Rövid szünet után visszatérünk az NSX-hez. Ma megmutatom, hogyan kell beállítani a NAT-ot és a tűzfalat.
A lapon Adminisztráció menjen a virtuális adatközpontjába – Felhőforrások – Virtuális adatközpontok.
Válasszon egy lapot Él átjárók és jobb gombbal kattintson a kívánt NSX Edge-re. A megjelenő menüben válassza ki a lehetőséget Edge Gateway szolgáltatások. Az NSX Edge Control Panel külön lapon nyílik meg.
Tűzfalszabályok beállítása
Alapértelmezés szerint a tételben alapértelmezett szabály a bejövő forgalomra A Deny opció van kiválasztva, azaz a tűzfal blokkolja az összes forgalmat.
Új szabály hozzáadásához kattintson a + gombra. Megjelenik egy új bejegyzés a névvel Új szabály. Szerkessze a mezőit igényei szerint.
A területen Név adjon nevet a szabálynak, például Internet.
A területen forrás Adja meg a szükséges forráscímeket. Az IP gombbal beállíthat egyetlen IP-címet, IP-címtartományt, CIDR-t.
A + gombbal további objektumokat adhat meg:
- Gateway interfészek. Minden belső hálózat (belső), minden külső hálózat (külső) vagy bármely.
- Virtuális gépek. A szabályokat egy adott virtuális géphez kötjük.
- OrgVdcNetworks. Szervezeti szintű hálózatok.
- IP-készletek. Előre létrehozott IP-címekből álló felhasználói csoport (a Grouping objektumban létrehozva).
A területen Rendeltetési hely adja meg a címzett címét. A lehetőségek itt ugyanazok, mint a Forrás mezőben.
A területen szolgáltatás kiválaszthatja vagy manuálisan megadhatja a célportot (Destination Port), a szükséges protokollt (Protocol) és a küldő portot (Source Port). Kattintson a Keep gombra.
A területen Akció válassza ki a kívánt műveletet: engedélyezze vagy tiltsa le a szabálynak megfelelő forgalmat.
Alkalmazza a megadott konfigurációt a kiválasztásával A változtatások mentéséhez.
Szabálypéldák
1. szabály a tűzfalhoz (internet) lehetővé teszi az internet elérését bármely protokollon keresztül egy 192.168.1.10 IP-című szerver számára.
2. szabály a tűzfalhoz (webszerver) lehetővé teszi a hozzáférést az internetről (TCP protokoll, 80-as port) a külső címén keresztül. Ebben az esetben - 185.148.83.16:80.
NAT beállítása
NAT (hálózati címfordítás) – privát (szürke) IP-címek fordítása külső (fehér) IP-címekre és fordítva. Ezen a folyamaton keresztül a virtuális gép hozzáfér az internethez. A mechanizmus konfigurálásához konfigurálnia kell a SNAT és a DNAT szabályokat.
Fontos! A NAT csak akkor működik, ha a tűzfal engedélyezve van, és a megfelelő engedélyezési szabályok be vannak állítva.
Hozzon létre egy SNAT-szabályt. A SNAT (Source Network Address Translation) egy olyan mechanizmus, amelynek lényege, hogy csomagküldéskor lecseréli a forráscímet.
Először is meg kell találnunk a rendelkezésünkre álló külső IP-címet vagy IP-címtartományt. Ehhez lépjen a szakaszra Adminisztráció és kattintson duplán a virtuális adatközpontra. A megjelenő beállítások menüben lépjen a lapra Edge Gateways. Válassza ki a kívánt NSX Edge-et, és kattintson rá jobb gombbal. Válassz egy lehetőséget Ingatlanok.
A megjelenő ablakban a lapon IP-készletek továbbfoglalása megtekintheti a külső IP-címet vagy az IP-címek tartományát. Írd le vagy emlékezz rá.
Ezután kattintson a jobb gombbal az NSX Edge-re. A megjelenő menüben válassza ki a lehetőséget Edge Gateway szolgáltatások. És visszatértünk az NSX Edge vezérlőpultjához.
A megjelenő ablakban nyissa meg a NAT lapot, és kattintson a SNAT hozzáadása lehetőségre.
Az új ablakban jelezzük:
- az Alkalmazott mezőben – külső hálózat (nem szervezeti szintű hálózat!);
- Eredeti forrás IP/tartomány – belső címtartomány, például 192.168.1.0/24;
- Lefordított forrás IP/tartomány – az a külső cím, amelyen keresztül az internet elérhető lesz, és amelyet az IP-készletek alfoglalása lapon megtekintett.
Kattintson a Keep gombra.
Hozzon létre egy DNAT-szabályt. A DNAT egy olyan mechanizmus, amely megváltoztatja a csomagok célcímét és a célportot. A bejövő csomagok külső címről/portról egy magánhálózaton belüli privát IP-címre/portra való átirányítására szolgál.
Válassza a NAT lapot, és kattintson a DNAT hozzáadása gombra.
A megjelenő ablakban adja meg:
— az Alkalmazott mezőben – külső hálózat (nem szervezeti szintű hálózat!);
— Eredeti IP/tartomány – külső cím (cím az IP-készletek alfoglalása lapról);
— Protokoll – protokoll;
— Eredeti port – külső cím portja;
– Lefordított IP/tartomány – belső IP-cím, például 192.168.1.10
— Translated Port – a belső cím portja, amelyre a külső cím portja le lesz fordítva.
Kattintson a Keep gombra.
Alkalmazza a megadott konfigurációt a kiválasztásával A változtatások mentéséhez.
Kész.
A sorban a DHCP-vel kapcsolatos utasítások következnek, beleértve a DHCP-kötések és a továbbítás beállítását.
Forrás: will.com