Po krátké přestávce se vracíme k NSX. Dnes vám ukážu, jak nakonfigurovat NAT a Firewall.
V záložce Administrativa přejděte do svého virtuálního datového centra – Cloudové zdroje – virtuální datová centra.
Vyberte kartu Okrajové brány a klikněte pravým tlačítkem na požadovaný NSX Edge. V nabídce, která se zobrazí, vyberte možnost Služby Edge Gateway. Ovládací panel NSX Edge se otevře na samostatné kartě.
Nastavení pravidel brány firewall
Standardně v položce výchozí pravidlo pro příchozí provoz Je vybrána možnost Deny, tj. Firewall bude blokovat veškerý provoz.
Chcete-li přidat nové pravidlo, klikněte na +. Objeví se nový záznam se jménem Nové pravidlo. Upravte jeho pole podle svých požadavků.
V Příjmení pojmenujte pravidlo, například Internet.
V Zdroj Zadejte požadované zdrojové adresy. Pomocí tlačítka IP můžete nastavit jednu IP adresu, rozsah IP adres, CIDR.
Pomocí tlačítka + můžete určit další objekty:
- Rozhraní brány. Všechny interní sítě (Interní), všechny externí sítě (External) nebo Libovolné.
- Virtuální stroje. Pravidla vážeme na konkrétní virtuální stroj.
- OrgVdcNetworks. Sítě na úrovni organizace.
- IP sady. Předem vytvořená uživatelská skupina IP adres (vytvořená v objektu Grouping).
V Destinace uveďte adresu příjemce. Možnosti jsou zde stejné jako v poli Zdroj.
V Servis můžete vybrat nebo ručně zadat cílový port (Destination Port), požadovaný protokol (Protocol) a port odesílatele (Source Port). Klikněte na Ponechat.
V Akce vyberte požadovanou akci: povolit nebo zakázat provoz, který odpovídá tomuto pravidlu.
Aplikujte zadanou konfiguraci výběrem Uložit změny.
Příklady pravidel
Pravidlo 1 pro bránu firewall (internet) umožňuje přístup k internetu přes libovolný protokol na server s IP 192.168.1.10.
Pravidlo 2 pro bránu firewall (webový server) umožňuje přístup z internetu přes (TCP protokol, port 80) přes vaši externí adresu. V tomto případě - 185.148.83.16:80.
Nastavení NAT
NAT (překlad síťových adres) – překlad privátních (šedých) IP adres na externí (bílé) a naopak. Prostřednictvím tohoto procesu získá virtuální stroj přístup k internetu. Chcete-li nakonfigurovat tento mechanismus, musíte nakonfigurovat pravidla SNAT a DNAT.
Důležité! NAT funguje pouze tehdy, když je povolena brána firewall a jsou nakonfigurována příslušná povolovací pravidla.
Vytvořte pravidlo SNAT. SNAT (Source Network Address Translation) je mechanismus, jehož podstatou je nahrazení zdrojové adresy při odesílání paketu.
Nejprve musíme zjistit externí IP adresu nebo rozsah IP adres, které máme k dispozici. Chcete-li to provést, přejděte do sekce Administrativa a dvakrát klikněte na virtuální datové centrum. V zobrazené nabídce nastavení přejděte na kartu Okrajová bránas. Vyberte požadovaný NSX Edge a klikněte na něj pravým tlačítkem. Vyberte možnost Nemovitosti.
V okně, které se zobrazí, na kartě Sub-Alokace fondů IP můžete zobrazit externí IP adresu nebo rozsah IP adres. Napište si to nebo si to zapamatujte.
Dále klikněte pravým tlačítkem na NSX Edge. V nabídce, která se zobrazí, vyberte možnost Služby Edge Gateway. A jsme zpět v ovládacím panelu NSX Edge.
V okně, které se zobrazí, otevřete kartu NAT a klikněte na Přidat SNAT.
V novém okně uvedeme:
- v poli Aplikováno – externí síť (nikoli síť na úrovni organizace!);
- Původní zdrojová IP/rozsah – vnitřní rozsah adres, například 192.168.1.0/24;
- Přeložená zdrojová IP/rozsah – externí adresa, přes kterou bude přístup k Internetu a na kterou jste se podívali na záložce Sub-Allocate IP Pools.
Klikněte na Ponechat.
Vytvořte pravidlo DNAT. DNAT je mechanismus, který mění cílovou adresu paketu i cílový port. Používá se k přesměrování příchozích paketů z externí adresy/portu na privátní IP adresu/port v rámci privátní sítě.
Vyberte kartu NAT a klikněte na Přidat DNAT.
V zobrazeném okně zadejte:
— v poli Aplikováno – externí síť (nikoli síť na úrovni organizace!);
— Původní IP/rozsah – externí adresa (adresa ze záložky Sub-Allocate IP Pools);
— Protocol – protokol;
— Původní port – port pro externí adresu;
— Přeložená IP/rozsah – interní IP adresa, například 192.168.1.10
— Translated Port – port pro interní adresu, na kterou bude port externí adresy přeložen.
Klikněte na Ponechat.
Aplikujte zadanou konfiguraci výběrem Uložit změny.
Hotovo.
Další na řadě jsou pokyny k DHCP, včetně nastavení DHCP Bindings a Relay.
Zdroj: www.habr.com