پس از یک استراحت کوتاه به NSX باز می گردیم. امروز به شما نشان خواهم داد که چگونه NAT و Firewall را پیکربندی کنید.
در برگه حکومت به مرکز داده مجازی خود بروید – منابع ابری – مراکز داده مجازی.
یک برگه را انتخاب کنید دروازه های لبه و روی NSX Edge مورد نظر کلیک راست کنید. در منوی ظاهر شده، گزینه را انتخاب کنید خدمات دروازه لبه. کنترل پنل NSX Edge در یک تب جداگانه باز می شود.
تنظیم قوانین فایروال
به طور پیش فرض در مورد قانون پیش فرض برای ترافیک ورودی گزینه Deny انتخاب شده است، یعنی فایروال تمام ترافیک را مسدود می کند.
برای افزودن یک قانون جدید، روی + کلیک کنید. یک ورودی جدید با نام ظاهر می شود قانون جدید. فیلدهای آن را مطابق با نیاز خود ویرایش کنید.
در این زمینه نام به قانون یک نام بدهید، برای مثال اینترنت.
در این زمینه منبع آدرس های منبع مورد نیاز را وارد کنید. با استفاده از دکمه IP، می توانید یک آدرس IP واحد، طیف وسیعی از آدرس های IP، CIDR را تنظیم کنید.
با استفاده از دکمه + می توانید اشیاء دیگری را مشخص کنید:
- رابط های دروازه. همه شبکه های داخلی (Internal)، همه شبکه های خارجی (External) یا Any.
- ماشین های مجازی ما قوانین را به یک ماشین مجازی خاص متصل می کنیم.
- OrgVdcNetworks. شبکه های سطح سازمان
- مجموعه های IP یک گروه کاربری از پیش ساخته شده از آدرس های IP (ایجاد شده در شی Grouping).
در این زمینه مقصد آدرس گیرنده را نشان دهید گزینه های اینجا مانند قسمت Source است.
در این زمینه محصولات می توانید پورت مقصد (Destination Port)، پروتکل مورد نیاز (Protocol) و پورت فرستنده (Source Port) را انتخاب یا به صورت دستی مشخص کنید. روی Keep کلیک کنید.
در این زمینه عمل اقدام مورد نیاز را انتخاب کنید: ترافیکی را که با این قانون مطابقت دارد مجاز یا رد کنید.
با انتخاب تنظیمات وارد شده را اعمال کنید ذخیره تغییرات.
نمونه قوانین
قانون 1 برای فایروال (اینترنت) اجازه دسترسی به اینترنت از طریق هر پروتکل به سروری با IP 192.168.1.10 را می دهد.
قانون 2 برای فایروال (وب سرور) دسترسی از اینترنت از طریق (پروتکل TCP، پورت 80) از طریق آدرس خارجی شما امکان پذیر است. در این مورد - 185.148.83.16:80.
راه اندازی NAT
NAT (ترجمه آدرس شبکه) - ترجمه آدرس های IP خصوصی (خاکستری) به آدرس های خارجی (سفید) و بالعکس. از طریق این فرآیند، ماشین مجازی به اینترنت دسترسی پیدا می کند. برای پیکربندی این مکانیسم، باید قوانین SNAT و DNAT را پیکربندی کنید.
مهم! NAT فقط زمانی کار می کند که فایروال فعال باشد و قوانین مجاز مناسب پیکربندی شده باشند.
یک قانون SNAT ایجاد کنید. SNAT (ترجمه آدرس شبکه منبع) مکانیزمی است که ماهیت آن جایگزینی آدرس منبع هنگام ارسال بسته است.
ابتدا باید آدرس IP خارجی یا محدوده آدرس های IP در دسترس ما را پیدا کنیم. برای این کار به بخش مراجعه کنید حکومت و روی مرکز داده مجازی دابل کلیک کنید. در منوی تنظیمات که ظاهر می شود، به تب بروید Edge Gatewayس NSX Edge مورد نظر را انتخاب کرده و روی آن راست کلیک کنید. یک گزینه را انتخاب کنید پروژه های ما.
در پنجره ای که ظاهر می شود، در برگه زیر تخصیص استخرهای IP می توانید آدرس IP خارجی یا محدوده آدرس های IP را مشاهده کنید. آن را یادداشت کنید یا به خاطر بسپارید.
سپس روی NSX Edge کلیک راست کنید. در منوی ظاهر شده، گزینه را انتخاب کنید خدمات دروازه لبه. و ما به کنترل پنل NSX Edge برگشتیم.
در پنجره ظاهر شده، تب NAT را باز کرده و روی Add SNAT کلیک کنید.
در پنجره جدید نشان می دهیم:
- در قسمت Applied on – یک شبکه خارجی (نه یک شبکه در سطح سازمان!)؛
- IP / محدوده منبع اصلی - محدوده آدرس داخلی، به عنوان مثال، 192.168.1.0/24.
- IP / محدوده منبع ترجمه شده - آدرس خارجی که از طریق آن به اینترنت دسترسی خواهید داشت و در برگه Sub-Allocate IP Pools به آن نگاه کردید.
روی Keep کلیک کنید.
یک قانون DNAT ایجاد کنید. DNAT مکانیزمی است که آدرس مقصد یک بسته و همچنین پورت مقصد را تغییر می دهد. برای تغییر مسیر بسته های ورودی از یک آدرس/پورت خارجی به یک آدرس IP/پورت خصوصی در یک شبکه خصوصی استفاده می شود.
تب NAT را انتخاب کرده و روی Add DNAT کلیک کنید.
در پنجره ای که ظاهر می شود، مشخص کنید:
- در قسمت Applied on - یک شبکه خارجی (نه یک شبکه در سطح سازمان!)؛
- IP / محدوده اصلی - آدرس خارجی (آدرس از تب Sub-Allocate IP Pools)؛
- پروتکل - پروتکل؛
- پورت اصلی - پورت برای آدرس خارجی.
— IP/محدوده ترجمه شده – آدرس IP داخلی، به عنوان مثال، 192.168.1.10
— Port Translated – پورت برای آدرس داخلی که پورت آدرس خارجی به آن ترجمه خواهد شد.
روی Keep کلیک کنید.
با انتخاب تنظیمات وارد شده را اعمال کنید ذخیره تغییرات.
انجام شد
در ردیف بعدی دستورالعمل های مربوط به DHCP، از جمله راه اندازی DHCP Bindings و Relay وجود دارد.
منبع: www.habr.com