ნაწილი პირველი
მცირე შესვენების შემდეგ ვუბრუნდებით NSX-ს. დღეს მე გაჩვენებთ, თუ როგორ უნდა დააკონფიგურიროთ NAT და Firewall.
ჩანართში ადმინისტრაცია გადადით თქვენს ვირტუალურ მონაცემთა ცენტრში - ღრუბლოვანი რესურსები – ვირტუალური მონაცემთა ცენტრები.

აირჩიეთ ჩანართი კიდეების კარიბჭეები და დააწკაპუნეთ მაუსის მარჯვენა ღილაკით სასურველ NSX Edge-ზე. მენიუში, რომელიც გამოჩნდება, აირჩიეთ ვარიანტი Edge Gateway სერვისები. NSX Edge მართვის პანელი გაიხსნება ცალკე ჩანართში.

Firewall-ის წესების დაყენება

ნაგულისხმევად პუნქტში ნაგულისხმევი წესი შესასვლელი ტრაფიკისთვის არჩეულია უარის ვარიანტი, ანუ Firewall დაბლოკავს ყველა ტრაფიკს.

ახალი წესის დასამატებლად დააჭირეთ +. გამოჩნდება ახალი ჩანაწერი სახელთან ერთად ახალი წესი. შეცვალეთ მისი ველები თქვენი მოთხოვნების შესაბამისად.

სფეროში სახელი დაარქვით წესს სახელი, მაგალითად ინტერნეტი.

სფეროში წყარო შეიყვანეთ საჭირო წყაროს მისამართები. IP ღილაკის გამოყენებით შეგიძლიათ დააყენოთ ერთი IP მისამართი, IP მისამართების დიაპაზონი, CIDR.

+ ღილაკის გამოყენებით შეგიძლიათ მიუთითოთ სხვა ობიექტები:

• კარიბჭის ინტერფეისები. ყველა შიდა ქსელი (შიდა), ყველა გარე ქსელი (გარე) ან ნებისმიერი.
• ვირტუალური მანქანები. ჩვენ წესებს ვუკავშირდებით კონკრეტულ ვირტუალურ მანქანას.
• OrgVdcNetworks. ორგანიზაციის დონის ქსელები.
• IP კომპლექტი. IP მისამართების წინასწარ შექმნილი მომხმარებლის ჯგუფი (შექმნილია Grouping ობიექტში).

სფეროში დანიშნულების მიუთითეთ მიმღების მისამართი. პარამეტრები აქ იგივეა, რაც წყაროს ველში.
სფეროში სამსახურის შეგიძლიათ აირჩიოთ ან ხელით მიუთითოთ დანიშნულების პორტი (დანიშნულების პორტი), საჭირო პროტოკოლი (პროტოკოლი) და გამგზავნის პორტი (წყაროს პორტი). დააწკაპუნეთ შენახვა.

სფეროში აქცია აირჩიეთ საჭირო მოქმედება: დაუშვით ან უარყოთ ტრაფიკი, რომელიც შეესაბამება ამ წესს.

გამოიყენეთ შეყვანილი კონფიგურაცია არჩევით ცვლილებების შენახვა.

წესების მაგალითები

წესი 1 Firewall-ისთვის (ინტერნეტი) საშუალებას აძლევს ინტერნეტში წვდომას ნებისმიერი პროტოკოლის საშუალებით სერვერზე IP 192.168.1.10.

წესი 2 Firewall-ისთვის (ვებ სერვერი) საშუალებას აძლევს ინტერნეტიდან წვდომას (TCP პროტოკოლი, პორტი 80) თქვენი გარე მისამართის მეშვეობით. ამ შემთხვევაში - 185.148.83.16:80.

NAT დაყენება

NAT (ქსელის მისამართების თარგმანი) - პირადი (ნაცრისფერი) IP მისამართების გარე (თეთრ) თარგმნა და პირიქით. ამ პროცესის მეშვეობით ვირტუალური მანქანა იძენს წვდომას ინტერნეტში. ამ მექანიზმის კონფიგურაციისთვის საჭიროა SNAT და DNAT წესების კონფიგურაცია.
Მნიშვნელოვანი! NAT მუშაობს მხოლოდ მაშინ, როდესაც Firewall ჩართულია და შესაბამისი დაშვების წესები კონფიგურირებულია.

შექმენით SNAT წესი. SNAT (Source Network Address Translation) არის მექანიზმი, რომლის არსი არის წყაროს მისამართის შეცვლა პაკეტის გაგზავნისას.

ჯერ უნდა გავარკვიოთ ჩვენთვის ხელმისაწვდომი გარე IP მისამართი ან IP მისამართების დიაპაზონი. ამისათვის გადადით განყოფილებაში ადმინისტრაცია და ორჯერ დააწკაპუნეთ ვირტუალურ მონაცემთა ცენტრში. პარამეტრების მენიუში, რომელიც გამოჩნდება, გადადით ჩანართზე Edge Gatewayს. აირჩიეთ სასურველი NSX Edge და დააწკაპუნეთ მასზე მარჯვენა ღილაკით. აირჩიეთ ვარიანტი განცხადებები.

ფანჯარაში, რომელიც გამოჩნდება, ჩანართში IP აუზების ქვე-გამოყოფა შეგიძლიათ ნახოთ გარე IP მისამართი ან IP მისამართების დიაპაზონი. ჩაწერეთ ან დაიმახსოვრეთ.

შემდეგი, დააწკაპუნეთ მარჯვენა ღილაკით NSX Edge-ზე. მენიუში, რომელიც გამოჩნდება, აირჩიეთ ვარიანტი Edge Gateway სერვისები. ჩვენ დავბრუნდით NSX Edge მართვის პანელში.

ფანჯარაში, რომელიც გამოჩნდება, გახსენით NAT ჩანართი და დააჭირეთ დამატება SNAT.

ახალ ფანჯარაში ჩვენ აღვნიშნავთ:

• ველში Applied on – გარე ქსელი (არა ორგანიზაციის დონის ქსელი!);
• ორიგინალური წყაროს IP/დიაპაზონი – შიდა მისამართების დიაპაზონი, მაგალითად, 192.168.1.0/24;
• გადათარგმნილი წყაროს IP/დიაპაზონი – გარე მისამართი, რომლის მეშვეობითაც შესაძლებელი იქნება ინტერნეტის წვდომა და რომელსაც იხილეთ Sub-Allocate IP Pools ჩანართში.

დააწკაპუნეთ შენახვა.

შექმენით DNAT წესი. DNAT არის მექანიზმი, რომელიც ცვლის პაკეტის დანიშნულების მისამართს, ისევე როგორც დანიშნულების პორტს. გამოიყენება შემომავალი პაკეტების გადამისამართებისთვის გარე მისამართიდან/პორტიდან კერძო IP მისამართზე/პორტზე კერძო ქსელში.

აირჩიეთ NAT ჩანართი და დააჭირეთ Add DNAT.

ფანჯარაში, რომელიც გამოჩნდება, მიუთითეთ:

— ველში Applied on – გარე ქსელი (არა ორგანიზაციის დონის ქსელი!);
— ორიგინალური IP/დიაპაზონი – გარე მისამართი (მისამართი Sub-Allocate IP Pools ჩანართიდან);
— პროტოკოლი – პროტოკოლი;
- ორიგინალური პორტი - პორტი გარე მისამართისთვის;
— თარგმნილი IP/დიაპაზონი – შიდა IP მისამართი, მაგალითად, 192.168.1.10
— Translated Port – პორტი შიდა მისამართისთვის, რომელზეც გადაითარგმნება გარე მისამართის პორტი.

დააწკაპუნეთ შენახვა.

გამოიყენეთ შეყვანილი კონფიგურაცია არჩევით ცვლილებების შენახვა.

შესრულებულია.

შემდეგი არის ინსტრუქციები DHCP-ზე, მათ შორის DHCP Bindings და Relay-ის დაყენება.

წყარო: www.habr.com