Pēc neliela pārtraukuma mēs atgriežamies pie NSX. Šodien es jums parādīšu, kā konfigurēt NAT un ugunsmūri.
Cilnē Administrācija dodieties uz savu virtuālo datu centru - Mākoņresursi — virtuālie datu centri.
Atlasiet cilni Edge vārtejas un ar peles labo pogu noklikšķiniet uz vēlamās NSX Edge. Parādītajā izvēlnē atlasiet opciju Edge Gateway pakalpojumi. NSX Edge vadības panelis tiks atvērts atsevišķā cilnē.
Ugunsmūra noteikumu konfigurēšana
Pēc noklusējuma rindkopā noklusējuma noteikums ienākošajai trafikai ir atlasīta opcija Aizliegt, t.i., ugunsmūris bloķēs visu trafiku.
Lai pievienotu jaunu noteikumu, noklikšķiniet uz +. Tiks parādīts jauns ieraksts ar nosaukumu Jauns noteikums. Rediģējiet tā laukus atbilstoši savām prasībām.
Šajā jomā Vārds norādiet kārtulas nosaukumu, piemēram, Internets.
Šajā jomā avots ievadiet vajadzīgās avota adreses. Noklikšķinot uz pogas IP, varat iestatīt vienu IP adresi, IP adrešu diapazonu, CIDR.
Noklikšķinot uz pogas +, varat iestatīt citus objektus:
- Vārtejas saskarnes. Visi iekšējie tīkli (iekšējie), visi ārējie tīkli (ārējie) vai jebkuri.
- virtuālās mašīnas. Mēs saistām noteikumus ar noteiktu virtuālo mašīnu.
- OrgVdcNetworks. Organizācijas līmeņa tīkli.
- IP komplekti. Lietotāja iepriekš izveidota IP adrešu grupa (izveidota objektā Grupēšana).
Šajā jomā galamērķis ievadiet adresāta adresi. Šeit ir tādas pašas opcijas kā laukā Avots.
Šajā jomā Serviss jūs varat izvēlēties vai manuāli norādīt mērķa portu (Destination Port), nepieciešamo protokolu (Protocol), sūtītāja portu (Source Port). Noklikšķiniet uz Keep.
Šajā jomā Darbība atlasiet vajadzīgo darbību: atļaujiet trafiku, kas atbilst šim noteikumam, vai aizliedziet to.
Lietojiet ievadīto konfigurāciju, atlasot vienumu Saglabāt izmaiņas.
Noteikumu piemēri
1. noteikums ugunsmūrim (internets) ļauj piekļūt internetam, izmantojot jebkuru protokolu serverim ar IP 192.168.1.10.
2. noteikums ugunsmūrim (tīmekļa serverim) ļauj piekļūt no interneta, izmantojot (TCP protokols, ports 80), izmantojot jūsu ārējo adresi. Šajā gadījumā 185.148.83.16:80.
NAT iestatīšana
NAT (tīkla adrešu tulkošana) - privāto (pelēko) IP adrešu tulkošana uz ārējo (balto) un otrādi. Izmantojot šo procesu, virtuālā mašīna iegūst piekļuvi internetam. Lai konfigurētu šo mehānismu, ir jākonfigurē SNAT un DNAT kārtulas.
Svarīgs! NAT darbojas tikai tad, ja ir iespējots ugunsmūris un ir konfigurēti atbilstoši atļauju noteikumi.
Izveidojiet SNAT kārtulu. SNAT (Source Network Address Translation) ir mehānisms, kura būtība ir avota adreses aizstāšana, pārsūtot paketi.
Vispirms mums ir jānoskaidro mums pieejamā ārējā IP adrese vai IP adrešu diapazons. Lai to izdarītu, dodieties uz sadaļu Administrācija un veiciet dubultklikšķi uz virtuālā datu centra. Parādītajā iestatījumu izvēlnē pārejiet uz cilni Edge Gateways. Atlasiet vajadzīgo NSX Edge un ar peles labo pogu noklikšķiniet uz tā. Izvēlieties opciju Rekvizīti.
Parādītajā logā cilnē IP pūlu apakšpiešķiršana varat apskatīt ārējo IP adresi vai IP adrešu diapazonu. Pierakstiet to vai iegaumējiet to.
Pēc tam noklikšķiniet uz NSX Edge ar peles labo pogu. Parādītajā izvēlnē atlasiet opciju Edge Gateway pakalpojumi. Un mēs esam atgriezušies NSX Edge vadības panelī.
Parādītajā logā atveriet cilni NAT un noklikšķiniet uz Pievienot SNAT.
Jaunā logā norādiet:
- laukā Applied on - ārējais tīkls (nevis organizācijas līmeņa tīkls!);
- Original Source IP/range – iekšējais adrešu diapazons, piemēram, 192.168.1.0/24;
- Tulkotā avota IP/diapazons — ārējā adrese, caur kuru tiks piekļūts internetam un kuru apskatījāt cilnē Sub-Allocate IP Pools.
Noklikšķiniet uz Keep.
Izveidojiet DNST kārtulu. DNAT ir mehānisms, kas maina paketes galamērķa adresi, kā arī galamērķa portu. Izmanto, lai pārsūtītu ienākošās paketes no ārējās adreses/porta uz privātu IP adresi/portu privātā tīklā.
Atlasiet cilni NAT un noklikšķiniet uz Pievienot DNAT.
Parādītajā logā norādiet:
- laukā Applied on - ārējais tīkls (nevis organizācijas līmeņa tīkls!);
— Sākotnējais IP/diapazons — ārējā adrese (adrese no cilnes Sub-Allocate IP Pools);
— Protokols — protokols;
— Original Port — ports ārējai adresei;
- Tulkots IP/diapazons - iekšējā IP adrese, piemēram, 192.168.1.10
— Translated Port — ports iekšējai adresei, uz kuru tiks pārtulkots ārējās adreses ports.
Noklikšķiniet uz Keep.
Lietojiet ievadīto konfigurāciju, atlasot vienumu Saglabāt izmaiņas.
Gatavs.
Nākamais rindā ir DHCP instrukcijas, tostarp DHCP saišu un releja konfigurēšana.
Avots: www.habr.com