Dinten ieu kami badé ningali pilihan konfigurasi VPN anu ditawarkeun NSX Edge ka kami.
Sacara umum, urang tiasa ngabagi téknologi VPN kana dua jinis konci:
VPN situs-ka-situs. Panggunaan IPSec anu paling umum nyaéta pikeun nyiptakeun torowongan anu aman, contona, antara jaringan kantor utama sareng jaringan dina situs anu jauh atanapi dina awan.
Jauh Aksés VPN. Dipaké pikeun nyambungkeun pamake individu ka jaringan pribadi perusahaan nganggo parangkat lunak klien VPN.
NSX Edge ngamungkinkeun urang ngagunakeun duanana pilihan.
Kami bakal ngonpigurasikeun nganggo bangku uji sareng dua NSX Edge, server Linux sareng daemon anu dipasang rakun sareng laptop Windows pikeun nguji Remote Access VPN.
IPSec
Dina panganteur vCloud Diréktur, buka bagian Administrasi tur pilih vDC nu. Dina tab Edge Gateways, pilih Edge anu urang peryogikeun, klik katuhu sareng pilih Edge Gateway Services.
Dina panganteur NSX Tepi, buka tab VPN-IPsec VPN, teras ka bagian IPsec VPN Situs teras klik + pikeun nambahkeun loka anyar.
Eusian widang anu diperyogikeun:
diaktipkeun – ngaktipkeun situs jauh.
PFS - mastikeun yén unggal konci kriptografi énggal henteu aya hubunganana sareng konci sateuacana.
ID Lokal sareng Titik Tungtung Lokalt nyaéta alamat éksternal NSX Tepi.
Subnet Lokals - jaringan lokal anu bakal ngagunakeun IPsec VPN.
Peer ID sareng Peer Endpoint – alamat situs jauh.
Subnet peer - jaringan anu bakal nganggo IPsec VPN di sisi jauh.
Sagalana geus siap, situs-ka-situs IPsec VPN geus nepi na jalan.
Dina conto ieu, kami nganggo PSK pikeun auténtikasi peer, tapi auténtikasi sertipikat ogé mungkin. Jang ngalampahkeun ieu, buka tab Konfigurasi Global, aktipkeun auténtikasi sertipikat tur pilih sertipikat sorangan.
Salaku tambahan, dina setélan situs, anjeun kedah ngarobih metodeu auténtikasi.
Kuring perhatikeun yén jumlah torowongan IPsec gumantung kana ukuran Edge Gateway anu disebarkeun (baca ngeunaan ieu dina kami. artikel munggaran).
SSL VPN
SSL VPN-Plus mangrupa salah sahiji pilihan Remote Access VPN. Hal ieu ngamungkinkeun pamaké jauh individu pikeun aman nyambung ka jaringan pribadi balik NSX Tepi Gateway. Torowongan énkripsi dina kasus SSL VPN-plus diadegkeun antara klien (Windows, Linux, Mac) sareng NSX Edge.
Hayu urang mimitian nyetél. Dina panel kontrol jasa Edge Gateway, buka tab SSL VPN-Plus, teras ka Setélan Server. Kami milih alamat sareng port dimana server bakal ngadangukeun sambungan anu asup, aktipkeun logging sareng pilih algoritma enkripsi anu diperyogikeun.
Di dieu anjeun ogé tiasa ngarobih sertipikat anu bakal dianggo ku server.
Saatos sadayana siap, hurungkeun server sareng ulah hilap simpen setélan.
Salajengna, urang kedah nyetél kolam renang alamat anu bakal kami kirimkeun ka klien nalika sambungan. Jaringan ieu misah ti sagala subnet aya di lingkungan NSX anjeun sarta teu perlu ngonpigurasi dina alat sejenna dina jaringan fisik, iwal ruteu nu nunjuk ka dinya.
Buka tab IP Pools teras klik +.
Pilih alamat, subnet mask sareng gateway. Di dieu anjeun ogé tiasa ngarobih setélan pikeun server DNS sareng WINS.
kolam renang hasilna.
Ayeuna hayu urang tambahkeun jaringan anu bakal diaksés ku pangguna anu nyambung ka VPN. Pindah ka tab Jaringan Pribadi teras klik +.
Urang eusian:
Jaringan - jaringan lokal dimana pamaké jauh bakal boga aksés.
Kirim lalu lintas, éta ngagaduhan dua pilihan:
- ngaliwatan torowongan - ngirim lalulintas ka jaringan ngaliwatan torowongan,
— jalan pintas torowongan — kirimkeun lalu lintas ka jaringan langsung ngalangkungan torowongan.
Aktipkeun Optimasi TCP - pariksa naha anjeun milih pilihan over torowongan. Nalika optimasi diaktipkeun, anjeun tiasa netepkeun nomer port anu anjeun hoyong ngaoptimalkeun lalu lintas. Lalu lintas pikeun palabuhan sésana dina éta jaringan tinangtu moal dioptimalkeun. Upami teu aya nomer port anu ditangtukeun, lalu lintas pikeun sadaya palabuhan dioptimalkeun. Baca leuwih seueur tentang fitur ieu di dieu.
Salajengna, buka tab Auténtikasi teras klik +. Pikeun auténtikasi, urang bakal ngagunakeun server lokal dina NSX Tepi sorangan.
Di dieu urang tiasa milih kawijakan pikeun ngahasilkeun kecap akses anyar sareng ngonpigurasikeun pilihan pikeun meungpeuk akun pangguna (contona, jumlah pacobaan deui upami kecap aksesna lepat).
Kusabab urang nganggo auténtikasi lokal, urang kedah nyiptakeun pangguna.
Salian hal-hal dasar sapertos nami sareng kecap konci, di dieu anjeun tiasa, contona, nyaram pangguna ngarobih kecap konci atanapi, sabalikna, maksa anjeunna ngarobih kecap konci dina waktos salajengna anjeunna asup.
Saatos sadaya pangguna anu diperyogikeun parantos ditambihan, angkat ka tab Paket Pamasangan, klik + sareng jieun installer nyalira, anu bakal diunduh ku karyawan jauh pikeun dipasang.
Pencét +. Pilih alamat sareng port server anu bakal dihubungkeun ku klien, sareng platform anu anjeun badé ngahasilkeun pakét pamasangan.
Di handap dina jandela ieu, anjeun tiasa netepkeun setélan klien pikeun Windows. Pilih:
ngamimitian klien dina logon - klien VPN bakal ditambahkeun kana ngamimitian dina mesin jauh;
jieun ikon desktop - bakal nyieun ikon klien VPN dina desktop;
validasi sertipikat kaamanan server - bakal sangkan méré konfirmasi sertipikat server kana sambungan.
Setélan server parantos réngsé.
Ayeuna hayu urang unduh pakét pamasangan anu urang ciptakeun dina léngkah terakhir ka PC jauh. Nalika nyetél server, kami netepkeun alamat éksternal na (185.148.83.16) sareng port (445). Di alamat ieu urang kedah lebet dina browser wéb. Dina hal kuring éta 185.148.83.16: 445.
Dina jandela otorisasina, anjeun kedah ngalebetkeun kredensial pangguna anu kami damel sateuacana.
Saatos otorisasina, urang ningali daptar pakét instalasi anu didamel sayogi pikeun diunduh. Kami ngan ukur nyiptakeun hiji - kami bakal ngaunduhana.
Urang klik dina link, undeuran klien dimimitian.
Buka bungkus arsip anu diunduh sareng jalankeun pamasang.
Saatos instalasi, ngajalankeun klien, dina jandela otorisasina, klik Login.
Dina jandela verifikasi sertipikat, pilih Sumuhun.
Urang asupkeun Kapercayaan pikeun pamaké dijieun saméméhna tur tingal yen sambungan geus réngsé junun.
Kami pariksa statistik klien VPN dina komputer lokal.
Dina garis paréntah Windows (ipconfig / sadayana), urang ningali yén adaptor virtual tambahan parantos muncul sareng aya konektipitas ka jaringan jauh, sadayana tiasa dianggo:
Tungtungna, pariksa tina konsol Edge Gateway.
L2 VPN
L2VPN bakal diperyogikeun nalika anjeun kedah ngagabungkeun sababaraha sacara geografis
jaringan disebarkeun kana hiji domain siaran.
Ieu tiasa mangpaat, contona, nalika migrasi mesin virtual: nalika VM pindah ka daérah géografis anu sanés, mesin bakal nahan setélan alamat IP na sareng moal kaleungitan konektipitas sareng mesin sanés anu aya dina domain L2 anu sami sareng éta.
Dina lingkungan test urang, urang bakal nyambungkeun dua situs ka silih, urang bakal nelepon aranjeunna A jeung B, masing-masing urang boga dua NSXs na dua jaringan routed idéntik dijieun napel Edges béda. Mesin A boga alamat 10.10.10.250/24, Mesin B boga alamat 10.10.10.2/24.
Dina Diréktur vCloud, buka tab Administrasi, buka VDC anu urang butuhkeun, buka tab Org VDC Networks sareng tambahkeun dua jaringan anyar.
Pilih tipe jaringan routed sarta ngabeungkeut jaringan ieu NSX kami. Kami nempatkeun kotak centang Jieun salaku subinterface.
Hasilna, urang kudu meunang dua jaringan. Dina conto urang, aranjeunna disebut jaringan-a sareng jaringan-b sareng setélan gateway anu sami sareng masker anu sami.
Ayeuna hayu urang angkat ka setélan NSX munggaran. Ieu bakal NSX nu Network A napel na. Bakal meta salaku server a.
Urang balik deui ka panganteur NSx Tepi / Buka tab VPN -> L2VPN. Hurungkeun L2VPN, pilih mode operasi Server, dina setélan Server Global urang nangtukeun alamat NSX IP éksternal anu port pikeun torowongan bakal ngadangukeun. Sacara standar, stop kontak bakal muka dina port 443, tapi ieu bisa dirobah. Tong hilap milih setélan énkripsi pikeun torowongan anu bakal datang.
Pindah ka tab Situs Server sareng tambahkeun peer.
Urang hurungkeun peer, nyetel ngaran, pedaran, lamun perlu, nyetel ngaran pamaké sarta sandi. Urang bakal butuh data ieu engké nalika nyetel situs klien.
Dina Egress Optimasi Gateway Alamat urang nyetel alamat gateway. Ieu diperlukeun ku kituna teu aya konflik alamat IP, sabab gateway jaringan urang boga alamat nu sami. Teras klik tombol PILIH SUB-INTERFACES.
Di dieu urang pilih subinterface nu dipikahoyong. Urang nyimpen setélan.
Kami ningali yén situs klien anu nembé diciptakeun parantos muncul dina setélan.
Ayeuna hayu urang teraskeun kana ngonpigurasikeun NSX ti sisi klien.
Urang buka NSX sisi B, buka VPN -> L2VPN, aktipkeun L2VPN, setel mode L2VPN ka modeu klien. Dina tab Client Global, setel alamat sareng palabuhan NSX A, anu kami parantosan sateuacana salaku Dengekeun IP sareng Port di sisi server. Éta ogé kedah nyetél setélan énkripsi anu sami supados konsisten nalika torowongan diangkat.
Urang gulung ka handap, pilih subinterface ngaliwatan nu torowongan pikeun L2VPN bakal diwangun.
Dina Egress Optimasi Gateway Alamat urang nyetel alamat gateway. Setel id-pamaké sareng kecap akses. Kami milih subinterface sareng ulah hilap simpen setélan.
Sabenerna, éta kabéh. Setélan sisi klien sareng server ampir sami, iwal sababaraha nuansa.
Ayeuna urang tiasa ningali yén torowongan urang parantos damel ku jalan ka Statistik -> L2VPN dina NSX naon waé.
Lamun urang ayeuna buka konsol nu mana wae Tepi gateway, urang bakal ningali dina unggal sahijina dina tabel arp alamat duanana VMs.
Éta sadayana ngeunaan VPN dina NSX Edge. Tanyakeun upami aya anu teu jelas. Éta ogé bagian terakhir tina séri tulisan ngeunaan gawé bareng NSX Edge. Kami ngarepkeun aranjeunna ngabantosan 🙂