ခဏနားပြီးနောက် NSX သို့ ပြန်သွားကြသည်။ ဒီနေ့တော့ NAT နဲ့ Firewall ကို ဘယ်လို configure လုပ်ရမလဲဆိုတာ ပြောပြပေးပါမယ်။
tab မှာ စီမံခန္႔ခြဲမႈ သင်၏ virtual ဒေတာစင်တာသို့သွားပါ - Cloud အရင်းအမြစ်များ – Virtual Datacenters.
tab တစ်ခုကိုရွေးပါ အစွန်းတံခါးများ လိုချင်သော NSX Edge ပေါ်တွင် right-click လုပ်ပါ။ ပေါ်လာသော မီနူးတွင်၊ ရွေးစရာကို ရွေးပါ။ Edge Gateway ဝန်ဆောင်မှုများ. NSX Edge Control Panel သည် သီးခြားတက်ဘ်တစ်ခုတွင် ဖွင့်ပါမည်။
Firewall စည်းမျဉ်းများ သတ်မှတ်ခြင်း။
အကြောင်းအရာတွင် ပုံသေဖြစ်သည်။ အဝင်အထွက်လမ်းကြောင်းအတွက် မူရင်းစည်းမျဉ်း ငြင်းဆိုရန် ရွေးချယ်မှုကို ရွေးချယ်ထားသည်၊ ဆိုလိုသည်မှာ Firewall သည် အသွားအလာအားလုံးကို ပိတ်ဆို့လိမ့်မည်။
စည်းမျဉ်းအသစ်တစ်ခုထည့်ရန် + ကိုနှိပ်ပါ။ အသစ်တစ်ခုသည် အမည်နှင့်အတူ ပေါ်လာလိမ့်မည်။ နည်းဥပဒေသစ်. သင့်လိုအပ်ချက်အရ ၎င်း၏အကွက်များကို တည်းဖြတ်ပါ။
လယ်ပြင်၌ အမည် စည်းကမ်းကို နာမည်ပေး၊ ဥပမာ အင်တာနက်။
လယ်ပြင်၌ အရင်းအမြစ် လိုအပ်သောအရင်းအမြစ်လိပ်စာများကိုထည့်ပါ။ IP ခလုတ်ကို အသုံးပြု၍ IP လိပ်စာတစ်ခု၊ IP လိပ်စာအကွာအဝေး၊ CIDR ကို သင် သတ်မှတ်နိုင်သည်။
+ ခလုတ်ကို အသုံးပြု၍ သင်သည် အခြားအရာဝတ္ထုများကို သတ်မှတ်နိုင်သည်-
- ဂိတ်ဝေး အင်တာဖေ့စ်များ။ အတွင်းကွန်ရက်များ အားလုံး (Internal)၊ ပြင်ပကွန်ရက်များ (External) သို့မဟုတ် Any။
- စက်အတုများ။ ကျွန်ုပ်တို့သည် စည်းမျဉ်းများကို သီးခြား virtual machine တစ်ခုသို့ ချိတ်ဆက်သည်။
- OrgVdcNetworks အဖွဲ့အစည်းအဆင့် ကွန်ရက်များ။
- IP အစုံများ။ IP လိပ်စာများ၏ ကြိုတင်ဖန်တီးထားသော အသုံးပြုသူအုပ်စု (အုပ်စုဖွဲ့ခြင်းအရာဝတ္တုတွင် ဖန်တီးထားသည်)။
လယ်ပြင်၌ ခရီးလမ်းဆုံး လက်ခံသူ၏လိပ်စာကိုဖော်ပြပါ။ ဤနေရာတွင် ရွေးချယ်စရာများသည် အရင်းအမြစ်အကွက်တွင် တူညီပါသည်။
လယ်ပြင်၌ ဝန်ဆောင်မှု ဦးတည်ရာ ဆိပ်ကမ်း (Destination Port)၊ လိုအပ်သော ပရိုတိုကော (Protocol) နှင့် ပေးပို့သူ ပို့တ် (Source Port) ကို ရွေးချယ် သို့မဟုတ် ကိုယ်တိုင် သတ်မှတ်နိုင်ပါသည်။ Keep ကိုနှိပ်ပါ။
လယ်ပြင်၌ လှုပ်ရှားမှု လိုအပ်သောလုပ်ဆောင်ချက်ကို ရွေးချယ်ပါ- ဤစည်းမျဉ်းနှင့် ကိုက်ညီသော အသွားအလာများကို ခွင့်ပြု သို့မဟုတ် ငြင်းပယ်ပါ။
ရွေးချယ်ခြင်းဖြင့် ထည့်သွင်းထားသော ဖွဲ့စည်းမှုပုံစံကို အသုံးပြုပါ။ ပြောင်းလဲမှုများကို save.
စည်းကမ်းဥပမာများ
Firewall (အင်တာနက်) အတွက် စည်းမျဉ်း 1 IP 192.168.1.10 ပါသော ဆာဗာသို့ မည်သည့် protocol မှတဆင့် အင်တာနက်သို့ ဝင်ရောက်ခွင့်ကို ခွင့်ပြုသည်။
Firewall (ဝဘ်-ဆာဗာ) အတွက် စည်းမျဉ်း 2 သင့်ပြင်ပလိပ်စာမှတဆင့် (TCP ပရိုတိုကော၊ အပေါက် 80) မှတဆင့် အင်တာနက်မှ ဝင်ရောက်ကြည့်ရှုခွင့်ပေးသည်။ ဤကိစ္စတွင် - 185.148.83.16:80 ။
NAT စနစ်ထည့်သွင်းခြင်း။
NAT (ကွန်ယက်လိပ်စာဘာသာပြန်ဆိုခြင်း) - သီးသန့် (မီးခိုးရောင်) IP လိပ်စာများကို ပြင်ပ (အဖြူ) များသို့ ဘာသာပြန်ဆိုခြင်း နှင့် အပြန်အလှန်အားဖြင့်။ ဤလုပ်ငန်းစဉ်အားဖြင့်၊ virtual machine သည်အင်တာနက်သို့ဝင်ရောက်ခွင့်ရရှိမည်ဖြစ်သည်။ ဤယန္တရားကို configure ရန်၊ သင်သည် SNAT နှင့် DNAT စည်းမျဉ်းများကို configure လုပ်ရန် လိုအပ်သည်။
အရေးကြီးသည်! NAT သည် Firewall ကိုဖွင့်ထားပြီး သင့်လျော်သောခွင့်ပြုစည်းမျဉ်းများကို စီစဉ်သတ်မှတ်ထားမှသာ အလုပ်လုပ်ပါသည်။
SNAT စည်းမျဉ်းကို ဖန်တီးပါ။ SNAT (အရင်းအမြစ်ကွန်ရက်လိပ်စာဘာသာပြန်ဆိုခြင်း) သည် ပက်ကတ်တစ်ခုပေးပို့သည့်အခါ အရင်းအမြစ်လိပ်စာကို အစားထိုးရန် အနှစ်သာရဖြစ်သော ယန္တရားတစ်ခုဖြစ်သည်။
ပထမဦးစွာ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့အတွက်ရရှိနိုင်သော ပြင်ပ IP လိပ်စာ သို့မဟုတ် အကွာအဝေး IP လိပ်စာများကို ရှာဖွေရန် လိုအပ်သည်။ ဒီလိုလုပ်ဖို့၊ အပိုင်းကိုသွားပါ။ စီမံခန္႔ခြဲမႈ ပြီး virtual data center ကို double click လုပ်ပါ။ ပေါ်လာသော ဆက်တင်များ မီနူးတွင်၊ တက်ဘ်သို့ သွားပါ။ အစွန်းမုခ်၎။ လိုချင်သော NSX Edge ကိုရွေးပြီး ၎င်းပေါ်တွင် right-click နှိပ်ပါ။ ရွေးချယ်မှုတစ်ခုကို ရွေးချယ်ပါ။ My Properties.
ပေါ်လာတဲ့ဝင်းဒိုးထဲမှာ၊ တက်ဘ်ထဲမှာ Sub-Allocate IP Pools သင်သည် ပြင်ပ IP လိပ်စာ သို့မဟုတ် IP လိပ်စာများ၏ အကွာအဝေးကို ကြည့်ရှုနိုင်သည်။ အဲဒါကို ချရေးပါ ဒါမှမဟုတ် မှတ်ထားပါ။
ထို့နောက် NSX Edge ပေါ်တွင် right-click လုပ်ပါ။ ပေါ်လာသော မီနူးတွင်၊ ရွေးစရာကို ရွေးပါ။ Edge Gateway ဝန်ဆောင်မှုများ. ကျွန်ုပ်တို့သည် NSX Edge ထိန်းချုပ်မှုဘောင်တွင် ပြန်လည်ရောက်ရှိနေပြီဖြစ်သည်။
ပေါ်လာသည့်ဝင်းဒိုးတွင် NAT တက်ဘ်ကိုဖွင့်ပြီး Add SNAT ကိုနှိပ်ပါ။
ဝင်းဒိုးအသစ်တွင် ကျွန်ုပ်တို့ဖော်ပြသည်-
- Applied on field တွင် – ပြင်ပကွန်ရက် (အဖွဲ့အစည်းအဆင့် ကွန်ရက်မဟုတ်!);
- မူရင်းအရင်းအမြစ် IP/အပိုင်းအခြား – အတွင်းလိပ်စာအပိုင်းအခြား၊ ဥပမာ၊ 192.168.1.0/24၊
- ဘာသာပြန်ထားသော အရင်းအမြစ် IP/အပိုင်းအခြား – အင်တာနက်ကို ဝင်ရောက်ကြည့်ရှုမည့် ပြင်ပလိပ်စာနှင့် Sub-Allocate IP Pools တက်ဘ်တွင် သင်ကြည့်ရှုခဲ့သည့် ပြင်ပလိပ်စာ။
Keep ကိုနှိပ်ပါ။
DNAT စည်းမျဉ်းကိုဖန်တီးပါ။ DNAT သည် ပက်ကတ်တစ်ခု၏ ဦးတည်ရာလိပ်စာအပြင် ဦးတည်ရာဆိပ်ကမ်းကို ပြောင်းလဲပေးသည့် ယန္တရားတစ်ခုဖြစ်သည်။ ပြင်ပလိပ်စာ/ပို့တ်မှ အဝင်ပက်ကတ်များကို သီးသန့်ကွန်ရက်အတွင်း သီးသန့် IP လိပ်စာ/ပို့တ်သို့ ပြန်ညွှန်းရန် အသုံးပြုသည်။
NAT tab ကိုရွေးပြီး Add DNAT ကိုနှိပ်ပါ။
ပေါ်လာသောဝင်းဒိုးတွင်၊ သတ်မှတ်ပါ-
— Applied on field တွင် – ပြင်ပကွန်ရက် (အဖွဲ့အစည်းအဆင့် ကွန်ရက်မဟုတ်!);
— မူရင်း IP/အပိုင်းအခြား – ပြင်ပလိပ်စာ (ခွဲဝေသတ်မှတ် IP Pools တက်ဘ်မှ လိပ်စာ);
- ပရိုတိုကော - ပရိုတိုကော၊
— မူရင်းဆိပ်ကမ်း – ပြင်ပလိပ်စာအတွက် ဆိပ်ကမ်း၊
— ဘာသာပြန်ထားသော IP/အပိုင်းအခြား – အတွင်းပိုင်း IP လိပ်စာ၊ ဥပမာ၊ 192.168.1.10
— Translated Port – ပြင်ပလိပ်စာကို ဘာသာပြန်မည့် port ၏ အတွင်းလိပ်စာအတွက် ဆိပ်ကမ်း။
Keep ကိုနှိပ်ပါ။
ရွေးချယ်ခြင်းဖြင့် ထည့်သွင်းထားသော ဖွဲ့စည်းမှုပုံစံကို အသုံးပြုပါ။ ပြောင်းလဲမှုများကို save.
Done ။
နောက်တစ်ခုသည် DHCP Bindings နှင့် Relay ကိုထည့်သွင်းခြင်းအပါအဝင် DHCP ဆိုင်ရာ ညွှန်ကြားချက်များဖြစ်သည်။
source: www.habr.com