនឹងបើកនៅលើច្រក 443 ប៉ុន្តែវាអាចត្រូវបានផ្លាស់ប្តូរ។ កុំភ្លេចជ្រើសរើសការកំណត់ការអ៊ិនគ្រីបសម្រាប់ផ្លូវរូងក្រោមដីនាពេលអនាគត។
ចូលទៅកាន់ផ្ទាំង Server Sites ហើយបន្ថែមមិត្តភក្ដិ។
យើងបើកកម្មវិធីមិត្តភ័ក្តិ កំណត់ឈ្មោះ ការពិពណ៌នា ប្រសិនបើចាំបាច់ កំណត់ឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់។ យើងនឹងត្រូវការទិន្នន័យនេះនៅពេលក្រោយ នៅពេលដំឡើងគេហទំព័រអតិថិជន។
នៅក្នុង Egress Optimization Gateway Address យើងកំណត់អាសយដ្ឋាន gateway ។ នេះគឺចាំបាច់ដើម្បីកុំឱ្យមានការប៉ះទង្គិចគ្នានៃអាសយដ្ឋាន IP ពីព្រោះច្រកផ្លូវនៃបណ្តាញរបស់យើងមានអាសយដ្ឋានដូចគ្នា។ បន្ទាប់មកចុចលើប៊ូតុង SELECT SUB-INTERFACES។
នៅទីនេះយើងជ្រើសរើសចំណុចប្រទាក់រងដែលចង់បាន។ យើងរក្សាទុកការកំណត់។
យើងឃើញថាគេហទំព័រអតិថិជនដែលបានបង្កើតថ្មីបានបង្ហាញខ្លួននៅក្នុងការកំណត់។
ឥឡូវនេះសូមបន្តទៅការកំណត់ NSX ពីខាងអតិថិជន។
យើងទៅផ្នែក NSX B ចូលទៅកាន់ VPN -> L2VPN បើក L2VPN កំណត់របៀប L2VPN ទៅជារបៀបអតិថិជន។ នៅលើផ្ទាំង Client Global កំណត់អាសយដ្ឋាន និងច្រករបស់ NSX A ដែលយើងបានបញ្ជាក់ពីមុនថា Listening IP និង Port នៅផ្នែកខាងម៉ាស៊ីនមេ។ វាក៏ចាំបាច់ផងដែរក្នុងការកំណត់ការកំណត់ការអ៊ិនគ្រីបដូចគ្នាដើម្បីឱ្យពួកវាស្របគ្នានៅពេលដែលផ្លូវរូងក្រោមដីត្រូវបានលើកឡើង។

យើងរមូរខាងក្រោម ជ្រើសរើសចំណុចប្រទាក់រងដែលតាមរយៈផ្លូវរូងក្រោមដីសម្រាប់ L2VPN នឹងត្រូវបានសាងសង់។
នៅក្នុង Egress Optimization Gateway Address យើងកំណត់អាសយដ្ឋាន gateway ។ កំណត់លេខសម្គាល់អ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់។ យើងជ្រើសរើសចំណុចប្រទាក់រងហើយកុំភ្លេចរក្សាទុកការកំណត់។
តាមពិតទៅ នោះហើយជាអ្វីទាំងអស់។ ការកំណត់របស់ម៉ាស៊ីនភ្ញៀវ និងផ្នែកខាងម៉ាស៊ីនមេគឺស្ទើរតែដូចគ្នាបេះបិទ លើកលែងតែមានចំណុចមួយចំនួន។
ឥឡូវនេះយើងអាចឃើញថាផ្លូវរូងក្រោមដីរបស់យើងបានដំណើរការដោយចូលទៅកាន់ស្ថិតិ -> L2VPN នៅលើ NSX ណាមួយ។
ប្រសិនបើឥឡូវនេះយើងចូលទៅកាន់កុងសូលនៃ Edge Gateway ណាមួយ យើងនឹងឃើញអាសយដ្ឋាននីមួយៗនៃ VMs ទាំងពីរនៅក្នុងតារាង arp ។

នោះហើយជាទាំងអស់អំពី VPN នៅលើ NSX Edge ។ សួរថាតើមានអ្វីមិនច្បាស់លាស់។ វាក៏ជាផ្នែកចុងក្រោយនៃអត្ថបទជាបន្តបន្ទាប់អំពីការធ្វើការជាមួយ NSX Edge ។ យើងសង្ឃឹមថាពួកគេមានប្រយោជន៍🙂

ប្រភព: www.habr.com

VMware NSX សម្រាប់កូនតូច។ ផ្នែកទី 6៖ ការដំឡើង VPN

IPsec

អេសភីអេសភីភី

L2 VPN

បន្ថែមមតិយោបល់ ответОтменить