Po trumpos pertraukėlės grįžtame prie NSX. Šiandien aš jums parodysiu, kaip sukonfigūruoti NAT ir ugniasienę.
Skirtuke Administracija eikite į savo virtualų duomenų centrą - Debesų ištekliai – virtualūs duomenų centrai.
Pasirinkite skirtuką Krašto vartai ir dešiniuoju pelės mygtuku spustelėkite norimą NSX Edge. Pasirodžiusiame meniu pasirinkite parinktį „Edge Gateway“ paslaugos. NSX Edge valdymo skydelis bus atidarytas atskirame skirtuke.
Užkardos taisyklių nustatymas
Pagal numatytuosius nustatymus elemente numatytoji įėjimo srauto taisyklė Pasirinkta parinktis Neleisti, t. y. ugniasienė blokuos visą srautą.
Norėdami pridėti naują taisyklę, spustelėkite +. Bus rodomas naujas įrašas su pavadinimu Nauja taisyklė. Redaguokite jo laukus pagal savo poreikius.
Srityje Vardas Suteikite taisyklei pavadinimą, pavyzdžiui, internetas.
Srityje Šaltinis Įveskite reikiamus šaltinio adresus. Naudodami IP mygtuką galite nustatyti vieną IP adresą, IP adresų diapazoną, CIDR.
Naudodami mygtuką + galite nurodyti kitus objektus:
- Vartų sąsajos. Visi vidiniai tinklai (vidiniai), visi išoriniai tinklai (išoriniai) arba bet kurie.
- Virtualios mašinos. Taisykles susiejame su konkrečia virtualia mašina.
- „OrgVdcNetworks“. Organizacijos lygmens tinklai.
- IP rinkiniai. Iš anksto sukurta IP adresų vartotojų grupė (sukurta objekte Grupavimas).
Srityje Šalys nurodykite gavėjo adresą. Parinktys čia yra tokios pačios kaip ir lauke Šaltinis.
Srityje tarnyba galite pasirinkti arba rankiniu būdu nurodyti paskirties prievadą (Destination Port), reikiamą protokolą (Protocol) ir siuntėjo prievadą (Source Port). Spustelėkite Laikyti.
Srityje Veikla pasirinkite reikiamą veiksmą: leisti arba uždrausti srautą, atitinkantį šią taisyklę.
Taikykite įvestą konfigūraciją pasirinkdami išsaugoti pakeitimus.
Taisyklių pavyzdžiai
1 ugniasienės taisyklė (internetas) leidžia prieiti prie interneto per bet kurį protokolą serveriui, kurio IP 192.168.1.10.
2 ugniasienės taisyklė (žiniatinklio serveris) leidžia pasiekti internetą per (TCP protokolą, 80 prievadą) per jūsų išorinį adresą. Šiuo atveju - 185.148.83.16:80.
NAT sąranka
NAT (tinklo adreso vertimas) – privačių (pilkų) IP adresų vertimas į išorinius (baltus) ir atvirkščiai. Per šį procesą virtualioji mašina įgyja prieigą prie interneto. Norėdami sukonfigūruoti šį mechanizmą, turite sukonfigūruoti SNAT ir DNAT taisykles.
Svarbu! NAT veikia tik tada, kai įjungta ugniasienė ir sukonfigūruotos atitinkamos leidimo taisyklės.
Sukurkite SNAT taisyklę. SNAT (Source Network Address Translation) yra mechanizmas, kurio esmė yra pakeisti šaltinio adresą siunčiant paketą.
Pirmiausia turime išsiaiškinti išorinį IP adresą arba mums prieinamą IP adresų diapazoną. Norėdami tai padaryti, eikite į skyrių Administracija ir dukart spustelėkite virtualų duomenų centrą. Pasirodžiusiame nustatymų meniu eikite į skirtuką Krašto vartais. Pasirinkite norimą NSX Edge ir spustelėkite jį dešiniuoju pelės mygtuku. Pasirinkite parinktį Skelbimų.
Pasirodžiusiame lange skirtuke Perskirstykite IP telkinius galite peržiūrėti išorinį IP adresą arba IP adresų diapazoną. Užsirašykite arba prisiminkite.
Tada dešiniuoju pelės mygtuku spustelėkite NSX Edge. Pasirodžiusiame meniu pasirinkite parinktį „Edge Gateway“ paslaugos. Ir mes vėl NSX Edge valdymo skydelyje.
Atsidariusiame lange atidarykite NAT skirtuką ir spustelėkite Pridėti SNAT.
Naujame lange nurodome:
- lauke Taikoma – išorinis tinklas (ne organizacijos lygio tinklas!);
- Original Source IP/range – vidinis adresų diapazonas, pavyzdžiui, 192.168.1.0/24;
- Išversto šaltinio IP/diapazonas – išorinis adresas, per kurį bus pasiekiamas internetas ir kurį peržiūrėjote skirtuke Suskirstyti IP telkinius.
Spustelėkite Laikyti.
Sukurkite DNAT taisyklę. DNAT yra mechanizmas, pakeičiantis paketo paskirties adresą ir paskirties prievadą. Naudojamas įeinantiems paketams peradresuoti iš išorinio adreso / prievado į privatų IP adresą / prievadą privačiame tinkle.
Pasirinkite skirtuką NAT ir spustelėkite Pridėti DNAT.
Pasirodžiusiame lange nurodykite:
— lauke Taikoma – išorinis tinklas (ne organizacijos lygmens tinklas!);
— Originalus IP/range – išorinis adresas (adresas iš skirtuko Sub-Allocate IP Pools);
— Protokolas – protokolas;
— Original Port – išorinio adreso prievadas;
— Išverstas IP/diapazonas – vidinis IP adresas, pavyzdžiui, 192.168.1.10
— Translated Port – vidinio adreso prievadas, į kurį bus išverstas išorinio adreso prievadas.
Spustelėkite Laikyti.
Taikykite įvestą konfigūraciją pasirinkdami išsaugoti pakeitimus.
Atlikta.
Toliau pateikiamos instrukcijos apie DHCP, įskaitant DHCP susiejimo ir perdavimo nustatymą.
Šaltinis: www.habr.com