חלק ראשון
לאחר הפסקה קצרה אנו חוזרים ל-NSX. היום אני אראה לך כיצד להגדיר NAT וחומת אש.
בכרטיסייה אדמינסטרציה עבור למרכז הנתונים הוירטואלי שלך - משאבי ענן - מרכזי נתונים וירטואליים.

בחר כרטיסייה שערי אדג' ולחץ לחיצה ימנית על ה-NSX Edge הרצוי. בתפריט שמופיע בחר באפשרות שירותי Edge Gateway. לוח הבקרה של NSX Edge ייפתח בלשונית נפרדת.

הגדרת חוקי חומת אש

כברירת מחדל בפריט כלל ברירת מחדל עבור תנועה נכנסת האפשרות דחה נבחרה, כלומר חומת האש תחסום את כל התעבורה.

כדי להוסיף כלל חדש, לחץ על +. ערך חדש יופיע עם השם חוק חדש. ערוך את השדות שלו בהתאם לדרישות שלך.

בתחום שם תן לכלל שם, למשל אינטרנט.

בתחום מָקוֹר הזן את כתובות המקור הנדרשות. באמצעות כפתור ה-IP, ניתן להגדיר כתובת IP בודדת, מגוון כתובות IP, CIDR.

באמצעות הלחצן + תוכל לציין אובייקטים אחרים:

ממשקי שער. כל הרשתות הפנימיות (פנימי), כל הרשתות החיצוניות (חיצוניות) או כל אחת.
מכונות וירטואליות. אנו מחייבים את הכללים למכונה וירטואלית ספציפית.
OrgVdcNetworks. רשתות ברמת הארגון.
ערכות IP. קבוצת משתמשים שנוצרה מראש של כתובות IP (נוצרה באובייקט Grouping).

בתחום יַעַד לציין את כתובת הנמען. האפשרויות כאן זהות לאלו שבשדה המקור.
בתחום שֵׁרוּת אתה יכול לבחור או לציין באופן ידני את יציאת היעד (יציאת יעד), את הפרוטוקול הנדרש (פרוטוקול) ואת יציאת השולח (יציאת מקור). לחץ על שמור.

בתחום פעולה בחר את הפעולה הנדרשת: אפשר או דחה תנועה התואמת את הכלל הזה.

החל את התצורה שהוזנה על ידי בחירה שמור את השינויים.

דוגמאות של כללים

כלל 1 עבור חומת אש (אינטרנט) מאפשר גישה לאינטרנט באמצעות כל פרוטוקול לשרת עם IP 192.168.1.10.

כלל 2 עבור חומת אש (שרת אינטרנט) מאפשר גישה מהאינטרנט דרך (פרוטוקול TCP, יציאה 80) דרך הכתובת החיצונית שלך. במקרה זה - 185.148.83.16:80.

הגדרת NAT

NAT (תרגום כתובת רשת) – תרגום של כתובות IP פרטיות (אפורות) לכתובות חיצוניות (לבנות), ולהיפך. באמצעות תהליך זה, המכונה הוירטואלית מקבלת גישה לאינטרנט. כדי להגדיר מנגנון זה, עליך להגדיר כללי SNAT ו-DNAT.
חָשׁוּב! NAT פועל רק כאשר חומת האש מופעלת וכללי ההרשאה המתאימים מוגדרים.

צור כלל SNAT. SNAT (תרגום כתובות רשת מקור) הוא מנגנון שעיקרו החלפת כתובת המקור בעת שליחת מנה.

ראשית עלינו לברר את כתובת ה-IP החיצונית או את טווח כתובות ה-IP העומדים לרשותנו. כדי לעשות זאת, עבור אל הסעיף אדמינסטרציה ולחץ פעמיים על מרכז הנתונים הווירטואלי. בתפריט ההגדרות שמופיע, עבור ללשונית שער אדג'ס. בחר את ה-NSX Edge הרצוי ולחץ עליו באמצעות לחצן העכבר הימני. בחר אפשרות מאפיין.

בחלון שמופיע, בלשונית הקצאת משנה מאגרי IP אתה יכול להציג את כתובת ה-IP החיצונית או את טווח כתובות ה-IP. רשום את זה או תזכור את זה.

לאחר מכן, לחץ לחיצה ימנית על NSX Edge. בתפריט שמופיע בחר באפשרות שירותי Edge Gateway. וחזרנו ללוח הבקרה של NSX Edge.

בחלון שמופיע, פתח את לשונית NAT ולחץ על הוסף SNAT.

בחלון החדש אנו מציינים:

בשדה Applied on – רשת חיצונית (לא רשת ברמת הארגון!);
מקור IP/טווח מקורי - טווח כתובות פנימי, לדוגמה, 192.168.1.0/24;
מקור IP/טווח מתורגם - הכתובת החיצונית שדרכה תהיה גישה לאינטרנט ושאותה הסתכלת בלשונית Sub-alocate IP Pools.

לחץ על שמור.

צור כלל DNAT. DNAT הוא מנגנון שמשנה את כתובת היעד של מנה וכן את יציאת היעד. משמש לניתוב מחדש של מנות נכנסות מכתובת/יציאה חיצונית לכתובת/יציאת IP פרטית בתוך רשת פרטית.

בחר בכרטיסייה NAT ולחץ על הוסף DNAT.

בחלון שמופיע, ציין:

- בשדה Applied on - רשת חיצונית (לא רשת ברמת הארגון!);
- IP/טווח מקורי - כתובת חיצונית (כתובת מהכרטיסייה Sub-Alocate IP Pools);
- פרוטוקול - פרוטוקול;
- יציאה מקורית - יציאה לכתובת חיצונית;
- IP/טווח מתורגם - כתובת IP פנימית, לדוגמה, 192.168.1.10
— Translated Port – יציאה לכתובת הפנימית שאליה תתורגם היציאה של הכתובת החיצונית.

לחץ על שמור.

החל את התצורה שהוזנה על ידי בחירה שמור את השינויים.

סיימתי.

הבא בתור הוא הוראות על DHCP, כולל הגדרת DHCP Bindings and Relay.

מקור: www.habr.com

VMware NSX לקטנטנים. חלק 2. הגדרת חומת אש ו-NAT

הגדרת חוקי חומת אש

הגדרת NAT

הוספת תגובה ביטול תגובה