Կարճ ընդմիջումից հետո մենք վերադառնում ենք NSX: Այսօր ես ձեզ ցույց կտամ, թե ինչպես կարգավորել NAT-ը և Firewall-ը:
Ներդիրում Administration գնալ ձեր վիրտուալ տվյալների կենտրոն - Cloud Resources - Վիրտուալ տվյալների կենտրոններ.
Ընտրեք ներդիր Եզրային դարպասներ և աջ սեղմեք ցանկալի NSX Edge-ի վրա: Հայտնվող ընտրացանկում ընտրեք տարբերակը Edge Gateway ծառայություններ. NSX Edge կառավարման վահանակը կբացվի առանձին ներդիրում:
Firewall-ի կանոնների կարգավորում
Լռելյայն պարբերությունում մուտքային տրաֆիկի լռելյայն կանոն Ընտրված է «Մերժել» տարբերակը, այսինքն՝ Firewall-ը կարգելափակի ողջ երթևեկությունը:
Նոր կանոն ավելացնելու համար սեղմեք +: Նոր գրառում կհայտնվի վերնագրով Նոր կանոն. Խմբագրեք դրա դաշտերը ձեր պահանջներին համապատասխան:
Ի դաշտում Անուն նշեք կանոնի անունը, օրինակ՝ ինտերնետ:
Ի դաշտում Աղբյուր մուտքագրեք անհրաժեշտ աղբյուրի հասցեները: Սեղմելով IP կոճակը, կարող եք սահմանել մեկ IP հասցե, IP հասցեների մի շարք, CIDR:
Սեղմելով + կոճակը, կարող եք սահմանել այլ օբյեկտներ.
- Դարպասների միջերեսներ. Բոլոր ներքին ցանցերը (Ներքին), բոլոր արտաքին ցանցերը (Արտաքին) կամ Ցանկացած:
- վիրտուալ մեքենաներ. Մենք կանոնները կապում ենք կոնկրետ վիրտուալ մեքենայի հետ:
- OrgVdcNetworks. Կազմակերպության մակարդակի ցանցեր.
- IP հավաքածուներ. Օգտագործողի կողմից նախկինում ստեղծված IP հասցեների խումբ (ստեղծվել է Grouping օբյեկտում):
Ի դաշտում նշանակման վայր մուտքագրեք ստացողի հասցեն. Ահա նույն ընտրանքները, ինչ Աղբյուր դաշտում:
Ի դաշտում Ծառայությունների Դուք կարող եք ընտրել կամ ձեռքով նշել նպատակակետ նավահանգիստը (Destination Port), անհրաժեշտ արձանագրությունը (Protocol), ուղարկողի նավահանգիստը (Source Port): Սեղմեք Պահպանել:
Ի դաշտում գործողություն ընտրեք պահանջվող գործողությունը. թույլատրեք այս կանոնին համապատասխանող տրաֆիկի անցումը կամ մերժեք այն:
Կիրառեք մուտքագրված կոնֆիգուրացիան՝ ընտրելով տարրը Պահել փոփոխությունները.
Կանոնների օրինակներ
Կանոն 1 Firewall-ի համար (Ինտերնետ) թույլ է տալիս մուտք գործել ինտերնետ ցանկացած արձանագրության միջոցով սերվերին IP 192.168.1.10:
Կանոն 2 Firewall-ի համար (վեբ սերվեր) թույլ է տալիս մուտք գործել ինտերնետից (TCP արձանագրություն, պորտ 80) ձեր արտաքին հասցեի միջոցով: Այս դեպքում 185.148.83.16:80.
NAT կարգավորում
NAT (ցանցի հասցեի թարգմանություն) - մասնավոր (մոխրագույն) IP հասցեների թարգմանություն արտաքին (սպիտակ) և հակառակը: Այս գործընթացի միջոցով վիրտուալ մեքենան մուտք է ստանում ինտերնետ: Այս մեխանիզմը կարգավորելու համար անհրաժեշտ է կարգավորել SNAT և DNAT կանոնները:
Կարևոր! NAT-ն աշխատում է միայն այն դեպքում, երբ Firewall-ը միացված է և համապատասխան թույլտվության կանոնները կազմաձևված են:
Ստեղծեք SNAT կանոն: SNAT-ը (Source Network Address Translation) մեխանիզմ է, որի էությունը փաթեթը փոխանցելիս սկզբնաղբյուրի հասցեն փոխարինելն է։
Սկզբում մենք պետք է պարզենք արտաքին IP հասցեն կամ մեզ հասանելի IP հասցեների շրջանակը: Դա անելու համար անցեք բաժին Administration և կրկնակի սեղմեք վիրտուալ տվյալների կենտրոնի վրա: Պարամետրերի ցանկում, որը հայտնվում է, անցեք ներդիր Edge Gatewayս. Ընտրեք ցանկալի NSX Edge-ը և աջ սեղմեք դրա վրա: Ընտրեք տարբերակ Հատկություններ.
Պատուհանում, որը հայտնվում է, ներդիրում Ենթաբաշխել IP լողավազաններ դուք կարող եք դիտել արտաքին IP հասցեն կամ IP հասցեների շրջանակը: Դուրս գրիր կամ մտապահիր։
Հաջորդը սեղմեք NSX Edge-ի վրա մկնիկի աջ կոճակով: Հայտնվող ընտրացանկում ընտրեք տարբերակը Edge Gateway ծառայություններ. Եվ մենք վերադարձել ենք NSX Edge կառավարման վահանակ:
Բացվող պատուհանում բացեք NAT ներդիրը և սեղմեք Ավելացնել SNAT:
Նոր պատուհանում նշեք.
- Applied on դաշտում - արտաքին ցանց (ոչ կազմակերպության մակարդակի ցանց):
- Original Source IP/range – ներքին հասցեների տիրույթ, օրինակ՝ 192.168.1.0/24;
- Թարգմանված աղբյուրի IP/միջակայք - արտաքին հասցեն, որի միջոցով հասանելի կլինի ինտերնետը, և որը դուք դիտել եք Sub-Allocate IP Pools ներդիրում:
Սեղմեք Պահպանել:
Ստեղծեք DNAT կանոն: DNAT-ը մեխանիզմ է, որը փոխում է փաթեթի նպատակակետ հասցեն, ինչպես նաև նպատակակետ նավահանգիստը: Օգտագործվում է մուտքային փաթեթները արտաքին հասցեից/պորտից դեպի մասնավոր IP հասցե/պորտ մասնավոր ցանցի ներսում փոխանցելու համար:
Ընտրեք NAT ներդիրը և սեղմեք Ավելացնել DNAT:
Պատուհանում, որը հայտնվում է, նշեք.
- Applied on դաշտում - արտաքին ցանց (ոչ կազմակերպության մակարդակի ցանց):
— Բնօրինակ IP/տիրույթ՝ արտաքին հասցե (հասցե՝ Sub-Allocate IP Pools ներդիրից);
— Արձանագրություն — արձանագրություն;
— Բնօրինակ նավահանգիստ՝ արտաքին հասցեի նավահանգիստ;
- Թարգմանված IP / միջակայք - ներքին IP հասցե, օրինակ, 192.168.1.10
— Translated Port – պորտ ներքին հասցեի համար, որին կթարգմանվի արտաքին հասցեի նավահանգիստը:
Սեղմեք Պահպանել:
Կիրառեք մուտքագրված կոնֆիգուրացիան՝ ընտրելով տարրը Պահել փոփոխությունները.
Կատարված:
Հաջորդը DHCP հրահանգներն են, ներառյալ DHCP կապերի և ռելեի կազմաձևումը:
Source: www.habr.com