Qısa fasilədən sonra NSX-ə qayıdırıq. Bu gün sizə NAT və Firewall-u necə konfiqurasiya edəcəyinizi göstərəcəyəm.
Nişanda İdarəçilik virtual məlumat mərkəzinizə gedin - Bulud Resursları – Virtual Məlumat Mərkəzləri.
Nişanı seçin Edge Gateways və istədiyiniz NSX Edge üzərinə sağ klikləyin. Görünən menyuda seçimi seçin Edge Gateway Xidmətləri. NSX Edge İdarəetmə Paneli ayrıca tabda açılacaq.
Firewall qaydalarının qurulması
Elementdə defolt olaraq giriş trafiki üçün standart qayda İmtina et seçimi seçilib, yəni Firewall bütün trafiki bloklayacaq.
Yeni qayda əlavə etmək üçün + klikləyin. Adı ilə yeni bir giriş görünəcək Yeni qayda. Sahələrini tələblərinizə uyğun olaraq redaktə edin.
sahəsində ad qaydaya bir ad verin, məsələn İnternet.
sahəsində mənbə Tələb olunan mənbə ünvanlarını daxil edin. IP düyməsini istifadə edərək, bir IP ünvanı, bir sıra IP ünvanları, CIDR təyin edə bilərsiniz.
+ düyməsini istifadə edərək digər obyektləri təyin edə bilərsiniz:
- Gateway interfeysləri. Bütün daxili şəbəkələr (Daxili), bütün xarici şəbəkələr (Xarici) və ya İstənilən.
- Virtual maşınlar. Biz qaydaları müəyyən bir virtual maşına bağlayırıq.
- OrgVdcNetworks. Təşkilat səviyyəli şəbəkələr.
- IP dəstləri. IP ünvanlarının əvvəlcədən yaradılmış istifadəçi qrupu (Qruplaşdırma obyektində yaradılmışdır).
sahəsində Destination alıcının ünvanını göstərin. Buradakı seçimlər Mənbə sahəsindəki kimidir.
sahəsində xidmət siz təyinat portunu (Təyinat Portu), tələb olunan protokolu (Protokol) və göndərən portu (Mənbə Portu) seçə və ya əl ilə təyin edə bilərsiniz. Saxla klikləyin.
sahəsində fəaliyyət tələb olunan hərəkəti seçin: bu qaydaya uyğun gələn trafikə icazə verin və ya rədd edin.
Seçməklə daxil edilmiş konfiqurasiyanı tətbiq edin Dəyişiklikləri edin.
Qayda nümunələri
Firewall (İnternet) üçün Qayda 1 IP 192.168.1.10 olan serverə istənilən protokol vasitəsilə internetə çıxış imkanı verir.
Firewall (Veb-server) üçün Qayda 2 xarici ünvanınız vasitəsilə (TCP protokolu, port 80) vasitəsilə İnternetdən çıxış imkanı verir. Bu halda - 185.148.83.16:80.
NAT quraşdırma
NAT (Şəbəkə Ünvanı Tərcüməsi) – şəxsi (boz) IP ünvanlarının xarici (ağ) ünvanlara və əksinə tərcüməsi. Bu proses vasitəsilə virtual maşın İnternetə çıxış əldə edir. Bu mexanizmi konfiqurasiya etmək üçün SNAT və DNAT qaydalarını konfiqurasiya etməlisiniz.
Vacibdir! NAT yalnız Firewall işə salındıqda və müvafiq icazə qaydaları konfiqurasiya edildikdə işləyir.
SNAT qaydası yaradın. SNAT (Mənbə Şəbəkə Ünvanının Tərcüməsi) bir mexanizmdir, onun mahiyyəti paket göndərilərkən mənbə ünvanı əvəz etməkdir.
Əvvəlcə xarici IP ünvanını və ya bizim üçün mövcud olan IP ünvanlarının diapazonunu öyrənməliyik. Bunu etmək üçün bölməyə keçin İdarəçilik və virtual məlumat mərkəzinə iki dəfə klikləyin. Görünən parametrlər menyusunda nişana keçin Edge Gateways. İstədiyiniz NSX Edge seçin və üzərinə sağ klikləyin. Seçim seçin Properties.
Görünən pəncərədə, nişanda IP Hovuzlarını Sub-Təxsis edin xarici IP ünvanını və ya IP ünvanlarının diapazonunu görə bilərsiniz. Onu yazın və ya yadda saxlayın.
Sonra, NSX Edge üzərinə sağ klikləyin. Görünən menyuda seçimi seçin Edge Gateway Xidmətləri. Və biz NSX Edge idarəetmə panelinə qayıtdıq.
Görünən pəncərədə NAT sekmesini açın və SNAT əlavə et düyməsini basın.
Yeni pəncərədə qeyd edirik:
- Tətbiq olunan sahədə – xarici şəbəkə (təşkilati səviyyəli şəbəkə deyil!);
- Orijinal Mənbə IP/aralığı – daxili ünvan diapazonu, məsələn, 192.168.1.0/24;
- Tərcümə edilmiş Mənbə IP/diapazonu – İnternetə daxil olunacağı və IP Hovuzlarının Alt Ayrılması sekmesinde baxdığınız xarici ünvan.
Saxla klikləyin.
DNAT qaydası yaradın. DNAT paketin təyinat ünvanını, eləcə də təyinat portunu dəyişdirən mexanizmdir. Daxil olan paketləri xarici ünvandan/portdan özəl şəbəkə daxilində şəxsi IP ünvanına/porta yönləndirmək üçün istifadə olunur.
NAT sekmesini seçin və DNAT əlavə et düyməsini basın.
Görünən pəncərədə aşağıdakıları göstərin:
— Applied on sahəsində – xarici şəbəkə (təşkilati səviyyəli şəbəkə deyil!);
— Orijinal IP/diapazon – xarici ünvan (İP Hovuzların Alt Ayrılması sekmesinden ünvan);
— Protokol – protokol;
— Original Port – xarici ünvan üçün port;
— Tərcümə edilmiş IP/aralıq – daxili IP ünvanı, məsələn, 192.168.1.10
— Translated Port – xarici ünvanın portunun tərcümə ediləcəyi daxili ünvan üçün port.
Saxla klikləyin.
Seçməklə daxil edilmiş konfiqurasiyanı tətbiq edin Dəyişiklikləri edin.
Done.
Növbəti sırada DHCP Bindings və Relay qurmaq daxil olmaqla DHCP üzrə təlimatlar var.
Mənbə: www.habr.com