ఈ రోజు మనం NSX ఎడ్జ్ అందించే VPN కాన్ఫిగరేషన్ ఎంపికలను పరిశీలించబోతున్నాం.
సాధారణంగా, మేము VPN సాంకేతికతలను రెండు కీలక రకాలుగా విభజించవచ్చు:
సైట్-టు-సైట్ VPN. IPSec యొక్క అత్యంత సాధారణ ఉపయోగం సురక్షితమైన సొరంగం సృష్టించడం, ఉదాహరణకు, ప్రధాన కార్యాలయ నెట్వర్క్ మరియు రిమోట్ సైట్లో లేదా క్లౌడ్లోని నెట్వర్క్ మధ్య.
రిమోట్ యాక్సెస్ VPN. VPN క్లయింట్ సాఫ్ట్వేర్ని ఉపయోగించి వ్యక్తిగత వినియోగదారులను కార్పొరేట్ ప్రైవేట్ నెట్వర్క్లకు కనెక్ట్ చేయడానికి ఉపయోగించబడుతుంది.
NSX ఎడ్జ్ మాకు రెండు ఎంపికలను ఉపయోగించడానికి అనుమతిస్తుంది.
మేము రెండు NSX ఎడ్జ్తో టెస్ట్ బెంచ్ని ఉపయోగించి కాన్ఫిగర్ చేస్తాము, ఇన్స్టాల్ చేయబడిన డెమోన్తో Linux సర్వర్ రకూన్ మరియు రిమోట్ యాక్సెస్ VPNని పరీక్షించడానికి Windows ల్యాప్టాప్.
IPsec
vCloud డైరెక్టర్ ఇంటర్ఫేస్లో, అడ్మినిస్ట్రేషన్ విభాగానికి వెళ్లి, vDCని ఎంచుకోండి. ఎడ్జ్ గేట్వేస్ ట్యాబ్లో, మనకు అవసరమైన ఎడ్జ్ని ఎంచుకోండి, కుడి-క్లిక్ చేసి, ఎడ్జ్ గేట్వే సేవలను ఎంచుకోండి.
NSX ఎడ్జ్ ఇంటర్ఫేస్లో, VPN-IPsec VPN ట్యాబ్కి వెళ్లి, ఆపై IPsec VPN సైట్ల విభాగానికి వెళ్లి, కొత్త సైట్ని జోడించడానికి + క్లిక్ చేయండి.
అవసరమైన ఫీల్డ్లను పూరించండి:
ప్రారంభించబడ్డ - రిమోట్ సైట్ను సక్రియం చేస్తుంది.
పిఎఫ్ఎస్ - ప్రతి కొత్త క్రిప్టోగ్రాఫిక్ కీ మునుపటి కీతో అనుబంధించబడలేదని నిర్ధారిస్తుంది.
లోకల్ ID మరియు లోకల్ ఎండ్ పాయింట్t అనేది NSX ఎడ్జ్ యొక్క బాహ్య చిరునామా.
స్థానిక సబ్నెట్s - IPsec VPNని ఉపయోగించే స్థానిక నెట్వర్క్లు.
పీర్ ID మరియు పీర్ ఎండ్పాయింట్ - రిమోట్ సైట్ చిరునామా.
పీర్ సబ్నెట్లు - రిమోట్ వైపు IPsec VPNని ఉపయోగించే నెట్వర్క్లు.
అంతా సిద్ధంగా ఉంది, సైట్-టు-సైట్ IPsec VPN అందుబాటులో ఉంది మరియు రన్ అవుతుంది.
ఈ ఉదాహరణలో, మేము పీర్ ప్రమాణీకరణ కోసం PSKని ఉపయోగించాము, కానీ సర్టిఫికేట్ ప్రమాణీకరణ కూడా సాధ్యమే. దీన్ని చేయడానికి, గ్లోబల్ కాన్ఫిగరేషన్ ట్యాబ్కి వెళ్లి, సర్టిఫికేట్ ప్రామాణీకరణను ప్రారంభించి, సర్టిఫికేట్ను ఎంచుకోండి.
అదనంగా, సైట్ సెట్టింగ్లలో, మీరు ప్రామాణీకరణ పద్ధతిని మార్చాలి.
IPsec సొరంగాల సంఖ్య అమలు చేయబడిన ఎడ్జ్ గేట్వే పరిమాణంపై ఆధారపడి ఉంటుందని నేను గమనించాను (దీని గురించి మాలో చదవండి మొదటి వ్యాసం).
SSL VPN
SSL VPN-Plus అనేది రిమోట్ యాక్సెస్ VPN ఎంపికలలో ఒకటి. ఇది వ్యక్తిగత రిమోట్ వినియోగదారులను NSX ఎడ్జ్ గేట్వే వెనుక ఉన్న ప్రైవేట్ నెట్వర్క్లకు సురక్షితంగా కనెక్ట్ చేయడానికి అనుమతిస్తుంది. క్లయింట్ (Windows, Linux, Mac) మరియు NSX ఎడ్జ్ మధ్య SSL VPN-plus విషయంలో ఎన్క్రిప్టెడ్ టన్నెల్ ఏర్పాటు చేయబడింది.
ఏర్పాటు చేయడం ప్రారంభిద్దాం. ఎడ్జ్ గేట్వే సర్వీస్ కంట్రోల్ ప్యానెల్లో, SSL VPN-ప్లస్ ట్యాబ్కి వెళ్లి, ఆపై సర్వర్ సెట్టింగ్లకు వెళ్లండి. మేము ఇన్కమింగ్ కనెక్షన్ల కోసం సర్వర్ వినే చిరునామా మరియు పోర్ట్ను ఎంచుకుంటాము, లాగింగ్ను ప్రారంభించండి మరియు అవసరమైన ఎన్క్రిప్షన్ అల్గారిథమ్లను ఎంచుకుంటాము.
ఇక్కడ మీరు సర్వర్ ఉపయోగించే ప్రమాణపత్రాన్ని కూడా మార్చవచ్చు.
ప్రతిదీ సిద్ధమైన తర్వాత, సర్వర్ను ఆన్ చేయండి మరియు సెట్టింగ్లను సేవ్ చేయడం మర్చిపోవద్దు.
తర్వాత, మేము కనెక్షన్ తర్వాత క్లయింట్లకు జారీ చేసే చిరునామాల సమూహాన్ని సెటప్ చేయాలి. ఈ నెట్వర్క్ మీ NSX ఎన్విరాన్మెంట్లో ఇప్పటికే ఉన్న ఏదైనా సబ్నెట్ నుండి వేరుగా ఉంటుంది మరియు భౌతిక నెట్వర్క్లలోని ఇతర పరికరాలలో కాన్ఫిగర్ చేయవలసిన అవసరం లేదు, దానికి సూచించే మార్గాలు తప్ప.
IP పూల్స్ ట్యాబ్కి వెళ్లి, + క్లిక్ చేయండి.
చిరునామాలు, సబ్నెట్ మాస్క్ మరియు గేట్వేని ఎంచుకోండి. ఇక్కడ మీరు DNS మరియు WINS సర్వర్ల కోసం సెట్టింగ్లను కూడా మార్చవచ్చు.
ఫలితంగా పూల్.
ఇప్పుడు VPNకి కనెక్ట్ చేసే యూజర్లకు యాక్సెస్ ఉండే నెట్వర్క్లను యాడ్ చేద్దాం. ప్రైవేట్ నెట్వర్క్ల ట్యాబ్కు వెళ్లి, + క్లిక్ చేయండి.
మేము నింపుతాము:
నెట్వర్క్ - రిమోట్ వినియోగదారులు యాక్సెస్ చేయగల స్థానిక నెట్వర్క్.
ట్రాఫిక్ని పంపండి, దీనికి రెండు ఎంపికలు ఉన్నాయి:
- ఓవర్ టన్నెల్ - టన్నెల్ ద్వారా నెట్వర్క్కి ట్రాఫిక్ను పంపండి,
— బైపాస్ టన్నెల్—టన్నెల్ను దాటవేస్తూ నేరుగా నెట్వర్క్కు ట్రాఫిక్ను పంపుతుంది.
TCP ఆప్టిమైజేషన్ని ప్రారంభించండి - మీరు ఓవర్ టన్నెల్ ఎంపికను ఎంచుకున్నారో లేదో తనిఖీ చేయండి. ఆప్టిమైజేషన్ ప్రారంభించబడినప్పుడు, మీరు ట్రాఫిక్ను ఆప్టిమైజ్ చేయాలనుకుంటున్న పోర్ట్ నంబర్లను పేర్కొనవచ్చు. నిర్దిష్ట నెట్వర్క్లోని మిగిలిన పోర్ట్ల కోసం ట్రాఫిక్ ఆప్టిమైజ్ చేయబడదు. పోర్ట్ నంబర్లు ఏవీ పేర్కొనబడకపోతే, అన్ని పోర్ట్ల కోసం ట్రాఫిక్ ఆప్టిమైజ్ చేయబడుతుంది. ఈ ఫీచర్ గురించి మరింత చదవండి ఇక్కడ.
తరువాత, ప్రామాణీకరణ ట్యాబ్కు వెళ్లి, + క్లిక్ చేయండి. ప్రమాణీకరణ కోసం, మేము NSX ఎడ్జ్లోనే స్థానిక సర్వర్ని ఉపయోగిస్తాము.
ఇక్కడ మనం కొత్త పాస్వర్డ్లను రూపొందించడం కోసం విధానాలను ఎంచుకోవచ్చు మరియు వినియోగదారు ఖాతాలను బ్లాక్ చేయడం కోసం ఎంపికలను కాన్ఫిగర్ చేయవచ్చు (ఉదాహరణకు, పాస్వర్డ్ తప్పుగా నమోదు చేయబడితే మళ్లీ ప్రయత్నించే సంఖ్య).
మేము స్థానిక ప్రమాణీకరణను ఉపయోగిస్తున్నందున, మేము వినియోగదారులను సృష్టించాలి.
పేరు మరియు పాస్వర్డ్ వంటి ప్రాథమిక విషయాలతో పాటు, ఇక్కడ మీరు, ఉదాహరణకు, పాస్వర్డ్ను మార్చకుండా వినియోగదారుని నిషేధించవచ్చు లేదా దానికి విరుద్ధంగా, అతను తదుపరిసారి లాగిన్ అయినప్పుడు పాస్వర్డ్ను మార్చమని బలవంతం చేయవచ్చు.
అవసరమైన వినియోగదారులందరినీ జోడించిన తర్వాత, ఇన్స్టాలేషన్ ప్యాకేజీల ట్యాబ్కు వెళ్లి, + క్లిక్ చేసి, ఇన్స్టాలర్ను స్వయంగా సృష్టించండి, ఇది ఇన్స్టాలేషన్ కోసం రిమోట్ ఉద్యోగి ద్వారా డౌన్లోడ్ చేయబడుతుంది.
+ నొక్కండి. క్లయింట్ కనెక్ట్ అయ్యే సర్వర్ యొక్క చిరునామా మరియు పోర్ట్ మరియు మీరు ఇన్స్టాలేషన్ ప్యాకేజీని రూపొందించాలనుకుంటున్న ప్లాట్ఫారమ్లను ఎంచుకోండి.
ఈ విండోలో క్రింద, మీరు Windows కోసం క్లయింట్ సెట్టింగ్లను పేర్కొనవచ్చు. ఎంచుకోండి:
సర్వర్ సెక్యూరిటీ సర్టిఫికేట్ ధ్రువీకరణ - కనెక్షన్ తర్వాత సర్వర్ సర్టిఫికేట్ను ధృవీకరిస్తుంది.
సర్వర్ సెటప్ పూర్తయింది.
ఇప్పుడు మనం చివరి దశలో సృష్టించిన ఇన్స్టాలేషన్ ప్యాకేజీని రిమోట్ PCకి డౌన్లోడ్ చేద్దాం. సర్వర్ను సెటప్ చేసినప్పుడు, మేము దాని బాహ్య చిరునామా (185.148.83.16) మరియు పోర్ట్ (445)ని పేర్కొన్నాము. ఈ చిరునామాలోనే మనం వెబ్ బ్రౌజర్లోకి వెళ్లాలి. నా విషయంలో అది 185.148.83.16: 445.
అధికార విండోలో, మేము ముందుగా సృష్టించిన వినియోగదారు ఆధారాలను మీరు తప్పనిసరిగా నమోదు చేయాలి.
అధికారం తర్వాత, డౌన్లోడ్ కోసం అందుబాటులో ఉన్న సృష్టించబడిన ఇన్స్టాలేషన్ ప్యాకేజీల జాబితాను మేము చూస్తాము. మేము ఒకదాన్ని మాత్రమే సృష్టించాము - మేము దానిని డౌన్లోడ్ చేస్తాము.
మేము లింక్పై క్లిక్ చేస్తాము, క్లయింట్ యొక్క డౌన్లోడ్ ప్రారంభమవుతుంది.
డౌన్లోడ్ చేసిన ఆర్కైవ్ను అన్ప్యాక్ చేసి, ఇన్స్టాలర్ను అమలు చేయండి.
ఇన్స్టాలేషన్ తర్వాత, క్లయింట్ను ప్రారంభించండి, అధికార విండోలో, లాగిన్ క్లిక్ చేయండి.
సర్టిఫికేట్ ధృవీకరణ విండోలో, అవును ఎంచుకోండి.
మేము గతంలో సృష్టించిన వినియోగదారు కోసం ఆధారాలను నమోదు చేస్తాము మరియు కనెక్షన్ విజయవంతంగా పూర్తయినట్లు చూస్తాము.
మేము స్థానిక కంప్యూటర్లో VPN క్లయింట్ యొక్క గణాంకాలను తనిఖీ చేస్తాము.
విండోస్ కమాండ్ లైన్ (ipconfig / అన్నీ) లో, అదనపు వర్చువల్ అడాప్టర్ కనిపించిందని మరియు రిమోట్ నెట్వర్క్కు కనెక్టివిటీ ఉందని మేము చూస్తాము, ప్రతిదీ పనిచేస్తుంది:
చివరకు, ఎడ్జ్ గేట్వే కన్సోల్ నుండి తనిఖీ చేయండి.
L2 VPN
మీరు అనేక భౌగోళికంగా కలపవలసి వచ్చినప్పుడు L2VPN అవసరం అవుతుంది
నెట్వర్క్లను ఒక ప్రసార డొమైన్లో పంపిణీ చేసింది.
ఉదాహరణకు, వర్చువల్ మెషీన్ను మైగ్రేట్ చేస్తున్నప్పుడు ఇది ఉపయోగకరంగా ఉంటుంది: VM మరొక భౌగోళిక ప్రాంతానికి మారినప్పుడు, యంత్రం దాని IP చిరునామా సెట్టింగ్లను అలాగే ఉంచుతుంది మరియు దానితో అదే L2 డొమైన్లో ఉన్న ఇతర మెషీన్లతో కనెక్టివిటీని కోల్పోదు.
మా పరీక్షా వాతావరణంలో, మేము రెండు సైట్లను ఒకదానికొకటి కనెక్ట్ చేస్తాము, మేము వాటిని వరుసగా A మరియు B అని పిలుస్తాము. మాకు రెండు NSXలు మరియు రెండు ఒకే విధంగా సృష్టించబడిన రూట్ నెట్వర్క్లు వేర్వేరు అంచులకు జోడించబడ్డాయి. మెషిన్ A చిరునామా 10.10.10.250/24, మెషిన్ B చిరునామా 10.10.10.2/24.
vCloud డైరెక్టర్లో, అడ్మినిస్ట్రేషన్ ట్యాబ్కి వెళ్లి, మనకు అవసరమైన VDCకి వెళ్లి, Org VDC నెట్వర్క్ల ట్యాబ్కు వెళ్లి రెండు కొత్త నెట్వర్క్లను జోడించండి.
రూట్ చేయబడిన నెట్వర్క్ రకాన్ని ఎంచుకుని, ఈ నెట్వర్క్ని మా NSXకి బైండ్ చేయండి. మేము చెక్బాక్స్ సృష్టించు ఉప ఇంటర్ఫేస్గా ఉంచాము.
ఫలితంగా, మేము రెండు నెట్వర్క్లను పొందాలి. మా ఉదాహరణలో, అవి ఒకే గేట్వే సెట్టింగ్లు మరియు అదే ముసుగుతో నెట్వర్క్-ఎ మరియు నెట్వర్క్-బి అని పిలువబడతాయి.
ఇప్పుడు మొదటి NSX సెట్టింగ్లకు వెళ్దాం. ఇది నెట్వర్క్ A జోడించబడిన NSX అవుతుంది. ఇది సర్వర్గా పని చేస్తుంది.
మేము NSx ఎడ్జ్ ఇంటర్ఫేస్కి తిరిగి వస్తాము / VPN ట్యాబ్కి వెళ్లండి -> L2VPN. మేము L2VPNని ఆన్ చేస్తాము, సర్వర్ ఆపరేషన్ మోడ్ను ఎంచుకుంటాము, సర్వర్ గ్లోబల్ సెట్టింగ్లలో మేము టన్నెల్ కోసం పోర్ట్ వినే బాహ్య NSX IP చిరునామాను నిర్దేశిస్తాము. డిఫాల్ట్గా, సాకెట్ పోర్ట్ 443లో తెరవబడుతుంది, అయితే దీనిని మార్చవచ్చు. భవిష్యత్ సొరంగం కోసం ఎన్క్రిప్షన్ సెట్టింగ్లను ఎంచుకోవడం మర్చిపోవద్దు.
సర్వర్ సైట్ల ట్యాబ్కి వెళ్లి, పీర్ని జోడించండి.
మేము పీర్ను ఆన్ చేస్తాము, పేరు, వివరణను సెట్ చేస్తాము, అవసరమైతే, వినియోగదారు పేరు మరియు పాస్వర్డ్ను సెట్ చేయండి. క్లయింట్ సైట్ని సెటప్ చేసేటప్పుడు మాకు ఈ డేటా తర్వాత అవసరం అవుతుంది.
ఎగ్రెస్ ఆప్టిమైజేషన్ గేట్వే చిరునామాలో మేము గేట్వే చిరునామాను సెట్ చేస్తాము. IP చిరునామాల వైరుధ్యం లేనందున ఇది అవసరం, ఎందుకంటే మా నెట్వర్క్ల గేట్వే ఒకే చిరునామాను కలిగి ఉంటుంది. తర్వాత SELECT SUB-INTERFACES బటన్పై క్లిక్ చేయండి.
ఇక్కడ మనం కోరుకున్న సబ్ ఇంటర్ఫేస్ని ఎంచుకుంటాము. మేము సెట్టింగులను సేవ్ చేస్తాము.
మేము కొత్తగా సృష్టించిన క్లయింట్ సైట్ సెట్టింగ్లలో కనిపించినట్లు చూస్తాము.
ఇప్పుడు క్లయింట్ వైపు నుండి NSXని కాన్ఫిగర్ చేయడానికి వెళ్దాం.
మేము NSX వైపు Bకి వెళ్తాము, VPN -> L2VPNకి వెళ్లండి, L2VPNని ప్రారంభించండి, L2VPN మోడ్ను క్లయింట్ మోడ్కు సెట్ చేయండి. క్లయింట్ గ్లోబల్ ట్యాబ్లో, NSX A యొక్క చిరునామా మరియు పోర్ట్ను సెట్ చేయండి, ఇది సర్వర్ వైపు లిజనింగ్ IP మరియు పోర్ట్గా మేము ముందుగా పేర్కొన్నాము. అదే ఎన్క్రిప్షన్ సెట్టింగ్లను సెట్ చేయడం కూడా అవసరం, తద్వారా సొరంగం పైకి లేచినప్పుడు అవి స్థిరంగా ఉంటాయి.
మేము దిగువన స్క్రోల్ చేస్తాము, L2VPN కోసం సొరంగం నిర్మించబడే ఉప ఇంటర్ఫేస్ను ఎంచుకోండి.
ఎగ్రెస్ ఆప్టిమైజేషన్ గేట్వే చిరునామాలో మేము గేట్వే చిరునామాను సెట్ చేస్తాము. యూజర్ ఐడి మరియు పాస్వర్డ్ని సెట్ చేయండి. మేము ఉప ఇంటర్ఫేస్ను ఎంచుకుంటాము మరియు సెట్టింగులను సేవ్ చేయడం మర్చిపోవద్దు.
నిజానికి, అంతే. క్లయింట్ మరియు సర్వర్ వైపు సెట్టింగ్లు కొన్ని సూక్ష్మ నైపుణ్యాలను మినహాయించి దాదాపు ఒకేలా ఉంటాయి.
ఏదైనా NSXలో గణాంకాలు -> L2VPNకి వెళ్లడం ద్వారా మన సొరంగం పని చేసిందని ఇప్పుడు మనం చూడవచ్చు.
మనం ఇప్పుడు ఏదైనా ఎడ్జ్ గేట్వే యొక్క కన్సోల్కి వెళితే, వాటిలో ప్రతి ఒక్కదానిపైనా రెండు VMల చిరునామాలను arp పట్టికలో చూస్తాము.
NSX ఎడ్జ్లోని VPN గురించి అంతే. ఏదైనా అస్పష్టంగా ఉంటే అడగండి. ఇది NSX ఎడ్జ్తో పని చేయడంపై కథనాల శ్రేణిలో చివరి భాగం కూడా. వారు సహాయకారిగా ఉన్నారని మేము ఆశిస్తున్నాము 🙂