След кратка почивка се връщаме към NSX. Днес ще ви покажа как да конфигурирате NAT и Firewall.
В раздела Администрация отидете във вашия виртуален център за данни – Облачни ресурси – виртуални центрове за данни.
Изберете раздел Edge шлюзове и щракнете с десния бутон върху желания NSX Edge. В появилото се меню изберете опцията Edge Gateway услуги. Контролният панел на NSX Edge ще се отвори в отделен раздел.
Настройка на правилата на защитната стена
По подразбиране в т правило по подразбиране за входящ трафик Избрана е опцията Отказ, т.е. защитната стена ще блокира целия трафик.
За да добавите ново правило, щракнете върху +. Ще се появи нов запис с името Ново правило. Редактирайте полетата му според вашите изисквания.
В областта Име дайте име на правилото, например Интернет.
В областта източник Въведете необходимите адреси на източници. С помощта на бутона IP можете да зададете един IP адрес, набор от IP адреси, CIDR.
Чрез бутона + можете да посочите други обекти:
- Gateway интерфейси. Всички вътрешни мрежи (Вътрешни), всички външни мрежи (Външни) или Всякакви.
- Виртуални машини. Ние обвързваме правилата с конкретна виртуална машина.
- OrgVdcNetworks. Мрежи на ниво организация.
- IP комплекти. Предварително създадена потребителска група от IP адреси (създадена в обекта за групиране).
В областта Дестинация посочете адреса на получателя. Опциите тук са същите като в полето Източник.
В областта обслужване можете да изберете или ръчно да посочите порта на местоназначение (Destination Port), необходимия протокол (Protocol) и порта на изпращача (Source Port). Щракнете върху Запазване.
В областта действие изберете необходимото действие: разрешаване или отказ на трафик, който отговаря на това правило.
Приложете въведената конфигурация, като изберете Запазване на промените.
Примери за правила
Правило 1 за защитна стена (интернет) позволява достъп до интернет през произволен протокол към сървър с IP 192.168.1.10.
Правило 2 за защитна стена (уеб сървър) позволява достъп от интернет през (TCP протокол, порт 80) през вашия външен адрес. В случая - 185.148.83.16:80.
Настройка на NAT
NAT (превод на мрежов адрес) – преобразуване на частни (сиви) IP адреси във външни (бели) и обратно. Чрез този процес виртуалната машина получава достъп до интернет. За да конфигурирате този механизъм, трябва да конфигурирате SNAT и DNAT правила.
важно! NAT работи само когато защитната стена е активирана и са конфигурирани подходящите разрешаващи правила.
Създайте SNAT правило. SNAT (Source Network Address Translation) е механизъм, чиято същност е да замени адреса на източника при изпращане на пакет.
Първо трябва да открием външния IP адрес или диапазона от IP адреси, които са ни достъпни. За да направите това, отидете в раздела Администрация и щракнете два пъти върху виртуалния център за данни. В менюто с настройки, което се показва, отидете на раздела Краен шлюзс. Изберете желания NSX Edge и щракнете с десния бутон върху него. Изберете опция Имоти.
В прозореца, който се показва, в раздела Подразпределете IP пулове можете да видите външния IP адрес или диапазон от IP адреси. Запишете го или го запомнете.
След това щракнете с десния бутон върху NSX Edge. В появилото се меню изберете опцията Edge Gateway услуги. И се връщаме в контролния панел на NSX Edge.
В прозореца, който се показва, отворете раздела NAT и щракнете върху Добавяне на SNAT.
В новия прозорец посочваме:
- в полето Applied on – външна мрежа (не мрежа на ниво организация!);
- IP/диапазон на оригиналния източник – диапазон от вътрешни адреси, например 192.168.1.0/24;
- Translated Source IP/range – външният адрес, през който ще бъде достъпен интернет и който сте прегледали в раздела Sub-Allocate IP Pools.
Щракнете върху Запазване.
Създайте DNAT правило. DNAT е механизъм, който променя адреса на местоназначение на пакет, както и порта на местоназначение. Използва се за пренасочване на входящи пакети от външен адрес/порт към частен IP адрес/порт в частна мрежа.
Изберете раздела NAT и щракнете върху Добавяне на DNAT.
В прозореца, който се показва, посочете:
— в полето Applied on – външна мрежа (не мрежа на ниво организация!);
— Оригинален IP/обхват – външен адрес (адрес от раздела Sub-Allocate IP Pools);
— Протокол – протокол;
— Original Port – порт за външен адрес;
— Преведен IP/обхват – вътрешен IP адрес, например 192.168.1.10
— Translated Port – порт за вътрешния адрес, към който ще се транслира портът на външния адрес.
Щракнете върху Запазване.
Приложете въведената конфигурация, като изберете Запазване на промените.
Готово.
Следват инструкции за DHCP, включително настройка на DHCP свързвания и препредаване.
Източник: www.habr.com