இன்று நாம் NSX Edge வழங்கும் VPN உள்ளமைவு விருப்பங்களைப் பார்க்கப் போகிறோம்.
பொதுவாக, VPN தொழில்நுட்பங்களை இரண்டு முக்கிய வகைகளாகப் பிரிக்கலாம்:
தளத்தில் இருந்து தளம் VPN. IPSec இன் மிகவும் பொதுவான பயன்பாடானது பாதுகாப்பான சுரங்கப்பாதையை உருவாக்குவதாகும், எடுத்துக்காட்டாக, ஒரு முக்கிய அலுவலக நெட்வொர்க் மற்றும் தொலைதூர தளத்தில் அல்லது மேகக்கணியில் உள்ள பிணையத்திற்கு இடையே.
தொலைநிலை அணுகல் VPN. VPN கிளையன்ட் மென்பொருளைப் பயன்படுத்தி தனிப்பட்ட பயனர்களை கார்ப்பரேட் தனியார் நெட்வொர்க்குகளுடன் இணைக்கப் பயன்படுகிறது.
NSX எட்ஜ் இரண்டு விருப்பங்களையும் பயன்படுத்த அனுமதிக்கிறது.
இரண்டு NSX எட்ஜ், நிறுவப்பட்ட டீமான் கொண்ட லினக்ஸ் சர்வர் கொண்ட டெஸ்ட் பெஞ்சைப் பயன்படுத்தி கட்டமைப்போம். ரக்கூன் மற்றும் தொலைநிலை அணுகல் VPN ஐ சோதிக்க ஒரு Windows லேப்டாப்.
IPsec- ஐ
vCloud இயக்குநர் இடைமுகத்தில், நிர்வாகப் பிரிவுக்குச் சென்று, vDCயைத் தேர்ந்தெடுக்கவும். எட்ஜ் கேட்வேஸ் தாவலில், நமக்குத் தேவையான எட்ஜைத் தேர்ந்தெடுத்து, வலது கிளிக் செய்து எட்ஜ் கேட்வே சர்வீசஸ் என்பதைத் தேர்ந்தெடுக்கவும்.
NSX எட்ஜ் இடைமுகத்தில், VPN-IPsec VPN தாவலுக்குச் சென்று, பின்னர் IPsec VPN தளங்கள் பகுதிக்குச் சென்று, புதிய தளத்தைச் சேர்க்க + என்பதைக் கிளிக் செய்யவும்.
தேவையான புலங்களை நிரப்பவும்:
இயக்கப்பட்டது - தொலை தளத்தை செயல்படுத்துகிறது.
பி.எஃப்.எஸ் - ஒவ்வொரு புதிய கிரிப்டோகிராஃபிக் விசையும் முந்தைய விசையுடன் தொடர்புபடுத்தப்படவில்லை என்பதை உறுதி செய்கிறது.
உள்ளூர் ஐடி மற்றும் உள்ளூர் எண்ட்பாயிண்ட்t என்பது NSX எட்ஜின் வெளிப்புற முகவரி.
உள்ளூர் சப்நெட்s - IPsec VPN ஐப் பயன்படுத்தும் உள்ளூர் நெட்வொர்க்குகள்.
பியர் ஐடி மற்றும் பியர் எண்ட்பாயிண்ட் - தொலைதூர தளத்தின் முகவரி.
பியர் சப்நெட்கள் - ரிமோட் பக்கத்தில் IPsec VPN ஐப் பயன்படுத்தும் நெட்வொர்க்குகள்.
அங்கீகார - சகாவை எவ்வாறு அங்கீகரிப்போம். நீங்கள் முன் பகிரப்பட்ட விசை அல்லது சான்றிதழைப் பயன்படுத்தலாம்.
முன் பகிரப்பட்ட விசை - அங்கீகாரத்திற்காகப் பயன்படுத்தப்படும் விசையைக் குறிப்பிடவும் மற்றும் இருபுறமும் பொருந்த வேண்டும்.
டிஃபி ஹெல்மேன் குழு - முக்கிய பரிமாற்ற வழிமுறை.
தேவையான புலங்களை நிரப்பிய பிறகு, Keep என்பதைக் கிளிக் செய்யவும்.
Done.
தளத்தைச் சேர்த்த பிறகு, செயல்படுத்தும் நிலை தாவலுக்குச் சென்று IPsec சேவையைச் செயல்படுத்தவும்.
அமைப்புகளைப் பயன்படுத்திய பிறகு, புள்ளியியல் -> IPsec VPN தாவலுக்குச் சென்று, சுரங்கப்பாதையின் நிலையைச் சரிபார்க்கவும். சுரங்கப்பாதை உயர்ந்திருப்பதைக் காண்கிறோம்.
எட்ஜ் கேட்வே கன்சோலில் இருந்து சுரங்கப்பாதை நிலையைச் சரிபார்க்கவும்:
ipsec சேவையைக் காட்டு - சேவையின் நிலையைச் சரிபார்க்கவும்.
சேவை ipsec தளத்தைக் காட்டு - தளத்தின் நிலை மற்றும் பேச்சுவார்த்தை அளவுருக்கள் பற்றிய தகவல்.
ipsec sa சேவையைக் காட்டு - பாதுகாப்பு சங்கத்தின் (SA) நிலையைச் சரிபார்க்கவும்.
தொலைதூர தளத்துடன் இணைப்பைச் சரிபார்க்கிறது:
root@racoon:~# ifconfig eth0:1 | grep inet
inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0
root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10
PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms
--- 192.168.0.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms
தொலைநிலை லினக்ஸ் சேவையகத்திலிருந்து கண்டறிதலுக்கான உள்ளமைவு கோப்புகள் மற்றும் கூடுதல் கட்டளைகள்:
எல்லாம் தயாராக உள்ளது, தளத்திலிருந்து தளத்திற்கு IPsec VPN இயங்குகிறது.
இந்த எடுத்துக்காட்டில், சக அங்கீகாரத்திற்காக PSK ஐப் பயன்படுத்தினோம், ஆனால் சான்றிதழ் அங்கீகாரமும் சாத்தியமாகும். இதைச் செய்ய, உலகளாவிய உள்ளமைவு தாவலுக்குச் சென்று, சான்றிதழ் அங்கீகாரத்தை இயக்கி, சான்றிதழைத் தேர்ந்தெடுக்கவும்.
கூடுதலாக, தள அமைப்புகளில், நீங்கள் அங்கீகார முறையை மாற்ற வேண்டும்.
IPsec சுரங்கப்பாதைகளின் எண்ணிக்கை வரிசைப்படுத்தப்பட்ட எட்ஜ் கேட்வேயின் அளவைப் பொறுத்தது என்பதை நான் கவனிக்கிறேன் (இதைப் பற்றி எங்களில் படிக்கவும் முதல் கட்டுரை).
SSL VPN
SSL VPN-Plus என்பது தொலைநிலை அணுகல் VPN விருப்பங்களில் ஒன்றாகும். இது தனிப்பட்ட ரிமோட் பயனர்களை NSX எட்ஜ் கேட்வேக்கு பின்னால் உள்ள தனியார் நெட்வொர்க்குகளுடன் பாதுகாப்பாக இணைக்க அனுமதிக்கிறது. கிளையன்ட் (விண்டோஸ், லினக்ஸ், மேக்) மற்றும் என்எஸ்எக்ஸ் எட்ஜ் ஆகியவற்றுக்கு இடையே எஸ்எஸ்எல் விபிஎன்-பிளஸ் விஷயத்தில் மறைகுறியாக்கப்பட்ட சுரங்கப்பாதை நிறுவப்பட்டுள்ளது.
அமைக்க ஆரம்பிக்கலாம். எட்ஜ் கேட்வே சேவை கட்டுப்பாட்டுப் பலகத்தில், SSL VPN-Plus தாவலுக்குச் சென்று, பின்னர் சேவையக அமைப்புகளுக்குச் செல்லவும். உள்வரும் இணைப்புகளுக்கு சேவையகம் கேட்கும் முகவரி மற்றும் போர்ட்டை நாங்கள் தேர்ந்தெடுக்கிறோம், உள்நுழைவை இயக்கி, தேவையான குறியாக்க வழிமுறைகளைத் தேர்ந்தெடுக்கிறோம்.
இங்கே நீங்கள் சர்வர் பயன்படுத்தும் சான்றிதழை மாற்றலாம்.
எல்லாம் தயாரான பிறகு, சேவையகத்தை இயக்கவும், அமைப்புகளைச் சேமிக்க மறக்காதீர்கள்.
அடுத்து, இணைப்பின் போது வாடிக்கையாளர்களுக்கு நாங்கள் வழங்கும் முகவரிகளின் தொகுப்பை அமைக்க வேண்டும். இந்த நெட்வொர்க் உங்கள் NSX சூழலில் இருக்கும் எந்த சப்நெட்டிலிருந்தும் தனித்தனியாக உள்ளது மற்றும் அதைச் சுட்டிக்காட்டும் வழிகளைத் தவிர, இயற்பியல் நெட்வொர்க்குகளில் உள்ள பிற சாதனங்களில் உள்ளமைக்க வேண்டிய அவசியமில்லை.
ஐபி பூல்ஸ் தாவலுக்குச் சென்று + என்பதைக் கிளிக் செய்யவும்.
முகவரிகள், சப்நெட் மாஸ்க் மற்றும் நுழைவாயில் ஆகியவற்றைத் தேர்ந்தெடுக்கவும். இங்கே நீங்கள் DNS மற்றும் WINS சேவையகங்களுக்கான அமைப்புகளையும் மாற்றலாம்.
இதன் விளைவாக குளம்.
இப்போது VPN உடன் இணைக்கும் பயனர்கள் அணுகக்கூடிய நெட்வொர்க்குகளைச் சேர்ப்போம். தனியார் நெட்வொர்க்குகள் தாவலுக்குச் சென்று + என்பதைக் கிளிக் செய்யவும்.
நாங்கள் நிரப்புகிறோம்:
நெட்வொர்க் - தொலைநிலைப் பயனர்கள் அணுகக்கூடிய உள்ளூர் நெட்வொர்க்.
போக்குவரத்தை அனுப்பவும், இதற்கு இரண்டு விருப்பங்கள் உள்ளன:
- சுரங்கப்பாதை வழியாக - சுரங்கப்பாதை வழியாக நெட்வொர்க்கிற்கு போக்குவரத்தை அனுப்பவும்,
— பைபாஸ் டன்னல்— சுரங்கப்பாதையை கடந்து நேரடியாக நெட்வொர்க்கிற்கு போக்குவரத்தை அனுப்புகிறது.
டிசிபி ஆப்டிமைசேஷனை இயக்கு - ஓவர் டன்னல் விருப்பத்தைத் தேர்ந்தெடுத்துள்ளீர்களா எனச் சரிபார்க்கவும். மேம்படுத்தல் இயக்கப்பட்டால், நீங்கள் போக்குவரத்தை மேம்படுத்த விரும்பும் போர்ட் எண்களைக் குறிப்பிடலாம். குறிப்பிட்ட நெட்வொர்க்கில் மீதமுள்ள போர்ட்களுக்கான போக்குவரத்து உகந்ததாக இருக்காது. போர்ட் எண்கள் எதுவும் குறிப்பிடப்படவில்லை எனில், அனைத்து போர்ட்களுக்கும் போக்குவரத்து உகந்ததாக இருக்கும். இந்த அம்சத்தைப் பற்றி மேலும் படிக்கவும் இங்கே.
அடுத்து, அங்கீகரிப்பு தாவலுக்குச் சென்று + என்பதைக் கிளிக் செய்யவும். அங்கீகாரத்திற்காக, NSX எட்ஜில் உள்ள உள்ளூர் சேவையகத்தைப் பயன்படுத்துவோம்.
இங்கே நாம் புதிய கடவுச்சொற்களை உருவாக்குவதற்கான கொள்கைகளைத் தேர்ந்தெடுக்கலாம் மற்றும் பயனர் கணக்குகளைத் தடுப்பதற்கான விருப்பங்களை உள்ளமைக்கலாம் (எடுத்துக்காட்டாக, கடவுச்சொல் தவறாக உள்ளிடப்பட்டால் மீண்டும் முயற்சிக்கும் எண்ணிக்கை).
நாங்கள் உள்ளூர் அங்கீகாரத்தைப் பயன்படுத்துவதால், நாங்கள் பயனர்களை உருவாக்க வேண்டும்.
பெயர் மற்றும் கடவுச்சொல் போன்ற அடிப்படை விஷயங்களைத் தவிர, எடுத்துக்காட்டாக, பயனர் கடவுச்சொல்லை மாற்றுவதைத் தடைசெய்யலாம் அல்லது அடுத்த முறை அவர் உள்நுழையும்போது கடவுச்சொல்லை மாற்றும்படி கட்டாயப்படுத்தலாம்.
தேவையான அனைத்து பயனர்களும் சேர்க்கப்பட்ட பிறகு, நிறுவல் தொகுப்புகள் தாவலுக்குச் சென்று, + என்பதைக் கிளிக் செய்து, நிறுவியை உருவாக்கவும், இது ஒரு தொலைநிலை ஊழியரால் நிறுவலுக்குப் பதிவிறக்கப்படும்.
+ ஐ அழுத்தவும். கிளையன்ட் இணைக்கும் சேவையகத்தின் முகவரி மற்றும் போர்ட் மற்றும் நிறுவல் தொகுப்பை உருவாக்க விரும்பும் தளங்களைத் தேர்ந்தெடுக்கவும்.
இந்த சாளரத்தில், நீங்கள் Windows க்கான கிளையன்ட் அமைப்புகளை குறிப்பிடலாம். தேர்வு:
உள்நுழைவில் கிளையண்டைத் தொடங்கவும் - தொலை கணினியில் தொடங்குவதற்கு VPN கிளையன்ட் சேர்க்கப்படும்;
சர்வர் பாதுகாப்பு சான்றிதழ் சரிபார்ப்பு - இணைப்பில் சர்வர் சான்றிதழை சரிபார்க்கும்.
சேவையக அமைவு முடிந்தது.
இப்போது நாம் கடைசி கட்டத்தில் உருவாக்கிய நிறுவல் தொகுப்பை தொலை கணினியில் பதிவிறக்கம் செய்யலாம். சேவையகத்தை அமைக்கும்போது, அதன் வெளிப்புற முகவரி (185.148.83.16) மற்றும் போர்ட் (445) ஆகியவற்றைக் குறிப்பிட்டோம். இந்த முகவரியில் தான் நாம் இணைய உலாவியில் செல்ல வேண்டும். என் விஷயத்தில் அது 185.148.83.16: 445.
அங்கீகார சாளரத்தில், நாங்கள் முன்பு உருவாக்கிய பயனர் நற்சான்றிதழ்களை நீங்கள் உள்ளிட வேண்டும்.
அங்கீகாரத்திற்குப் பிறகு, பதிவிறக்கம் செய்ய கிடைக்கக்கூடிய உருவாக்கப்பட்ட நிறுவல் தொகுப்புகளின் பட்டியலைக் காண்கிறோம். நாங்கள் ஒன்றை மட்டுமே உருவாக்கியுள்ளோம் - நாங்கள் அதைப் பதிவிறக்குவோம்.
நாங்கள் இணைப்பைக் கிளிக் செய்கிறோம், கிளையண்டின் பதிவிறக்கம் தொடங்குகிறது.
பதிவிறக்கம் செய்யப்பட்ட காப்பகத்தைத் திறந்து நிறுவியை இயக்கவும்.
நிறுவிய பின், கிளையண்டை துவக்கவும், அங்கீகார சாளரத்தில், உள்நுழை என்பதைக் கிளிக் செய்யவும்.
சான்றிதழ் சரிபார்ப்பு சாளரத்தில், ஆம் என்பதைத் தேர்ந்தெடுக்கவும்.
முன்னர் உருவாக்கப்பட்ட பயனருக்கான நற்சான்றிதழ்களை நாங்கள் உள்ளிட்டு, இணைப்பு வெற்றிகரமாக முடிந்ததைக் காண்கிறோம்.
உள்ளூர் கணினியில் VPN கிளையண்டின் புள்ளிவிவரங்களை நாங்கள் சரிபார்க்கிறோம்.
விண்டோஸ் கட்டளை வரியில் (ipconfig / all), கூடுதல் மெய்நிகர் அடாப்டர் தோன்றியதையும் தொலை நெட்வொர்க்குடன் இணைப்பு இருப்பதையும் காண்கிறோம், எல்லாம் வேலை செய்கிறது:
இறுதியாக, எட்ஜ் கேட்வே கன்சோலில் இருந்து சரிபார்க்கவும்.
L2 VPN
நீங்கள் புவியியல் ரீதியாக பலவற்றை இணைக்க வேண்டியிருக்கும் போது L2VPN தேவைப்படும்
நெட்வொர்க்குகளை ஒரு ஒளிபரப்பு டொமைனில் விநியோகித்தது.
எடுத்துக்காட்டாக, மெய்நிகர் இயந்திரத்தை நகர்த்தும்போது இது பயனுள்ளதாக இருக்கும்: ஒரு VM மற்றொரு புவியியல் பகுதிக்கு நகரும் போது, இயந்திரம் அதன் IP முகவரி அமைப்புகளைத் தக்க வைத்துக் கொள்ளும் மற்றும் அதனுடன் அதே L2 டொமைனில் உள்ள மற்ற இயந்திரங்களுடனான இணைப்பை இழக்காது.
எங்கள் சோதனைச் சூழலில், நாங்கள் இரண்டு தளங்களை ஒன்றோடொன்று இணைப்போம், அவற்றை முறையே A மற்றும் B என்று அழைப்போம். எங்களிடம் இரண்டு NSXகள் மற்றும் ஒரே மாதிரியாக உருவாக்கப்பட்ட இரண்டு வழித்தட நெட்வொர்க்குகள் வெவ்வேறு விளிம்புகளுடன் இணைக்கப்பட்டுள்ளன. இயந்திரம் A இல் 10.10.10.250/24 என்ற முகவரி உள்ளது, இயந்திரம் B இல் 10.10.10.2/24 என்ற முகவரி உள்ளது.
vCloud Director இல், Administration டேப் சென்று, நமக்குத் தேவையான VDC க்கு சென்று, Org VDC Networks டேப் சென்று இரண்டு புதிய நெட்வொர்க்குகளைச் சேர்க்கவும்.
வழித்தடப்பட்ட நெட்வொர்க் வகையைத் தேர்ந்தெடுத்து, இந்த நெட்வொர்க்கை எங்கள் NSX உடன் இணைக்கவும். உருவாக்கு என்ற தேர்வுப்பெட்டியை துணை இடைமுகமாக வைக்கிறோம்.
இதன் விளைவாக, நாம் இரண்டு நெட்வொர்க்குகளைப் பெற வேண்டும். எங்கள் எடுத்துக்காட்டில், அவை ஒரே நுழைவாயில் அமைப்புகள் மற்றும் அதே முகமூடியுடன் நெட்வொர்க்-ஏ மற்றும் நெட்வொர்க்-பி என்று அழைக்கப்படுகின்றன.
இப்போது முதல் NSX இன் அமைப்புகளுக்கு செல்லலாம். இது நெட்வொர்க் A இணைக்கப்பட்டுள்ள NSX ஆக இருக்கும். இது ஒரு சர்வராக செயல்படும்.
நாங்கள் NSx எட்ஜ் இடைமுகத்திற்குத் திரும்புகிறோம் / VPN தாவலுக்குச் செல்லவும் -> L2VPN. நாங்கள் L2VPN ஐ இயக்கி, சர்வர் செயல்பாட்டு பயன்முறையைத் தேர்ந்தெடுக்கவும், சர்வர் குளோபல் அமைப்புகளில், சுரங்கப்பாதைக்கான போர்ட் கேட்கும் வெளிப்புற NSX ஐபி முகவரியைக் குறிப்பிடுகிறோம். முன்னிருப்பாக, போர்ட் 443 இல் சாக்கெட் திறக்கப்படும், ஆனால் இதை மாற்றலாம். எதிர்கால சுரங்கப்பாதைக்கான குறியாக்க அமைப்புகளைத் தேர்ந்தெடுக்க மறக்காதீர்கள்.
சர்வர் தளங்கள் தாவலுக்குச் சென்று ஒரு பியரைச் சேர்க்கவும்.
நாங்கள் பியரை இயக்குகிறோம், பெயர், விளக்கத்தை அமைக்கவும், தேவைப்பட்டால், பயனர்பெயர் மற்றும் கடவுச்சொல்லை அமைக்கவும். கிளையன்ட் தளத்தை அமைக்கும் போது இந்தத் தரவு பின்னர் தேவைப்படும்.
எக்ரஸ் ஆப்டிமைசேஷன் கேட்வே முகவரியில் நாம் நுழைவாயில் முகவரியை அமைக்கிறோம். ஐபி முகவரிகளின் முரண்பாடுகள் இல்லாமல் இருக்க இது அவசியம், ஏனெனில் எங்கள் நெட்வொர்க்குகளின் நுழைவாயில் ஒரே முகவரியைக் கொண்டுள்ளது. பின்னர் SELECT SUB-INTERFACES பட்டனை கிளிக் செய்யவும்.
இங்கே நாம் விரும்பிய துணை இடைமுகத்தைத் தேர்ந்தெடுக்கிறோம். அமைப்புகளைச் சேமிக்கிறோம்.
புதிதாக உருவாக்கப்பட்ட கிளையன்ட் தளம் அமைப்புகளில் தோன்றியிருப்பதைக் காண்கிறோம்.
இப்போது கிளையன்ட் பக்கத்திலிருந்து NSX ஐ உள்ளமைக்க செல்லலாம்.
நாங்கள் NSX பக்க B க்குச் செல்கிறோம், VPN -> L2VPN க்குச் சென்று, L2VPN ஐ இயக்கவும், L2VPN பயன்முறையை கிளையன்ட் பயன்முறையில் அமைக்கவும். கிளையண்ட் குளோபல் தாவலில், NSX A இன் முகவரி மற்றும் போர்ட்டை அமைக்கவும், இது சேவையக பக்கத்தில் Listening IP மற்றும் Port என முன்னர் குறிப்பிட்டது. அதே குறியாக்க அமைப்புகளை அமைக்க வேண்டியதும் அவசியம், இதனால் சுரங்கப்பாதை உயர்த்தப்படும் போது அவை சீராக இருக்கும்.
நாங்கள் கீழே உருட்டுகிறோம், L2VPN க்கான சுரங்கப்பாதை கட்டப்படும் துணை இடைமுகத்தைத் தேர்ந்தெடுக்கவும்.
எக்ரஸ் ஆப்டிமைசேஷன் கேட்வே முகவரியில் நாம் நுழைவாயில் முகவரியை அமைக்கிறோம். பயனர் ஐடி மற்றும் கடவுச்சொல்லை அமைக்கவும். நாங்கள் துணை இடைமுகத்தைத் தேர்ந்தெடுத்து அமைப்புகளைச் சேமிக்க மறக்காதீர்கள்.
உண்மையில், அவ்வளவுதான். கிளையன்ட் மற்றும் சர்வர் பக்கத்தின் அமைப்புகள் சில நுணுக்கங்களைத் தவிர, கிட்டத்தட்ட ஒரே மாதிரியானவை.
எந்த NSX இல் Statistics -> L2VPN என்பதற்குச் சென்று நமது சுரங்கப்பாதை செயல்பட்டதை இப்போது பார்க்கலாம்.
நாம் இப்போது ஏதேனும் எட்ஜ் கேட்வேயின் கன்சோலுக்குச் சென்றால், அவை ஒவ்வொன்றிலும் ஆர்ப் டேபிளில் இரண்டு விஎம்களின் முகவரிகளைக் காண்போம்.
என்எஸ்எக்ஸ் எட்ஜில் VPN பற்றி அவ்வளவுதான். ஏதாவது தெளிவாக தெரியவில்லை என்றால் கேளுங்கள். இது NSX எட்ஜ் உடன் பணிபுரிவது பற்றிய தொடர் கட்டுரைகளின் கடைசிப் பகுதியாகும். அவர்கள் உதவியாக இருந்ததாக நம்புகிறோம் 🙂