Després d'un petit descans, tornem a NSX. Avui us mostraré com configurar NAT i Firewall.
A la pestanya Administració aneu al vostre centre de dades virtual - Recursos al núvol: centres de dades virtuals.
Seleccioneu una pestanya Passarel·les Edge i feu clic amb el botó dret a l'NSX Edge desitjat. Al menú que apareix, seleccioneu l'opció Serveis de passarel·la Edge. El tauler de control de NSX Edge s'obrirà en una pestanya independent.
Configuració de regles del tallafoc
Per defecte al paràgraf regla per defecte per al trànsit d'entrada està seleccionada l'opció Denegar, és a dir, el tallafoc bloquejarà tot el trànsit.
Per afegir una regla nova, feu clic a +. Apareixerà una nova entrada amb el títol Nova regla. Editeu els seus camps segons els vostres requisits.
En camp Nom especifiqueu un nom per a la regla, com ara Internet.
En camp font introduïu les adreces d'origen necessàries. En fer clic al botó IP, podeu establir una única adreça IP, un rang d'adreces IP, CIDR.
Si feu clic al botó +, podeu configurar altres objectes:
- Interfícies de passarel·la. Totes les xarxes internes (internes), totes les xarxes externes (externes) o qualsevol.
- màquines virtuals. Vinculem les regles a una màquina virtual específica.
- OrgVdcNetworks. Xarxes a nivell d'organització.
- Conjunts d'IP. Un grup d'adreces IP creades prèviament per l'usuari (creades a l'objecte Agrupació).
En camp destí introduïu l'adreça del destinatari. Aquí hi ha les mateixes opcions que al camp Font.
En camp servei podeu seleccionar o especificar manualment el port de destinació (Port de destinació), el protocol necessari (Protocol), el port del remitent (Port d'origen). Feu clic a Mantenir.
En camp acció seleccionar l'acció requerida: permetre el pas del trànsit que coincideix amb aquesta regla, o denegar-la.
Apliqueu la configuració introduïda seleccionant l'element Save changes.
Exemples de regles
Regla 1 per al tallafoc (Internet) permet l'accés a Internet mitjançant qualsevol protocol al servidor amb IP 192.168.1.10.
Regla 2 per al tallafoc (servidor web) permet l'accés des d'Internet mitjançant (protocol TCP, port 80) a través de la vostra adreça externa. En aquest cas, 185.148.83.16:80.
Configuració de NAT
NAT (traducció d'adreces de xarxa) - traducció d'adreces IP privades (grises) a externes (blances) i viceversa. Mitjançant aquest procés, la màquina virtual accedeix a Internet. Per configurar aquest mecanisme, cal configurar les regles SNAT i DNAT.
Important! NAT només funciona quan el tallafoc està habilitat i es configuren les regles de permís adequades.
Creeu una regla SNAT. SNAT (Source Network Address Translation) és un mecanisme, l'essència del qual és substituir l'adreça d'origen quan s'envia un paquet.
Primer hem d'esbrinar l'adreça IP externa o el rang d'adreces IP disponibles per a nosaltres. Per fer-ho, aneu a la secció Administració i feu doble clic al centre de dades virtual. Al menú de configuració que apareix, aneu a la pestanya Gateway Edges. Seleccioneu l'NSX Edge desitjat i feu-hi clic amb el botó dret. Trieu una opció Propietats.
A la finestra que apareix, a la pestanya Subassignació de grups d'IP podeu veure l'adreça IP externa o l'interval d'adreces IP. Anoteu-lo o memoritzeu-lo.
A continuació, feu clic a NSX Edge amb el botó dret del ratolí. Al menú que apareix, seleccioneu l'opció Serveis de passarel·la Edge. I tornem al tauler de control de NSX Edge.
A la finestra que apareix, obriu la pestanya NAT i feu clic a Afegeix SNAT.
En una finestra nova, especifiqueu:
- al camp Aplicat a: una xarxa externa (no una xarxa a nivell d'organització!);
- IP/interval d'origen original: rang d'adreces internes, per exemple, 192.168.1.0/24;
- IP/interval d'origen traduït: l'adreça externa a través de la qual s'accedirà a Internet i que heu consultat a la pestanya Sub-assignació de grups d'IP.
Feu clic a Mantenir.
Crear una regla DNAT. DNAT és un mecanisme que canvia l'adreça de destinació d'un paquet així com el port de destinació. S'utilitza per reenviar paquets entrants des d'una adreça/port extern a una adreça IP/port privat dins d'una xarxa privada.
Seleccioneu la pestanya NAT i feu clic a Afegeix DNAT.
A la finestra que apareix, especifiqueu:
- al camp Aplicat a: una xarxa externa (no una xarxa a nivell d'organització!);
— IP/interval original: adreça externa (adreça de la pestanya Sub-assignació de grups d'IP);
— Protocol—protocol;
— Port original: port per a l'adreça externa;
- IP/interval traduït: adreça IP interna, per exemple, 192.168.1.10
— Port traduït: port per a l'adreça interna a la qual es traduirà el port de l'adreça externa.
Feu clic a Mantenir.
Apliqueu la configuració introduïda seleccionant l'element Save changes.
Fet.
A continuació, hi ha les instruccions DHCP, inclosa la configuració d'enllaços i retransmissió DHCP.
Font: www.habr.com