Nach einer kurzen Pause kehren wir zum NSX zurück. Heute zeige ich Ihnen, wie Sie NAT und Firewall konfigurieren.
Der Reiter Verwaltung Gehen Sie zu Ihrem virtuellen Rechenzentrum – Cloud-Ressourcen – virtuelle Rechenzentren.
Wählen Sie eine Registerkarte aus Edge-Gateways und klicken Sie mit der rechten Maustaste auf den gewünschten NSX Edge. Wählen Sie im angezeigten Menü die Option aus Edge-Gateway-Dienste. Die NSX Edge-Systemsteuerung wird in einer separaten Registerkarte geöffnet.
Einrichten von Firewall-Regeln
Standardmäßig im Artikel Standardregel für eingehenden Datenverkehr Die Option „Verweigern“ ist ausgewählt, d. h. die Firewall blockiert den gesamten Datenverkehr.
Um eine neue Regel hinzuzufügen, klicken Sie auf +. Es erscheint ein neuer Eintrag mit dem Namen Neue Regel. Bearbeiten Sie die Felder entsprechend Ihren Anforderungen.
Im Name und Vorname Geben Sie der Regel einen Namen, zum Beispiel Internet.
Im Quelle Geben Sie die erforderlichen Quelladressen ein. Mit der IP-Taste können Sie eine einzelne IP-Adresse, einen Bereich von IP-Adressen und CIDR festlegen.
Über den +-Button können Sie weitere Objekte angeben:
- Gateway-Schnittstellen. Alle internen Netzwerke (Intern), alle externen Netzwerke (Extern) oder Beliebig.
- Virtuelle Maschinen. Wir binden die Regeln an eine bestimmte virtuelle Maschine.
- OrgVdcNetworks. Netzwerke auf Organisationsebene.
- IP-Sets. Eine vorab erstellte Benutzergruppe von IP-Adressen (erstellt im Gruppierungsobjekt).
Im Reiseziel Geben Sie die Adresse des Empfängers an. Die Optionen sind hier dieselben wie im Feld Quelle.
Im Service Sie können den Zielport (Destination Port), das erforderliche Protokoll (Protocol) und den Absenderport (Source Port) auswählen oder manuell angeben. Klicken Sie auf „Behalten“.
Im Action Wählen Sie die erforderliche Aktion aus: Datenverkehr zulassen oder ablehnen, der dieser Regel entspricht.
Übernehmen Sie die eingegebene Konfiguration durch Auswahl Änderungen speichern.
Regelbeispiele
Regel 1 für Firewall (Internet) ermöglicht den Zugriff auf das Internet über ein beliebiges Protokoll zu einem Server mit der IP 192.168.1.10.
Regel 2 für Firewall (Webserver) ermöglicht den Zugriff aus dem Internet über (TCP-Protokoll, Port 80) über Ihre externe Adresse. In diesem Fall - 185.148.83.16:80.
NAT-Setup
NAT (Netzwerkadressübersetzung) – Übersetzung privater (grauer) IP-Adressen in externe (weiße) und umgekehrt. Durch diesen Vorgang erhält die virtuelle Maschine Zugang zum Internet. Um diesen Mechanismus zu konfigurieren, müssen Sie SNAT- und DNAT-Regeln konfigurieren.
Wichtig! NAT funktioniert nur, wenn die Firewall aktiviert ist und die entsprechenden Zulassungsregeln konfiguriert sind.
Erstellen Sie eine SNAT-Regel. SNAT (Source Network Address Translation) ist ein Mechanismus, dessen Kern darin besteht, die Quelladresse beim Senden eines Pakets zu ersetzen.
Zuerst müssen wir die uns zur Verfügung stehende externe IP-Adresse bzw. den IP-Adressbereich herausfinden. Gehen Sie dazu zum Abschnitt Verwaltung und doppelklicken Sie auf das virtuelle Rechenzentrum. Gehen Sie im angezeigten Einstellungsmenü auf die Registerkarte Edge-GatewayS. Wählen Sie den gewünschten NSX Edge aus und klicken Sie mit der rechten Maustaste darauf. Wähle eine Option Ferienhäuser.
Im angezeigten Fenster auf der Registerkarte IP-Pools untergeordnet zuweisen Sie können die externe IP-Adresse oder den IP-Adressbereich anzeigen. Schreiben Sie es auf oder merken Sie es sich.
Klicken Sie anschließend mit der rechten Maustaste auf NSX Edge. Wählen Sie im angezeigten Menü die Option aus Edge-Gateway-Dienste. Und schon sind wir wieder im NSX Edge-Kontrollfeld.
Öffnen Sie im angezeigten Fenster die Registerkarte NAT und klicken Sie auf SNAT hinzufügen.
Im neuen Fenster geben wir Folgendes an:
- im Bereich „Angewandt auf“ – ein externes Netzwerk (kein Netzwerk auf Organisationsebene!);
- Ursprüngliche Quell-IP/Bereich – interner Adressbereich, zum Beispiel 192.168.1.0/24;
- Übersetzte Quell-IP/Bereich – die externe Adresse, über die auf das Internet zugegriffen wird und die Sie auf der Registerkarte „Untergeordnete IP-Pools“ angezeigt haben.
Klicken Sie auf „Behalten“.
Erstellen Sie eine DNAT-Regel. DNAT ist ein Mechanismus, der die Zieladresse eines Pakets sowie den Zielport ändert. Wird verwendet, um eingehende Pakete von einer externen Adresse/einem externen Port an eine private IP-Adresse/einen privaten IP-Port innerhalb eines privaten Netzwerks umzuleiten.
Wählen Sie die Registerkarte „NAT“ und klicken Sie auf „DNAT hinzufügen“.
Geben Sie im angezeigten Fenster Folgendes an:
— im Bereich „Angewandt auf“ – ein externes Netzwerk (kein Netzwerk auf Organisationsebene!);
— Ursprüngliche IP/Bereich – externe Adresse (Adresse aus der Registerkarte „Untergeordnete IP-Pools“);
— Protokoll – Protokoll;
— Ursprünglicher Port – Port für externe Adresse;
— Übersetzte IP/Bereich – interne IP-Adresse, zum Beispiel 192.168.1.10
— Übersetzter Port – Port für die interne Adresse, in den der Port der externen Adresse übersetzt wird.
Klicken Sie auf „Behalten“.
Übernehmen Sie die eingegebene Konfiguration durch Auswahl Änderungen speichern.
Fertig.
Als nächstes folgen Anweisungen zu DHCP, einschließlich der Einrichtung von DHCP-Bindungen und -Relay.
Source: habr.com