Ọ bụrụ n’ilelee nhazi nke firewall ọ bụla, mgbe ahụ o yikarịrị ka anyị ga-ahụ mpempe akwụkwọ nwere ọtụtụ adreesị IP, ọdụ ụgbọ mmiri, protocol na subnets. Nke a bụ ka esi etinye ụkpụrụ nchekwa netwọkụ maka ịnweta akụrụngwa nke ọma. Na mbụ ha na-agbalị ịnọgide na-enwe usoro na nhazi ahụ, ma mgbe ahụ, ndị ọrụ na-amalite ịkwaga site na ngalaba gaa na ngalaba, sava na-amụba ma gbanwee ọrụ ha, ịnweta ọrụ dị iche iche na-egosi ebe a na-adịghị anabata ha, na ọtụtụ narị ewu ewu na-amaghị.
N'akụkụ ụfọdụ iwu, ọ bụrụ na ị nwere chioma, enwere okwu "Vasya gwara m ka m mee nke a" ma ọ bụ "Nke a bụ akụkụ nke DMZ." Onye nchịkwa netwọk kwụsịrị, ihe niile na-aghọkwa nke ọma kpamkpam. Mgbe ahụ, mmadụ kpebiri ikpochapụ Vasya's config, na SAP daa, n'ihi na Vasya otu ugboro rịọrọ ka ohere a na-agba ọsọ SAP ọgụ.
Taa, m ga-ekwu maka ngwọta VMware NSX, nke na-enyere aka itinye n'ụzọ ziri ezi nkwurịta okwu netwọk na amụma nchekwa na-enweghị mgbagwoju anya na firewall configs. Aga m egosi gị ihe ọhụrụ atụmatụ pụtara tụnyere ihe VMware nwere na mbụ na akụkụ a.
VMWare NSX bụ ihe nhụsianya na nchekwa maka ọrụ netwọk. NSX na-edozi nsogbu nke ntụgharị, ịgbanwee, nhazi ibu, firewall ma nwee ike ime ọtụtụ ihe ndị ọzọ na-adọrọ mmasị.
NSX bụ onye nọchiri ngwaahịa VMware nke vCloud Networking and Security (vCNS) yana Nicira NVP nwetara.
Site na vCNS ruo NSX
Na mbụ, onye ahịa nwere igwe mebere vCNS vShield Edge dị iche n'ime igwe ojii wuru na VMware vCloud. Ọ rụrụ ọrụ dị ka ọnụ ụzọ ámá, ebe ọ ga-ekwe omume ịhazi ọtụtụ ọrụ netwọk: NAT, DHCP, Firewall, VPN, load balancer, wdg vShield Edge na-amachi mmekọrịta nke igwe mebere na ụwa dị n'èzí dị ka iwu akọwapụtara na ya. Firewall na NAT. N'ime netwọk ahụ, igwe mebere na-akparịta ụka n'etiti onwe ya n'efu n'ime subnets. Ọ bụrụ n'ezie na ị chọrọ kewaa na imeri okporo ụzọ, ị nwere ike ime ka a iche iche netwọk maka onye akụkụ nke ngwa (dị iche iche mebere igwe) na ịtọ kwesịrị ekwesị iwu nke netwọk mmekọrịta ha na firewall. Mana nke a dị ogologo, siri ike na enweghị mmasị, ọkachasị mgbe ị nwere ọtụtụ igwe mebere iri na abuo.
Na NSX, VMware mejuputa echiche nke micro-segmentation site na iji firewall ekesa arụnyere n'ime kernel hypervisor. Ọ na-akọwapụta nchekwa na amụma mmekọrịta netwọk ọ bụghị naanị maka adreesị IP na MAC, kamakwa maka ihe ndị ọzọ: igwe mebere, ngwa. Ọ bụrụ na etinyere NSX n'ime ọgbakọ, ihe ndị a nwere ike ịbụ onye ọrụ ma ọ bụ otu ndị ọrụ sitere na Active Directory. Ihe ọ bụla dị otú ahụ na-atụgharị ghọọ microsegment na loop nchekwa nke ya, na subnet achọrọ, yana DMZ mara mma nke ya :).
Na mbụ, enwere naanị otu nchekwa nchekwa maka ọdọ mmiri niile nke akụrụngwa na-echebe site na mgba ọkụ ihu, mana na NSX ị nwere ike ichebe igwe mebere dị iche iche site na mmekọrịta na-enweghị isi, ọbụlagodi n'ime otu netwọkụ ahụ.
Amụma nchekwa na ịkparịta ụka n'Ịntanet na-emegharị ma ọ bụrụ na ụlọ ọrụ kwagara na netwọk dị iche. Dịka ọmụmaatụ, ọ bụrụ na anyị na-ebugharị igwe nwere nchekwa data gaa na mpaghara netwọk ọzọ ma ọ bụ ọbụna na ebe nchekwa data mebere ọzọ ejikọrọ, mgbe ahụ iwu ndị e dere maka igwe mebere a ga-aga n'ihu na-arụ ọrụ n'agbanyeghị ọnọdụ ọhụrụ ya. Ihe nkesa ngwa ka ga-enwe ike ikwurịta okwu na nchekwa data.
Ọnụ ụzọ ihu n'onwe ya, vCNS vShield Edge, ejiri NSX Edge dochie ya. Ọ nwere atụmatụ niile dị nro nke Edge ochie, yana atụmatụ ole na ole bara uru. Anyị ga-ekwukwa banyere ha.
Kedu ihe dị ọhụrụ na NSX Edge?
Ọrụ NSX Edge dabere na NSX. Enwere ise n'ime ha: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Enwere ike ịhụ ihe ọhụrụ na ihe na-adọrọ mmasị naanị malite na Advanced. Gụnyere interface ọhụrụ, nke, ruo mgbe vCloud gbanwere kpamkpam na HTML5 (VMware kwere nkwa n'oge okpomọkụ 2019), ga-emepe na taabụ ọhụrụ.
firewall. Ị nwere ike họrọ adreesị IP, netwọk, oghere ọnụ ụzọ ámá, na igwe mebere dị ka ihe a ga-etinyere iwu.
DHCP. Na mgbakwunye na ịhazi ụdị adreesị IP nke a ga-enye na-akpaghị aka na igwe mebere na netwọkụ a, NSX Edge nwere ọrụ ndị a: nkịtị и Relay.
Na taabụ Njikọ Ị nwere ike kee adreesị MAC nke igwe mebere na adreesị IP ma ọ bụrụ na ịchọrọ ka adreesị IP ghara ịgbanwe. Isi ihe bụ na adreesị IP a adịghị etinye na ọdọ mmiri DHCP.
Na taabụ Relay Ahaziri nnyefe DHCP ka ọ bụrụ sava DHCP nke dị na mpụga nzukọ gị na vCloud Director, gụnyere sava DHCP nke akụrụngwa anụ ahụ.
Ntugharị. vShield Edge nwere ike hazie ụzọ ntụgharị kwụ ọtọ. Ntugharị dị egwu nwere nkwado maka usoro OSPF na BGP pụtara ebe a. Ntọala ECMP (Active-active) adịkwala, nke pụtara na ọ ga-adaba ndị na-anya ụgbọ ala.
Ịtọlite OSPF
Ịtọlite BGP
Ihe ọhụrụ ọzọ bụ ịmepụta nnyefe nke ụzọ n'etiti usoro dị iche iche,
ụzọ redistribution.
L4/L7 Ihe nleba anya. Ewebata X-Forwarded-For maka isi HTTPs. Onye ọ bụla na-ebe akwa na-enweghị ya. Dịka ọmụmaatụ, ị nwere weebụsaịtị nke ị na-edozi. Na-enweghị ibugharị nkụnye eji isi mee a, ihe niile na-arụ ọrụ, ma na ọnụ ọgụgụ nkesa weebụ ị hụrụ na ọ bụghị IP nke ndị ọbịa, ma IP nke balancer. Ugbu a ihe niile ziri ezi.
Nakwa na taabụ Iwu Ngwa ị nwere ike tinye ugbu a scripts ga-achịkwa nguzozi okporo ụzọ ozugbo.
Okwey. Na mgbakwunye na IPSec VPN, NSX Edge na-akwado:
- L2 VPN, nke na-enye gị ohere ịgbatị netwọk n'etiti saịtị gbasasịrị na mpaghara. VPN dị otú ahụ dị mkpa, dịka ọmụmaatụ, nke mere na mgbe ị na-aga na saịtị ọzọ, igwe mebere na-anọgide na otu subnet ma na-ejigide adreesị IP ya.
- SSL VPN Plus, nke na-enye ndị ọrụ ohere ijikọ na netwọk ụlọ ọrụ. Na ọkwa vSphere enwere ụdị ọrụ a, mana maka vCloud Director nke a bụ ihe ọhụrụ.
Asambodo SSL. Enwere ike itinye asambodo na NSX Edge. Nke a na-abịakwute ajụjụ nke onye chọrọ onye nhazi na-enweghị asambodo maka https.
Nchịkọta Ihe. Na taabụ a, akọwapụtara otu ihe nke ụfọdụ iwu mmekọrịta netwọk ga-etinyere, dịka ọmụmaatụ, iwu firewall.
Ihe ndị a nwere ike ịbụ adreesị IP na MAC.
Enwekwara ndepụta nke ọrụ (nchikota protocol-port) yana ngwa enwere ike iji mgbe ị na-emepụta iwu firewall. Naanị onye nchịkwa ọnụ ụzọ vCD nwere ike itinye ọrụ na ngwa ọhụrụ.
Ọnụọgụ. Nchịkọta njikọ: okporo ụzọ na-agafe n'ọnụ ụzọ ámá, firewall na balancer.
Ọnọdụ na ọnụ ọgụgụ maka ọwara IPSEC VPN ọ bụla na L2 VPN ọwara.
Ịbanye. Na Edge Settings tab, ị nwere ike ịtọ ihe nkesa maka ndekọ ndekọ. Ịbanye na-arụ ọrụ maka DNAT/SNAT, DHCP, Firewall, routing, balancer, IPsec VPN, SSL VPN Plus.
Ụdị ọkwa ọkwa ndị a dị maka ihe/ọrụ ọ bụla:
- Mebie
-Amara
— Dị oke egwu
- Njehie
— Ịdọ aka ná ntị
- Mara
- Ama
Akụkụ NSX Edge
Dabere na ọrụ a na-edozi yana olu VMware mepụta NSX Edge na nha ndị a:
NSX Edge
(kọmpat)
NSX Edge
(nnukwu)
NSX Edge
(Quad-Large)
NSX Edge
(X-ibu)
vCPU
1
2
4
6
na ebe nchekwa
512MB
1GB
1GB
8GB
disk
512MB
512MB
512MB
4.5GB + 4GB
Nhọkọ
Otu
ngwa, nwale
data center
Obere
ma ọ bụ nkezi
data center
Ebuuru
firewall
Guzozie
ibu na larịị L7
N'okpuru na tebụl bụ metrik arụ ọrụ nke ọrụ netwọk dabere na nha NSX Edge.
NSX Edge
(kọmpat)
NSX Edge
(nnukwu)
NSX Edge
(Quad-Large)
NSX Edge
(X-ibu)
ihu
10
10
10
10
Obere Interface (Ogwe)
200
200
200
200
Iwu NAT
2,048
4,096
4,096
8,192
Ndenye ARP
Ruo mgbe degharịa
1,024
2,048
2,048
2,048
Iwu FW
2000
2000
2000
2000
Arụmọrụ FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Ọdọ mmiri DHCP
20,000
20,000
20,000
20,000
Ụzọ ECMP
8
8
8
8
Aticzọ gasị
2,048
2,048
2,048
2,048
Ọdọ mmiri LB
64
64
64
1,024
LB Virtual sava
64
64
64
1,024
Ọdụdọ LB
32
32
32
32
Nyocha ahụike LB
320
320
320
3,072
Iwu Ngwa LB
4,096
4,096
4,096
4,096
Ebe ndị ahịa L2VPN ga-ekwu okwu
5
5
5
5
Netwọk L2VPN kwa onye ahịa/ihe nkesa
200
200
200
200
Ọwara IPSec
512
1,600
4,096
6,000
Ọwara SSLVPN
50
100
100
1,000
Netwọk nkeonwe SSLVPN
16
16
16
16
Oge na-emekọ ihe
64,000
1,000,000
1,000,000
1,000,000
Oge/Nke abụọ
8,000
50,000
50,000
50,000
Ntinye aka LB L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
Ụdị ntinye LB L4)
6Gbps
6Gbps
6Gbps
Njikọ/s LB (proxy L7)
46,000
50,000
50,000
Njikọ Njikọ LB (L7 Proxy)
8,000
60,000
60,000
Njikọ/s LB (Ụdị L4)
50,000
50,000
50,000
Njikọ LB (Ụdị L4)
600,000
1,000,000
1,000,000
Ụzọ BGP
20,000
50,000
250,000
250,000
Ndị agbata obi BGP
10
20
100
100
Ekesara ụzọ BGP
Ọ dịghị Ịgba
Ọ dịghị Ịgba
Ọ dịghị Ịgba
Ọ dịghị Ịgba
Ụzọ OSPF
20,000
50,000
100,000
100,000
Ntinye OSPF LSA kacha 750 Ụdị-1
20,000
50,000
100,000
100,000
Ọnọdụ OSPF
10
20
40
40
Ekeregharịrị ụzọ OSPF
2000
5000
20,000
20,000
Mgbakọta ụzọ
20,000
50,000
250,000
250,000
→
Tebụl na-egosi na a na-atụ aro ka ịhazi nhazi na NSX Edge maka ọnọdụ na-arụpụta ihe naanị na-amalite site na nnukwu nha.
Nke ahụ bụ naanị ihe m nwere taa. N'akụkụ ndị a, m ga-agafe n'ụzọ zuru ezu otu esi ahazi ọrụ netwọk NSX Edge ọ bụla.
isi: www.habr.com