بعد استراحة قصيرة ، نعود إلى NSX. سأوضح لك اليوم كيفية تكوين NAT وجدار الحماية.
في علامة التبويب الإدارة اذهب إلى مركز البيانات الافتراضي الخاص بك - الموارد السحابية - مراكز البيانات الافتراضية.
حدد علامة تبويب بوابات الحافة وانقر بزر الماوس الأيمن على NSX Edge المطلوب. في القائمة التي تظهر ، حدد الخيار خدمات بوابة الحافة. سيتم فتح لوحة تحكم NSX Edge في علامة تبويب منفصلة.
تكوين قواعد جدار الحماية
افتراضيا في الفقرة القاعدة الافتراضية لدخول حركة المرور تم تحديد خيار الرفض ، أي أن جدار الحماية سيمنع كل حركة المرور.
لإضافة قاعدة جديدة ، انقر فوق +. سيظهر إدخال جديد مع العنوان قانون جديد. قم بتعديل حقولها وفقًا لمتطلباتك.
في الاسم حدد اسمًا للقاعدة ، مثل الإنترنت.
في مصدر أدخل عناوين المصدر المطلوبة. بالنقر فوق الزر IP ، يمكنك تعيين عنوان IP واحد ، ومجموعة من عناوين IP ، و CIDR.
بالنقر فوق الزر + ، يمكنك تعيين كائنات أخرى:
- واجهات البوابة. جميع الشبكات الداخلية (الداخلية) ، وجميع الشبكات الخارجية (الخارجية) ، أو أي منها.
- الأجهزة الظاهرية. نحن نلزم القواعد بجهاز افتراضي معين.
- OrgVdcNetworks. شبكات على مستوى المنظمة.
- مجموعات IP. مجموعة من عناوين IP تم إنشاؤها مسبقًا بواسطة المستخدم (تم إنشاؤها في كائن التجميع).
في الرحلات أدخل عنوان المستلم. فيما يلي نفس الخيارات الموجودة في حقل المصدر.
في العطاء يمكنك تحديد أو تحديد منفذ الوجهة (منفذ الوجهة) ، والبروتوكول المطلوب (البروتوكول) ، ومنفذ المرسل (منفذ المصدر) يدويًا. انقر فوق Keep.
في اكشن حدد الإجراء المطلوب: السماح بمرور حركة المرور المطابقة لهذه القاعدة أو رفضها.
قم بتطبيق التكوين الذي تم إدخاله عن طريق تحديد العنصر حفظ التغييرات.
أمثلة على القواعد
القاعدة 1 لجدار الحماية (الإنترنت) يسمح بالوصول إلى الإنترنت عن طريق أي بروتوكول للخادم مع IP 192.168.1.10.
القاعدة 2 لجدار الحماية (خادم الويب) يسمح بالوصول من الإنترنت عبر (بروتوكول TCP ، المنفذ 80) من خلال عنوانك الخارجي. في هذه الحالة، 185.148.83.16:80.
إعداد NAT
NAT (ترجمة عنوان الشبكة) - ترجمة عناوين IP الخاصة (الرمادية) إلى خارجية (بيضاء) والعكس صحيح. من خلال هذه العملية ، تتمكن الآلة الافتراضية من الوصول إلى الإنترنت. لتكوين هذه الآلية ، تحتاج إلى تكوين قواعد SNAT و DNAT.
مهم! يعمل NAT فقط عند تمكين جدار الحماية وتكوين قواعد الأذونات المناسبة.
قم بإنشاء قاعدة SNAT. SNAT (ترجمة عنوان الشبكة المصدر) هي آلية ، جوهرها هو استبدال عنوان المصدر عند إعادة توجيه حزمة.
نحتاج أولاً إلى معرفة عنوان IP الخارجي أو مجموعة عناوين IP المتاحة لنا. للقيام بذلك ، انتقل إلى القسم الإدارة وانقر نقرًا مزدوجًا على مركز البيانات الافتراضي. في قائمة الإعدادات التي تظهر ، انتقل إلى علامة التبويب بوابة الحافةس. حدد NSX Edge المطلوب وانقر فوقه بزر الماوس الأيمن. إختر خيار عقارات.
في النافذة التي تظهر ، في علامة التبويب تخصيص تجمعات IP الفرعية يمكنك عرض عنوان IP الخارجي أو مجموعة من عناوين IP. اكتبها أو احفظها.
انقر بعد ذلك على NSX Edge باستخدام زر الفأرة الأيمن. في القائمة التي تظهر ، حدد الخيار خدمات بوابة الحافة. وقد عدنا إلى لوحة تحكم NSX Edge.
في النافذة التي تظهر ، افتح علامة التبويب NAT وانقر على إضافة SNAT.
في نافذة جديدة ، حدد:
- في المجال التطبيقي - شبكة خارجية (ليست شبكة على مستوى المؤسسة!) ؛
- IP / النطاق الأصلي للمصدر - نطاق العنوان الداخلي ، على سبيل المثال ، 192.168.1.0/24 ؛
- IP / النطاق المترجم - العنوان الخارجي الذي سيتم من خلاله الوصول إلى الإنترنت والذي نظرت إليه في علامة التبويب Sub-Allocate IP Pools.
انقر فوق Keep.
قم بإنشاء قاعدة DNAT. DNAT هي آلية تعمل على تغيير عنوان وجهة الحزمة وكذلك منفذ الوجهة. يُستخدم لإعادة توجيه الحزم الواردة من عنوان / منفذ خارجي إلى عنوان / منفذ IP خاص داخل شبكة خاصة.
حدد علامة التبويب NAT وانقر فوق إضافة DNAT.
في النافذة التي تظهر ، حدد:
- في المجال التطبيقي - شبكة خارجية (ليست شبكة على مستوى المؤسسة!) ؛
- IP الأصلي / النطاق - العنوان الخارجي (العنوان من علامة التبويب Sub-Allocate IP Pools) ؛
- بروتوكول - بروتوكول ؛
- المنفذ الأصلي - منفذ العنوان الخارجي ؛
- IP / النطاق المترجم - عنوان IP الداخلي ، على سبيل المثال ، 192.168.1.10
- Translated Port - منفذ العنوان الداخلي الذي سيتم ترجمة منفذ العنوان الخارجي إليه.
انقر فوق Keep.
قم بتطبيق التكوين الذي تم إدخاله عن طريق تحديد العنصر حفظ التغييرات.
القيام به.
التالي في السطر هو تعليمات DHCP ، بما في ذلك تكوين روابط DHCP و Relay.
المصدر: www.habr.com