Îro em ê li vebijarkên veavakirina VPN-ê ku NSX Edge pêşkêşî me dike, binihêrin.
Bi gelemperî, em dikarin teknolojiyên VPN li du celebên sereke dabeş bikin:
Malper-to-malper VPN. Bikaranîna herî gelemperî ya IPSec afirandina tunelek ewledar e, mînakî, di navbera tora nivîsgeha sereke û torgilokek li cîhek dûr an di ewr de.
Remote Access VPN. Ji bo girêdana bikarhênerên kesane bi torên taybet ên pargîdanî re bi karanîna nermalava xerîdar VPN ve tê bikar anîn.
NSX Edge destûrê dide me ku em herdu vebijarkan bikar bînin.
Em ê bi du NSX Edge, serverek Linux-ê bi daemonek sazkirî re, bi karanîna doşek ceribandinê mîheng bikin. racon û laptopek Windows-ê ji bo ceribandina Remote Access VPN.
IPsec
Di navbeynkariya Derhênerê vCloud de, biçin beşa Rêvebiriyê û vDC hilbijêrin. Li ser tabloya Edge Gateways, Edge ya ku em hewce ne hilbijêrin, rast-klîk bikin û Karûbarên Edge Gateway hilbijêrin.
Di pêwendiya NSX Edge de, biçin tabloya VPN-IPsec VPN, dûv re biçin beşa Malperên IPsec VPN û + bikirtînin da ku malperek nû lê zêde bikin.
Zeviyên pêwîst dagirin:
Vekirî - malpera dûr çalak dike.
PFS - piştrast dike ku her mifteya krîptografî ya nû bi tu mifteyek berê re têkildar nabe.
Nasnameya herêmî û xala dawî ya herêmît navnîşana derveyî ya NSX Edge ye.
subnet herêmîs - torên herêmî yên ku dê IPsec VPN bikar bînin.
Peer ID û Peer Endpoint - navnîşana malpera dûr.
Subnets peer - torên ku dê IPsec VPN-ê li milê dûr bikar bînin.
Her tişt amade ye, malpera-to-malper IPsec VPN-ê ye û dixebite.
Di vê nimûneyê de, me PSK ji bo pejirandina peer bikar anî, lê piştrastkirina sertîfîkayê jî gengaz e. Ji bo kirina vê yekê, biçin tabloya Veavakirina Gerdûnî, verastkirina sertîfîkayê çalak bikin û sertîfîkayê bixwe hilbijêrin.
Digel vê yekê, di mîhengên malperê de, hûn ê hewce bikin ku rêbaza pejirandinê biguhezînin.
Ez bala xwe didim ku hejmara tunelên IPsec bi mezinahiya Edge Gateway ve girêdayî ye (li ser vê yekê di me de bixwînin gotara yekem).
SSL VPN
SSL VPN-Plus yek ji vebijarkên Remote Access VPN ye. Ew dihêle ku bikarhênerên dûr ên kesane bi ewlehî bi torên taybet ên li pişt Gateway NSX Edge ve girêdayî bin. Di mijara SSL VPN-plus de tunelek şîfrekirî di navbera xerîdar (Windows, Linux, Mac) û NSX Edge de tê saz kirin.
Ka em dest bi sazkirinê bikin. Di panela kontrolê ya karûbarê Edge Gateway de, biçin tabloya SSL VPN-Plus, paşê biçin Mîhengên Server. Em navnîşan û porta ku server dê li ser girêdanên hatinê guhdarî bike hilbijêrin, têketinê çalak bikin û algorîtmayên şîfrekirinê yên pêwîst hilbijêrin.
Li vir hûn dikarin sertîfîkaya ku dê server bikar bîne jî biguherînin.
Piştî ku her tişt amade ye, serverê vekin û ji bîr nekin ku mîhengan hilînin.
Dûv re, pêdivî ye ku em hewzek navnîşanan saz bikin ku em ê li ser girêdanê ji xerîdaran re bişînin. Ev tor ji her subneta heyî ya li hawîrdora weya NSX-ê veqetandî ye û ne hewce ye ku li ser amûrên din ên li ser torên laşî were mîheng kirin, ji xeynî rêyên ku jê re destnîşan dikin.
Herin tabloya IP Pools û bikirtînin +.
Navnîşan, maskeya subnet û dergehê hilbijêrin. Li vir hûn dikarin mîhengên serverên DNS û WINS jî biguherînin.
Hewza encam.
Naha em toreyên ku bikarhênerên ku bi VPN-ê ve girêdayî ne dê bigihîjin wan zêde bikin. Herin tabloya Tora Taybet û bikirtînin +.
Em dagirin:
Tora - torgilokek herêmî ya ku dê bikarhênerên dûr bigihîjin.
Trafîkê bişînin, du vebijarkên wê hene:
- li ser tunelê - bi riya tunelê re trafîkê bişînin torê,
- tûnela derbazkirinê - rasterast bi derbasbûna tunelê re trafîkê bişîne torê.
Optimîzasyona TCP-ê çalak bikin - kontrol bikin ka we vebijarka ser tunelê hilbijart. Dema ku optimîzasyon were çalak kirin, hûn dikarin hejmarên portê yên ku hûn dixwazin seyrûseferê xweştir bikin diyar bikin. Trafîka ji bo benderên mayî yên li ser wê torê taybetî nayê xweşbîn kirin. Ger hejmarên portê neyên diyar kirin, seyrûsefera ji bo hemî portan xweşbîn e. Di derbarê vê taybetmendiyê de bêtir bixwînin vir.
Dûv re, biçin tabloya Nasnameyê û bikirtînin +. Ji bo verastkirinê, em ê serverek herêmî li ser NSX Edge bixwe bikar bînin.
Li vir em dikarin polîtîkayên ji bo afirandina şîfreyên nû hilbijêrin û vebijarkên ji bo astengkirina hesabên bikarhêneran mîheng bikin (mînak, heke şîfre bi xeletî were nivîsandin hejmara dubareyan).
Ji ber ku em pejirandina herêmî bikar tînin, divê em bikarhêneran biafirînin.
Ji bilî tiştên bingehîn ên wekî nav û şîfre, li vir hûn dikarin, wek nimûne, bikarhêner ji guheztina şîfreyê qedexe bikin an berevajî vê yekê, wî neçar bikin ku gava din têkeve şîfreyê biguhere.
Piştî ku hemî bikarhênerên pêwîst hatin zêdekirin, biçin tabloya Pakêtên Sazkirinê, bikirtînin + û sazkerê xwe biafirînin, ku dê ji hêla karmendek dûr ve ji bo sazkirinê were dakêşandin.
Çape +. Navnîşan û porta serverê ya ku dê xerîdar pê ve girêbide, û platformên ku hûn dixwazin pakêta sazkirinê biafirînin hilbijêrin.
Li jêr di vê pencereyê de, hûn dikarin mîhengên xerîdar ji bo Windows-ê diyar bikin. Helbijartin:
di têketinê de xerîdar dest pê bikin - dê xerîdar VPN li ser makîneya dûr dest pê bike;
îkonek sermaseyê biafirîne - dê îkonek xerîdar VPN li ser sermaseyê biafirîne;
Verastkirina sertîfîkaya ewlehiyê ya serverê - dê sertîfîkaya serverê piştî girêdanê rast bike.
Sazkirina serverê qediya.
Naha em pakêta sazkirinê ya ku me di gava paşîn de çêkiriye dakêşin PC-ya dûr. Dema sazkirina serverê, me navnîşana wê ya derveyî (185.148.83.16) û porta (445) diyar kir. Li ser vê navnîşanê ye ku divê em di gerokek webê de biçin. Di doza min de ew e 185.148.83.16: 445.
Di pencereya destûrnameyê de, divê hûn pêbaweriyên bikarhêner ên ku me berê afirandine têkevin.
Piştî destûrnameyê, em navnîşek pakêtên sazkirinê yên çêkirî yên ji bo dakêşanê hene dibînin. Me tenê yek çêkir - em ê dakêşin.
Em li ser zencîrê bikirtînin, dakêşana xerîdar dest pê dike.
Arşîva dakêşandî vekin û sazkerê bimeşînin.
Piştî sazkirinê, xerîdar dest pê bikin, di pencereya destûrnameyê de, bikirtînin Têketinê.
Di pencereya verastkirina sertîfîkayê de, Erê hilbijêrin.
Em pêbaweriyên bikarhênerê ku berê hatî afirandin têkevin û dibînin ku girêdan bi serfirazî qediya.
Em statîstîkên xerîdar VPN li ser komputera herêmî kontrol dikin.
Di rêzika fermanê ya Windows-ê de (ipconfig / all), em dibînin ku adapterek virtual ya zêde xuya bûye û pêwendiya tora dûr heye, her tişt dixebite:
Û di dawiyê de, ji konsolê Edge Gateway kontrol bikin.
L2 VPN
L2VPN dê hewce be dema ku hûn hewce ne ku gelek erdnîgarî bi hev re bikin
torên li yek domainê weşanê belav kirin.
Ev dikare bikêrhatî be, wek nimûne, dema koçkirina makîneyek virtual: dema ku VM berbi herêmek din a erdnîgarî ve diçe, makîne dê mîhengên navnîşana IP-ya xwe biparêze û dê pêwendiya bi makîneyên din ên ku di heman domaina L2-ê de ne winda bike.
Di hawîrdora xweya ceribandinê de, em ê du malperan bi hev ve girêbidin, em ê bi rêzdarî ji wan re bibêjin A û B. Du NSX û du torên rêgezkirî yên ku bi heman rengî hatine afirandin hene ku bi Kevirên cûda ve girêdayî ne. Makîneya A navnîşana 10.10.10.250/24 heye, Makîneya B navnîşana 10.10.10.2/24 heye.
Di Derhênerê vCloud de, biçin tabloya Rêvebiriyê, biçin VDC-ya ku em hewce ne, biçin tabloya Torên Org VDC û du torên nû lê zêde bikin.
Cureya tora rêvekirî hilbijêrin û vê torê bi NSX-a me ve girêdin. Em qutiya kontrolê biafirînin wekî binnavberê danîn.
Wekî encamek, divê em du toran bistînin. Di mînaka me de, ji wan re tora-a û tora-b bi heman mîhengên dergehê û heman maskê têne gotin.
Naha em biçin mîhengên NSX-a yekem. Ev dê bibe NSX-a ku Tora A pê ve girêdayî ye. Ew ê wekî serverek tevbigere.
Em vedigerin pêwendiya NSx Edge / Herin tabloya VPN -> L2VPN. Em L2VPN vedikin, moda xebitandina Serverê hilbijêrin, di mîhengên Server Global de em navnîşana IP-ya NSX-a derveyî ya ku porta tunelê lê guhdarî dike destnîşan dikin. Bi xwerû, soket dê li porta 443 vebe, lê ev dikare were guheztin. Ji bîr nekin ku hûn mîhengên şîfrekirinê ji bo tunela pêşerojê hilbijêrin.
Herin tabloya Malperên Serverê û hevalek lê zêde bikin.
Em peer vedikin, nav, danasîn destnîşan dikin, ger hewce be, navê bikarhêner û şîfreyê destnîşan dikin. Em ê paşê dema ku malpera xerîdar saz bikin ev dane hewce ne.
Di Egress Optimization Gateway Address de em navnîşana dergehê destnîşan dikin. Ev pêdivî ye ku ji bo navnîşanên IP-ê nakokî nebe, ji ber ku deriyê torên me heman navnîşan e. Dûv re li ser bişkoka BIJÊN BIJÊN BIJÊN BIJÎNÊ bikirtînin.
Li vir em subinterfaceya xwestinê hilbijêrin. Em mîhengan xilas dikin.
Em dibînin ku malpera xerîdar a nû hatî afirandin di mîhengan de xuya bûye.
Naha em biçin mîhengkirina NSX-ê ji hêla xerîdar ve.
Em diçin NSX aliyê B, diçin VPN -> L2VPN, L2VPN çalak bikin, moda L2VPN li moda xerîdar bicîh bikin. Li ser tabloya Client Global, navnîşan û porta NSX A, ya ku me berê wekî IP-ya guhdarîkirinê û portê li ser milê serverê destnîşan kir, bicîh bikin. Di heman demê de pêdivî ye ku meriv heman mîhengên şîfrekirinê bicîh bike da ku gava tunel bilind bibe hevgirtî bin.
Em li jêr digerînin, jêr-navbera ku dê tunela ji bo L2VPN were çêkirin hilbijêrin.
Di Egress Optimization Gateway Address de em navnîşana dergehê destnîşan dikin. Nasnameya bikarhêner û şîfreyê saz bikin. Em subinterface hilbijêrin û ji bîr nekin ku mîhengan hilînin.
Bi rastî, ev hemû. Mîhengên milê xerîdar û serverê hema hema yek in, ji bilî çend nuwazeyan.
Naha em dikarin bibînin ku tunela me bi çûna Statistics -> L2VPN li ser her NSX-ê xebitî.
Ger em naha biçin konsolê her Gatewayek Edge, em ê li ser her yek ji wan di tabloya arp de navnîşanên her du VM-an bibînin.
Ew hemî li ser VPN-ê li ser NSX Edge ye. Bipirsin ka tiştek ne diyar e. Di heman demê de ew beşa paşîn a rêze gotarên li ser xebata bi NSX Edge re ye. Em hêvî dikin ku ew arîkar bûn 🙂