आज हामी VPN कन्फिगरेसन विकल्पहरू हेर्न जाँदैछौं जुन NSX Edge ले हामीलाई प्रस्ताव गर्दछ।
सामान्यतया, हामी VPN प्रविधिहरूलाई दुई मुख्य प्रकारहरूमा विभाजन गर्न सक्छौं:
साइट-टु-साइट VPN। IPSec को सबैभन्दा सामान्य प्रयोग भनेको सुरक्षित सुरुङ सिर्जना गर्नु हो, उदाहरणका लागि, मुख्य कार्यालय नेटवर्क र टाढाको साइटमा वा क्लाउडमा रहेको नेटवर्कको बीचमा।
रिमोट एक्सेस VPN। VPN क्लाइन्ट सफ्टवेयर प्रयोग गरेर व्यक्तिगत प्रयोगकर्ताहरूलाई कर्पोरेट निजी नेटवर्कहरूमा जडान गर्न प्रयोग गरिन्छ।
NSX Edge ले हामीलाई दुबै विकल्पहरू प्रयोग गर्न अनुमति दिन्छ।
हामी दुई NSX Edge, स्थापित डेमनको साथ लिनक्स सर्भरको साथ परीक्षण बेन्च प्रयोग गरेर कन्फिगर गर्नेछौं। राकुन र रिमोट एक्सेस VPN परीक्षण गर्न Windows ल्यापटप।
यस उदाहरणमा, हामीले सहकर्मी प्रमाणीकरणको लागि PSK प्रयोग गर्यौं, तर प्रमाणपत्र प्रमाणीकरण पनि सम्भव छ। यो गर्नको लागि, ग्लोबल कन्फिगरेसन ट्याबमा जानुहोस्, प्रमाणपत्र प्रमाणीकरण सक्षम गर्नुहोस् र प्रमाणपत्र आफै चयन गर्नुहोस्।
थप रूपमा, साइट सेटिङहरूमा, तपाईंले प्रमाणीकरण विधि परिवर्तन गर्न आवश्यक हुनेछ।
म नोट गर्छु कि IPsec टनेलहरूको संख्या तैनाथ एज गेटवेको साइजमा निर्भर गर्दछ (यसको बारेमा हाम्रो पहिलो लेख).
SSL VPN
SSL VPN-Plus रिमोट एक्सेस VPN विकल्पहरू मध्ये एक हो। यसले व्यक्तिगत रिमोट प्रयोगकर्ताहरूलाई NSX Edge गेटवे पछाडिको निजी नेटवर्कहरूमा सुरक्षित रूपमा जडान गर्न अनुमति दिन्छ। SSL VPN-plus को मामला मा एक एन्क्रिप्टेड सुरुङ ग्राहक (Windows, Linux, Mac) र NSX Edge बीच स्थापित छ।
सेटअप सुरु गरौं। किनारा गेटवे सेवा नियन्त्रण प्यानलमा, SSL VPN-Plus ट्याबमा जानुहोस्, त्यसपछि सर्भर सेटिङहरूमा जानुहोस्। हामी ठेगाना र पोर्ट चयन गर्छौं जसमा सर्भरले आगमन जडानहरूको लागि सुन्नेछ, लगिङ सक्षम पार्छ र आवश्यक एन्क्रिप्शन एल्गोरिदमहरू चयन गर्दछ।
यहाँ तपाईँले सर्भरले प्रयोग गर्ने प्रमाणपत्र पनि परिवर्तन गर्न सक्नुहुन्छ।
सबै तयार भएपछि, सर्भर खोल्नुहोस् र सेटिङहरू बचत गर्न नबिर्सनुहोस्।
अर्को, हामीले ठेगानाहरूको पूल सेट अप गर्न आवश्यक छ जुन हामीले जडानमा ग्राहकहरूलाई जारी गर्नेछौं। यो नेटवर्क तपाईंको NSX वातावरणमा अवस्थित कुनै पनि सबनेटबाट अलग छ र यसलाई संकेत गर्ने मार्गहरू बाहेक, भौतिक नेटवर्कहरूमा अन्य उपकरणहरूमा कन्फिगर गर्न आवश्यक छैन।
आईपी पूल ट्याबमा जानुहोस् र + मा क्लिक गर्नुहोस्।
ठेगानाहरू, सबनेट मास्क र गेटवे चयन गर्नुहोस्। यहाँ तपाईँले DNS र WINS सर्भरहरूको लागि सेटिङहरू पनि परिवर्तन गर्न सक्नुहुन्छ।
नतिजा पोखरी।
अब VPN मा जडान गर्ने प्रयोगकर्ताहरूले पहुँच गर्न सक्ने नेटवर्कहरू थपौं। निजी नेटवर्क ट्याबमा जानुहोस् र + मा क्लिक गर्नुहोस्।
हामी भर्छौं:
नेटवर्क - एक स्थानीय नेटवर्क जसमा टाढाका प्रयोगकर्ताहरूको पहुँच हुनेछ।
ट्राफिक पठाउनुहोस्, यसमा दुई विकल्पहरू छन्:
- सुरुङ माथि - सुरुङ मार्फत नेटवर्कमा ट्राफिक पठाउनुहोस्,
— बाइपास टनेल — सुरुङलाई बाइपास गरेर नेटवर्कमा ट्राफिक पठाउनुहोस्।
TCP अप्टिमाइजेसन सक्षम गर्नुहोस् - यदि तपाईंले ओभर टनेल विकल्प रोज्नुभयो भने जाँच गर्नुहोस्। जब अप्टिमाइजेसन सक्षम हुन्छ, तपाईले पोर्ट नम्बरहरू निर्दिष्ट गर्न सक्नुहुन्छ जसको लागि तपाई ट्राफिक अनुकूलन गर्न चाहानुहुन्छ। त्यो विशेष नेटवर्कमा बाँकी पोर्टहरूको लागि ट्राफिक अनुकूलित हुनेछैन। यदि कुनै पोर्ट नम्बरहरू निर्दिष्ट गरिएको छैन भने, सबै पोर्टहरूको लागि ट्राफिक अनुकूलित हुन्छ। यो सुविधा बारे थप पढ्नुहोस् यहाँ.
अर्को, प्रमाणीकरण ट्याबमा जानुहोस् र + मा क्लिक गर्नुहोस्। प्रमाणीकरणको लागि, हामी NSX Edge मा स्थानीय सर्भर प्रयोग गर्नेछौं।
यहाँ हामी नयाँ पासवर्डहरू उत्पन्न गर्न नीतिहरू चयन गर्न सक्छौं र प्रयोगकर्ता खाताहरू ब्लक गर्ने विकल्पहरू कन्फिगर गर्न सक्छौं (उदाहरणका लागि, यदि पासवर्ड गलत रूपमा प्रविष्ट गरिएको छ भने पुन: प्रयासहरूको संख्या)।
हामी स्थानीय प्रमाणीकरण प्रयोग गर्दैछौं, हामीले प्रयोगकर्ताहरू सिर्जना गर्न आवश्यक छ।
नाम र पासवर्ड जस्ता आधारभूत कुराहरूका अतिरिक्त, यहाँ तपाईंले, उदाहरणका लागि, प्रयोगकर्तालाई पासवर्ड परिवर्तन गर्नबाट निषेध गर्न सक्नुहुन्छ वा अर्को पटक लग इन गर्दा पासवर्ड परिवर्तन गर्न बाध्य पार्न सक्नुहुन्छ।
सबै आवश्यक प्रयोगकर्ताहरू थपिएपछि, स्थापना प्याकेजहरू ट्याबमा जानुहोस्, + क्लिक गर्नुहोस् र स्थापनाकर्ता आफैं सिर्जना गर्नुहोस्, जुन स्थापनाको लागि टाढाको कर्मचारीद्वारा डाउनलोड हुनेछ।
+ थिच्नुहोस्। सर्भरको ठेगाना र पोर्ट चयन गर्नुहोस् जसमा क्लाइन्ट जडान हुनेछ, र प्लेटफर्महरू जसको लागि तपाइँ स्थापना प्याकेज उत्पन्न गर्न चाहनुहुन्छ।
यस विन्डोमा तल, तपाइँ Windows को लागि क्लाइन्ट सेटिङहरू निर्दिष्ट गर्न सक्नुहुन्छ। छान्नुहोस्:
सर्भर सुरक्षा प्रमाणपत्र प्रमाणीकरण - जडानमा सर्भर प्रमाणपत्र मान्य हुनेछ।
सर्भर सेटअप पूरा भयो।
अब हामीले रिमोट पीसीमा अन्तिम चरणमा सिर्जना गरेको स्थापना प्याकेज डाउनलोड गरौं। सर्भर सेटअप गर्दा, हामीले यसको बाह्य ठेगाना (185.148.83.16) र पोर्ट (445) निर्दिष्ट गर्यौं। यो ठेगानामा हामीले वेब ब्राउजरमा जान आवश्यक छ। मेरो मामला मा यो छ 185.148.83.16: 445।
प्राधिकरण सञ्झ्यालमा, तपाईंले प्रयोगकर्ता प्रमाणहरू प्रविष्ट गर्नुपर्छ जुन हामीले पहिले सिर्जना गरेका थियौं।
प्राधिकरण पछि, हामी डाउनलोडको लागि उपलब्ध सिर्जना गरिएको स्थापना प्याकेजहरूको सूची देख्छौं। हामीले एउटा मात्र सिर्जना गरेका छौं - हामी यसलाई डाउनलोड गर्नेछौं।
हामी लिङ्कमा क्लिक गर्छौं, ग्राहकको डाउनलोड सुरु हुन्छ।
डाउनलोड गरिएको संग्रह अनप्याक गर्नुहोस् र स्थापनाकर्ता चलाउनुहोस्।
स्थापना पछि, क्लाइन्ट सुरु गर्नुहोस्, प्राधिकरण विन्डोमा, लगइन क्लिक गर्नुहोस्।
प्रमाणपत्र प्रमाणीकरण विन्डोमा, हो चयन गर्नुहोस्।
हामी पहिले सिर्जना गरिएको प्रयोगकर्ताका लागि प्रमाणहरू प्रविष्ट गर्छौं र जडान सफलतापूर्वक पूरा भएको देख्छौं।
हामी स्थानीय कम्प्युटरमा VPN ग्राहकको तथ्याङ्क जाँच गर्छौं।
विन्डोज कमाण्ड लाइन (ipconfig / all) मा, हामी देख्छौं कि अतिरिक्त भर्चुअल एडाप्टर देखा परेको छ र रिमोट नेटवर्कमा जडान छ, सबै काम गर्दछ:
र अन्तमा, एज गेटवे कन्सोलबाट जाँच गर्नुहोस्।
L2 VPN
L2VPN आवश्यक पर्नेछ जब तपाईलाई धेरै भौगोलिक रूपमा संयोजन गर्न आवश्यक छ
एक प्रसारण डोमेन मा नेटवर्क वितरित।
यो उपयोगी हुन सक्छ, उदाहरणका लागि, भर्चुअल मेसिन माइग्रेट गर्दा: जब एक VM अर्को भौगोलिक क्षेत्रमा सर्छ, मेसिनले यसको IP ठेगाना सेटिङहरू कायम राख्छ र योसँग समान L2 डोमेनमा अवस्थित अन्य मेसिनहरूसँग जडान गुमाउने छैन।
हाम्रो परीक्षण वातावरणमा, हामी दुई साइटहरू एकअर्कामा जडान गर्नेछौं, हामी तिनीहरूलाई क्रमशः A र B भन्नेछौं। हामीसँग दुईवटा NSX र दुई समान रूपमा सिर्जना गरिएका राउटेड नेटवर्कहरू विभिन्न किनारहरूमा संलग्न छन्। मेसिन A को ठेगाना 10.10.10.250/24 छ, मेसिन B को 10.10.10.2/24 ठेगाना छ।
vCloud Director मा, Administration ट्याबमा जानुहोस्, हामीलाई चाहिएको VDC मा जानुहोस्, Org VDC Networks ट्याबमा जानुहोस् र दुई नयाँ नेटवर्कहरू थप्नुहोस्।
रूट गरिएको नेटवर्क प्रकार चयन गर्नुहोस् र यो नेटवर्कलाई हाम्रो NSX मा बाँध्नुहोस्। हामीले चेकबक्सलाई सब-इन्टरफेसको रूपमा सिर्जना गर्यौं।
नतिजाको रूपमा, हामीले दुई नेटवर्कहरू प्राप्त गर्नुपर्छ। हाम्रो उदाहरणमा, तिनीहरूलाई उही गेटवे सेटिङहरू र उही मास्कको साथ नेटवर्क-ए र नेटवर्क-बी भनिन्छ।
अब पहिलो NSX को सेटिङ्हरूमा जाऔं। यो नेटवर्क A संलग्न भएको NSX हुनेछ। यसले सर्भरको रूपमा काम गर्नेछ।
हामी NSx Edge इन्टरफेसमा फर्कन्छौं / VPN ट्याबमा जानुहोस् -> L2VPN। हामी L2VPN खोल्छौं, सर्भर सञ्चालन मोड चयन गर्छौं, सर्भर ग्लोबल सेटिङहरूमा हामीले बाह्य NSX IP ठेगाना निर्दिष्ट गर्छौं जसमा सुरुङको लागि पोर्ट सुन्छ। पूर्वनिर्धारित रूपमा, सकेट पोर्ट 443 मा खुल्नेछ, तर यो परिवर्तन गर्न सकिन्छ। भविष्यको सुरुङको लागि इन्क्रिप्सन सेटिङहरू चयन गर्न नबिर्सनुहोस्।
सर्भर साइट ट्याबमा जानुहोस् र एक साथी थप्नुहोस्।
हामी साथी खोल्छौं, नाम, विवरण सेट गर्नुहोस्, आवश्यक भएमा, प्रयोगकर्ता नाम र पासवर्ड सेट गर्नुहोस्। क्लाइन्ट साइट सेटअप गर्दा हामीलाई पछि यो डेटा चाहिन्छ।
Egress Optimization Gateway Address मा हामीले गेटवे ठेगाना सेट गर्छौं। यो आवश्यक छ कि त्यहाँ IP ठेगानाहरूको कुनै विवाद छैन, किनभने हाम्रो नेटवर्कहरूको गेटवे एउटै ठेगाना छ। त्यसपछि SELECT SUB-INTERFACES बटनमा क्लिक गर्नुहोस्।
यहाँ हामी इच्छित उप-इन्टरफेस चयन गर्छौं। हामी सेटिङहरू बचत गर्छौं।
हामीले देख्यौं कि नयाँ सिर्जना गरिएको ग्राहक साइट सेटिङहरूमा देखा परेको छ।
अब ग्राहक पक्षबाट NSX कन्फिगर गर्न अगाडि बढौं।
हामी NSX साइड B मा जान्छौं, VPN -> L2VPN मा जानुहोस्, L2VPN सक्षम गर्नुहोस्, L2VPN मोडलाई ग्राहक मोडमा सेट गर्नुहोस्। क्लाइन्ट ग्लोबल ट्याबमा, NSX A को ठेगाना र पोर्ट सेट गर्नुहोस्, जसलाई हामीले पहिले सर्भर साइडमा सुन्न आईपी र पोर्टको रूपमा निर्दिष्ट गरेका थियौं। यो समान इन्क्रिप्सन सेटिङहरू सेट गर्न आवश्यक छ ताकि सुरुङ उठाउँदा तिनीहरू एकरूप हुन्छन्।
हामी तल स्क्रोल गर्छौं, L2VPN को लागि सुरुङ निर्माण गरिने सब-इन्टरफेस चयन गर्नुहोस्।
Egress Optimization Gateway Address मा हामीले गेटवे ठेगाना सेट गर्छौं। प्रयोगकर्ता आईडी र पासवर्ड सेट गर्नुहोस्। हामी उप-इन्टरफेस चयन गर्छौं र सेटिङहरू बचत गर्न नबिर्सनुहोस्।
वास्तवमा, यो सबै हो। ग्राहक र सर्भर पक्ष को सेटिङहरू लगभग समान छन्, केहि बारीकियों को अपवाद को साथ।
अब हामी देख्न सक्छौं कि हाम्रो सुरुङले कुनै पनि NSX मा तथ्याङ्क -> L2VPN मा गएर काम गरेको छ।
यदि हामी अब कुनै पनि एज गेटवेको कन्सोलमा जान्छौं भने, हामी ती प्रत्येकमा arp तालिकामा दुवै VM को ठेगानाहरू देख्नेछौं।
त्यो सबै NSX Edge मा VPN को बारेमा हो। केहि अस्पष्ट छ भने सोध्नुहोस्। यो NSX Edge सँग काम गर्ने लेखहरूको श्रृंखलाको अन्तिम भाग पनि हो। हामी आशा गर्छौं कि तिनीहरू उपयोगी थिए 🙂