Setelah istirahat sejenak kami kembali ke NSX. Hari ini saya akan menunjukkan cara mengkonfigurasi NAT dan Firewall.
Di tab Administrasi pergi ke pusat data virtual Anda β Sumber Daya Cloud β Pusat Data Virtual.
Pilih tab Gerbang Tepi dan klik kanan pada NSX Edge yang diinginkan. Di menu yang muncul, pilih opsi Layanan Edge Gateway. Panel Kontrol NSX Edge akan terbuka di tab terpisah.
Menyiapkan aturan Firewall
Secara default di item aturan default untuk lalu lintas masuk Opsi Tolak dipilih, yaitu Firewall akan memblokir semua lalu lintas.
Untuk menambahkan aturan baru, klik +. Entri baru akan muncul dengan nama tersebut Aturan baru. Edit bidangnya sesuai dengan kebutuhan Anda.
Di lapangan Nama beri nama aturan tersebut, misalnya Internet.
Di lapangan sumber Masukkan alamat sumber yang diperlukan. Dengan menggunakan tombol IP, Anda dapat mengatur satu alamat IP, rentang alamat IP, CIDR.
Menggunakan tombol + Anda dapat menentukan objek lain:
- Antarmuka gerbang. Semua jaringan internal (Internal), semua jaringan eksternal (Eksternal) atau Apa Saja.
- Mesin virtual. Kami mengikat aturan ke mesin virtual tertentu.
- OrgVdcNetworks. Jaringan tingkat organisasi.
- Kumpulan IP. Grup pengguna alamat IP yang telah dibuat sebelumnya (dibuat di objek Pengelompokan).
Di lapangan Tujuan menunjukkan alamat penerima. Opsi di sini sama seperti di bidang Sumber.
Di lapangan Pelayanan Anda dapat memilih atau menentukan secara manual port tujuan (Port Tujuan), protokol yang diperlukan (Protokol), dan port pengirim (Port Sumber). Klik Simpan.
Di lapangan Tindakan pilih tindakan yang diperlukan: izinkan atau tolak lalu lintas yang cocok dengan aturan ini.
Terapkan konfigurasi yang dimasukkan dengan memilih Simpan perubahan.
Contoh aturan
Aturan 1 untuk Firewall (Internet) memungkinkan akses ke Internet melalui protokol apa pun ke server dengan IP 192.168.1.10.
Aturan 2 untuk Firewall (server Web) memungkinkan akses dari Internet melalui (protokol TCP, port 80) melalui alamat eksternal Anda. Dalam hal ini - 185.148.83.16:80.
pengaturan NAT
NAT (Terjemahan Alamat Jaringan) β terjemahan alamat IP pribadi (abu-abu) ke alamat IP eksternal (putih), dan sebaliknya. Melalui proses ini, mesin virtual memperoleh akses ke Internet. Untuk mengonfigurasi mekanisme ini, Anda perlu mengonfigurasi aturan SNAT dan DNAT.
Penting! NAT hanya berfungsi ketika Firewall diaktifkan dan aturan izin yang sesuai telah dikonfigurasi.
Buat aturan SNAT. SNAT (Source Network Address Translation) adalah mekanisme yang intinya menggantikan alamat sumber saat mengirim paket.
Pertama kita perlu mengetahui alamat IP eksternal atau kisaran alamat IP yang tersedia untuk kita. Untuk melakukan ini, buka bagian tersebut Administrasi dan klik dua kali pada pusat data virtual. Di menu pengaturan yang muncul, buka tab Gerbang TepiS. Pilih NSX Edge yang diinginkan dan klik kanan padanya. Pilih sebuah opsi Properties.
Di jendela yang muncul, di tab Kumpulan IP Sub-Alokasi Anda dapat melihat alamat IP eksternal atau rentang alamat IP. Tuliskan atau ingat.
Selanjutnya, klik kanan pada NSX Edge. Di menu yang muncul, pilih opsi Layanan Edge Gateway. Dan kita kembali ke panel kontrol NSX Edge.
Di jendela yang muncul, buka tab NAT dan klik Tambahkan SNAT.
Di jendela baru kami menunjukkan:
- di bidang Diterapkan pada β jaringan eksternal (bukan jaringan tingkat organisasi!);
- IP/rentang Sumber Asli β rentang alamat internal, misalnya, 192.168.1.0/24;
- IP Sumber Terjemahan/rentang β alamat eksternal yang akan digunakan untuk mengakses Internet dan yang Anda lihat di tab Kumpulan IP Sub-Alokasi.
Klik Simpan.
Buat aturan DNAT. DNAT adalah mekanisme yang mengubah alamat tujuan suatu paket serta port tujuan. Digunakan untuk mengalihkan paket masuk dari alamat/port eksternal ke alamat/port IP pribadi dalam jaringan pribadi.
Pilih tab NAT dan klik Tambahkan DNAT.
Di jendela yang muncul, tentukan:
β di bidang Diterapkan pada β jaringan eksternal (bukan jaringan tingkat organisasi!);
β IP/rentang asli β alamat eksternal (alamat dari tab Kumpulan IP Sub-Alokasi);
β Protokol β protokol;
β Port Asli β port untuk alamat eksternal;
β Terjemahan IP/rentang β alamat IP internal, misalnya, 192.168.1.10
β Translated Port β port untuk alamat internal ke mana port alamat eksternal akan diterjemahkan.
Klik Simpan.
Terapkan konfigurasi yang dimasukkan dengan memilih Simpan perubahan.
Selesai
Baris berikutnya adalah instruksi tentang DHCP, termasuk pengaturan DHCP Bindings dan Relay.
Sumber: www.habr.com