Illum se nagħtu ħarsa lejn l-għażliet tal-konfigurazzjoni VPN li joffrilna NSX Edge.
B'mod ġenerali, nistgħu naqsmu t-teknoloġiji VPN f'żewġ tipi ewlenin:
VPN minn sit għal sit. L-aktar użu komuni ta 'IPSec huwa li toħloq mina sigura, pereżempju, bejn netwerk ta' uffiċċju prinċipali u netwerk f'sit remot jew fil-cloud.
VPN Aċċess Remot. Użat biex jgħaqqad utenti individwali ma 'netwerks privati korporattivi bl-użu tas-softwer tal-klijent VPN.
NSX Edge jippermettilna nużaw iż-żewġ għażliet.
Se nikkonfiguraw bl-użu ta 'bank tat-test b'żewġ NSX Edge, server Linux b'daemon installat rakkun u laptop Windows biex jittestja VPN Remote Access.
IPsec
Fl-interface vCloud Director, mur fit-taqsima Amministrazzjoni u agħżel il-vDC. Fuq it-tab Edge Gateways, agħżel ix-Xifer li neħtieġu, ikklikkja bil-lemin u agħżel Edge Gateway Services.
Fl-interface NSX Edge, mur fit-tab VPN-IPsec VPN, imbagħad fit-taqsima IPsec VPN Sites u kklikkja + biex iżżid sit ġdid.
Imla l-oqsma meħtieġa:
Iffaċilitati – jattiva s-sit remot.
PFS – jiżgura li kull ċavetta kriptografika ġdida ma tkunx assoċjata ma' xi ċavetta preċedenti.
ID Lokali u Endpoint Lokalit huwa l-indirizz estern tal-NSX Edge.
Subnet Lokalis - netwerks lokali li se jużaw IPsec VPN.
Peer ID u Peer Endpoint – indirizz tas-sit remot.
Peer subnets – netwerks li se jużaw IPsec VPN fuq in-naħa remota.
Algoritmu ta 'Kriptaġġ – algoritmu tal-kriptaġġ tal-mina.
Awtentikazzjoni - kif se nawtentikaw il-pari. Tista' tuża Ċavetta Pre-Shared jew ċertifikat.
Ċavetta Mqassma minn Qabel - speċifika ċ-ċavetta li se tintuża għall-awtentikazzjoni u trid taqbel fuq iż-żewġ naħat.
Diffie Hellman Group – algoritmu ta' skambju taċ-ċavetta.
Wara li timla l-oqsma meħtieġa, ikklikkja Żomm.
Magħmul.
Wara li żżid is-sit, mur fit-tab tal-Istatus tal-Attivazzjoni u attiva s-Servizz IPsec.
Wara li jiġu applikati s-settings, mur fit-tab Statistika -> IPsec VPN u ċċekkja l-istatus tal-mina. Naraw li l-mina telgħet.
Kollox lest, l-IPsec VPN minn sit għal sit qed jaħdem.
F'dan l-eżempju, użajna PSK għall-awtentikazzjoni bejn il-pari, iżda l-awtentikazzjoni taċ-ċertifikat hija wkoll possibbli. Biex tagħmel dan, mur fit-tab tal-Konfigurazzjoni Globali, ippermetti l-awtentikazzjoni taċ-ċertifikat u agħżel iċ-ċertifikat innifsu.
Barra minn hekk, fis-settings tas-sit, ser ikollok bżonn tibdel il-metodu ta 'awtentikazzjoni.
Ninnota li n-numru ta' mini IPsec jiddependi mid-daqs tal-Edge Gateway skjerat (aqra dwar dan f'tagħna l-ewwel artiklu).
VPN SSL
SSL VPN-Plus hija waħda mill-għażliet VPN tal-Aċċess Remot. Jippermetti lill-utenti remoti individwali jgħaqqdu b'mod sigur ma 'netwerks privati wara l-NSX Edge Gateway. Mina kriptata fil-każ ta 'SSL VPN-plus hija stabbilita bejn il-klijent (Windows, Linux, Mac) u NSX Edge.
Ejja nibdew inwaqqfu. Fil-pannell tal-kontroll tas-servizz Edge Gateway, mur fit-tab SSL VPN-Plus, imbagħad fis-Settings tas-Server. Aħna nagħżlu l-indirizz u l-port li fuqhom is-server se jisma 'għal konnessjonijiet deħlin, nippermettu l-illoggjar u agħżel l-algoritmi ta' encryption meħtieġa.
Hawnhekk tista 'wkoll tibdel iċ-ċertifikat li se juża s-server.
Wara li kollox ikun lest, ixgħel is-server u tinsiex issalva s-settings.
Sussegwentement, irridu nwaqqfu ġabra ta' indirizzi li se noħorġu lill-klijenti mal-konnessjoni. Dan in-netwerk huwa separat minn kwalunkwe subnet eżistenti fl-ambjent NSX tiegħek u m'għandux għalfejn jiġi kkonfigurat fuq apparati oħra fuq in-netwerks fiżiċi, ħlief għar-rotot li jindikaw lejh.
Mur fit-tab IP Pools u kklikkja +.
Agħżel indirizzi, subnet mask u gateway. Hawnhekk tista 'wkoll tibdel is-settings għal servers DNS u WINS.
Il-ġabra li tirriżulta.
Issa ejja nżidu n-netwerks li l-utenti li jikkonnettjaw mal-VPN se jkollhom aċċess għalihom. Mur fit-tab Netwerks Privati u kklikkja +.
Aħna nimlew:
Netwerk - netwerk lokali li għalih l-utenti remoti se jkollhom aċċess.
Ibgħat it-traffiku, għandha żewġ għażliet:
- fuq il-mina - ibgħat it-traffiku lejn in-netwerk permezz tal-mina,
— bypass mina — tibgħat it-traffiku lejn in-netwerk billi tevita direttament il-mina.
Ippermetti l-Ottimizzazzjoni tat-TCP - iċċekkja jekk għażiltx l-għażla over tunnel. Meta l-ottimizzazzjoni tkun attivata, tista 'tispeċifika n-numri tal-port li għalihom trid tottimizza t-traffiku. It-traffiku għall-portijiet li jifdal fuq dak in-netwerk partikolari mhux se jiġi ottimizzat. Jekk ma jiġu speċifikati l-ebda numri tal-port, it-traffiku għall-portijiet kollha jiġi ottimizzat. Aqra aktar dwar din il-karatteristika hawn.
Sussegwentement, mur fit-tab Awtentikazzjoni u kklikkja +. Għall-awtentikazzjoni, se nużaw server lokali fuq l-NSX Edge innifsu.
Hawnhekk nistgħu nagħżlu politiki biex niġġeneraw passwords ġodda u nikkonfiguraw għażliet għall-imblukkar tal-kontijiet tal-utent (pereżempju, in-numru ta 'prova mill-ġdid jekk il-password tiddaħħal ħażin).
Peress li qed nużaw l-awtentikazzjoni lokali, irridu noħolqu utenti.
Minbarra affarijiet bażiċi bħal isem u password, hawnhekk tista', pereżempju, tipprojbixxi lill-utent milli jibdel il-password jew, għall-kuntrarju, ġġiegħlu jibdel il-password ladarba li jmiss jidħol.
Wara li jkunu ġew miżjuda l-utenti kollha meħtieġa, mur fit-tab tal-Pakketti ta 'Installazzjoni, ikklikkja + u oħloq l-installatur innifsu, li se jitniżżel minn impjegat remot għall-installazzjoni.
Agħfas +. Agħżel l-indirizz u l-port tas-server li miegħu se jgħaqqad il-klijent, u l-pjattaformi li għalihom trid tiġġenera l-pakkett ta 'installazzjoni.
Hawn taħt f'din it-tieqa, tista 'tispeċifika l-issettjar tal-klijent għall-Windows. Agħżel:
start client on logon - il-klijent VPN se jiżdied mal-istartjar fuq il-magna remota;
toħloq ikona tad-desktop - se toħloq ikona tal-klijent VPN fuq id-desktop;
validazzjoni taċ-ċertifikat tas-sigurtà tas-server - se jivvalida ċ-ċertifikat tas-server mal-konnessjoni.
Is-setup tas-server hija kompluta.
Issa ejja tniżżel il-pakkett ta 'installazzjoni li ħloqna fl-aħħar pass għal PC remot. Meta waqqafna s-server, speċifikajna l-indirizz estern tiegħu (185.148.83.16) u l-port (445). Huwa f'dan l-indirizz li għandna bżonn immorru fil-web browser. Fil-każ tiegħi huwa 185.148.83.16: 445.
Fit-tieqa tal-awtorizzazzjoni, trid iddaħħal il-kredenzjali tal-utent li ħloqna qabel.
Wara l-awtorizzazzjoni, naraw lista ta 'pakketti ta' installazzjoni maħluqa disponibbli biex titniżżel. Ħloqna waħda biss - aħna se niżżlu.
Aħna nikklikkjaw fuq il-link, jibda t-tniżżil tal-klijent.
Spakkja l-arkivju mniżżel u ħaddem l-installatur.
Wara l-installazzjoni, iniedi l-klijent, fit-tieqa tal-awtorizzazzjoni, ikklikkja Login.
Aħna ndaħħlu l-kredenzjali għall-utent maħluq qabel u naraw li l-konnessjoni tlestiet b'suċċess.
Aħna niċċekkjaw l-istatistika tal-klijent VPN fuq il-kompjuter lokali.
Fil-linja tal-kmand tal-Windows (ipconfig / all), naraw li deher adapter virtwali addizzjonali u hemm konnettività man-netwerk remot, kollox jaħdem:
U finalment, iċċekkja mill-console Edge Gateway.
L2 VPN
L2VPN se jkun meħtieġ meta jkollok bżonn tgħaqqad diversi ġeografikament
netwerks imqassma f'dominju wieħed tax-xandir.
Dan jista’ jkun utli, pereżempju, meta tkun qed temigra magna virtwali: meta VM tiċċaqlaq għal żona ġeografika oħra, il-magna se żżomm is-settings tal-indirizzar tal-IP tagħha u ma titlefx il-konnettività ma’ magni oħra li jinsabu fl-istess dominju L2 magħha.
Fl-ambjent tat-test tagħna, aħna se nikkonnettjaw żewġ siti ma 'xulxin, se nsejħulhom A u B, rispettivament. Għandna żewġ NSXs u żewġ netwerks rotta maħluqin b'mod identiku mwaħħla ma' Truf differenti. Magna A għandha l-indirizz 10.10.10.250/24, Magna B għandha l-indirizz 10.10.10.2/24.
F'vCloud Director, mur fit-tab Amministrazzjoni, mur fil-VDC li neħtieġu, mur fit-tab Org VDC Networks u żid żewġ netwerks ġodda.
Agħżel it-tip ta' netwerk indirizzat u għaqqad dan in-netwerk mal-NSX tagħna. Aħna npoġġu l-kaxxa ta 'kontroll Oħloq bħala subinterface.
Bħala riżultat, għandna nġibu żewġ netwerks. Fl-eżempju tagħna, huma msejħa network-a u network-b bl-istess settings tal-gateway u l-istess maskra.
Issa ejja mmorru għas-settings tal-ewwel NSX. Dan se jkun l-NSX li n-Netwerk A huwa mehmuż miegħu. Se jaġixxi bħala server.
Nirritornaw għall-interface NSx Edge / Mur fit-tab VPN -> L2VPN. Aħna nixgħel L2VPN, agħżel il-mod ta 'tħaddim tas-Server, fis-settings Globali tas-Server nispeċifikaw l-indirizz IP estern NSX li fuqu se jisma' l-port għall-mina. B'mod awtomatiku, is-sokit jinfetaħ fuq il-port 443, iżda dan jista' jinbidel. Tinsiex tagħżel is-settings tal-kriptaġġ għall-mina futura.
Mur fit-tab tas-Siti tas-Server u żid peer.
Aħna nixgħel il-pari, issettja l-isem, id-deskrizzjoni, jekk meħtieġ, issettja l-username u l-password. Ikollna bżonn din id-dejta aktar tard meta nwaqqfu s-sit tal-klijent.
Fl-Egress Optimization Gateway Address aħna waqqafna l-indirizz tal-gateway. Dan huwa meħtieġ sabiex ma jkun hemm l-ebda kunflitt ta 'indirizzi IP, minħabba li l-portal tan-netwerks tagħna għandu l-istess indirizz. Imbagħad ikklikkja fuq il-buttuna AGĦŻEL SUB-INTERFACES.
Naraw li s-sit tal-klijent maħluq ġdid deher fis-settings.
Issa ejja ngħaddu għall-konfigurazzjoni ta 'NSX min-naħa tal-klijent.
Immorru għan-naħa B tal-NSX, mur VPN -> L2VPN, nippermettu L2VPN, issettja l-mod L2VPN għall-modalità tal-klijent. Fuq it-tab Klijent Globali, issettja l-indirizz u l-port ta 'NSX A, li speċifikajna qabel bħala Listening IP u Port fuq in-naħa tas-server. Huwa wkoll meħtieġ li jiġu stabbiliti l-istess settings ta 'encryption sabiex ikunu konsistenti meta l-mina tittella'.
Aħna iscroll hawn taħt, agħżel is-subinterface li minnha se tinbena l-mina għal L2VPN.
Fl-Egress Optimization Gateway Address aħna waqqafna l-indirizz tal-gateway. Issettja l-id tal-utent u l-password. Aħna nagħżlu s-subinterface u ma ninsewx li tissejvja s-settings.
Fil-fatt, dak kollu. Is-settings tan-naħa tal-klijent u tas-server huma kważi identiċi, bl-eċċezzjoni ta 'ftit sfumaturi.
Issa nistgħu naraw li l-mina tagħna ħadmet billi mmorru Statistika -> L2VPN fuq kwalunkwe NSX.
Jekk issa mmorru fil-console ta 'xi Edge Gateway, se naraw fuq kull wieħed minnhom fit-tabella arp l-indirizzi taż-żewġ VMs.
Dak kollu dwar VPN fuq NSX Edge. Staqsi jekk xi ħaġa mhix ċara. Hija wkoll l-aħħar parti ta 'serje ta' artikoli dwar il-ħidma ma 'NSX Edge. Nittamaw li kienu ta' għajnuna 🙂