Human sa usa ka mubo nga pahulay mobalik kami sa NSX. Karon ipakita ko kanimo kung giunsa ang pag-configure sa NAT ug Firewall.
Sa tab Administration adto sa imong virtual data center - Mga Kapanguhaan sa Cloud β Mga Virtual Datacenter.
Pagpili usa ka tab Sulab ang mga gatewaysway ug pag-right-click sa gusto nga NSX Edge. Sa menu nga makita, pilia ang kapilian Mga Serbisyo sa Edge Gateway. Ang NSX Edge Control Panel mag-abli sa lain nga tab.
Pag-set up sa mga lagda sa Firewall
Pinaagi sa default sa aytem default nga lagda alang sa pagsulod sa trapiko Gipili ang opsyon sa Deny, i.e. ang Firewall mobabag sa tanang trapiko.
Aron makadugang ug bag-ong lagda, i-klik ang +. Usa ka bag-ong entry ang makita nga adunay ngalan Bag-ong lagda. I-edit ang mga natad niini sumala sa imong mga kinahanglanon.
Sa sa kapatagan ngalan hatagi ang lagda og ngalan, pananglitan sa Internet.
Sa sa kapatagan tinubdan Pagsulod sa gikinahanglan nga tinubdan nga mga adres. Gamit ang buton sa IP, mahimo nimong itakda ang usa ka IP address, usa ka lainlaing mga adres sa IP, CIDR.
Gamit ang + buton mahimo nimong ipiho ang ubang mga butang:
- Mga interface sa gateway. Tanan nga internal nga network (Internal), tanan nga eksternal nga network (External) o Bisan unsa.
- Virtual nga mga makina. Gibugkos namon ang mga lagda sa usa ka piho nga virtual machine.
- OrgVdcNetworks. Mga network sa lebel sa organisasyon.
- Mga set sa IP. Usa ka pre-created user nga grupo sa mga IP address (gibuhat sa Grouping object).
Sa sa kapatagan Tumong ipakita ang adres sa nakadawat. Ang mga kapilian dinhi parehas sa natad sa Source.
Sa sa kapatagan nga pag-alagad mahimo nimong pilion o mano-mano ang pagtino sa destinasyon nga pantalan (Destination Port), ang gikinahanglan nga protocol (Protocol), ug ang sender port (Source Port). I-klik ang Padayon.
Sa sa kapatagan Action pilia ang gikinahanglan nga aksyon: pagtugot o pagdumili sa trapiko nga mohaum niini nga lagda.
Ibutang ang gisulod nga configuration pinaagi sa pagpili Tipigi ang mga kausaban.
Mga pananglitan sa lagda
Lagda 1 para sa Firewall (Internet) nagtugot sa pag-access sa Internet pinaagi sa bisan unsang protocol sa usa ka server nga adunay IP 192.168.1.10.
Lagda 2 para sa Firewall (Web-server) nagtugot sa access gikan sa Internet pinaagi sa (TCP protocol, port 80) pinaagi sa imong external address. Sa kini nga kaso - 185.148.83.16:80.
setup sa NAT
NAT (Paghubad sa Address sa Network) - paghubad sa pribado (gray) nga mga adres sa IP ngadto sa gawas (puti) nga mga adres, ug vice versa. Pinaagi niini nga proseso, ang virtual machine makakuha og access sa Internet. Aron ma-configure kini nga mekanismo, kinahanglan nimo nga i-configure ang mga lagda sa SNAT ug DNAT.
Importante! Ang NAT molihok lamang kung ang Firewall ma-enable ug ang angay nga pagtugot nga mga lagda gi-configure.
Paghimo usa ka lagda sa SNAT. Ang SNAT (Source Network Address Translation) usa ka mekanismo nga ang esensya mao ang pag-ilis sa gigikanan nga adres kung magpadala usa ka pakete.
Una kinahanglan natong mahibal-an ang eksternal nga IP address o hanay sa mga IP address nga anaa kanato. Aron mahimo kini, adto sa seksyon Administration ug pag-double click sa virtual data center. Sa menu sa mga setting nga makita, adto sa tab Edge Gateways. Pilia ang gusto nga NSX Edge ug i-right-click kini. Pagpili og opsyon Properties.
Sa bintana nga makita, sa tab I-sub-allocate ang mga IP Pool mahimo nimong tan-awon ang external IP address o range sa mga IP address. Isulat kini o hinumdomi kini.
Sunod, pag-right-click sa NSX Edge. Sa menu nga makita, pilia ang kapilian Mga Serbisyo sa Edge Gateway. Ug mibalik kami sa control panel sa NSX Edge.
Sa bintana nga makita, ablihi ang NAT tab ug i-klik ang Add SNAT.
Sa bag-ong bintana among gipakita:
- sa Applied on field β usa ka eksternal nga network (dili usa ka organisasyon-level network!);
- Orihinal nga Tinubdan IP/range β internal address range, pananglitan, 192.168.1.0/24;
- Translated Source IP/range β ang eksternal nga adres diin ang Internet ma-access ug nga imong gitan-aw sa Sub-Allocate IP Pools tab.
I-klik ang Padayon.
Paghimo usa ka lagda sa DNAT. Ang DNAT usa ka mekanismo nga nagbag-o sa destinasyon nga adres sa usa ka pakete ingon man sa destinasyon nga pantalan. Gigamit sa pag-redirect sa umaabot nga mga pakete gikan sa usa ka eksternal nga adres/port ngadto sa usa ka pribadong IP address/port sulod sa usa ka pribadong network.
Pilia ang NAT tab ug i-klik ang Add DNAT.
Sa bintana nga makita, ipiho:
β sa natad sa Applied on β usa ka eksternal nga network (dili usa ka network nga lebel sa organisasyon!);
β Orihinal nga IP/range β eksternal nga adres (adres gikan sa Sub-Allocate IP Pools tab);
- Protocol - protocol;
- Orihinal nga Port - pantalan alang sa gawas nga adres;
β Gihubad nga IP/range β internal IP address, pananglitan, 192.168.1.10
β Gihubad nga Port β pantalan para sa internal nga adres diin ang pantalan sa eksternal nga adres mahubad.
I-klik ang Padayon.
Ibutang ang gisulod nga configuration pinaagi sa pagpili Tipigi ang mga kausaban.
Nahimo.
Sunod sa linya mao ang mga panudlo sa DHCP, lakip ang pag-set up sa DHCP Bindings ug Relay.
Source: www.habr.com