Hari ini kita akan melihat pada pilihan konfigurasi VPN yang NSX Edge tawarkan kepada kita.
Secara umum, kita boleh membahagikan teknologi VPN kepada dua jenis utama:
VPN tapak ke tapak. Penggunaan IPSec yang paling biasa adalah untuk mencipta terowong selamat, contohnya, antara rangkaian pejabat utama dan rangkaian di tapak terpencil atau dalam awan.
VPN Akses Jauh. Digunakan untuk menyambungkan pengguna individu ke rangkaian peribadi korporat menggunakan perisian klien VPN.
NSX Edge membolehkan kami menggunakan kedua-dua pilihan.
Kami akan mengkonfigurasi menggunakan bangku ujian dengan dua NSX Edge, pelayan Linux dengan daemon yang dipasang racoon dan komputer riba Windows untuk menguji VPN Akses Jauh.
IPsec
Dalam antara muka Pengarah vCloud, pergi ke bahagian Pentadbiran dan pilih vDC. Pada tab Edge Gateways, pilih Edge yang kami perlukan, klik kanan dan pilih Edge Gateway Services.
Dalam antara muka NSX Edge, pergi ke tab VPN-IPsec VPN, kemudian ke bahagian Tapak VPN IPsec dan klik + untuk menambah tapak baharu.
Isikan medan yang diperlukan:
didayakan β mengaktifkan tapak jauh.
PFS β memastikan bahawa setiap kunci kriptografi baharu tidak dikaitkan dengan mana-mana kunci sebelumnya.
ID Setempat dan Titik Akhir Setempatt ialah alamat luaran NSX Edge.
Subnet Setempats - rangkaian tempatan yang akan menggunakan IPsec VPN.
ID Rakan Sebaya dan Titik Akhir Rakan Sebaya β alamat tapak terpencil.
Subnet rakan sebaya β rangkaian yang akan menggunakan IPsec VPN di bahagian jauh.
Segala-galanya sudah sedia, IPsec VPN tapak ke tapak sedang berjalan dan berjalan.
Dalam contoh ini, kami menggunakan PSK untuk pengesahan rakan sebaya, tetapi pengesahan sijil juga boleh dilakukan. Untuk melakukan ini, pergi ke tab Konfigurasi Global, dayakan pengesahan sijil dan pilih sijil itu sendiri.
Di samping itu, dalam tetapan tapak, anda perlu menukar kaedah pengesahan.
Saya perhatikan bahawa bilangan terowong IPsec bergantung pada saiz Edge Gateway yang digunakan (baca tentang ini dalam kami artikel pertama).
VPN SSL
SSL VPN-Plus ialah salah satu pilihan VPN Akses Jauh. Ia membolehkan pengguna jauh individu menyambung dengan selamat ke rangkaian peribadi di belakang NSX Edge Gateway. Terowong yang disulitkan dalam kes SSL VPN-plus diwujudkan antara pelanggan (Windows, Linux, Mac) dan NSX Edge.
Mari mulakan persediaan. Dalam panel kawalan perkhidmatan Edge Gateway, pergi ke tab SSL VPN-Plus, kemudian ke Tetapan Pelayan. Kami memilih alamat dan port di mana pelayan akan mendengar sambungan masuk, membolehkan pengelogan dan memilih algoritma penyulitan yang diperlukan.
Di sini anda juga boleh menukar sijil yang akan digunakan oleh pelayan.
Selepas semuanya siap, hidupkan pelayan dan jangan lupa untuk menyimpan tetapan.
Seterusnya, kami perlu menyediakan kumpulan alamat yang akan kami keluarkan kepada pelanggan semasa sambungan. Rangkaian ini berasingan daripada mana-mana subnet sedia ada dalam persekitaran NSX anda dan tidak perlu dikonfigurasikan pada peranti lain pada rangkaian fizikal, kecuali untuk laluan yang menghala kepadanya.
Pergi ke tab Kolam IP dan klik +.
Pilih alamat, subnet mask dan gateway. Di sini anda juga boleh menukar tetapan untuk pelayan DNS dan WINS.
Kolam yang terhasil.
Sekarang mari kita tambah rangkaian yang pengguna yang menyambung kepada VPN akan mempunyai akses kepada. Pergi ke tab Rangkaian Peribadi dan klik +.
Kami mengisi:
Rangkaian - rangkaian tempatan yang boleh diakses oleh pengguna jauh.
Hantar trafik, ia mempunyai dua pilihan:
- melalui terowong - menghantar trafik ke rangkaian melalui terowong,
β terowong pintasanβmenghantar trafik ke rangkaian secara terus memintas terowong.
Dayakan Pengoptimuman TCP - semak jika anda memilih pilihan atas terowong. Apabila pengoptimuman didayakan, anda boleh menentukan nombor port yang anda ingin mengoptimumkan trafik. Trafik untuk port yang tinggal pada rangkaian tertentu itu tidak akan dioptimumkan. Jika tiada nombor port dinyatakan, trafik untuk semua port dioptimumkan. Baca lebih lanjut tentang ciri ini di sini.
Seterusnya, pergi ke tab Pengesahan dan klik +. Untuk pengesahan, kami akan menggunakan pelayan tempatan pada NSX Edge itu sendiri.
Di sini kita boleh memilih dasar untuk menjana kata laluan baharu dan mengkonfigurasi pilihan untuk menyekat akaun pengguna (contohnya, bilangan percubaan semula jika kata laluan dimasukkan dengan salah).
Memandangkan kami menggunakan pengesahan tempatan, kami perlu mencipta pengguna.
Sebagai tambahan kepada perkara asas seperti nama dan kata laluan, di sini anda boleh, sebagai contoh, melarang pengguna daripada menukar kata laluan atau, sebaliknya, memaksanya menukar kata laluan pada kali seterusnya dia log masuk.
Selepas semua pengguna yang diperlukan telah ditambahkan, pergi ke tab Pakej Pemasangan, klik + dan buat pemasang itu sendiri, yang akan dimuat turun oleh pekerja jauh untuk pemasangan.
Tekan +. Pilih alamat dan port pelayan yang akan disambungkan oleh pelanggan, dan platform yang anda ingin hasilkan pakej pemasangan.
Di bawah dalam tetingkap ini, anda boleh menentukan tetapan klien untuk Windows. Pilih:
mulakan klien semasa log masuk β klien VPN akan ditambahkan pada permulaan pada mesin jauh;
cipta ikon desktop - akan mencipta ikon klien VPN pada desktop;
pengesahan sijil keselamatan pelayan - akan mengesahkan sijil pelayan semasa sambungan.
Persediaan pelayan selesai.
Sekarang mari muat turun pakej pemasangan yang kami buat pada langkah terakhir ke PC jauh. Semasa menyediakan pelayan, kami menetapkan alamat luarannya (185.148.83.16) dan port (445). Di alamat inilah kita perlu pergi dalam pelayar web. Dalam kes saya ia adalah 185.148.83.16: 445.
Dalam tetingkap kebenaran, anda mesti memasukkan bukti kelayakan pengguna yang kami buat sebelum ini.
Selepas kebenaran, kami melihat senarai pakej pemasangan yang dibuat tersedia untuk dimuat turun. Kami telah mencipta hanya satu - kami akan memuat turunnya.
Kami mengklik pada pautan, muat turun pelanggan bermula.
Buka pek arkib yang dimuat turun dan jalankan pemasang.
Selepas pemasangan, lancarkan klien, dalam tetingkap kebenaran, klik Log Masuk.
Dalam tetingkap pengesahan sijil, pilih Ya.
Kami memasukkan bukti kelayakan untuk pengguna yang dibuat sebelum ini dan melihat bahawa sambungan telah berjaya diselesaikan.
Kami menyemak statistik klien VPN pada komputer tempatan.
Dalam baris arahan Windows (ipconfig / all), kita melihat bahawa penyesuai maya tambahan telah muncul dan terdapat sambungan ke rangkaian jauh, semuanya berfungsi:
Dan akhirnya, semak dari konsol Edge Gateway.
VPN L2
L2VPN akan diperlukan apabila anda perlu menggabungkan beberapa secara geografi
rangkaian yang diedarkan ke dalam satu domain penyiaran.
Ini boleh berguna, contohnya, apabila memindahkan mesin maya: apabila VM berpindah ke kawasan geografi lain, mesin akan mengekalkan tetapan pengalamatan IPnya dan tidak akan kehilangan sambungan dengan mesin lain yang terletak dalam domain L2 yang sama dengannya.
Dalam persekitaran ujian kami, kami akan menyambungkan dua tapak antara satu sama lain, kami akan memanggilnya A dan B, masing-masing. Kami mempunyai dua NSX dan dua rangkaian berhala yang dicipta serupa yang dilampirkan pada Edges yang berbeza. Mesin A mempunyai alamat 10.10.10.250/24, Mesin B mempunyai alamat 10.10.10.2/24.
Dalam Pengarah vCloud, pergi ke tab Pentadbiran, pergi ke VDC yang kami perlukan, pergi ke tab Org VDC Networks dan tambah dua rangkaian baharu.
Pilih jenis rangkaian yang dihalakan dan ikat rangkaian ini ke NSX kami. Kami meletakkan kotak semak Buat sebagai subantara muka.
Akibatnya, kita harus mendapat dua rangkaian. Dalam contoh kami, mereka dipanggil rangkaian-a dan rangkaian-b dengan tetapan get laluan yang sama dan topeng yang sama.
Sekarang mari pergi ke tetapan NSX pertama. Ini akan menjadi NSX yang dilampirkan Rangkaian A. Ia akan bertindak sebagai pelayan.
Kami kembali ke antara muka NSx Edge / Pergi ke tab VPN -> L2VPN. Kami menghidupkan L2VPN, pilih mod operasi Pelayan, dalam tetapan Global Pelayan kami menentukan alamat IP NSX luaran di mana port untuk terowong akan mendengar. Secara lalai, soket akan dibuka pada port 443, tetapi ini boleh ditukar. Jangan lupa untuk memilih tetapan penyulitan untuk terowong masa hadapan.
Pergi ke tab Tapak Pelayan dan tambah rakan sebaya.
Kami menghidupkan rakan sebaya, tetapkan nama, perihalan, jika perlu, tetapkan nama pengguna dan kata laluan. Kami akan memerlukan data ini kemudian apabila menyediakan tapak klien.
Dalam Alamat Gerbang Pengoptimuman Egress kami menetapkan alamat gerbang. Ini adalah perlu supaya tiada konflik alamat IP, kerana pintu masuk rangkaian kami mempunyai alamat yang sama. Kemudian klik pada butang PILIH SUB-ANTARAMUKA.
Di sini kita memilih subantara muka yang dikehendaki. Kami menyimpan tetapan.
Kami melihat bahawa tapak klien yang baru dibuat telah muncul dalam tetapan.
Sekarang mari kita beralih kepada mengkonfigurasi NSX dari sisi pelanggan.
Kami pergi ke NSX bahagian B, pergi ke VPN -> L2VPN, dayakan L2VPN, tetapkan mod L2VPN kepada mod klien. Pada tab Global Client, tetapkan alamat dan port NSX A, yang kami tentukan sebelum ini sebagai Listening IP dan Port pada bahagian pelayan. Ia juga perlu untuk menetapkan tetapan penyulitan yang sama supaya ia konsisten apabila terowong dinaikkan.
Kami tatal di bawah, pilih subantara muka yang melaluinya terowong untuk L2VPN akan dibina.
Dalam Alamat Gerbang Pengoptimuman Egress kami menetapkan alamat gerbang. Tetapkan id pengguna dan kata laluan. Kami memilih subantara muka dan jangan lupa untuk menyimpan tetapan.
Sebenarnya, itu sahaja. Tetapan sisi klien dan pelayan hampir sama, kecuali beberapa nuansa.
Sekarang kita dapat melihat bahawa terowong kami telah berfungsi dengan pergi ke Statistik -> L2VPN pada mana-mana NSX.
Jika sekarang kita pergi ke konsol mana-mana Edge Gateway, kita akan melihat pada setiap daripada mereka dalam jadual arp alamat kedua-dua VM.
Itu sahaja tentang VPN di NSX Edge. Tanya jika ada yang kurang jelas. Ia juga merupakan bahagian terakhir siri artikel tentang bekerja dengan NSX Edge. Kami harap mereka membantu π