Efter en kort pause vender vi tilbage til NSX. I dag vil jeg vise dig, hvordan du konfigurerer NAT og Firewall.
I fanen Administration gå til dit virtuelle datacenter – Cloud-ressourcer – Virtuelle datacentre.
Vælg en fane Edge gateways og højreklik på den ønskede NSX Edge. Vælg indstillingen i menuen, der vises Edge Gateway Services. NSX Edge-kontrolpanelet åbnes i en separat fane.
Opsætning af firewall-regler
Som standard i punkt standardregel for indgående trafik Afvis-indstillingen er valgt, dvs. firewallen vil blokere al trafik.
For at tilføje en ny regel skal du klikke på +. Der vises en ny post med navnet Ny regel. Rediger dens felter i henhold til dine krav.
I feltet Navn giv reglen et navn, for eksempel internet.
I feltet Kilde Indtast de nødvendige kildeadresser. Ved hjælp af IP-knappen kan du indstille en enkelt IP-adresse, en række IP-adresser, CIDR.
Ved hjælp af knappen + kan du angive andre objekter:
- Gateway-grænseflader. Alle interne netværk (internt), alle eksterne netværk (eksternt) eller enhver.
- Virtuelle maskiner. Vi binder reglerne til en bestemt virtuel maskine.
- OrgVdcNetworks. Organisationsniveau netværk.
- IP sæt. En forudoprettet brugergruppe af IP-adresser (oprettet i grupperingsobjektet).
I feltet Bestemmelsessted angive modtagerens adresse. Indstillingerne her er de samme som i feltet Kilde.
I feltet Service du kan vælge eller manuelt angive destinationsporten (Destination Port), den påkrævede protokol (protokol) og afsenderporten (Source Port). Klik på Behold.
I feltet Handling vælg den nødvendige handling: tillad eller afvis trafik, der matcher denne regel.
Anvend den indtastede konfiguration ved at vælge Gem ændringer.
Regel eksempler
Regel 1 for firewall (internet) giver adgang til internettet via enhver protokol til en server med IP 192.168.1.10.
Regel 2 for Firewall (webserver) tillader adgang fra internettet via (TCP-protokol, port 80) gennem din eksterne adresse. I dette tilfælde - 185.148.83.16:80.
NAT opsætning
NAT (Oversættelse af netværksadresse) – oversættelse af private (grå) IP-adresser til eksterne (hvide) og omvendt. Gennem denne proces får den virtuelle maskine adgang til internettet. For at konfigurere denne mekanisme skal du konfigurere SNAT- og DNAT-regler.
Vigtig! NAT fungerer kun, når firewallen er aktiveret, og de relevante tillade regler er konfigureret.
Opret en SNAT-regel. SNAT (Source Network Address Translation) er en mekanisme, hvis essens er at erstatte kildeadressen, når der sendes en pakke.
Først skal vi finde ud af den eksterne IP-adresse eller række af IP-adresser, der er tilgængelige for os. For at gøre dette skal du gå til afsnittet Administration og dobbeltklik på det virtuelle datacenter. Gå til fanen i indstillingsmenuen, der vises kant gateways. Vælg den ønskede NSX Edge og højreklik på den. Vælg en mulighed Ejendomme.
I det vindue, der vises, i fanen Undertildel IP-puljer du kan se den eksterne IP-adresse eller række af IP-adresser. Skriv det ned eller husk det.
Højreklik derefter på NSX Edge. Vælg indstillingen i menuen, der vises Edge Gateway Services. Og vi er tilbage i NSX Edge-kontrolpanelet.
I det vindue, der vises, skal du åbne fanen NAT og klikke på Tilføj SNAT.
I det nye vindue angiver vi:
- i feltet Anvendt på – et eksternt netværk (ikke et netværk på organisationsniveau!);
- Original kilde IP/område – internt adresseområde, for eksempel 192.168.1.0/24;
- Oversat kilde IP/område – den eksterne adresse, hvorigennem internettet vil blive tilgået, og som du kiggede på under fanen Sub-allokér IP-puljer.
Klik på Behold.
Opret en DNAT-regel. DNAT er en mekanisme, der ændrer destinationsadressen for en pakke såvel som destinationsporten. Bruges til at omdirigere indgående pakker fra en ekstern adresse/port til en privat IP-adresse/port i et privat netværk.
Vælg fanen NAT, og klik på Tilføj DNAT.
I det vindue, der vises, skal du angive:
— i feltet Anvendt på – et eksternt netværk (ikke et netværk på organisationsniveau!);
— Original IP/interval – ekstern adresse (adresse fra fanen Sub-Allokér IP-puljer);
— Protokol – protokol;
— Original Port – port til ekstern adresse;
— Oversat IP/område – intern IP-adresse, for eksempel 192.168.1.10
— Translated Port – port for den interne adresse, som porten for den eksterne adresse vil blive oversat til.
Klik på Behold.
Anvend den indtastede konfiguration ved at vælge Gem ændringer.
Udført.
Næste i rækken er instruktioner om DHCP, herunder opsætning af DHCP-bindinger og relæ.
Kilde: www.habr.com