കൊച്ചുകുട്ടികൾക്കായി VMware NSX. ഭാഗം 6: VPN സജ്ജീകരണം

ഒന്നാം ഭാഗം. ആമുഖം
രണ്ടാം ഭാഗം. ഫയർവാളും NAT നിയമങ്ങളും ക്രമീകരിക്കുന്നു
ഭാഗം മൂന്ന്. DHCP കോൺഫിഗർ ചെയ്യുന്നു
ഭാഗം നാല്. റൂട്ടിംഗ് സജ്ജീകരണം
ഭാഗം അഞ്ച്. ഒരു ലോഡ് ബാലൻസർ സജ്ജീകരിക്കുന്നു

ഇന്ന് ഞങ്ങൾ NSX എഡ്ജ് വാഗ്ദാനം ചെയ്യുന്ന VPN കോൺഫിഗറേഷൻ ഓപ്ഷനുകൾ നോക്കാൻ പോകുന്നു.

പൊതുവേ, നമുക്ക് VPN സാങ്കേതികവിദ്യകളെ രണ്ട് പ്രധാന തരങ്ങളായി വിഭജിക്കാം:

• സൈറ്റ്-ടു-സൈറ്റ് VPN. IPSec-ന്റെ ഏറ്റവും സാധാരണമായ ഉപയോഗം ഒരു സുരക്ഷിത തുരങ്കം സൃഷ്ടിക്കുക എന്നതാണ്, ഉദാഹരണത്തിന്, ഒരു പ്രധാന ഓഫീസ് നെറ്റ്‌വർക്കിനും നെറ്റ്‌വർക്കിനും ഇടയിൽ ഒരു റിമോട്ട് സൈറ്റിലോ ക്ലൗഡിലോ.
• വിദൂര ആക്സസ് VPN. VPN ക്ലയന്റ് സോഫ്റ്റ്‌വെയർ ഉപയോഗിച്ച് വ്യക്തിഗത ഉപയോക്താക്കളെ കോർപ്പറേറ്റ് സ്വകാര്യ നെറ്റ്‌വർക്കുകളിലേക്ക് ബന്ധിപ്പിക്കാൻ ഉപയോഗിക്കുന്നു.

രണ്ട് ഓപ്ഷനുകളും ഉപയോഗിക്കാൻ NSX എഡ്ജ് ഞങ്ങളെ അനുവദിക്കുന്നു.
രണ്ട് എൻഎസ്എക്സ് എഡ്ജുകളുള്ള ഒരു ടെസ്റ്റ് ബെഞ്ച്, ഇൻസ്റ്റാൾ ചെയ്ത ഡെമൺ ഉള്ള ഒരു ലിനക്സ് സെർവർ ഉപയോഗിച്ച് ഞങ്ങൾ കോൺഫിഗർ ചെയ്യും. റാക്കൂൺ റിമോട്ട് ആക്‌സസ് വിപിഎൻ പരിശോധിക്കാൻ ഒരു വിൻഡോസ് ലാപ്‌ടോപ്പും.

IPsec

1. vCloud ഡയറക്ടർ ഇന്റർഫേസിൽ, അഡ്മിനിസ്ട്രേഷൻ വിഭാഗത്തിലേക്ക് പോയി vDC തിരഞ്ഞെടുക്കുക. എഡ്ജ് ഗേറ്റ്‌വേ ടാബിൽ, നമുക്ക് ആവശ്യമുള്ള എഡ്ജ് തിരഞ്ഞെടുക്കുക, വലത്-ക്ലിക്കുചെയ്ത് എഡ്ജ് ഗേറ്റ്‌വേ സേവനങ്ങൾ തിരഞ്ഞെടുക്കുക.
   
2. NSX എഡ്ജ് ഇന്റർഫേസിൽ, VPN-IPsec VPN ടാബിലേക്ക് പോകുക, തുടർന്ന് IPsec VPN സൈറ്റുകൾ വിഭാഗത്തിലേക്ക് പോയി ഒരു പുതിയ സൈറ്റ് ചേർക്കാൻ + ക്ലിക്ക് ചെയ്യുക.

   

3. ആവശ്യമായ ഫീൽഡുകൾ പൂരിപ്പിക്കുക:
   • പ്രാപ്തമാക്കി - റിമോട്ട് സൈറ്റ് സജീവമാക്കുന്നു.
   • പി.എഫ്.എസ് - ഓരോ പുതിയ ക്രിപ്‌റ്റോഗ്രാഫിക് കീയും മുമ്പത്തെ ഏതെങ്കിലും കീയുമായി ബന്ധപ്പെടുത്തിയിട്ടില്ലെന്ന് ഉറപ്പാക്കുന്നു.
   • ലോക്കൽ ഐഡിയും ലോക്കൽ എൻഡ്‌പോയിന്റുംt എന്നത് NSX എഡ്ജിന്റെ ബാഹ്യ വിലാസമാണ്.
   • പ്രാദേശിക സബ്നെറ്റ്s - IPsec VPN ഉപയോഗിക്കുന്ന പ്രാദേശിക നെറ്റ്‌വർക്കുകൾ.
   • പിയർ ഐഡിയും പിയർ എൻഡ് പോയിന്റും - വിദൂര സൈറ്റിന്റെ വിലാസം.
   • പിയർ സബ്നെറ്റുകൾ - റിമോട്ട് സൈഡിൽ IPsec VPN ഉപയോഗിക്കുന്ന നെറ്റ്‌വർക്കുകൾ.
   • എൻക്രിപ്ഷൻ അൽഗോരിതം - ടണൽ എൻക്രിപ്ഷൻ അൽഗോരിതം.

   
   

   • ആധികാരികത - ഞങ്ങൾ എങ്ങനെ സമപ്രായക്കാരനെ പ്രാമാണീകരിക്കും. നിങ്ങൾക്ക് മുൻകൂട്ടി പങ്കിട്ട കീ അല്ലെങ്കിൽ സർട്ടിഫിക്കറ്റ് ഉപയോഗിക്കാം.
   • പ്രീ-പങ്കിട്ട കീ - പ്രാമാണീകരണത്തിനായി ഉപയോഗിക്കുന്ന കീ വ്യക്തമാക്കുക, അത് ഇരുവശത്തും പൊരുത്തപ്പെടണം.
   • ഡിഫി ഹെൽമാൻ ഗ്രൂപ്പ് - കീ എക്സ്ചേഞ്ച് അൽഗോരിതം.

   ആവശ്യമായ ഫീൽഡുകൾ പൂരിപ്പിച്ച ശേഷം, Keep ക്ലിക്ക് ചെയ്യുക.

   

4. ചെയ്തുകഴിഞ്ഞു.

   

5. സൈറ്റ് ചേർത്ത ശേഷം, ആക്ടിവേഷൻ സ്റ്റാറ്റസ് ടാബിലേക്ക് പോയി IPsec സേവനം സജീവമാക്കുക.

   

6. ക്രമീകരണങ്ങൾ പ്രയോഗിച്ചതിന് ശേഷം, സ്ഥിതിവിവരക്കണക്കുകൾ -> IPsec VPN ടാബിലേക്ക് പോയി ടണലിന്റെ നില പരിശോധിക്കുക. തുരങ്കം ഉയർന്നതായി ഞങ്ങൾ കാണുന്നു.

   

7. എഡ്ജ് ഗേറ്റ്‌വേ കൺസോളിൽ നിന്ന് ടണൽ നില പരിശോധിക്കുക:
   • സേവനം ipsec കാണിക്കുക - സേവനത്തിന്റെ നില പരിശോധിക്കുക.

     

   • സേവനം ipsec സൈറ്റ് കാണിക്കുക - സൈറ്റിന്റെ അവസ്ഥയെയും ചർച്ച ചെയ്ത പാരാമീറ്ററുകളെയും കുറിച്ചുള്ള വിവരങ്ങൾ.

     

   • സേവനം കാണിക്കുക ipsec sa - സെക്യൂരിറ്റി അസോസിയേഷന്റെ (SA) നില പരിശോധിക്കുക.

     

8. ഒരു വിദൂര സൈറ്റുമായുള്ള കണക്റ്റിവിറ്റി പരിശോധിക്കുന്നു:

   root@racoon:~# ifconfig eth0:1 | grep inet
           inet 10.255.255.1  netmask 255.255.255.0  broadcast 0.0.0.0
   
   root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 
   PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
   64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
   
   --- 192.168.0.10 ping statistics ---
   1 packets transmitted, 1 received, 0% packet loss, time 0ms
   rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
   

   വിദൂര ലിനക്സ് സെർവറിൽ നിന്നുള്ള ഡയഗ്നോസ്റ്റിക്സിനായുള്ള കോൺഫിഗറേഷൻ ഫയലുകളും അധിക കമാൻഡുകളും:

   root@racoon:~# cat /etc/racoon/racoon.conf 
   
   log debug;
   path pre_shared_key "/etc/racoon/psk.txt";
   path certificate "/etc/racoon/certs";
   
   listen {
     isakmp 80.211.43.73 [500];
      strict_address;
   }
   
   remote 185.148.83.16 {
           exchange_mode main,aggressive;
           proposal {
                    encryption_algorithm aes256;
                    hash_algorithm sha1;
                    authentication_method pre_shared_key;
                    dh_group modp1536;
            }
            generate_policy on;
   }
    
   sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any {
            encryption_algorithm aes256;
            authentication_algorithm hmac_sha1;
            compression_algorithm deflate;
   }
   
   ===
   
   root@racoon:~# cat /etc/racoon/psk.txt
   185.148.83.16 testkey
   
   ===
   
   root@racoon:~# cat /etc/ipsec-tools.conf 
   #!/usr/sbin/setkey -f
   
   flush;
   spdflush;
   
   spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec
         esp/tunnel/185.148.83.16-80.211.43.73/require;
   
   spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec
         esp/tunnel/80.211.43.73-185.148.83.16/require;
   
   ===
   
   
   root@racoon:~# racoonctl show-sa isakmp
   Destination            Cookies                           Created
   185.148.83.16.500      2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 
   
   ===
   
   root@racoon:~# racoonctl show-sa esp
   80.211.43.73 185.148.83.16 
           esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000)
           E: aes-cbc  00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d
           A: hmac-sha1  aa9e7cd7 51653621 67b3b2e9 64818de5 df848792
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=1 pid=7739 refcnt=0
   185.148.83.16 80.211.43.73 
           esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000)
           E: aes-cbc  c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044
           A: hmac-sha1  cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878
           seq=0x00000000 replay=4 flags=0x00000000 state=mature 
           created: May 22 13:46:13 2019   current: May 22 14:07:43 2019
           diff: 1290(s)   hard: 3600(s)   soft: 2880(s)
           last: May 22 13:46:13 2019      hard: 0(s)      soft: 0(s)
           current: 72240(bytes)   hard: 0(bytes)  soft: 0(bytes)
           allocated: 860  hard: 0 soft: 0
           sadb_seq=0 pid=7739 refcnt=0

9. എല്ലാം തയ്യാറാണ്, സൈറ്റ്-ടു-സൈറ്റ് IPsec VPN പ്രവർത്തിക്കുന്നു.

   ഈ ഉദാഹരണത്തിൽ, പിയർ ആധികാരികതയ്ക്കായി ഞങ്ങൾ PSK ഉപയോഗിച്ചു, എന്നാൽ സർട്ടിഫിക്കറ്റ് പ്രാമാണീകരണവും സാധ്യമാണ്. ഇത് ചെയ്യുന്നതിന്, ഗ്ലോബൽ കോൺഫിഗറേഷൻ ടാബിലേക്ക് പോകുക, സർട്ടിഫിക്കറ്റ് ആധികാരികത പ്രാപ്തമാക്കുക, സർട്ടിഫിക്കറ്റ് തന്നെ തിരഞ്ഞെടുക്കുക.

   കൂടാതെ, സൈറ്റ് ക്രമീകരണങ്ങളിൽ, നിങ്ങൾ പ്രാമാണീകരണ രീതി മാറ്റേണ്ടതുണ്ട്.

   
   
   
   
   IPsec ടണലുകളുടെ എണ്ണം വിന്യസിച്ചിരിക്കുന്ന എഡ്ജ് ഗേറ്റ്‌വേയുടെ വലുപ്പത്തെ ആശ്രയിച്ചിരിക്കുന്നുവെന്ന് ഞാൻ ശ്രദ്ധിക്കുന്നു (ഇതിനെക്കുറിച്ച് ഞങ്ങളുടെ ലേഖനത്തിൽ വായിക്കുക ആദ്യ ലേഖനം).

   

SSL VPN

SSL VPN-Plus എന്നത് റിമോട്ട് ആക്‌സസ് VPN ഓപ്ഷനുകളിലൊന്നാണ്. NSX എഡ്ജ് ഗേറ്റ്‌വേയ്ക്ക് പിന്നിലെ സ്വകാര്യ നെറ്റ്‌വർക്കുകളിലേക്ക് സുരക്ഷിതമായി കണക്റ്റുചെയ്യാൻ ഇത് വ്യക്തിഗത വിദൂര ഉപയോക്താക്കളെ അനുവദിക്കുന്നു. എസ്എസ്എൽ വിപിഎൻ-പ്ലസിൻറെ കാര്യത്തിൽ ഒരു എൻക്രിപ്റ്റ് ചെയ്ത ടണൽ ക്ലയന്റിനും (വിൻഡോസ്, ലിനക്സ്, മാക്) എൻഎസ്എക്സ് എഡ്ജിനും ഇടയിൽ സ്ഥാപിച്ചിട്ടുണ്ട്.

1. നമുക്ക് സജ്ജീകരിക്കാൻ തുടങ്ങാം. എഡ്ജ് ഗേറ്റ്‌വേ സേവന നിയന്ത്രണ പാനലിൽ, SSL VPN-Plus ടാബിലേക്ക് പോകുക, തുടർന്ന് സെർവർ ക്രമീകരണങ്ങളിലേക്ക് പോകുക. ഇൻകമിംഗ് കണക്ഷനുകൾക്കായി സെർവർ ശ്രദ്ധിക്കുന്ന വിലാസവും പോർട്ടും ഞങ്ങൾ തിരഞ്ഞെടുക്കുന്നു, ലോഗിംഗ് പ്രവർത്തനക്ഷമമാക്കുകയും ആവശ്യമായ എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ തിരഞ്ഞെടുക്കുകയും ചെയ്യുന്നു.

   
   
   ഇവിടെ നിങ്ങൾക്ക് സെർവർ ഉപയോഗിക്കുന്ന സർട്ടിഫിക്കറ്റ് മാറ്റാനും കഴിയും.

   

2. എല്ലാം തയ്യാറായ ശേഷം, സെർവർ ഓണാക്കി ക്രമീകരണങ്ങൾ സംരക്ഷിക്കാൻ മറക്കരുത്.

   

3. അടുത്തതായി, ഞങ്ങൾ കണക്ഷൻ ചെയ്യുമ്പോൾ ക്ലയന്റുകൾക്ക് നൽകുന്ന വിലാസങ്ങളുടെ ഒരു പൂൾ സജ്ജീകരിക്കേണ്ടതുണ്ട്. ഈ നെറ്റ്‌വർക്ക് നിങ്ങളുടെ NSX പരിതസ്ഥിതിയിൽ നിലവിലുള്ള ഏത് സബ്‌നെറ്റിൽ നിന്നും വേറിട്ടതാണ്, അതിലേക്ക് പോയിന്റ് ചെയ്യുന്ന റൂട്ടുകൾ ഒഴികെ ഫിസിക്കൽ നെറ്റ്‌വർക്കുകളിലെ മറ്റ് ഉപകരണങ്ങളിൽ കോൺഫിഗർ ചെയ്യേണ്ടതില്ല.

   ഐപി പൂൾസ് ടാബിലേക്ക് പോയി + ക്ലിക്ക് ചെയ്യുക.

   

4. വിലാസങ്ങൾ, സബ്നെറ്റ് മാസ്ക്, ഗേറ്റ്‌വേ എന്നിവ തിരഞ്ഞെടുക്കുക. ഇവിടെ നിങ്ങൾക്ക് DNS, WINS സെർവറുകളുടെ ക്രമീകരണങ്ങളും മാറ്റാം.

   

5. തത്ഫലമായുണ്ടാകുന്ന കുളം.

   

6. ഇപ്പോൾ VPN-ലേക്ക് കണക്‌റ്റ് ചെയ്യുന്ന ഉപയോക്താക്കൾക്ക് ആക്‌സസ് ഉള്ള നെറ്റ്‌വർക്കുകൾ ചേർക്കാം. സ്വകാര്യ നെറ്റ്‌വർക്കുകൾ ടാബിലേക്ക് പോയി + ക്ലിക്ക് ചെയ്യുക.

   

7. ഞങ്ങൾ പൂരിപ്പിക്കുന്നു:
   • നെറ്റ്‌വർക്ക് - വിദൂര ഉപയോക്താക്കൾക്ക് ആക്‌സസ് ഉള്ള ഒരു പ്രാദേശിക നെറ്റ്‌വർക്ക്.
   • ട്രാഫിക് അയയ്‌ക്കുക, ഇതിന് രണ്ട് ഓപ്ഷനുകളുണ്ട്:
     - ഓവർ ടണൽ - ടണൽ വഴി നെറ്റ്‌വർക്കിലേക്ക് ട്രാഫിക് അയയ്‌ക്കുക,
     — ബൈപാസ് ടണൽ—തുരങ്കം മറികടന്ന് നെറ്റ്‌വർക്കിലേക്ക് ട്രാഫിക് അയയ്‌ക്കുക.
   • TCP ഒപ്റ്റിമൈസേഷൻ പ്രവർത്തനക്ഷമമാക്കുക - നിങ്ങൾ ഓവർ ടണൽ ഓപ്ഷൻ തിരഞ്ഞെടുത്തിട്ടുണ്ടോയെന്ന് പരിശോധിക്കുക. ഒപ്റ്റിമൈസേഷൻ പ്രവർത്തനക്ഷമമാക്കുമ്പോൾ, ട്രാഫിക് ഒപ്റ്റിമൈസ് ചെയ്യാൻ ആഗ്രഹിക്കുന്ന പോർട്ട് നമ്പറുകൾ നിങ്ങൾക്ക് വ്യക്തമാക്കാം. ആ പ്രത്യേക നെറ്റ്‌വർക്കിലെ ശേഷിക്കുന്ന പോർട്ടുകളുടെ ട്രാഫിക് ഒപ്റ്റിമൈസ് ചെയ്യില്ല. പോർട്ട് നമ്പറുകളൊന്നും വ്യക്തമാക്കിയിട്ടില്ലെങ്കിൽ, എല്ലാ പോർട്ടുകളുടെയും ട്രാഫിക് ഒപ്റ്റിമൈസ് ചെയ്യപ്പെടും. ഈ സവിശേഷതയെക്കുറിച്ച് കൂടുതൽ വായിക്കുക ഇവിടെ.

   

8. അടുത്തതായി, ഓതന്റിക്കേഷൻ ടാബിലേക്ക് പോയി + ക്ലിക്ക് ചെയ്യുക. പ്രാമാണീകരണത്തിനായി, ഞങ്ങൾ NSX എഡ്ജിൽ തന്നെ ഒരു പ്രാദേശിക സെർവർ ഉപയോഗിക്കും.

   

9. ഇവിടെ നമുക്ക് പുതിയ പാസ്‌വേഡുകൾ സൃഷ്ടിക്കുന്നതിനുള്ള നയങ്ങൾ തിരഞ്ഞെടുക്കാനും ഉപയോക്തൃ അക്കൗണ്ടുകൾ തടയുന്നതിനുള്ള ഓപ്‌ഷനുകൾ കോൺഫിഗർ ചെയ്യാനും കഴിയും (ഉദാഹരണത്തിന്, പാസ്‌വേഡ് തെറ്റായി നൽകിയാൽ വീണ്ടും ശ്രമിക്കുന്നതിനുള്ള എണ്ണം).

   
   
   

10. ഞങ്ങൾ പ്രാദേശിക പ്രാമാണീകരണം ഉപയോഗിക്കുന്നതിനാൽ, ഞങ്ങൾക്ക് ഉപയോക്താക്കളെ സൃഷ്ടിക്കേണ്ടതുണ്ട്.

    

11. ഒരു പേരും പാസ്‌വേഡും പോലുള്ള അടിസ്ഥാന കാര്യങ്ങൾക്ക് പുറമേ, ഇവിടെ നിങ്ങൾക്ക്, ഉദാഹരണത്തിന്, പാസ്‌വേഡ് മാറ്റുന്നതിൽ നിന്ന് ഉപയോക്താവിനെ വിലക്കുകയോ അല്ലെങ്കിൽ, അടുത്ത തവണ ലോഗിൻ ചെയ്യുമ്പോൾ പാസ്‌വേഡ് മാറ്റാൻ നിർബന്ധിക്കുകയോ ചെയ്യാം.

    

12. ആവശ്യമായ എല്ലാ ഉപയോക്താക്കളെയും ചേർത്ത ശേഷം, ഇൻസ്റ്റലേഷൻ പാക്കേജുകൾ ടാബിലേക്ക് പോയി, + ക്ലിക്ക് ചെയ്ത് ഇൻസ്റ്റാളർ തന്നെ സൃഷ്ടിക്കുക, അത് ഇൻസ്റ്റാളേഷനായി ഒരു റിമോട്ട് ജീവനക്കാരൻ ഡൗൺലോഡ് ചെയ്യും.

    

13. + അമർത്തുക. ക്ലയന്റ് ബന്ധിപ്പിക്കുന്ന സെർവറിന്റെ വിലാസവും പോർട്ടും, ഇൻസ്റ്റലേഷൻ പാക്കേജ് സൃഷ്ടിക്കാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്ന പ്ലാറ്റ്‌ഫോമുകളും തിരഞ്ഞെടുക്കുക.

    
    
    ഈ വിൻഡോയിൽ, നിങ്ങൾക്ക് വിൻഡോസിനായുള്ള ക്ലയന്റ് ക്രമീകരണങ്ങൾ വ്യക്തമാക്കാൻ കഴിയും. തിരഞ്ഞെടുക്കുക:

    • ലോഗണിൽ ക്ലയന്റ് ആരംഭിക്കുക - റിമോട്ട് മെഷീനിലെ സ്റ്റാർട്ടപ്പിലേക്ക് VPN ക്ലയന്റ് ചേർക്കും;
    • ഡെസ്ക്ടോപ്പ് ഐക്കൺ സൃഷ്ടിക്കുക - ഡെസ്ക്ടോപ്പിൽ ഒരു VPN ക്ലയന്റ് ഐക്കൺ സൃഷ്ടിക്കും;
    • സെർവർ സുരക്ഷാ സർട്ടിഫിക്കറ്റ് മൂല്യനിർണ്ണയം - കണക്ഷനിൽ സെർവർ സർട്ടിഫിക്കറ്റ് സാധൂകരിക്കും.
      സെർവർ സജ്ജീകരണം പൂർത്തിയായി.

    

14. ഇനി നമുക്ക് അവസാന ഘട്ടത്തിൽ സൃഷ്ടിച്ച ഇൻസ്റ്റലേഷൻ പാക്കേജ് ഒരു റിമോട്ട് പിസിയിലേക്ക് ഡൗൺലോഡ് ചെയ്യാം. സെർവർ സജ്ജീകരിക്കുമ്പോൾ, ഞങ്ങൾ അതിന്റെ ബാഹ്യ വിലാസവും (185.148.83.16) പോർട്ടും (445) വ്യക്തമാക്കി. ഈ വിലാസത്തിലാണ് നമ്മൾ ഒരു വെബ് ബ്രൗസറിൽ പോകേണ്ടത്. എന്റെ കാര്യത്തിൽ അങ്ങനെയാണ് 185.148.83.16: 445.

    അംഗീകാര വിൻഡോയിൽ, ഞങ്ങൾ നേരത്തെ സൃഷ്ടിച്ച ഉപയോക്തൃ ക്രെഡൻഷ്യലുകൾ നിങ്ങൾ നൽകണം.

    

15. അംഗീകാരത്തിനു ശേഷം, ഡൗൺലോഡ് ചെയ്യാൻ ലഭ്യമായ ഇൻസ്റ്റലേഷൻ പാക്കേജുകളുടെ ഒരു ലിസ്റ്റ് ഞങ്ങൾ കാണുന്നു. ഞങ്ങൾ ഒരെണ്ണം മാത്രമേ സൃഷ്ടിച്ചിട്ടുള്ളൂ - ഞങ്ങൾ അത് ഡൗൺലോഡ് ചെയ്യും.

    

16. ഞങ്ങൾ ലിങ്കിൽ ക്ലിക്ക് ചെയ്യുക, ക്ലയന്റ് ഡൗൺലോഡ് ആരംഭിക്കുന്നു.

    

17. ഡൗൺലോഡ് ചെയ്‌ത ആർക്കൈവ് അൺപാക്ക് ചെയ്‌ത് ഇൻസ്റ്റാളർ പ്രവർത്തിപ്പിക്കുക.

    

18. ഇൻസ്റ്റാളേഷന് ശേഷം, ക്ലയന്റ് സമാരംഭിക്കുക, അംഗീകാര വിൻഡോയിൽ, ലോഗിൻ ക്ലിക്കുചെയ്യുക.

    

19. സർട്ടിഫിക്കറ്റ് സ്ഥിരീകരണ വിൻഡോയിൽ, അതെ തിരഞ്ഞെടുക്കുക.

    

20. മുമ്പ് സൃഷ്ടിച്ച ഉപയോക്താവിനുള്ള ക്രെഡൻഷ്യലുകൾ ഞങ്ങൾ നൽകുകയും കണക്ഷൻ വിജയകരമായി പൂർത്തിയാക്കിയതായി കാണുകയും ചെയ്യുന്നു.

    
    
    

21. പ്രാദേശിക കമ്പ്യൂട്ടറിൽ VPN ക്ലയന്റിൻറെ സ്ഥിതിവിവരക്കണക്കുകൾ ഞങ്ങൾ പരിശോധിക്കുന്നു.

    
    
    

22. വിൻഡോസ് കമാൻഡ് ലൈനിൽ (ipconfig / എല്ലാം), ഒരു അധിക വെർച്വൽ അഡാപ്റ്റർ പ്രത്യക്ഷപ്പെട്ടതായും റിമോട്ട് നെറ്റ്‌വർക്കിലേക്ക് കണക്റ്റിവിറ്റി ഉണ്ടെന്നും ഞങ്ങൾ കാണുന്നു, എല്ലാം പ്രവർത്തിക്കുന്നു:

    
    
    

23. അവസാനമായി, എഡ്ജ് ഗേറ്റ്‌വേ കൺസോളിൽ നിന്ന് പരിശോധിക്കുക.

    

L2 VPN

നിങ്ങൾക്ക് ഭൂമിശാസ്ത്രപരമായി പലതും സംയോജിപ്പിക്കേണ്ടിവരുമ്പോൾ L2VPN ആവശ്യമാണ്
ഒരു പ്രക്ഷേപണ ഡൊമെയ്‌നിലേക്ക് നെറ്റ്‌വർക്കുകൾ വിതരണം ചെയ്തു.

ഉദാഹരണത്തിന്, ഒരു വെർച്വൽ മെഷീൻ മൈഗ്രേറ്റ് ചെയ്യുമ്പോൾ ഇത് ഉപയോഗപ്രദമാകും: ഒരു VM മറ്റൊരു ഭൂമിശാസ്ത്ര മേഖലയിലേക്ക് നീങ്ങുമ്പോൾ, മെഷീൻ അതിന്റെ IP വിലാസ ക്രമീകരണങ്ങൾ നിലനിർത്തുകയും അതേ L2 ഡൊമെയ്‌നിൽ സ്ഥിതിചെയ്യുന്ന മറ്റ് മെഷീനുകളുമായുള്ള കണക്റ്റിവിറ്റി നഷ്‌ടമാകുകയും ചെയ്യും.

ഞങ്ങളുടെ ടെസ്റ്റ് പരിതസ്ഥിതിയിൽ, ഞങ്ങൾ രണ്ട് സൈറ്റുകൾ പരസ്പരം ബന്ധിപ്പിക്കും, ഞങ്ങൾ അവയെ യഥാക്രമം A, B എന്ന് വിളിക്കും. ഞങ്ങൾക്ക് രണ്ട് NSX-കളും രണ്ട് ഒരേപോലെ സൃഷ്ടിച്ച റൂട്ട് നെറ്റ്‌വർക്കുകളും വ്യത്യസ്ത അരികുകളിൽ ഘടിപ്പിച്ചിരിക്കുന്നു. എ മെഷീന് 10.10.10.250/24 എന്ന വിലാസമുണ്ട്, മെഷീൻ ബിക്ക് 10.10.10.2/24 എന്ന വിലാസമുണ്ട്.

1. vCloud Director-ൽ, അഡ്മിനിസ്ട്രേഷൻ ടാബിലേക്ക് പോകുക, നമുക്ക് ആവശ്യമുള്ള VDC-യിലേക്ക് പോകുക, Org VDC നെറ്റ്‌വർക്കുകൾ ടാബിലേക്ക് പോയി രണ്ട് പുതിയ നെറ്റ്‌വർക്കുകൾ ചേർക്കുക.

   

2. റൂട്ട് ചെയ്‌ത നെറ്റ്‌വർക്ക് തരം തിരഞ്ഞെടുത്ത് ഈ നെറ്റ്‌വർക്ക് ഞങ്ങളുടെ NSX-ലേക്ക് ബന്ധിപ്പിക്കുക. ഞങ്ങൾ ഒരു ഉപഇന്റർഫേസായി സൃഷ്‌ടിക്കുക എന്ന ചെക്ക്‌ബോക്‌സ് ഇട്ടു.

   

3. തൽഫലമായി, നമുക്ക് രണ്ട് നെറ്റ്‌വർക്കുകൾ ലഭിക്കും. ഞങ്ങളുടെ ഉദാഹരണത്തിൽ, അവയെ ഒരേ ഗേറ്റ്‌വേ ക്രമീകരണങ്ങളും ഒരേ മാസ്‌കും ഉള്ള നെറ്റ്‌വർക്ക്-എ, നെറ്റ്‌വർക്ക്-ബി എന്ന് വിളിക്കുന്നു.

   
   
   

4. ഇനി നമുക്ക് ആദ്യത്തെ NSX-ന്റെ ക്രമീകരണങ്ങളിലേക്ക് പോകാം. നെറ്റ്‌വർക്ക് A ഘടിപ്പിച്ചിരിക്കുന്ന NSX ഇതായിരിക്കും. ഇത് ഒരു സെർവറായി പ്രവർത്തിക്കും.

   ഞങ്ങൾ NSx എഡ്ജ് ഇന്റർഫേസിലേക്ക് മടങ്ങുന്നു / VPN ടാബിലേക്ക് പോകുക -> L2VPN. ഞങ്ങൾ L2VPN ഓണാക്കി, സെർവർ ഓപ്പറേഷൻ മോഡ് തിരഞ്ഞെടുക്കുക, സെർവർ ഗ്ലോബൽ ക്രമീകരണങ്ങളിൽ, തുരങ്കത്തിനായുള്ള പോർട്ട് കേൾക്കുന്ന ബാഹ്യ NSX IP വിലാസം ഞങ്ങൾ വ്യക്തമാക്കുന്നു. സ്ഥിരസ്ഥിതിയായി, പോർട്ട് 443-ൽ സോക്കറ്റ് തുറക്കും, എന്നാൽ ഇത് മാറ്റാവുന്നതാണ്. ഭാവിയിലെ ടണലിനായി എൻക്രിപ്ഷൻ ക്രമീകരണങ്ങൾ തിരഞ്ഞെടുക്കാൻ മറക്കരുത്.

   

5. സെർവർ സൈറ്റുകൾ ടാബിലേക്ക് പോയി ഒരു പിയർ ചേർക്കുക.

   

6. ഞങ്ങൾ പിയർ ഓണാക്കി, പേര്, വിവരണം എന്നിവ സജ്ജമാക്കുക, ആവശ്യമെങ്കിൽ ഉപയോക്തൃനാമവും പാസ്‌വേഡും സജ്ജമാക്കുക. ക്ലയന്റ് സൈറ്റ് സജ്ജീകരിക്കുമ്പോൾ ഞങ്ങൾക്ക് ഈ ഡാറ്റ പിന്നീട് ആവശ്യമായി വരും.

   എഗ്രസ് ഒപ്റ്റിമൈസേഷൻ ഗേറ്റ്‌വേ വിലാസത്തിൽ ഞങ്ങൾ ഗേറ്റ്‌വേ വിലാസം സജ്ജമാക്കി. IP വിലാസങ്ങളുടെ വൈരുദ്ധ്യം ഉണ്ടാകാതിരിക്കാൻ ഇത് ആവശ്യമാണ്, കാരണം ഞങ്ങളുടെ നെറ്റ്‌വർക്കുകളുടെ ഗേറ്റ്‌വേയ്ക്ക് ഒരേ വിലാസമുണ്ട്. തുടർന്ന് SUB-INTERFACES ബട്ടണിൽ ക്ലിക്ക് ചെയ്യുക.

   

7. ഇവിടെ നമുക്ക് ആവശ്യമുള്ള ഉപ ഇന്റർഫേസ് തിരഞ്ഞെടുക്കാം. ഞങ്ങൾ ക്രമീകരണങ്ങൾ സംരക്ഷിക്കുന്നു.

   

8. ക്രമീകരണങ്ങളിൽ പുതുതായി സൃഷ്ടിച്ച ക്ലയന്റ് സൈറ്റ് പ്രത്യക്ഷപ്പെട്ടതായി ഞങ്ങൾ കാണുന്നു.

   

9. ഇപ്പോൾ നമുക്ക് ക്ലയന്റ് ഭാഗത്ത് നിന്ന് NSX ക്രമീകരിക്കുന്നതിലേക്ക് പോകാം.

   ഞങ്ങൾ NSX സൈഡ് B ലേക്ക് പോകുന്നു, VPN -> L2VPN-ലേക്ക് പോകുക, L2VPN പ്രവർത്തനക്ഷമമാക്കുക, L2VPN മോഡ് ക്ലയന്റ് മോഡിലേക്ക് സജ്ജമാക്കുക. ക്ലയന്റ് ഗ്ലോബൽ ടാബിൽ, NSX A യുടെ വിലാസവും പോർട്ടും സജ്ജീകരിക്കുക, ഞങ്ങൾ നേരത്തെ ലിസണിംഗ് IP, പോർട്ട് എന്നിങ്ങനെ സെർവർ വശത്ത് വ്യക്തമാക്കിയതാണ്. തുരങ്കം ഉയർത്തുമ്പോൾ ഒരേ എൻക്രിപ്ഷൻ ക്രമീകരണങ്ങൾ സജ്ജീകരിക്കേണ്ടതും ആവശ്യമാണ്.

   
   
   ഞങ്ങൾ താഴെ സ്ക്രോൾ ചെയ്യുക, L2VPN-നുള്ള തുരങ്കം നിർമ്മിക്കുന്ന ഉപഇന്റർഫേസ് തിരഞ്ഞെടുക്കുക.
   എഗ്രസ് ഒപ്റ്റിമൈസേഷൻ ഗേറ്റ്‌വേ വിലാസത്തിൽ ഞങ്ങൾ ഗേറ്റ്‌വേ വിലാസം സജ്ജമാക്കി. യൂസർ ഐഡിയും പാസ്‌വേഡും സജ്ജമാക്കുക. ഞങ്ങൾ ഉപഇന്റർഫേസ് തിരഞ്ഞെടുത്ത് ക്രമീകരണങ്ങൾ സംരക്ഷിക്കാൻ മറക്കരുത്.

   

10. യഥാർത്ഥത്തിൽ, അത്രമാത്രം. കുറച്ച് സൂക്ഷ്മതകൾ ഒഴികെ, ക്ലയന്റിന്റെയും സെർവർ ഭാഗത്തിന്റെയും ക്രമീകരണങ്ങൾ ഏതാണ്ട് സമാനമാണ്.
11. ഏത് NSX-ലും സ്ഥിതിവിവരക്കണക്കുകൾ -> L2VPN എന്നതിലേക്ക് പോയി ഞങ്ങളുടെ ടണൽ പ്രവർത്തിച്ചതായി ഇപ്പോൾ നമുക്ക് കാണാൻ കഴിയും.

    

12. നമ്മൾ ഇപ്പോൾ ഏതെങ്കിലും എഡ്ജ് ഗേറ്റ്‌വേയുടെ കൺസോളിലേക്ക് പോയാൽ, അവയിൽ ഓരോന്നിലും arp ടേബിളിൽ രണ്ട് VM-കളുടെയും വിലാസങ്ങൾ കാണാം.

    

NSX എഡ്ജിലെ VPN-നെക്കുറിച്ച് അത്രമാത്രം. എന്തെങ്കിലും അവ്യക്തതയുണ്ടെങ്കിൽ ചോദിക്കുക. NSX എഡ്ജിൽ പ്രവർത്തിക്കുന്നത് സംബന്ധിച്ച ലേഖനങ്ങളുടെ ഒരു പരമ്പരയുടെ അവസാന ഭാഗം കൂടിയാണിത്. അവർ സഹായകരമാണെന്ന് ഞങ്ങൾ പ്രതീക്ഷിക്കുന്നു 🙂

അവലംബം: www.habr.com