ផ្នែកទីមួយ
បន្ទាប់ពីសម្រាកមួយរយៈ យើងត្រឡប់ទៅ NSX វិញ។ ថ្ងៃនេះខ្ញុំនឹងបង្ហាញអ្នកពីរបៀបកំណត់រចនាសម្ព័ន្ធ NAT និង Firewall ។
នៅក្នុងផ្ទាំង រដ្ឋបាល ទៅកាន់មជ្ឈមណ្ឌលទិន្នន័យនិម្មិតរបស់អ្នក - ធនធានពពក - មជ្ឈមណ្ឌលទិន្នន័យនិម្មិត.

ជ្រើសរើសផ្ទាំងមួយ ច្រកទ្វារគែម ហើយចុចខាងស្តាំលើ NSX Edge ដែលចង់បាន។ នៅក្នុងម៉ឺនុយដែលលេចឡើងសូមជ្រើសរើសជម្រើស សេវាកម្ម Edge Gateway. ផ្ទាំងបញ្ជា NSX Edge នឹងបើកនៅក្នុងផ្ទាំងដាច់ដោយឡែកមួយ។

ការដំឡើងច្បាប់ Firewall

តាមលំនាំដើមនៅក្នុងធាតុ ច្បាប់លំនាំដើមសម្រាប់ចរាចរណ៍ចូល ជម្រើសបដិសេធត្រូវបានជ្រើសរើស ពោលគឺ Firewall នឹងរារាំងចរាចរណ៍ទាំងអស់។

ដើម្បីបន្ថែមច្បាប់ថ្មី សូមចុច + ។ ធាតុថ្មីនឹងបង្ហាញជាមួយឈ្មោះ ច្បាប់ថ្មី។. កែសម្រួលវាលរបស់វាតាមតម្រូវការរបស់អ្នក។

នៅក្នុងវាល ឈ្មោះ ផ្តល់ឈ្មោះច្បាប់ជាឧទាហរណ៍ អ៊ីនធឺណិត។

នៅក្នុងវាល ប្រភព បញ្ចូលអាសយដ្ឋានប្រភពដែលត្រូវការ។ ដោយប្រើប៊ូតុង IP អ្នកអាចកំណត់អាសយដ្ឋាន IP តែមួយជួរនៃអាសយដ្ឋាន IP CIDR ។

ដោយប្រើប៊ូតុង + អ្នកអាចបញ្ជាក់វត្ថុផ្សេងទៀត៖

• ចំណុចប្រទាក់ច្រកផ្លូវ។ បណ្តាញខាងក្នុងទាំងអស់ (ខាងក្នុង) បណ្តាញខាងក្រៅទាំងអស់ (ខាងក្រៅ) ឬណាមួយ។
• ម៉ាស៊ីននិម្មិត។ យើងភ្ជាប់ច្បាប់ទៅនឹងម៉ាស៊ីននិម្មិតជាក់លាក់។
• OrgVdcNetworks ។ បណ្តាញកម្រិតអង្គការ។
• សំណុំ IP ។ ក្រុម​អ្នក​ប្រើ​ដែល​បាន​បង្កើត​មុន​នៃ​អាសយដ្ឋាន IP (បាន​បង្កើត​ក្នុង​វត្ថុ​ដាក់​ជា​ក្រុម)។

នៅក្នុងវាល គោលដៅ ចង្អុលបង្ហាញអាសយដ្ឋានរបស់អ្នកទទួល។ ជម្រើសនៅទីនេះគឺដូចគ្នានឹងនៅក្នុងវាលប្រភពដែរ។
នៅក្នុងវាល សេវាកម្ម អ្នកអាចជ្រើសរើស ឬបញ្ជាក់ដោយផ្ទាល់នូវច្រកគោលដៅ (ច្រកគោលដៅ) ពិធីការដែលត្រូវការ (Protocol) និងច្រកអ្នកផ្ញើ (ច្រកប្រភព)។ ចុចរក្សា។

នៅក្នុងវាល សកម្មភាព ជ្រើសរើសសកម្មភាពដែលត្រូវការ៖ អនុញ្ញាត ឬបដិសេធចរាចរណ៍ដែលត្រូវនឹងច្បាប់នេះ។

អនុវត្តការកំណត់ដែលបានបញ្ចូលដោយជ្រើសរើស រក្សាទុកការផ្លាស់ប្តូរ.

ឧទាហរណ៍នៃច្បាប់

ច្បាប់ទី 1 សម្រាប់ជញ្ជាំងភ្លើង (អ៊ីនធឺណិត) អនុញ្ញាតឱ្យចូលប្រើអ៊ីនធឺណិតតាមរយៈពិធីការណាមួយទៅកាន់ម៉ាស៊ីនមេដែលមាន IP 192.168.1.10 ។

ច្បាប់ទី 2 សម្រាប់ Firewall (Web-server) អនុញ្ញាតឱ្យចូលប្រើអ៊ីនធឺណិតតាមរយៈ (ពិធីការ TCP, ច្រក 80) តាមរយៈអាសយដ្ឋានខាងក្រៅរបស់អ្នក។ ក្នុងករណីនេះ - 185.148.83.16:80 ។

ការដំឡើង NAT

អិន (ការបកប្រែអាសយដ្ឋានបណ្តាញ) - ការបកប្រែអាស័យដ្ឋាន IP ឯកជន (ពណ៌ប្រផេះ) ទៅខាងក្រៅ (ស) និងច្រាសមកវិញ។ តាមរយៈដំណើរការនេះ ម៉ាស៊ីននិម្មិតទទួលបានសិទ្ធិចូលប្រើអ៊ីនធឺណិត។ ដើម្បីកំណត់រចនាសម្ព័ន្ធយន្តការនេះ អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធច្បាប់ SNAT និង DNAT ។
សំខាន់! NAT ដំណើរការតែនៅពេលដែលជញ្ជាំងភ្លើងត្រូវបានបើក ហើយច្បាប់អនុញ្ញាតសមរម្យត្រូវបានកំណត់រចនាសម្ព័ន្ធ។

បង្កើតច្បាប់ SNAT ។ SNAT (ការបកប្រែអាសយដ្ឋានបណ្តាញប្រភព) គឺជាយន្តការមួយដែលមានខ្លឹមសារគឺដើម្បីជំនួសអាសយដ្ឋានប្រភពនៅពេលផ្ញើកញ្ចប់ព័ត៌មាន។

ដំបូងយើងត្រូវស្វែងរកអាសយដ្ឋាន IP ខាងក្រៅ ឬជួរនៃអាសយដ្ឋាន IP ដែលមានសម្រាប់យើង។ ដើម្បីធ្វើដូចនេះចូលទៅកាន់ផ្នែក រដ្ឋបាល ហើយចុចពីរដងលើមជ្ឈមណ្ឌលទិន្នន័យនិម្មិត។ នៅក្នុងម៉ឺនុយការកំណត់ដែលលេចឡើងសូមចូលទៅកាន់ផ្ទាំង ច្រកទ្វារគែមស. ជ្រើសរើស NSX Edge ដែលចង់បាន ហើយចុចខាងស្តាំលើវា។ ជ្រើសរើសជម្រើសមួយ។ លក្ខណៈសម្បត្តិ.

នៅក្នុងបង្អួចដែលលេចឡើងនៅក្នុងផ្ទាំង ការបែងចែក IP Pools រង អ្នកអាចមើលអាសយដ្ឋាន IP ខាងក្រៅ ឬជួរនៃអាសយដ្ឋាន IP ។ សរសេរវាចុះ ឬចងចាំវា។

បន្ទាប់មកចុចខាងស្តាំលើ NSX Edge ។ នៅក្នុងម៉ឺនុយដែលលេចឡើងសូមជ្រើសរើសជម្រើស សេវាកម្ម Edge Gateway. ហើយយើងត្រលប់មកវិញនៅក្នុងផ្ទាំងបញ្ជា NSX Edge ។

នៅក្នុងបង្អួចដែលលេចឡើងសូមបើកផ្ទាំង NAT ហើយចុច បន្ថែម SNAT ។

នៅក្នុងបង្អួចថ្មីយើងចង្អុលបង្ហាញ៖

• នៅក្នុង Applied on field – បណ្តាញខាងក្រៅ (មិនមែនជាបណ្តាញកម្រិតស្ថាប័នទេ!);
• ប្រភពដើម IP/range – ជួរអាសយដ្ឋានខាងក្នុង ឧទាហរណ៍ 192.168.1.0/24;
• IP/range ប្រភពដែលបានបកប្រែ – អាសយដ្ឋានខាងក្រៅដែលអ៊ីនធឺណែតនឹងត្រូវបានចូលប្រើប្រាស់ ហើយដែលអ្នកបានមើលនៅក្នុងផ្ទាំង Sub-Allocate IP Pools ។

ចុចរក្សា។

បង្កើតច្បាប់ DNAT ។ DNAT គឺជាយន្តការមួយដែលផ្លាស់ប្តូរអាសយដ្ឋានទិសដៅនៃកញ្ចប់ព័ត៌មានក៏ដូចជាច្រកគោលដៅ។ ប្រើដើម្បីប្តូរទិសកញ្ចប់ព័ត៌មានចូលពីអាសយដ្ឋាន/ច្រកខាងក្រៅទៅកាន់អាសយដ្ឋាន/ច្រក IP ឯកជននៅក្នុងបណ្តាញឯកជន។

ជ្រើសរើសផ្ទាំង NAT ហើយចុច Add DNAT ។

នៅក្នុងបង្អួចដែលបង្ហាញសូមបញ្ជាក់៖

— នៅក្នុង Applied on field – បណ្តាញខាងក្រៅ (មិនមែនជាបណ្តាញកម្រិតស្ថាប័នទេ!);
- ជួរ IP ដើម - អាសយដ្ឋានខាងក្រៅ (អាសយដ្ឋានពីផ្ទាំងរងបែងចែក IP Pools);
- ពិធីការ - ពិធីការ;
- ច្រកដើម - ច្រកសម្រាប់អាសយដ្ឋានខាងក្រៅ;
- IP/ជួរដែលបានបកប្រែ – អាសយដ្ឋាន IP ខាងក្នុង ឧទាហរណ៍ 192.168.1.10
- Translated Port - ច្រកសម្រាប់អាសយដ្ឋានខាងក្នុងដែលច្រកនៃអាសយដ្ឋានខាងក្រៅនឹងត្រូវបានបកប្រែ។

ចុចរក្សា។

អនុវត្តការកំណត់ដែលបានបញ្ចូលដោយជ្រើសរើស រក្សាទុកការផ្លាស់ប្តូរ.

ធ្វើ។

បន្ទាប់នៅក្នុងបន្ទាត់គឺជាការណែនាំនៅលើ DHCP រួមទាំងការដំឡើង DHCP Bindings និង Relay ។

ប្រភព: www.habr.com