Μετά από ένα μικρό διάλειμμα επιστρέφουμε στο NSX. Σήμερα θα σας δείξω πώς να ρυθμίσετε το NAT και το Firewall.
Στην καρτέλα Διαχείριση μεταβείτε στο εικονικό κέντρο δεδομένων σας – Cloud Resources – Virtual Datacenters.
Επιλέξτε μια καρτέλα Πύλες άκρων και κάντε δεξί κλικ στο επιθυμητό NSX Edge. Στο μενού που εμφανίζεται, επιλέξτε την επιλογή Υπηρεσίες Edge Gateway. Ο Πίνακας Ελέγχου του NSX Edge θα ανοίξει σε ξεχωριστή καρτέλα.
Ρύθμιση κανόνων τείχους προστασίας
Από προεπιλογή στο στοιχείο προεπιλεγμένος κανόνας για κίνηση εισόδου Επιλέγεται η επιλογή Άρνηση, δηλαδή το Τείχος προστασίας θα μπλοκάρει όλη την κυκλοφορία.
Για να προσθέσετε έναν νέο κανόνα, κάντε κλικ στο +. Θα εμφανιστεί μια νέα καταχώρηση με το όνομα Νέος κανόνας. Επεξεργαστείτε τα πεδία του σύμφωνα με τις απαιτήσεις σας.
Στο πεδίο Όνομα δώστε στον κανόνα ένα όνομα, για παράδειγμα Διαδίκτυο.
Στο πεδίο Πηγή Εισαγάγετε τις απαιτούμενες διευθύνσεις πηγής. Χρησιμοποιώντας το κουμπί IP, μπορείτε να ορίσετε μια μεμονωμένη διεύθυνση IP, μια σειρά από διευθύνσεις IP, CIDR.
Χρησιμοποιώντας το κουμπί + μπορείτε να καθορίσετε άλλα αντικείμενα:
- Διεπαφές πύλης. Όλα τα εσωτερικά δίκτυα (Εσωτερικά), όλα τα εξωτερικά δίκτυα (Εξωτερικά) ή Οποιοδήποτε.
- Εικονικές μηχανές. Συνδέουμε τους κανόνες σε μια συγκεκριμένη εικονική μηχανή.
- OrgVdcNetworks. Δίκτυα σε επίπεδο οργανισμού.
- Σετ IP. Μια προ-δημιουργημένη ομάδα χρηστών διευθύνσεων IP (που δημιουργήθηκε στο αντικείμενο Ομαδοποίηση).
Στο πεδίο Προορισμός αναφέρετε τη διεύθυνση του παραλήπτη. Οι επιλογές εδώ είναι ίδιες όπως στο πεδίο Πηγή.
Στο πεδίο Υπηρεσία μπορείτε να επιλέξετε ή να καθορίσετε μη αυτόματα τη θύρα προορισμού (Θύρα προορισμού), το απαιτούμενο πρωτόκολλο (Πρωτόκολλο) και τη θύρα αποστολέα (Θύρα προέλευσης). Κάντε κλικ στην επιλογή Διατήρηση.
Στο πεδίο Ενέργειες επιλέξτε την απαιτούμενη ενέργεια: επιτρέψτε ή απορρίψτε την κυκλοφορία που αντιστοιχεί σε αυτόν τον κανόνα.
Εφαρμόστε την εισαγόμενη διαμόρφωση επιλέγοντας Αποθηκεύστε τις αλλαγές.
Παραδείγματα κανόνων
Κανόνας 1 για Τείχος προστασίας (Διαδίκτυο) επιτρέπει την πρόσβαση στο Διαδίκτυο μέσω οποιουδήποτε πρωτοκόλλου σε διακομιστή με IP 192.168.1.10.
Κανόνας 2 για Τείχος προστασίας (διακομιστής Ιστού) επιτρέπει την πρόσβαση από το Διαδίκτυο μέσω (πρωτόκολλο TCP, θύρα 80) μέσω της εξωτερικής σας διεύθυνσης. Σε αυτήν την περίπτωση - 185.148.83.16:80.
Ρύθμιση NAT
NAT (Μετάφραση διεύθυνσης δικτύου) – μετάφραση ιδιωτικών (γκρι) διευθύνσεων IP σε εξωτερικές (λευκές) και αντίστροφα. Μέσω αυτής της διαδικασίας, η εικονική μηχανή αποκτά πρόσβαση στο Διαδίκτυο. Για να διαμορφώσετε αυτόν τον μηχανισμό, πρέπει να ρυθμίσετε τους κανόνες SNAT και DNAT.
Σπουδαίος! Το NAT λειτουργεί μόνο όταν είναι ενεργοποιημένο το Τείχος προστασίας και έχουν ρυθμιστεί οι κατάλληλοι επιτρεπόμενοι κανόνες.
Δημιουργήστε έναν κανόνα SNAT. Το SNAT (Source Network Address Translation) είναι ένας μηχανισμός του οποίου η ουσία είναι η αντικατάσταση της διεύθυνσης πηγής κατά την αποστολή ενός πακέτου.
Πρώτα πρέπει να μάθουμε την εξωτερική διεύθυνση IP ή το εύρος των διευθύνσεων IP που έχουμε στη διάθεσή μας. Για να το κάνετε αυτό, μεταβείτε στην ενότητα Διαχείριση και κάντε διπλό κλικ στο εικονικό κέντρο δεδομένων. Στο μενού ρυθμίσεων που εμφανίζεται, μεταβείτε στην καρτέλα Edge Gatewayμικρό. Επιλέξτε το επιθυμητό NSX Edge και κάντε δεξί κλικ πάνω του. Επιλέξτε μια επιλογή Ιδιοκτησίες.
Στο παράθυρο που εμφανίζεται, στην καρτέλα Δευτερεύουσα κατανομή IP Pools μπορείτε να δείτε την εξωτερική διεύθυνση IP ή το εύρος των διευθύνσεων IP. Γράψτε το ή θυμηθείτε το.
Στη συνέχεια, κάντε δεξί κλικ στο NSX Edge. Στο μενού που εμφανίζεται, επιλέξτε την επιλογή Υπηρεσίες Edge Gateway. Και επιστρέφουμε στον πίνακα ελέγχου του NSX Edge.
Στο παράθυρο που εμφανίζεται, ανοίξτε την καρτέλα NAT και κάντε κλικ στην Προσθήκη SNAT.
Στο νέο παράθυρο υποδεικνύουμε:
- στο πεδίο Εφαρμόζεται - ένα εξωτερικό δίκτυο (όχι δίκτυο σε επίπεδο οργανισμού!).
- IP/εύρος αρχικής πηγής – εσωτερικό εύρος διευθύνσεων, για παράδειγμα, 192.168.1.0/24;
- IP/εύρος μεταφρασμένης πηγής – η εξωτερική διεύθυνση μέσω της οποίας θα γίνει πρόσβαση στο Διαδίκτυο και την οποία κοιτάξατε στην καρτέλα Sub-Allocate IP Pools.
Κάντε κλικ στην επιλογή Διατήρηση.
Δημιουργήστε έναν κανόνα DNAT. Το DNAT είναι ένας μηχανισμός που αλλάζει τη διεύθυνση προορισμού ενός πακέτου καθώς και τη θύρα προορισμού. Χρησιμοποιείται για την ανακατεύθυνση εισερχόμενων πακέτων από μια εξωτερική διεύθυνση/θύρα σε μια ιδιωτική διεύθυνση IP/θύρα εντός ενός ιδιωτικού δικτύου.
Επιλέξτε την καρτέλα NAT και κάντε κλικ στην Προσθήκη DNAT.
Στο παράθυρο που εμφανίζεται, καθορίστε:
— στο πεδίο Εφαρμόζεται σε - εξωτερικό δίκτυο (όχι δίκτυο σε επίπεδο οργανισμού!).
— Αρχική IP/εύρος – εξωτερική διεύθυνση (διεύθυνση από την καρτέλα Sub-Allocate IP Pools).
— Πρωτόκολλο – πρωτόκολλο.
— Original Port – θύρα για εξωτερική διεύθυνση.
— Μεταφρασμένη IP/εύρος – εσωτερική διεύθυνση IP, για παράδειγμα, 192.168.1.10
— Μεταφρασμένη θύρα – θύρα για την εσωτερική διεύθυνση στην οποία θα μεταφραστεί η θύρα της εξωτερικής διεύθυνσης.
Κάντε κλικ στην επιλογή Διατήρηση.
Εφαρμόστε την εισαγόμενη διαμόρφωση επιλέγοντας Αποθηκεύστε τις αλλαγές.
Τέλος.
Στη συνέχεια ακολουθούν οδηγίες για το DHCP, συμπεριλαμβανομένης της ρύθμισης DHCP Bindings και Relay.
Πηγή: www.habr.com