Lyhyen tauon jälkeen palaamme NSX:n pariin. Tänään näytän sinulle, kuinka NAT ja palomuuri määritetään.
Välilehdellä Ylläpito mene virtuaaliseen datakeskukseesi - Pilviresurssit – Virtuaaliset datakeskukset.
Valitse välilehti Edge-yhdyskäytävät ja napsauta hiiren kakkospainikkeella haluamaasi NSX Edgeä. Valitse vaihtoehto näkyviin tulevasta valikosta Edge Gateway -palvelut. NSX Edge Control Panel avautuu erilliseen välilehteen.
Palomuurisääntöjen määrittäminen
Oletuksena nimikkeessä sisääntuloliikenteen oletussääntö Estä vaihtoehto on valittuna, eli palomuuri estää kaiken liikenteen.
Lisää uusi sääntö napsauttamalla +. Uusi merkintä tulee näkyviin nimellä Uusi sääntö. Muokkaa sen kenttiä tarpeidesi mukaan.
Kentällä Nimi anna säännölle nimi, esimerkiksi Internet.
Kentällä lähde Syötä vaaditut lähdeosoitteet. IP-painikkeella voit määrittää yhden IP-osoitteen, IP-osoitteiden alueen, CIDR:n.
+ -painikkeella voit määrittää muita objekteja:
- Yhdyskäytäväliitännät. Kaikki sisäiset verkot (sisäiset), kaikki ulkoiset verkot (ulkoiset) tai mikä tahansa.
- Virtuaalikoneet. Sidomme säännöt tiettyyn virtuaalikoneeseen.
- OrgVdcNetworks. Organisaatiotason verkot.
- IP-sarjat. Valmiiksi luotu IP-osoitteiden käyttäjäryhmä (luettu Ryhmittely-objektissa).
Kentällä määränpää ilmoittaa vastaanottajan osoite. Vaihtoehdot ovat samat kuin Lähde-kentässä.
Kentällä Palvelu voit valita tai määrittää manuaalisesti kohdeportin (Destination Port), vaaditun protokollan (Protocol) ja lähettäjän portin (lähdeportti). Napsauta Säilytä.
Kentällä Toiminta valitse vaadittu toimenpide: salli tai estä tätä sääntöä vastaava liikenne.
Ota syötetty kokoonpano käyttöön valitsemalla Tallenna muutokset.
Esimerkkejä säännöistä
Sääntö 1 palomuurille (Internet) mahdollistaa pääsyn Internetiin minkä tahansa protokollan kautta palvelimelle, jonka IP-osoite on 192.168.1.10.
Sääntö 2 palomuurille (verkkopalvelin) mahdollistaa pääsyn Internetistä (TCP-protokolla, portti 80) ulkoisen osoitteesi kautta. Tässä tapauksessa - 185.148.83.16:80.
NAT-asetukset
NAT (verkko-osoitekäännös) – yksityisten (harmaiden) IP-osoitteiden kääntäminen ulkoisiksi (valkoisiksi) ja päinvastoin. Tämän prosessin kautta virtuaalikone saa pääsyn Internetiin. Tämän mekanismin määrittämiseksi sinun on määritettävä SNAT- ja DNAT-säännöt.
Tärkeä! NAT toimii vain, kun palomuuri on käytössä ja asianmukaiset sallimissäännöt on määritetty.
Luo SNAT-sääntö. SNAT (Source Network Address Translation) on mekanismi, jonka ydin on korvata lähdeosoite pakettia lähetettäessä.
Ensin meidän on selvitettävä käytettävissämme oleva ulkoinen IP-osoite tai IP-osoitealue. Voit tehdä tämän siirtymällä osioon Ylläpito ja kaksoisnapsauta virtuaalista datakeskusta. Siirry näkyviin tulevassa asetusvalikossa välilehdelle reunan yhdyskäytäväs. Valitse haluamasi NSX Edge ja napsauta sitä hiiren kakkospainikkeella. Valitse vaihtoehto Kiinteistöt.
Näyttöön tulevassa ikkunassa välilehdellä Alallokoi IP-varastot voit tarkastella ulkoista IP-osoitetta tai IP-osoitealuetta. Kirjoita se muistiin tai muista se.
Napsauta seuraavaksi hiiren kakkospainikkeella NSX Edgeä. Valitse vaihtoehto näkyviin tulevasta valikosta Edge Gateway -palvelut. Ja olemme taas NSX Edgen ohjauspaneelissa.
Avaa näkyviin tulevassa ikkunassa NAT-välilehti ja napsauta Lisää SNAT.
Uudessa ikkunassa ilmoitamme:
- Applied on -kentässä – ulkoinen verkko (ei organisaatiotason verkko!);
- Alkuperäisen lähteen IP/alue – sisäinen osoitealue, esimerkiksi 192.168.1.0/24;
- Käännetyn lähteen IP/alue – ulkoinen osoite, jonka kautta Internetiä käytetään ja jota tarkastelit Sub-Allocate IP Pools -välilehdessä.
Napsauta Säilytä.
Luo DNAT-sääntö. DNAT on mekanismi, joka muuttaa paketin kohdeosoitetta sekä kohdeporttia. Käytetään saapuvien pakettien ohjaamiseen ulkoisesta osoitteesta/portista yksityiseen IP-osoitteeseen/porttiin yksityisen verkon sisällä.
Valitse NAT-välilehti ja napsauta Lisää DNAT.
Määritä näkyviin tulevassa ikkunassa:
— Sovellettu-kentässä – ulkoinen verkko (ei organisaatiotason verkko!);
— Alkuperäinen IP/alue – ulkoinen osoite (osoite Sub-Allocate IP Pools -välilehdeltä);
— Protokolla – protokolla;
— Original Port – portti ulkoiselle osoitteelle;
— Käännetty IP/alue – sisäinen IP-osoite, esimerkiksi 192.168.1.10
— Käännetty portti – portti sisäiselle osoitteelle, johon ulkoisen osoitteen portti käännetään.
Napsauta Säilytä.
Ota syötetty kokoonpano käyttöön valitsemalla Tallenna muutokset.
Valmis.
Seuraavaksi jonossa ovat DHCP:tä koskevat ohjeet, mukaan lukien DHCP-sidosten ja -välityksen määrittäminen.
Lähde: will.com