VMware NSX ສໍາລັບເດັກນ້ອຍ. ສ່ວນທີ 6: ການຕິດຕັ້ງ VPN

ສ່ວນຫນຶ່ງ. ແນະນໍາ
ສ່ວນສອງ. ການຕັ້ງຄ່າ Firewall ແລະກົດລະບຽບ NAT
ສ່ວນສາມ. ການຕັ້ງຄ່າ DHCP
ສ່ວນສີ່. ການຕັ້ງຄ່າເສັ້ນທາງ
ພາກທີຫ້າ. ຕັ້ງຄ່າຕົວດຸ່ນດ່ຽງການໂຫຼດ

ມື້ນີ້ພວກເຮົາຈະມາເບິ່ງຕົວເລືອກການຕັ້ງຄ່າ VPN ທີ່ NSX Edge ສະເຫນີໃຫ້ພວກເຮົາ.

ໂດຍທົ່ວໄປ, ພວກເຮົາສາມາດແບ່ງເຕັກໂນໂລຢີ VPN ເປັນສອງປະເພດທີ່ສໍາຄັນ:

• ສະຖານທີ່ VPN. ການນໍາໃຊ້ທົ່ວໄປທີ່ສຸດຂອງ IPSec ແມ່ນການສ້າງອຸໂມງທີ່ປອດໄພ, ສໍາລັບການຍົກຕົວຢ່າງ, ລະຫວ່າງເຄືອຂ່າຍຫ້ອງການຕົ້ນຕໍແລະເຄືອຂ່າຍທີ່ສະຖານທີ່ຫ່າງໄກສອກຫຼີກຫຼືຢູ່ໃນເມຄ.
• ການເຂົ້າເຖິງໄລຍະໄກ VPN. ໃຊ້ເພື່ອເຊື່ອມຕໍ່ຜູ້ໃຊ້ສ່ວນບຸກຄົນກັບເຄືອຂ່າຍເອກະຊົນຂອງບໍລິສັດໂດຍໃຊ້ຊອບແວ VPN client.

NSX Edge ອະນຸຍາດໃຫ້ພວກເຮົານໍາໃຊ້ທັງສອງທາງເລືອກ.
ພວກເຮົາຈະຕັ້ງຄ່າໂດຍໃຊ້ຕົວທົດສອບທີ່ມີສອງ NSX Edge, ເຊີບເວີ Linux ທີ່ມີ daemon ຕິດຕັ້ງ. raccoon ແລະແລັບທັອບ Windows ເພື່ອທົດສອບ Remote Access VPN.

IPsec

1. ໃນການໂຕ້ຕອບຜູ້ອໍານວຍການ vCloud, ໄປທີ່ພາກການບໍລິຫານແລະເລືອກ vDC. ໃນແຖບ Edge Gateways, ເລືອກ Edge ທີ່ພວກເຮົາຕ້ອງການ, ຄລິກຂວາແລະເລືອກ Edge Gateway Services.
   
2. ໃນການໂຕ້ຕອບ NSX Edge, ໄປທີ່ແຖບ VPN-IPsec VPN, ຈາກນັ້ນໄປທີ່ພາກ IPsec VPN Sites ແລະຄລິກ + ເພື່ອເພີ່ມເວັບໄຊທ໌ໃຫມ່.

   

3. ຕື່ມຂໍ້ມູນໃສ່ໃນຊ່ອງຂໍ້ມູນທີ່ຕ້ອງການ:
   • ເປີດການ - ເປີດໃຊ້ເວັບໄຊທ໌ທາງໄກ.
   • PFS – ຮັບປະກັນວ່າລະຫັດເຂົ້າລະຫັດໃໝ່ແຕ່ລະອັນບໍ່ກ່ຽວຂ້ອງກັບກະແຈອັນໃດກ່ອນໜ້ານີ້.
   • ID ທ້ອງຖິ່ນ ແລະຈຸດສິ້ນສຸດທ້ອງຖິ່ນt ແມ່ນທີ່ຢູ່ພາຍນອກຂອງ NSX Edge.
   • ເຄືອຂ່າຍຍ່ອຍທ້ອງຖິ່ນs - ເຄືອຂ່າຍທ້ອງຖິ່ນທີ່ຈະໃຊ້ IPsec VPN.
   • Peer ID ແລະ Peer Endpoint - ທີ່​ຢູ່​ຂອງ​ເວັບ​ໄຊ​ຫ່າງ​ໄກ​ສອກ​ຫຼີກ​.
   • ເຄືອຂ່າຍຍ່ອຍແບບເພື່ອນ – ເຄືອຂ່າຍທີ່ຈະໃຊ້ IPsec VPN ຢູ່ຂ້າງທາງໄກ.
   • ຂັ້ນຕອນການເຂົ້າລະຫັດ - ຂັ້ນຕອນການເຂົ້າລະຫັດອຸໂມງ.

   
   

   • ການກວດສອບ - ພວກເຮົາຈະກວດສອບຄວາມຖືກຕ້ອງຂອງເພື່ອນໄດ້ແນວໃດ. ທ່ານສາມາດນໍາໃຊ້ລະຫັດທີ່ແບ່ງປັນລ່ວງຫນ້າຫຼືໃບຢັ້ງຢືນ.
   • ປຸ່ມ Pre-Shared - ລະບຸລະຫັດທີ່ຈະໃຊ້ສໍາລັບການພິສູດຢືນຢັນແລະຕ້ອງກົງກັນທັງສອງດ້ານ.
   • ກຸ່ມ Diffie Hellman - ສູດ​ການ​ແລກ​ປ່ຽນ​ທີ່​ສໍາ​ຄັນ​.

   ຫຼັງຈາກຕື່ມຂໍ້ມູນໃສ່ໃນຊ່ອງທີ່ຕ້ອງການ, ຄລິກ Keep.

   

4. ເຮັດແລ້ວ.

   

5. ຫຼັງຈາກເພີ່ມເວັບໄຊ, ໄປທີ່ແຖບສະຖານະເປີດໃຊ້ງານ ແລະເປີດໃຊ້ບໍລິການ IPsec.

   

6. ຫຼັງຈາກການຕັ້ງຄ່າຖືກນຳໃຊ້, ໃຫ້ໄປທີ່ Statistics -> IPsec VPN tab ແລະກວດເບິ່ງສະຖານະຂອງອຸໂມງ. ພວກເຮົາເຫັນວ່າອຸໂມງໄດ້ເພີ່ມຂຶ້ນ.

   

7. ກວດເບິ່ງສະຖານະອຸໂມງຈາກ Edge gateway console:
   • show service ipsec - ກວດເບິ່ງສະຖານະຂອງການບໍລິການ.

     

   • show service ipsec site - ຂໍ້ມູນກ່ຽວກັບສະຖານະຂອງເວັບໄຊແລະຕົວກໍານົດການເຈລະຈາ.

     

   • show service ipsec sa - ກວດເບິ່ງສະຖານະຂອງສະມາຄົມຄວາມປອດໄພ (SA).

     

8. ການກວດສອບການເຊື່ອມຕໍ່ກັບເວັບໄຊທ໌ທາງໄກ:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   ໄຟລ໌ການຕັ້ງຄ່າ ແລະຄຳສັ່ງເພີ່ມເຕີມສຳລັບການວິນິດໄສຈາກເຊີບເວີ Linux ໄລຍະໄກ:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. ທຸກຢ່າງແມ່ນພ້ອມແລ້ວ, IPsec VPN ຂຶ້ນກັບເວັບໄຊ ແລະ ເຮັດວຽກ.

   ໃນຕົວຢ່າງນີ້, ພວກເຮົາໄດ້ໃຊ້ PSK ສໍາລັບການພິສູດຢືນຢັນແບບເພື່ອນ, ແຕ່ການກວດສອບໃບຢັ້ງຢືນແມ່ນເປັນໄປໄດ້. ເພື່ອເຮັດສິ່ງນີ້, ໄປທີ່ແຖບ Global Configuration, ເປີດໃຊ້ການກວດສອບໃບຢັ້ງຢືນແລະເລືອກໃບຢັ້ງຢືນຕົວມັນເອງ.

   ນອກຈາກນັ້ນ, ໃນການຕັ້ງຄ່າເວັບໄຊທ໌, ທ່ານຈະຕ້ອງປ່ຽນວິທີການກວດສອບຄວາມຖືກຕ້ອງ.

   
   
   
   
   ຂ້ອຍສັງເກດວ່າຈໍານວນຂອງອຸໂມງ IPsec ແມ່ນຂຶ້ນກັບຂະຫນາດຂອງ Edge Gateway ທີ່ໃຊ້ໄດ້ (ອ່ານກ່ຽວກັບເລື່ອງນີ້ໃນຂອງພວກເຮົາ. ບົດຄວາມທໍາອິດ).

   

SSL VPN

SSL VPN-Plus ແມ່ນຫນຶ່ງໃນທາງເລືອກ VPN ການເຂົ້າເຖິງໄລຍະໄກ. ມັນອະນຸຍາດໃຫ້ຜູ້ໃຊ້ຫ່າງໄກສອກຫຼີກສ່ວນບຸກຄົນເຊື່ອມຕໍ່ຢ່າງປອດໄພກັບເຄືອຂ່າຍສ່ວນຕົວທີ່ຢູ່ເບື້ອງຫຼັງ NSX Edge Gateway. ອຸໂມງທີ່ຖືກເຂົ້າລະຫັດໃນກໍລະນີຂອງ SSL VPN-plus ແມ່ນສ້າງຕັ້ງຂຶ້ນລະຫວ່າງລູກຄ້າ (Windows, Linux, Mac) ແລະ NSX Edge.

1. ມາເລີ່ມຕັ້ງຄ່າກັນເລີຍ. ໃນແຜງຄວບຄຸມການບໍລິການ Edge Gateway, ໄປທີ່ແຖບ SSL VPN-Plus, ຈາກນັ້ນໄປທີ່ການຕັ້ງຄ່າເຊີບເວີ. ພວກເຮົາເລືອກທີ່ຢູ່ ແລະພອດທີ່ເຊີບເວີຈະຟັງການເຊື່ອມຕໍ່ຂາເຂົ້າ, ເປີດໃຊ້ການບັນທຶກ ແລະເລືອກລະບົບການເຂົ້າລະຫັດທີ່ຈຳເປັນ.

   
   
   ໃນທີ່ນີ້ທ່ານຍັງສາມາດປ່ຽນໃບຢັ້ງຢືນທີ່ເຄື່ອງແມ່ຂ່າຍຈະໃຊ້.

   

2. ຫຼັງຈາກທຸກສິ່ງທຸກຢ່າງແມ່ນກຽມພ້ອມ, ເປີດເຄື່ອງແມ່ຂ່າຍແລະຢ່າລືມບັນທຶກການຕັ້ງຄ່າ.

   

3. ຕໍ່ໄປ, ພວກເຮົາຈໍາເປັນຕ້ອງໄດ້ຕັ້ງກຸ່ມທີ່ຢູ່ທີ່ພວກເຮົາຈະອອກໃຫ້ລູກຄ້າຕາມການເຊື່ອມຕໍ່. ເຄືອຂ່າຍນີ້ແມ່ນແຍກອອກຈາກເຄືອຂ່າຍຍ່ອຍທີ່ມີຢູ່ໃນສະພາບແວດລ້ອມ NSX ຂອງທ່ານແລະບໍ່ຈໍາເປັນຕ້ອງຖືກຕັ້ງຄ່າໃນອຸປະກອນອື່ນໆໃນເຄືອຂ່າຍທາງດ້ານຮ່າງກາຍ, ຍົກເວັ້ນເສັ້ນທາງທີ່ຊີ້ໃຫ້ເຫັນເຖິງມັນ.

   ໄປທີ່ແຖບ IP Pools ແລະຄລິກ +.

   

4. ເລືອກທີ່ຢູ່, subnet mask ແລະ gateway. ໃນທີ່ນີ້ທ່ານຍັງສາມາດປ່ຽນການຕັ້ງຄ່າສໍາລັບເຄື່ອງແມ່ຂ່າຍ DNS ແລະ WINS.

   

5. ສະນຸກເກີຜົນໄດ້ຮັບ.

   

6. ຕອນນີ້ໃຫ້ເພີ່ມເຄືອຂ່າຍທີ່ຜູ້ໃຊ້ເຊື່ອມຕໍ່ກັບ VPN ຈະມີການເຂົ້າເຖິງ. ໄປທີ່ແຖບ Private Networks ແລະຄລິກ +.

   

7. ພວກເຮົາຕື່ມຂໍ້ມູນໃສ່:
   • ເຄືອຂ່າຍ - ເຄືອຂ່າຍທ້ອງຖິ່ນທີ່ຜູ້ໃຊ້ຫ່າງໄກສອກຫຼີກຈະມີການເຂົ້າເຖິງ.
   • ສົ່ງການຈະລາຈອນ, ມັນມີສອງທາງເລືອກ:
     - over tunnel - ສົ່ງ​ການ​ຈະ​ລາ​ຈອນ​ກັບ​ເຄືອ​ຂ່າຍ​ໂດຍ​ຜ່ານ tunnel​,
     — bypass tunnel — ສົ່ງ​ການ​ຈະ​ລາ​ຈອນ​ກັບ​ເຄືອ​ຂ່າຍ​ໂດຍ​ກົງ bypass tunnel​.
   • ເປີດໃຊ້ TCP Optimization - ກວດເບິ່ງວ່າທ່ານເລືອກທາງເລືອກ over tunnel. ເມື່ອການເພີ່ມປະສິດທິພາບຖືກເປີດໃຊ້, ທ່ານສາມາດລະບຸຕົວເລກພອດທີ່ທ່ານຕ້ອງການເພີ່ມປະສິດທິພາບການຈະລາຈອນ. ການຈະລາຈອນສໍາລັບພອດທີ່ຍັງເຫຼືອຢູ່ໃນເຄືອຂ່າຍສະເພາະນັ້ນຈະບໍ່ຖືກປັບປຸງໃຫ້ເຫມາະສົມ. ຖ້າບໍ່ມີການລະບຸຕົວເລກຜອດ, ການຈະລາຈອນສໍາລັບພອດທັງຫມົດຈະຖືກປັບປຸງໃຫ້ເຫມາະສົມ. ອ່ານເພີ່ມເຕີມກ່ຽວກັບຄຸນສົມບັດນີ້ ທີ່ນີ້.

   

8. ຕໍ່ໄປ, ໄປທີ່ແຖບ Authentication ແລະຄລິກ +. ສໍາລັບການກວດສອບຄວາມຖືກຕ້ອງ, ພວກເຮົາຈະໃຊ້ເຄື່ອງແມ່ຂ່າຍທ້ອງຖິ່ນຢູ່ໃນ NSX Edge ຕົວຂອງມັນເອງ.

   

9. ທີ່ນີ້ພວກເຮົາສາມາດເລືອກນະໂຍບາຍສໍາລັບການສ້າງລະຫັດຜ່ານໃຫມ່ແລະກໍາຫນົດຄ່າທາງເລືອກສໍາລັບການສະກັດບັນຊີຜູ້ໃຊ້ (ຕົວຢ່າງ, ຈໍານວນຂອງການພະຍາຍາມໃຫມ່ຖ້າຫາກວ່າລະຫັດຜ່ານຖືກໃສ່ບໍ່ຖືກຕ້ອງ).

   
   
   

10. ເນື່ອງຈາກພວກເຮົາກໍາລັງໃຊ້ການພິສູດຢືນຢັນທ້ອງຖິ່ນ, ພວກເຮົາຈໍາເປັນຕ້ອງສ້າງຜູ້ໃຊ້.

    

11. ນອກເຫນືອຈາກສິ່ງພື້ນຖານເຊັ່ນຊື່ແລະລະຫັດຜ່ານ, ໃນທີ່ນີ້ທ່ານສາມາດ, ຕົວຢ່າງ, ຫ້າມຜູ້ໃຊ້ຈາກການປ່ຽນລະຫັດຜ່ານຫຼື, ກົງກັນຂ້າມ, ບັງຄັບໃຫ້ລາວປ່ຽນລະຫັດຜ່ານໃນຄັ້ງຕໍ່ໄປທີ່ລາວເຂົ້າສູ່ລະບົບ.

    

12. ຫຼັງຈາກຜູ້ໃຊ້ທີ່ຈໍາເປັນທັງຫມົດໄດ້ຖືກເພີ່ມ, ໄປທີ່ແທັບການຕິດຕັ້ງ, ຄລິກ + ແລະສ້າງຕົວຕິດຕັ້ງເອງ, ເຊິ່ງຈະຖືກດາວໂຫລດໂດຍພະນັກງານຫ່າງໄກສອກຫຼີກສໍາລັບການຕິດຕັ້ງ.

    

13. ກົດ +. ເລືອກທີ່ຢູ່ແລະພອດຂອງເຄື່ອງແມ່ຂ່າຍທີ່ລູກຄ້າຈະເຊື່ອມຕໍ່, ແລະເວທີທີ່ທ່ານຕ້ອງການສ້າງຊຸດການຕິດຕັ້ງ.

    
    
    ຂ້າງລຸ່ມນີ້ຢູ່ໃນປ່ອງຢ້ຽມນີ້, ທ່ານສາມາດກໍານົດການຕັ້ງຄ່າລູກຄ້າສໍາລັບ Windows. ເລືອກ:

    • ເລີ່ມລູກຄ້າໃນການເຂົ້າສູ່ລະບົບ – ລູກຄ້າ VPN ຈະຖືກເພີ່ມເຂົ້າໃນການເລີ່ມຕົ້ນໃນເຄື່ອງທາງໄກ;
    • ສ້າງໄອຄອນ desktop - ຈະສ້າງໄອຄອນລູກຄ້າ VPN ໃນ desktop;
    • ການກວດສອບໃບຢັ້ງຢືນຄວາມປອດໄພເຊີບເວີ - ຈະກວດສອບໃບຢັ້ງຢືນເຊີບເວີເມື່ອເຊື່ອມຕໍ່.
      ການຕິດຕັ້ງເຊີບເວີສຳເລັດແລ້ວ.

    

14. ຕອນນີ້ໃຫ້ດາວໂຫລດຊຸດຕິດຕັ້ງທີ່ພວກເຮົາສ້າງໃນຂັ້ນຕອນສຸດທ້າຍໃຫ້ກັບ PC ຫ່າງໄກສອກຫຼີກ. ເມື່ອຕັ້ງຄ່າເຄື່ອງແມ່ຂ່າຍ, ພວກເຮົາລະບຸທີ່ຢູ່ພາຍນອກຂອງມັນ (185.148.83.16) ແລະພອດ (445). ມັນແມ່ນຢູ່ໃນທີ່ຢູ່ນີ້ທີ່ພວກເຮົາຈໍາເປັນຕ້ອງເຂົ້າໄປໃນຕົວທ່ອງເວັບ. ໃນກໍລະນີຂອງຂ້ອຍມັນແມ່ນ 185.148.83.16: 445

    ໃນປ່ອງຢ້ຽມການອະນຸຍາດ, ທ່ານຕ້ອງໃສ່ຂໍ້ມູນປະຈໍາຕົວຜູ້ໃຊ້ທີ່ພວກເຮົາສ້າງກ່ອນຫນ້ານີ້.

    

15. ຫຼັງ​ຈາກ​ການ​ອະ​ນຸ​ຍາດ​, ພວກ​ເຮົາ​ເຫັນ​ບັນ​ຊີ​ລາຍ​ການ​ຂອງ​ຊຸດ​ການ​ຕິດ​ຕັ້ງ​ທີ່​ສ້າງ​ຕັ້ງ​ຂື້ນ​ສໍາ​ລັບ​ການ​ດາວ​ໂຫຼດ​ໄດ້​. ພວກເຮົາໄດ້ສ້າງພຽງແຕ່ຫນຶ່ງ - ພວກເຮົາຈະດາວໂຫລດມັນ.

    

16. ພວກເຮົາຄລິກໃສ່ການເຊື່ອມຕໍ່, ການດາວໂຫຼດຂອງລູກຄ້າເລີ່ມຕົ້ນ.

    

17. ຖອດແຟ້ມຈັດເກັບທີ່ດາວໂຫລດມາແລະດໍາເນີນການຕິດຕັ້ງ.

    

18. ຫຼັງ​ຈາກ​ການ​ຕິດ​ຕັ້ງ​, ເປີດ​ຕົວ​ລູກ​ຄ້າ​, ໃນ​ປ່ອງ​ຢ້ຽມ​ອະ​ນຸ​ຍາດ​, ໃຫ້​ຄລິກ​ໃສ່​ເຂົ້າ​ສູ່​ລະ​ບົບ​.

    

19. ໃນປ່ອງຢ້ຽມການຢັ້ງຢືນໃບຢັ້ງຢືນ, ເລືອກແມ່ນແລ້ວ.

    

20. ພວກເຮົາໃສ່ຂໍ້ມູນປະຈໍາຕົວສໍາລັບຜູ້ໃຊ້ທີ່ສ້າງກ່ອນຫນ້ານີ້ແລະເຫັນວ່າການເຊື່ອມຕໍ່ໄດ້ຖືກສໍາເລັດຢ່າງສໍາເລັດຜົນ.

    
    
    

21. ພວກເຮົາກວດເບິ່ງສະຖິຕິຂອງລູກຄ້າ VPN ໃນຄອມພິວເຕີທ້ອງຖິ່ນ.

    
    
    

22. ໃນເສັ້ນຄໍາສັ່ງຂອງ Windows (ipconfig / all), ພວກເຮົາເຫັນວ່າຕົວດັດແປງ virtual ເພີ່ມເຕີມໄດ້ປາກົດຂຶ້ນແລະມີການເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍຫ່າງໄກສອກຫຼີກ, ທຸກສິ່ງທຸກຢ່າງເຮັດວຽກ:

    
    
    

23. ແລະສຸດທ້າຍ, ກວດເບິ່ງຈາກ Edge Gateway console.

    

L2 VPN

L2VPN ຈະມີຄວາມຈໍາເປັນໃນເວລາທີ່ທ່ານຕ້ອງການປະສົມປະສານຫຼາຍພູມສັນຖານ
ເຄືອ​ຂ່າຍ​ແຈກ​ຢາຍ​ເຂົ້າ​ໄປ​ໃນ​ຫນຶ່ງ​ໂດ​ເມນ​ອອກ​ອາ​ກາດ​.

ນີ້ສາມາດເປັນປະໂຫຍດ, ສໍາລັບການຍົກຕົວຢ່າງ, ເມື່ອການເຄື່ອນຍ້າຍເຄື່ອງ virtual: ເມື່ອ VM ຍ້າຍໄປເຂດພູມສາດອື່ນ, ເຄື່ອງຈະຮັກສາການຕັ້ງຄ່າທີ່ຢູ່ IP ຂອງມັນແລະຈະບໍ່ສູນເສຍການເຊື່ອມຕໍ່ກັບເຄື່ອງອື່ນໆທີ່ຢູ່ໃນໂດເມນ L2 ດຽວກັນກັບມັນ.

ໃນສະພາບແວດລ້ອມການທົດສອບຂອງພວກເຮົາ, ພວກເຮົາຈະເຊື່ອມຕໍ່ສອງສະຖານທີ່ເຊິ່ງກັນແລະກັນ, ພວກເຮົາຈະໂທຫາພວກເຂົາ A ແລະ B, ຕາມລໍາດັບ. ພວກເຮົາມີສອງ NSXs ແລະສອງເຄືອຂ່າຍທີ່ສ້າງຂື້ນຄືກັນທີ່ຕິດກັບ Edges ທີ່ແຕກຕ່າງກັນ. ເຄື່ອງ A ມີທີ່ຢູ່ 10.10.10.250/24, ເຄື່ອງ B ມີທີ່ຢູ່ 10.10.10.2/24.

1. ໃນ vCloud Director, ໄປທີ່ແຖບບໍລິຫານ, ໄປທີ່ VDC ທີ່ພວກເຮົາຕ້ອງການ, ໄປແຖບ Org VDC Networks ແລະເພີ່ມສອງເຄືອຂ່າຍໃຫມ່.

   

2. ເລືອກປະເພດເຄືອຂ່າຍທີ່ກຳນົດເສັ້ນທາງ ແລະຜູກມັດເຄືອຂ່າຍນີ້ກັບ NSX ຂອງພວກເຮົາ. ພວກເຮົາໃສ່ກ່ອງກາເຄື່ອງຫມາຍສ້າງເປັນຕົວເຊື່ອມຕໍ່ຍ່ອຍ.

   

3. ດັ່ງນັ້ນ, ພວກເຮົາຄວນຈະໄດ້ຮັບສອງເຄືອຂ່າຍ. ໃນຕົວຢ່າງຂອງພວກເຮົາ, ພວກມັນຖືກເອີ້ນວ່າ network-a ແລະ network-b ທີ່ມີການຕັ້ງຄ່າປະຕູດຽວກັນແລະຫນ້າກາກດຽວກັນ.

   
   
   

4. ຕອນນີ້ໃຫ້ໄປທີ່ການຕັ້ງຄ່າຂອງ NSX ທໍາອິດ. ອັນນີ້ຈະເປັນ NSX ທີ່ເຄືອຂ່າຍ A ຕິດຢູ່. ມັນຈະເຮັດໜ້າທີ່ເປັນເຊີບເວີ.

   ພວກເຮົາກັບຄືນໄປຫາການໂຕ້ຕອບ NSx Edge / ໄປທີ່ແຖບ VPN -> L2VPN. ພວກເຮົາເປີດ L2VPN, ເລືອກຮູບແບບການເຮັດວຽກຂອງເຄື່ອງແມ່ຂ່າຍ, ໃນການຕັ້ງຄ່າ Server Global ພວກເຮົາລະບຸທີ່ຢູ່ IP NSX ພາຍນອກທີ່ພອດສໍາລັບອຸໂມງຈະຟັງ. ໂດຍຄ່າເລີ່ມຕົ້ນ, ເຕົ້າຮັບຈະເປີດຢູ່ໃນພອດ 443, ແຕ່ນີ້ສາມາດປ່ຽນແປງໄດ້. ຢ່າລືມເລືອກການຕັ້ງຄ່າການເຂົ້າລະຫັດສໍາລັບອຸໂມງໃນອະນາຄົດ.

   

5. ໄປທີ່ແຖບ Server Sites ແລະເພີ່ມເພື່ອນມິດ.

   

6. ພວກເຮົາເປີດ peer, ຕັ້ງຊື່, ຄໍາອະທິບາຍ, ຖ້າຈໍາເປັນ, ກໍານົດຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານ. ພວກເຮົາຈະຕ້ອງການຂໍ້ມູນນີ້ໃນພາຍຫຼັງເມື່ອຕັ້ງຄ່າເວັບໄຊລູກຄ້າ.

   ໃນ Egress Optimization Gateway Address ພວກເຮົາກໍານົດທີ່ຢູ່ gateway. ນີ້ແມ່ນມີຄວາມຈໍາເປັນເພື່ອບໍ່ໃຫ້ມີການຂັດແຍ້ງຂອງທີ່ຢູ່ IP, ເພາະວ່າປະຕູຂອງເຄືອຂ່າຍຂອງພວກເຮົາມີທີ່ຢູ່ດຽວກັນ. ຫຼັງຈາກນັ້ນ, ໃຫ້ຄລິກໃສ່ປຸ່ມ SELECT SUB-INTERFACES.

   

7. ໃນ​ທີ່​ນີ້​ພວກ​ເຮົາ​ເລືອກ​ເອົາ subinterface ທີ່​ຕ້ອງ​ການ​. ພວກເຮົາບັນທຶກການຕັ້ງຄ່າ.

   

8. ພວກເຮົາເຫັນວ່າເວັບໄຊທ໌ລູກຄ້າທີ່ສ້າງຂຶ້ນໃຫມ່ໄດ້ປາກົດຢູ່ໃນການຕັ້ງຄ່າ.

   

9. ຕອນນີ້ໃຫ້ເຮົາກ້າວໄປສູ່ການຕັ້ງຄ່າ NSX ຈາກຝ່າຍລູກຄ້າ.

   ພວກເຮົາໄປ NSX ຂ້າງ B, ໄປ VPN -> L2VPN, ເປີດໃຊ້ L2VPN, ຕັ້ງໂຫມດ L2VPN ເປັນໂຫມດລູກຄ້າ. ໃນແຖບ Client Global, ກໍານົດທີ່ຢູ່ແລະພອດຂອງ NSX A, ທີ່ພວກເຮົາໄດ້ລະບຸໄວ້ກ່ອນຫນ້ານີ້ເປັນ Listening IP ແລະພອດຢູ່ຂ້າງເຊີຟເວີ. ມັນຍັງມີຄວາມຈໍາເປັນໃນການຕັ້ງຄ່າການເຂົ້າລະຫັດດຽວກັນເພື່ອໃຫ້ພວກມັນສອດຄ່ອງກັນເມື່ອອຸໂມງຖືກຍົກຂຶ້ນມາ.

   
   
   ພວກເຮົາເລື່ອນລົງຂ້າງລຸ່ມນີ້, ເລືອກຕົວເຊື່ອມຕໍ່ຍ່ອຍໂດຍຜ່ານທີ່ອຸໂມງສໍາລັບ L2VPN ຈະຖືກສ້າງ.
   ໃນ Egress Optimization Gateway Address ພວກເຮົາກໍານົດທີ່ຢູ່ gateway. ຕັ້ງ ID ຜູ້ໃຊ້ ແລະລະຫັດຜ່ານ. ພວກເຮົາເລືອກຕົວເຊື່ອມຕໍ່ຍ່ອຍແລະບໍ່ລືມທີ່ຈະບັນທຶກການຕັ້ງຄ່າ.

   

10. ຕົວຈິງແລ້ວ, ນັ້ນແມ່ນທັງຫມົດ. ການ​ຕັ້ງ​ຄ່າ​ຂອງ​ລູກ​ຄ້າ​ແລະ​ຂ້າງ​ເຊີ​ເວີ​ແມ່ນ​ເກືອບ​ຄື​ກັນ​, ມີ​ຂໍ້​ຍົກ​ເວັ້ນ​ຂອງ nuances ບໍ່​ຫຼາຍ​ປານ​ໃດ​.
11. ໃນປັດຈຸບັນພວກເຮົາສາມາດເຫັນໄດ້ວ່າອຸໂມງຂອງພວກເຮົາໄດ້ເຮັດວຽກໂດຍການໄປທີ່ສະຖິຕິ -> L2VPN ຢູ່ໃນ NSX ໃດ.

    

12. ຖ້າພວກເຮົາໄປຫາ console ຂອງ Edge Gateway ໃດ, ພວກເຮົາຈະເຫັນທີ່ຢູ່ຂອງ VM ທັງສອງຢູ່ໃນຕາຕະລາງ arp.

    

ນັ້ນແມ່ນທັງໝົດກ່ຽວກັບ VPN ໃນ NSX Edge. ຖາມວ່າມີບາງຢ່າງບໍ່ຈະແຈ້ງ. ມັນຍັງເປັນສ່ວນສຸດທ້າຍຂອງບົດຄວາມກ່ຽວກັບການເຮັດວຽກກັບ NSX Edge. ພວກເຮົາຫວັງວ່າພວກເຂົາເປັນປະໂຫຍດ 🙂

ແຫຼ່ງຂໍ້ມູນ: www.habr.com