Despois dun pequeno descanso volvemos ao NSX. Hoxe vouvos mostrar como configurar NAT e Firewall.
Na pestana administración vai ao teu centro de datos virtual - Recursos na nube: centros de datos virtuais.
Selecciona unha pestana Pasarelas Edge e fai clic co botón dereito no NSX Edge desexado. No menú que aparece, selecciona a opción Servizos de pasarela Edge. O panel de control de NSX Edge abrirase nunha pestana separada.
Configurar regras de firewall
Por defecto no elemento regra predeterminada para o tráfico de entrada A opción Denegar está seleccionada, é dicir, o Firewall bloqueará todo o tráfico.
Para engadir unha nova regra, fai clic en +. Aparecerá unha nova entrada co nome Nova regra. Edita os seus campos segundo as túas necesidades.
no campo nome darlle un nome á regra, por exemplo Internet.
no campo fonte Introduza os enderezos de orixe necesarios. Usando o botón IP, pode definir un único enderezo IP, un intervalo de enderezos IP, CIDR.
Usando o botón + podes especificar outros obxectos:
- Interfaces de pasarela. Todas as redes internas (Internas), todas as redes externas (Externas) ou Calquera.
- Máquinas virtuais. Vinculamos as regras a unha máquina virtual específica.
- Redes OrgVdc. Redes a nivel de organización.
- Conxuntos de IP. Un grupo de usuarios de enderezos IP creado previamente (creado no obxecto Agrupación).
no campo Destino indicar o enderezo do destinatario. As opcións aquí son as mesmas que no campo Orixe.
no campo servizo pode seleccionar ou especificar manualmente o porto de destino (Porto de destino), o protocolo necesario (Protocolo) e o porto do remitente (Porto de orixe). Fai clic en Manter.
no campo acción seleccione a acción requirida: permitir ou denegar o tráfico que coincida con esta regra.
Aplique a configuración introducida seleccionando Gardar cambios.
Exemplos de regras
Regra 1 para Firewall (Internet) permite o acceso a Internet mediante calquera protocolo a un servidor con IP 192.168.1.10.
Regra 2 para Firewall (servidor web) permite o acceso desde Internet mediante (protocolo TCP, porto 80) a través do seu enderezo externo. Neste caso - 185.148.83.16:80.
Configuración de NAT
NAT (tradución de enderezos de rede) – tradución de enderezos IP privados (gris) a externos (brancos) e viceversa. A través deste proceso, a máquina virtual accede a Internet. Para configurar este mecanismo, cómpre configurar as regras SNAT e DNAT.
Importante! NAT só funciona cando o Firewall está activado e se configuran as regras de autorización adecuadas.
Crea unha regra SNAT. SNAT (Source Network Address Translation) é un mecanismo cuxa esencia é substituír o enderezo de orixe ao enviar un paquete.
Primeiro necesitamos descubrir o enderezo IP externo ou o rango de enderezos IP dispoñibles para nós. Para iso, vai á sección administración e fai dobre clic no centro de datos virtual. No menú de configuración que aparece, vai á pestana Pasarela Edges. Seleccione o NSX Edge desexado e faga clic co botón dereito nel. Seleccione unha opción Propiedades.
Na xanela que aparece, na pestana Subasignar grupos de IP pode ver o enderezo IP externo ou o rango de enderezos IP. Escríbeo ou recórdao.
A continuación, fai clic co botón dereito en NSX Edge. No menú que aparece, selecciona a opción Servizos de pasarela Edge. E volvemos ao panel de control de NSX Edge.
Na xanela que aparece, abra a pestana NAT e prema Engadir SNAT.
Na nova ventá indicamos:
- no campo Aplicado en: unha rede externa (non unha rede a nivel de organización!);
- IP/rango de orixe orixinal: intervalo de enderezos internos, por exemplo, 192.168.1.0/24;
- IP/rango de orixe traducido: o enderezo externo a través do cal se accederá a Internet e que mirou na pestana Sub-asignar grupos de IP.
Fai clic en Manter.
Crear unha regra DNAT. DNAT é un mecanismo que cambia o enderezo de destino dun paquete así como o porto de destino. Utilízase para redirixir os paquetes entrantes desde un enderezo/un porto externo a un enderezo/un porto IP privado dentro dunha rede privada.
Seleccione a pestana NAT e prema Engadir DNAT.
Na xanela que aparece, especifique:
— no campo Aplicado en: unha rede externa (non unha rede a nivel de organización!);
— IP/rango orixinal: enderezo externo (enderezo da pestana Sub-asignar grupos de IP);
— Protocolo – protocolo;
— Porto orixinal: porto para enderezo externo;
— IP/rango traducido: enderezo IP interno, por exemplo, 192.168.1.10
— Porto traducido: porto para o enderezo interno ao que se traducirá o porto do enderezo externo.
Fai clic en Manter.
Aplique a configuración introducida seleccionando Gardar cambios.
Feito.
A continuación aparecen instrucións sobre DHCP, incluíndo a configuración de enlaces e retransmisión de DHCP.
Fonte: www.habr.com