Selepas berehat sebentar kami kembali ke NSX. Hari ini saya akan menunjukkan kepada anda cara mengkonfigurasi NAT dan Firewall.
Di tab Pentadbiran pergi ke pusat data maya anda - Sumber Awan β Pusat Data Maya.
Pilih tab Gerbang Tepi dan klik kanan pada NSX Edge yang dikehendaki. Dalam menu yang muncul, pilih pilihan Perkhidmatan Edge Gateway. Panel Kawalan Tepi NSX akan dibuka dalam tab berasingan.
Menyediakan peraturan Firewall
Secara lalai dalam item peraturan lalai untuk trafik masuk Pilihan Tolak dipilih, iaitu Firewall akan menyekat semua trafik.
Untuk menambah peraturan baharu, klik +. Entri baharu akan muncul dengan nama Peraturan baru. Edit medannya mengikut keperluan anda.
Dalam bidang Nama beri nama peraturan, contohnya Internet.
Dalam bidang Source Masukkan alamat sumber yang diperlukan. Menggunakan butang IP, anda boleh menetapkan alamat IP tunggal, julat alamat IP, CIDR.
Menggunakan butang + anda boleh menentukan objek lain:
- Antara muka gerbang. Semua rangkaian dalaman (Dalaman), semua rangkaian luaran (Luaran) atau Mana-mana.
- Mesin maya. Kami mengikat peraturan pada mesin maya tertentu.
- OrgVdcNetworks. Rangkaian peringkat organisasi.
- Set IP. Kumpulan pengguna alamat IP yang telah dibuat sebelumnya (dicipta dalam objek Pengumpulan).
Dalam bidang Destinasi nyatakan alamat penerima. Pilihan di sini adalah sama seperti dalam medan Sumber.
Dalam bidang Servis anda boleh memilih atau secara manual menentukan port destinasi (Port Destinasi), protokol yang diperlukan (Protokol) dan port penghantar (Port Sumber). Klik Simpan.
Dalam bidang Tindakan pilih tindakan yang diperlukan: benarkan atau tolak trafik yang sepadan dengan peraturan ini.
Gunakan konfigurasi yang dimasukkan dengan memilih Simpan .
Contoh peraturan
Peraturan 1 untuk Firewall (Internet) membenarkan akses kepada Internet melalui mana-mana protokol ke pelayan dengan IP 192.168.1.10.
Peraturan 2 untuk Firewall (Pelayan Web) membenarkan akses daripada Internet melalui (protokol TCP, port 80) melalui alamat luaran anda. Dalam kes ini - 185.148.83.16:80.
Persediaan NAT
NAT (Terjemahan Alamat Rangkaian) β terjemahan alamat IP peribadi (kelabu) kepada yang luaran (putih), dan sebaliknya. Melalui proses ini, mesin maya mendapat akses kepada Internet. Untuk mengkonfigurasi mekanisme ini, anda perlu mengkonfigurasi peraturan SNAT dan DNAT.
Penting! NAT hanya berfungsi apabila Firewall didayakan dan peraturan membenarkan yang sesuai dikonfigurasikan.
Buat peraturan SNAT. SNAT (Source Network Address Translation) ialah mekanisme yang intipatinya adalah untuk menggantikan alamat sumber semasa menghantar paket.
Mula-mula kita perlu mengetahui alamat IP luaran atau julat alamat IP yang tersedia untuk kita. Untuk melakukan ini, pergi ke bahagian Pentadbiran dan klik dua kali pada pusat data maya. Dalam menu tetapan yang muncul, pergi ke tab Gerbang Tepis. Pilih Edge NSX yang dikehendaki dan klik kanan padanya. Pilih satu pilihan Hartanah.
Dalam tetingkap yang muncul, dalam tab Sub-Peruntukkan Kolam IP anda boleh melihat alamat IP luaran atau julat alamat IP. Tulis atau ingat.
Seterusnya, klik kanan pada NSX Edge. Dalam menu yang muncul, pilih pilihan Perkhidmatan Edge Gateway. Dan kami kembali ke panel kawalan NSX Edge.
Dalam tetingkap yang muncul, buka tab NAT dan klik Tambah SNAT.
Dalam tetingkap baharu kami menunjukkan:
- dalam medan Gunaan - rangkaian luaran (bukan rangkaian peringkat organisasi!);
- IP/julat Sumber Asal β julat alamat dalaman, contohnya, 192.168.1.0/24;
- IP/julat Sumber Diterjemah β alamat luaran yang melaluinya Internet akan diakses dan yang anda lihat dalam tab Sub-Peruntukkan Kumpulan IP.
Klik Simpan.
Buat peraturan DNAT. DNAT ialah mekanisme yang menukar alamat destinasi paket serta port destinasi. Digunakan untuk mengubah hala paket masuk dari alamat/port luaran ke alamat/port IP peribadi dalam rangkaian peribadi.
Pilih tab NAT dan klik Tambah DNAT.
Dalam tetingkap yang muncul, nyatakan:
β dalam medan Digunakan pada β rangkaian luaran (bukan rangkaian peringkat organisasi!);
β IP/julat asal β alamat luaran (alamat daripada tab Sub-Peruntukkan Kumpulan IP);
β Protokol β protokol;
β Pelabuhan Asal β pelabuhan untuk alamat luaran;
β IP/julat yang diterjemahkan β alamat IP dalaman, contohnya, 192.168.1.10
β Port Terjemahan β port untuk alamat dalaman yang mana port alamat luaran akan diterjemahkan.
Klik Simpan.
Gunakan konfigurasi yang dimasukkan dengan memilih Simpan .
Selesai.
Seterusnya dalam barisan ialah arahan tentang DHCP, termasuk menyediakan Pengikatan dan Geganti DHCP.
Sumber: www.habr.com