برنامج VMware NSX لأصغر الجزء 6. الإعداد VPN

الجزء الأول خلفية
الجزء الثاني تكوين جدار الحماية وقواعد NAT
الجزء الثالث. إعداد DHCP
الجزء الرابع إعداد التوجيه
الجزء الخامس تكوين موازن التحميل

نلقي نظرة اليوم على خيارات تكوين VPN التي يوفرها لنا NSX Edge.

بشكل عام ، يمكننا تقسيم تقنيات VPN إلى نوعين رئيسيين:

• موقع VPN. في أغلب الأحيان ، يتم استخدام IPSec لإنشاء نفق آمن ، على سبيل المثال ، بين شبكة المكتب الرئيسي والشبكة في موقع بعيد أو في السحابة.
  
• VPN الوصول عن بعد. يتم استخدامه لتوصيل المستخدمين الفرديين بشبكات خاصة للمؤسسات التي تستخدم برنامج عميل VPN.

يسمح لنا NSX Edge باستخدام كلا الخيارين.
سوف نقوم بالتهيئة باستخدام منصة اختبار مع اثنين من NSX Edge ، وخادم Linux مع تثبيت البرنامج الخفي ، وجهاز كمبيوتر محمول يعمل بنظام Windows لاختبار Remote Access VPN.

أمن بروتوكول الإنترنت

1. في واجهة vCloud Director ، انتقل إلى قسم الإدارة وحدد vDC. في علامة تبويب Edge Gateways ، حدد Edge الذي نحتاجه ، وانقر بزر الماوس الأيمن وحدد Edge Gateway Services.
   
2. في واجهة NSX Edge ، انتقل إلى علامة التبويب VPN-IPsec VPN ، ثم انتقل إلى قسم IPsec VPN Sites وانقر فوق + لإضافة موقع جديد.
   
   
3. املأ الحقول المطلوبة:
   
   • ممكّن - ينشط الموقع البعيد.
   • PFS - يضمن عدم ربط كل مفتاح تشفير جديد بأي مفتاح سابق.
   • المعرف المحلي ونقطة النهاية المحلية t هما العنوان الخارجي لـ NSX Edge.
   • الشبكة الفرعية المحلية - الشبكات المحلية التي ستستخدم IPsec VPN.
   • Peer ID و Peer Endpoint - عنوان الموقع البعيد.
   • شبكات الند الفرعية - الشبكات التي ستستخدم IPsec VPN على الجانب البعيد.
   • خوارزمية التشفير - خوارزمية تشفير النفق.
   
   
   
   
   • المصادقة - كيف سنصادق وليمة. يمكنك استخدام مفتاح مشترك مسبقًا أو شهادة.
   • مفتاح مشترك مسبقًا - حدد المفتاح الذي سيتم استخدامه للمصادقة ويجب أن يتطابق مع كلا الجانبين.
   • مجموعة Diffie-Hellman - خوارزمية تبادل المفاتيح.
   
   بعد ملء الحقول المطلوبة ، انقر فوق الاحتفاظ.
   
   
4. القيام به.
   
   
5. بعد إضافة الموقع ، انتقل إلى علامة التبويب حالة التنشيط وقم بتنشيط خدمة IPsec.
   
   
6. بعد تطبيق الإعدادات ، انتقل إلى علامة التبويب إحصائيات -> IPsec VPN وتحقق من حالة النفق. نرى أن النفق قد ارتفع.
   
   
7. تحقق من حالة النفق من وحدة التحكم في بوابة Edge:
   
   • إظهار خدمة ipsec - التحقق من حالة الخدمة.
     
     
   • إظهار موقع خدمة ipsec - معلومات حول حالة الموقع والمعلمات المتفق عليها.
     
     
   • إظهار خدمة ipsec sa - التحقق من حالة جمعية الأمان (SA).
     
     
8. فحص اتصال الموقع البعيد:
   
   

   root@racoon:~# ifconfig eth0:1 | grep inet inet 10.255.255.1 netmask 255.255.255.0 broadcast 0.0.0.0 root@racoon:~# ping -c1 -I 10.255.255.1 192.168.0.10 PING 192.168.0.10 (192.168.0.10) from 10.255.255.1 : 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=63 time=59.9 ms --- 192.168.0.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 59.941/59.941/59.941/0.000 ms 

   
   
   ملفات التكوين والأوامر التشخيصية الإضافية من خادم Linux البعيد:

    root@racoon:~# cat /etc/racoon/racoon.conf log debug; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; listen { isakmp 80.211.43.73 [500]; strict_address; } remote 185.148.83.16 { exchange_mode main,aggressive; proposal { encryption_algorithm aes256; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1536; } generate_policy on; } sainfo address 10.255.255.0/24 any address 192.168.0.0/24 any { encryption_algorithm aes256; authentication_algorithm hmac_sha1; compression_algorithm deflate; } === root@racoon:~# cat /etc/racoon/psk.txt 185.148.83.16 testkey === root@racoon:~# cat /etc/ipsec-tools.conf #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.0.0/24 10.255.255.0/24 any -P in ipsec esp/tunnel/185.148.83.16-80.211.43.73/require; spdadd 10.255.255.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/80.211.43.73-185.148.83.16/require; === root@racoon:~# racoonctl show-sa isakmp Destination Cookies Created 185.148.83.16.500 2088977aceb1b512:a4c470cb8f9d57e9 2019-05-22 13:46:13 === root@racoon:~# racoonctl show-sa esp 80.211.43.73 185.148.83.16 esp mode=tunnel spi=1646662778(0x6226147a) reqid=0(0x00000000) E: aes-cbc 00064df4 454d14bc 9444b428 00e2296e c7bb1e03 06937597 1e522ce0 641e704d A: hmac-sha1 aa9e7cd7 51653621 67b3b2e9 64818de5 df848792 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=1 pid=7739 refcnt=0 185.148.83.16 80.211.43.73 esp mode=tunnel spi=88535449(0x0546f199) reqid=0(0x00000000) E: aes-cbc c812505a 9c30515e 9edc8c4a b3393125 ade4c320 9bde04f0 94e7ba9d 28e61044 A: hmac-sha1 cd9d6f6e 06dbcd6d da4d14f8 6d1a6239 38589878 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 22 13:46:13 2019 current: May 22 14:07:43 2019 diff: 1290(s) hard: 3600(s) soft: 2880(s) last: May 22 13:46:13 2019 hard: 0(s) soft: 0(s) current: 72240(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 860 hard: 0 soft: 0 sadb_seq=0 pid=7739 refcnt=0 

   
   
9. كل شيء جاهز ، يتم تكوين IPsec VPN من موقع إلى آخر ويعمل.
   
   في هذا المثال ، استخدمنا PSK لمصادقة النظير ، لكن خيار مصادقة الشهادة ممكن أيضًا. للقيام بذلك ، انتقل إلى علامة التبويب التكوين العالمي ، وقم بتمكين مصادقة الشهادة وحدد الشهادة نفسها.
   
   بالإضافة إلى ذلك ، في إعدادات الموقع ، سيكون من الضروري تغيير طريقة المصادقة.
   
   
   
   
   
   ألاحظ أن عدد أنفاق IPsec يعتمد على حجم بوابة Edge المنشورة (اقرأ عن هذا في مقالتنا الأولى ).
   
   

SSL VPN

يعد SSL VPN-Plus أحد خيارات VPN Remote Access. يسمح للمستخدمين الفرديين عن بعد بالاتصال بأمان بالشبكات الخاصة خلف بوابة NSX Edge. تم إنشاء نفق مشفر SSL VPN-plus بين العميل (Windows و Linux و Mac) و NSX Edge.

1. دعونا اقامة. في لوحة تحكم خدمة Edge Gateway ، انتقل إلى علامة التبويب SSL VPN-Plus ، ثم إلى إعدادات الخادم. نختار العنوان والمنفذ الذي سيستمع عليه الخادم للاتصالات الواردة ، ونمكّن التسجيل وحدد خوارزميات التشفير اللازمة.
   
   
   
   هنا يمكنك تغيير الشهادة التي سيستخدمها الخادم.
   
   
2. بعد أن أصبح كل شيء جاهزًا ، قم بتشغيل الخادم ولا تنس حفظ الإعدادات.
   
   
3. بعد ذلك ، نحتاج إلى تكوين مجموعة العناوين التي سنصدرها للعملاء عند الاتصال. هذه الشبكة منفصلة عن أي شبكة فرعية موجودة في بيئة NSX ، ولا تحتاج إلى تكوينها على أجهزة أخرى في الشبكات الفعلية ، باستثناء المسارات التي تشير إليها.
   
   انتقل إلى علامة التبويب تجمعات IP وانقر فوق +.
   
   
4. اختر العناوين وقناع الشبكة الفرعية والبوابة. هنا يمكنك تغيير الإعدادات لخوادم DNS و WINS.
   
   
5. تجمع الناتجة.
   
   
6. أضف الآن الشبكات التي يمكن للمستخدمين المتصلين بـ VPN الوصول إليها. انتقل إلى علامة التبويب الشبكات الخاصة وانقر فوق +.
   
   
7. نحن نملأ:
   
   
   • الشبكة - شبكة محلية يستطيع المستخدمون عن بعد الوصول إليها.
   • إرسال حركة المرور ، لديه خياران:
     - عبر النفق - أرسل حركة المرور إلى الشبكة عبر النفق ،
     - تجاوز النفق - إرسال حركة المرور إلى الشبكة مباشرة تجاوز النفق.
   • تمكين TCP Optimization - حدد ما إذا كان خيار النفق المحدد محددًا. عند تمكين التحسين ، يمكنك تحديد أرقام المنافذ التي تريد تحسين حركة المرور لها. لن يتم تحسين حركة مرور المنافذ المتبقية في هذه الشبكة المحددة. إذا لم يتم تحديد أرقام المنافذ ، يتم تحسين حركة المرور لجميع المنافذ. اقرأ المزيد عن هذه الميزة هنا .
   
   
8. بعد ذلك ، انتقل إلى علامة التبويب المصادقة وانقر فوق +. للمصادقة ، سوف نستخدم خادمًا محليًا على NSX Edge نفسه.
   
   
9. هنا يمكننا اختيار سياسات لإنشاء كلمات مرور جديدة وتكوين خيارات لحظر حسابات المستخدمين (على سبيل المثال ، عدد مرات إعادة المحاولة عند إدخال كلمة المرور بشكل غير صحيح).
   
   
   
   
10. بما أننا نستخدم المصادقة المحلية ، فنحن بحاجة إلى إنشاء مستخدمين.
    
    
11. بالإضافة إلى الأشياء الأساسية مثل الاسم وكلمة المرور ، يمكنك هنا ، على سبيل المثال ، منع المستخدم من تغيير كلمة المرور أو ، على العكس ، إجباره على تغيير كلمة المرور عند تسجيل الدخول التالي.
    
    
12. بعد إضافة جميع المستخدمين الضروريين ، انتقل إلى علامة التبويب حزم التثبيت ، انقر فوق + وقم بإنشاء المثبت نفسه ، والذي سينزل الموظف البعيد للتثبيت.
    
    
13. انقر فوق +. نختار عنوان ومنفذ الخادم الذي سيتصل به العميل ، والأنظمة التي تريد إنشاء حزمة التثبيت من أجلها.
    
    
    
    يمكنك تحديد إعدادات العميل لنظام Windows أدناه في هذه النافذة. اختيار:
    
    
    • بدء تشغيل العميل عند تسجيل الدخول - سيتم إضافة عميل VPN لبدء التشغيل على جهاز بعيد ؛
    • إنشاء أيقونة سطح المكتب - ستنشئ أيقونة عميل VPN على سطح المكتب ؛
    • التحقق من صحة شهادة أمان الخادم - سيتم التحقق من صحة شهادة الخادم عند الاتصال.
      اكتمل إعداد الخادم.
    
    
14. الآن قم بتنزيل حزمة التثبيت التي أنشأناها في الخطوة الأخيرة على الكمبيوتر البعيد. عند إعداد الخادم ، حددنا عنوانه الخارجي (185.148.83.16) والمنفذ (445). لهذا العنوان نحتاج إلى الذهاب إلى متصفح الويب. في حالتي ، فهي 185.148.83.16 : 445.
    
    في نافذة التفويض ، يجب عليك إدخال بيانات اعتماد المستخدم الذي أنشأناه مسبقًا.
    
    
15. بعد الترخيص ، نرى قائمة بحزم التثبيت التي تم إنشاؤها متاحة للتنزيل. لقد أنشأنا واحدًا فقط - وقم بتنزيله.
    
    
16. نضغط على الرابط ، يبدأ تنزيل العميل.
    
    
17. قم بفك ضغط الأرشيف الذي تم تنزيله وتشغيل المثبت.
    
    
18. بعد التثبيت ، قم بتشغيل العميل ، في نافذة التفويض ، انقر فوق تسجيل الدخول.
    
    
19. في نافذة التحقق من الشهادة ، حدد نعم.
    
    
20. ندخل بيانات اعتماد المستخدم الذي تم إنشاؤه مسبقًا ونرى أن الاتصال قد تم بنجاح.
    
    
    
    
21. تحقق من إحصائيات عميل VPN على الكمبيوتر المحلي.
    
    
    
    
22. في سطر أوامر Windows (ipconfig / all) ، نرى أن محولًا ظاهريًا إضافيًا قد ظهر وأن هناك اتصال بالشبكة البعيدة ، يعمل كل شيء:
    
    
    
    
23. وأخيرًا - فحص من وحدة Edge Edge.
    
    

L2 VPN

هناك حاجة إلى L2VPN عندما تحتاج إلى الجمع بين عدة جغرافيا
الشبكات الموزعة في مجال البث واحد.

قد يكون ذلك مفيدًا ، على سبيل المثال ، عند ترحيل جهاز ظاهري: عندما ينتقل جهاز VM إلى موقع جغرافي آخر ، فإن الجهاز سيوفر إعدادات عناوين IP ولن يفقد الاتصال بأجهزة أخرى موجودة في نفس نطاق L2 معها.

في بيئة الاختبار الخاصة بنا ، سنقوم بتوصيل موقعين مع بعضهما البعض ، وسنسميهما A و B ، على التوالي ، ولدينا شبكتان NSX وشبكتان متصلتان متطابقتان متصلتان بـ Edge مختلفة. الجهاز A لديه عنوان 10.10.10.250/24 ، الجهاز B لديه عنوان 10.10.10.2/24.

1. في vCloud Director ، انتقل إلى علامة التبويب الإدارة ، وانتقل إلى VDC التي نحتاجها ، انتقل إلى علامة التبويب Org VDC Networks وأضف شبكتين جديدتين.
   
   
2. نختار نوع الشبكة الموجهة ونربط هذه الشبكة بـ NSX. نضع مربع الاختيار إنشاء كواجهة فرعية.
   
   
3. نتيجة لذلك ، يجب أن نحصل على شبكتين. في المثال الخاص بنا ، يطلق عليهم الشبكة-أ والشبكة- ب بنفس إعدادات البوابة والقناع نفسه.
   
   
   
   
4. الآن دعنا ننتقل إلى إعدادات أول NSX. ستكون NSX التي تتصل بها الشبكة A. وستعمل كخادم.
   
   ارجع إلى واجهة NSx Edge / انتقل إلى علامة تبويب VPN -> L2VPN. نقوم بتمكين L2VPN ، حدد وضع تشغيل الخادم ، في إعدادات الخادم العامة ، حدد عنوان IP الخارجي لجهاز NSX ، حيث سيتم الاستماع إلى منفذ النفق. افتراضيًا ، سيتم فتح المقبس على المنفذ 443 ، ولكن يمكن تغييره. لا تنسَ اختيار إعدادات التشفير للنفق المستقبلي.
   
   
5. انتقل إلى علامة التبويب "مواقع الخادم" وأضف وليمة.
   
   
6. قم بتشغيل العيد ، وقم بتعيين الاسم والوصف ، إذا لزم الأمر ، قم بتعيين اسم المستخدم وكلمة المرور. سنحتاج إلى هذه البيانات لاحقًا عند إعداد موقع العميل.
   
   في عنوان بوابة تحسين الخروج ، اضبط عنوان البوابة. هذا ضروري حتى لا يوجد تعارض في عناوين IP ، لأن البوابة على شبكاتنا لها نفس العنوان. ثم نضغط على زر SELECT SUB-INTERFACES.
   
   
7. هنا نختار الواجهة الفرعية المطلوبة. حفظ الإعدادات.
   
   
8. نرى أن موقع العميل المنشأ حديثًا ظهر في الإعدادات.
   
   
9. الآن دعنا ننتقل إلى تكوين NSX على جانب العميل.
   
   نذهب إلى الجانب NSX B ، ونذهب إلى VPN -> L2VPN ، ونشغل L2VPN ، ونضبط وضع L2VPN على وضع العميل. في علامة التبويب Client Global ، عيّن عنوان وميناء NSX A ، الذي أشرنا إليه سابقًا باسم Listen IP و Port على جانب الخادم. من الضروري أيضًا ضبط نفس إعدادات التشفير بحيث تكون متسقة عند رفع النفق.
   
   
   
   قم بالتمرير لأسفل ، حدد الواجهة الفرعية التي سيتم من خلالها بناء نفق L2VPN.
   في عنوان بوابة تحسين الخروج ، اضبط عنوان البوابة. تعيين معرف المستخدم وكلمة المرور. نختار الواجهة الفرعية ولا ننسى حفظ الإعدادات.
   
   
10. هذا كل شيء ، في الواقع. إعدادات الخادم والملقم متطابقة تقريبًا ، باستثناء بعض الفروق الدقيقة.
11. الآن يمكننا أن نرى ما كسبه نفقنا من خلال الانتقال إلى الإحصائيات -> L2VPN على أي NSX.
    
    
12. إذا ذهبنا إلى وحدة التحكم لأي بوابة Edge الآن ، فسوف نرى عناوين كل من VMs على كل منهما في جدول ARP.
    
    

هذا كل شيء عن VPN على NSX Edge. اسأل إذا كان هناك شيء غير واضح. هذا أيضًا الجزء الأخير من سلسلة من المقالات حول العمل مع NSX Edge. نأمل أن تكون مفيدة :)