اگر آپ کسی بھی فائر وال کی تشکیل پر نظر ڈالتے ہیں، تو زیادہ تر امکان ہے کہ ہم آئی پی ایڈریس، پورٹس، پروٹوکول اور سب نیٹس کے ایک گروپ کے ساتھ ایک شیٹ دیکھیں گے۔ اس طرح وسائل تک صارف کی رسائی کے لیے نیٹ ورک سیکیورٹی پالیسیوں کو کلاسیکی طور پر لاگو کیا جاتا ہے۔ پہلے تو وہ ترتیب میں ترتیب کو برقرار رکھنے کی کوشش کرتے ہیں، لیکن پھر ملازمین ایک محکمے سے دوسرے محکمے میں منتقل ہونے لگتے ہیں، سرورز بڑھتے ہیں اور اپنے کردار بدلتے ہیں، مختلف پروجیکٹس تک رسائی ظاہر ہوتی ہے جہاں انہیں عام طور پر اجازت نہیں ہوتی، اور سینکڑوں نامعلوم بکریوں کے راستے ابھرتے ہیں۔
کچھ اصولوں کے آگے، اگر آپ خوش قسمت ہیں، تو تبصرے ہیں "واسیا نے مجھے ایسا کرنے کے لیے کہا" یا "یہ DMZ کا راستہ ہے۔" نیٹ ورک ایڈمنسٹریٹر چھوڑ دیتا ہے، اور سب کچھ مکمل طور پر غیر واضح ہو جاتا ہے۔ پھر کسی نے واسیا کی تشکیل کو صاف کرنے کا فیصلہ کیا، اور SAP کریش ہو گیا، کیونکہ واسیا نے ایک بار جنگی SAP کو چلانے کے لیے اس رسائی کے لیے کہا تھا۔
آج میں VMware NSX سلوشن کے بارے میں بات کروں گا، جو فائر وال کنفیگرز میں کسی الجھن کے بغیر نیٹ ورک کمیونیکیشن اور سیکورٹی پالیسیوں کو درست طریقے سے لاگو کرنے میں مدد کرتا ہے۔ میں آپ کو دکھاؤں گا کہ اس حصے میں پہلے VMware کے مقابلے میں کون سی نئی خصوصیات نمودار ہوئی ہیں۔
VMWare NSX نیٹ ورک سروسز کے لیے ایک ورچوئلائزیشن اور سیکیورٹی پلیٹ فارم ہے۔ NSX روٹنگ، سوئچنگ، لوڈ بیلنسنگ، فائر وال کے مسائل حل کرتا ہے اور بہت سے دوسرے دلچسپ کام کر سکتا ہے۔
NSX VMware کے اپنے vCloud نیٹ ورکنگ اینڈ سیکیورٹی (vCNS) پروڈکٹ اور حاصل کردہ Nicira NVP کا جانشین ہے۔
vCNS سے NSX تک
پہلے، ایک کلائنٹ کے پاس VMware vCloud پر بنے کلاؤڈ میں ایک علیحدہ vCNS vShield Edge ورچوئل مشین تھی۔ اس نے بارڈر گیٹ وے کے طور پر کام کیا، جہاں نیٹ ورک کے بہت سے افعال کو ترتیب دینا ممکن تھا: NAT، DHCP، Firewall، VPN، لوڈ بیلنسر، وغیرہ۔ فائر وال اور NAT۔ نیٹ ورک کے اندر، ورچوئل مشینیں سب نیٹ کے اندر آزادانہ طور پر ایک دوسرے کے ساتھ بات چیت کرتی ہیں۔ اگر آپ واقعی ٹریفک کو تقسیم اور فتح کرنا چاہتے ہیں، تو آپ ایپلی کیشنز کے انفرادی حصوں (مختلف ورچوئل مشینوں) کے لیے ایک علیحدہ نیٹ ورک بنا سکتے ہیں اور فائر وال میں ان کے نیٹ ورک کے تعامل کے لیے مناسب اصول مرتب کر سکتے ہیں۔ لیکن یہ طویل، مشکل اور غیر دلچسپ ہے، خاص طور پر جب آپ کے پاس کئی درجن ورچوئل مشینیں ہوں۔
NSX میں، VMware نے ہائپر وائزر کرنل میں بنی تقسیم شدہ فائر وال کا استعمال کرتے ہوئے مائیکرو سیگمنٹیشن کے تصور کو نافذ کیا۔ یہ نہ صرف IP اور MAC ایڈریسز کے لیے، بلکہ دیگر اشیاء: ورچوئل مشینیں، ایپلی کیشنز کے لیے بھی سیکیورٹی اور نیٹ ورک کے تعامل کی پالیسیوں کی وضاحت کرتا ہے۔ اگر NSX کو کسی تنظیم کے اندر تعینات کیا جاتا ہے، تو یہ اشیاء ایکٹو ڈائریکٹری کے صارف یا صارفین کا گروپ ہو سکتی ہیں۔ اس طرح کی ہر شے اپنے ہی سیکیورٹی لوپ میں، مطلوبہ سب نیٹ میں، اپنے آرام دہ DMZ کے ساتھ مائیکرو سیگمنٹ میں بدل جاتی ہے :)۔
پہلے، وسائل کے پورے تالاب کے لیے صرف ایک حفاظتی دائرہ تھا، جو ایک کنارے سوئچ کے ذریعے محفوظ تھا، لیکن NSX کے ساتھ آپ ایک الگ ورچوئل مشین کو غیر ضروری تعاملات سے بچا سکتے ہیں، حتیٰ کہ ایک ہی نیٹ ورک کے اندر بھی۔
سیکیورٹی اور نیٹ ورکنگ کی پالیسیاں موافقت پذیر ہوتی ہیں اگر کوئی ادارہ کسی دوسرے نیٹ ورک پر چلا جاتا ہے۔ مثال کے طور پر، اگر ہم ڈیٹا بیس والی مشین کو کسی دوسرے نیٹ ورک سیگمنٹ یا یہاں تک کہ کسی دوسرے مربوط ورچوئل ڈیٹا سینٹر میں منتقل کرتے ہیں، تو اس ورچوئل مشین کے لیے لکھے گئے قواعد اس کے نئے مقام سے قطع نظر لاگو ہوتے رہیں گے۔ ایپلیکیشن سرور اب بھی ڈیٹا بیس کے ساتھ بات چیت کر سکے گا۔
خود ایج گیٹ وے، vCNS vShield Edge کی جگہ NSX Edge نے لے لی ہے۔ اس میں پرانے ایج کی تمام نرم مزاج خصوصیات کے علاوہ کچھ نئی مفید خصوصیات ہیں۔ ہم ان کے بارے میں مزید بات کریں گے۔
NSX Edge کے ساتھ نیا کیا ہے؟
NSX Edge کی فعالیت پر منحصر ہے۔
فائر وال آپ آئی پی ایڈریس، نیٹ ورکس، گیٹ وے انٹرفیس، اور ورچوئل مشینوں کو اشیاء کے طور پر منتخب کر سکتے ہیں جن پر اصول لاگو ہوں گے۔
ڈی ایچ سی پی اس نیٹ ورک پر ورچوئل مشینوں کو خود بخود جاری ہونے والے IP پتوں کی حد کو ترتیب دینے کے علاوہ، NSX Edge کے پاس اب درج ذیل کام ہیں: باندھ и ریلے.
ٹیب میں بینڈنگ اگر آپ کو آئی پی ایڈریس کو تبدیل کرنے کی ضرورت نہیں ہے تو آپ ورچوئل مشین کے میک ایڈریس کو آئی پی ایڈریس سے باندھ سکتے ہیں۔ اہم بات یہ ہے کہ یہ IP ایڈریس DHCP پول میں شامل نہیں ہے۔
ٹیب میں ریلے DHCP پیغامات کا ریلے DHCP سرورز کے لیے ترتیب دیا گیا ہے جو آپ کی تنظیم سے باہر vCloud ڈائریکٹر میں واقع ہیں، بشمول فزیکل انفراسٹرکچر کے DHCP سرورز۔
روٹنگ vShield Edge صرف جامد روٹنگ کو ترتیب دے سکتا ہے۔ OSPF اور BGP پروٹوکول کے لیے سپورٹ کے ساتھ ڈائنامک روٹنگ یہاں ظاہر ہوئی۔ ECMP (ایکٹو ایکٹیو) سیٹنگز بھی دستیاب ہو گئی ہیں، جس کا مطلب ہے کہ فزیکل روٹرز کو ایکٹیو ایکٹیو فیل اوور۔
OSPF قائم کرنا
BGP قائم کرنا
ایک اور نئی چیز مختلف پروٹوکولز کے درمیان راستوں کی منتقلی کو ترتیب دینا ہے،
راستے کی دوبارہ تقسیم.
L4/L7 لوڈ بیلنسر۔ X-Forwarded-For HTTPs ہیڈر کے لیے متعارف کرایا گیا تھا۔ اس کے بغیر سب رونے لگے۔ مثال کے طور پر، آپ کے پاس ایک ویب سائٹ ہے جسے آپ متوازن کر رہے ہیں۔ اس ہیڈر کو فارورڈ کیے بغیر، سب کچھ کام کرتا ہے، لیکن ویب سرور کے اعدادوشمار میں آپ نے دیکھنے والوں کا IP نہیں دیکھا، بلکہ بیلنسر کا IP دیکھا۔ اب سب کچھ ٹھیک ہے۔
اس کے علاوہ ایپلیکیشن رولز کے ٹیب میں اب آپ اسکرپٹس شامل کر سکتے ہیں جو ٹریفک کے توازن کو براہ راست کنٹرول کرے گی۔
وی پی این۔ IPSec VPN کے علاوہ، NSX Edge سپورٹ کرتا ہے:
- L2 VPN، جو آپ کو جغرافیائی طور پر منتشر سائٹس کے درمیان نیٹ ورکس کو پھیلانے کی اجازت دیتا ہے۔ اس طرح کے وی پی این کی ضرورت ہے، مثال کے طور پر، تاکہ کسی دوسری سائٹ پر جاتے وقت، ورچوئل مشین اسی سب نیٹ میں رہے اور اپنا آئی پی ایڈریس برقرار رکھے۔
- SSL VPN Plus، جو صارفین کو کارپوریٹ نیٹ ورک سے دور سے جڑنے کی اجازت دیتا ہے۔ vSphere کی سطح پر اس طرح کا فنکشن تھا، لیکن vCloud ڈائریکٹر کے لیے یہ ایک اختراع ہے۔
SSL سرٹیفکیٹ۔ سرٹیفکیٹ اب NSX ایج پر انسٹال کیے جا سکتے ہیں۔ یہ ایک بار پھر اس سوال پر آتا ہے کہ https کے لئے سرٹیفکیٹ کے بغیر کس کو بیلنس کی ضرورت تھی۔
گروپ بندی آبجیکٹ۔ اس ٹیب میں، اشیاء کے گروپس کی وضاحت کی گئی ہے جس کے لیے نیٹ ورک کے تعامل کے کچھ اصول لاگو ہوں گے، مثال کے طور پر، فائر وال کے اصول۔
یہ آبجیکٹ IP اور MAC ایڈریس ہو سکتے ہیں۔
خدمات (پروٹوکول-پورٹ کا مجموعہ) اور ایپلی کیشنز کی ایک فہرست بھی ہے جو فائر وال کے اصول بناتے وقت استعمال کی جا سکتی ہیں۔ صرف وی سی ڈی پورٹل ایڈمنسٹریٹر ہی نئی خدمات اور ایپلیکیشنز شامل کر سکتا ہے۔
شماریات۔ کنکشن کے اعداد و شمار: ٹریفک جو گیٹ وے، فائر وال اور بیلنس سے گزرتی ہے۔
ہر IPSEC VPN اور L2 VPN سرنگ کے لئے حیثیت اور اعدادوشمار۔
لاگنگ Edge Settings کے ٹیب میں، آپ سرور کو ریکارڈنگ لاگز کے لیے سیٹ کر سکتے ہیں۔ لاگنگ DNAT/SNAT، DHCP، فائر وال، روٹنگ، بیلنسر، IPsec VPN، SSL VPN Plus کے لیے کام کرتی ہے۔
ہر چیز/سروس کے لیے درج ذیل قسم کے الرٹس دستیاب ہیں:
- ڈیبگ
- الرٹ
- تنقیدی
- خرابی
- وارننگ
- نوٹس
- معلومات
NSX کنارے کے طول و عرض
حل ہونے والے کاموں اور VMware کے حجم پر منحصر ہے۔
این ایس ایکس ایج
(کومپیکٹ)
این ایس ایکس ایج
(بڑا)
این ایس ایکس ایج
(کواڈ بڑا)
این ایس ایکس ایج
(X-بڑا)
وی سی پی یو
1
2
4
6
یاد داشت
512MB
1GB
1GB
8GB
ڈسک
512MB
512MB
512MB
4.5GB + 4GB
تقرری
ایک
درخواست، ٹیسٹ
ڈیٹا سینٹر
چھوٹے
یا اوسط
ڈیٹا سینٹر
بھری ہوئی
فائر وال
توازن
لیول L7 پر لوڈ ہوتا ہے۔
ٹیبل میں نیچے NSX Edge کے سائز کے لحاظ سے نیٹ ورک سروسز کے آپریٹنگ میٹرکس ہیں۔
این ایس ایکس ایج
(کومپیکٹ)
این ایس ایکس ایج
(بڑا)
این ایس ایکس ایج
(کواڈ بڑا)
این ایس ایکس ایج
(X-بڑا)
انٹرفیسز
10
10
10
10
ذیلی انٹرفیس (ٹرنک)
200
200
200
200
نیٹ رولز
2,048
4,096
4,096
8,192
اے آر پی اندراجات
اوور رائٹ ہونے تک
1,024
2,048
2,048
2,048
ایف ڈبلیو رولز
2000
2000
2000
2000
ایف ڈبلیو کی کارکردگی
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
ڈی ایچ سی پی پولز
20,000
20,000
20,000
20,000
ECMP راستے
8
8
8
8
جامد راستے
2,048
2,048
2,048
2,048
ایل بی پولز
64
64
64
1,024
LB ورچوئل سرورز
64
64
64
1,024
ایل بی سرور/پول
32
32
32
32
ایل بی ہیلتھ چیکس
320
320
320
3,072
ایل بی درخواست کے قواعد
4,096
4,096
4,096
4,096
L2VPN کلائنٹس ہب ٹو سپوک
5
5
5
5
L2VPN نیٹ ورکس فی کلائنٹ/سرور
200
200
200
200
IPSec سرنگیں۔
512
1,600
4,096
6,000
SSLVPN سرنگیں۔
50
100
100
1,000
SSLVPN نجی نیٹ ورکس
16
16
16
16
سمورتی سیشن
64,000
1,000,000
1,000,000
1,000,000
سیشن/سیکنڈ
8,000
50,000
50,000
50,000
LB تھرو پٹ L7 پراکسی)
2.2Gbps
2.2Gbps
3Gbps
LB تھرو پٹ L4 موڈ)
6Gbps
6Gbps
6Gbps
LB کنکشنز/s (L7 Proxy)
46,000
50,000
50,000
LB کنکرنٹ کنکشنز (L7 Proxy)
8,000
60,000
60,000
LB کنکشن/s (L4 موڈ)
50,000
50,000
50,000
LB کنکرنٹ کنکشنز (L4 موڈ)
600,000
1,000,000
1,000,000
بی جی پی روٹس
20,000
50,000
250,000
250,000
بی جی پی پڑوسی
10
20
100
100
BGP راستوں کی دوبارہ تقسیم
کوئی حد نہیں
کوئی حد نہیں
کوئی حد نہیں
کوئی حد نہیں
او ایس پی ایف روٹس
20,000
50,000
100,000
100,000
OSPF LSA اندراجات Max 750 Type-1
20,000
50,000
100,000
100,000
او ایس پی ایف ملحقہ
10
20
40
40
OSPF کے راستے دوبارہ تقسیم کیے گئے۔
2000
5000
20,000
20,000
کل راستے
20,000
50,000
250,000
250,000
→
جدول سے پتہ چلتا ہے کہ صرف بڑے سائز سے شروع ہونے والے پیداواری منظرناموں کے لیے NSX Edge پر توازن کو منظم کرنے کی سفارش کی جاتی ہے۔
میرے پاس آج کے لیے اتنا ہی ہے۔ مندرجہ ذیل حصوں میں میں ہر NSX Edge نیٹ ورک سروس کو کنفیگر کرنے کا طریقہ تفصیل سے دیکھوں گا۔
ماخذ: www.habr.com