Etter en kort pause går vi tilbake til NSX. I dag skal jeg vise deg hvordan du konfigurerer NAT og brannmur.
I fanen Administrasjon gå til ditt virtuelle datasenter – Skyressurser – Virtuelle datasentre.
Velg en fane Edge gateways og høyreklikk på ønsket NSX Edge. Velg alternativet i menyen som vises Edge Gateway-tjenester. NSX Edge-kontrollpanelet åpnes i en egen fane.
Sette opp brannmurregler
Som standard i element standardregel for inngående trafikk Alternativet Nekt er valgt, det vil si at brannmuren blokkerer all trafikk.
For å legge til en ny regel, klikk på +. En ny oppføring vises med navnet Ny regel. Rediger feltene i henhold til dine krav.
I felt Navn gi regelen et navn, for eksempel Internett.
I felt kilde Skriv inn de nødvendige kildeadressene. Ved å bruke IP-knappen kan du angi en enkelt IP-adresse, en rekke IP-adresser, CIDR.
Ved å bruke +-knappen kan du spesifisere andre objekter:
- Gateway-grensesnitt. Alle interne nettverk (internt), alle eksterne nettverk (eksternt) eller alle.
- Virtuelle maskiner. Vi binder reglene til en spesifikk virtuell maskin.
- OrgVdcNetworks. Nettverk på organisasjonsnivå.
- IP-sett. En forhåndsopprettet brukergruppe med IP-adresser (opprettet i grupperingsobjektet).
I felt Destinasjon angi mottakerens adresse. Alternativene her er de samme som i kildefeltet.
I felt Service du kan velge eller manuelt spesifisere destinasjonsporten (Destination Port), den nødvendige protokollen (Protocol) og senderporten (Source Port). Klikk Behold.
I felt Handling velg den nødvendige handlingen: tillat eller nekt trafikk som samsvarer med denne regelen.
Bruk den angitte konfigurasjonen ved å velge lagre endringer.
Regeleksempler
Regel 1 for brannmur (Internett) gir tilgang til Internett via en hvilken som helst protokoll til en server med IP 192.168.1.10.
Regel 2 for brannmur (webserver) tillater tilgang fra Internett via (TCP-protokoll, port 80) gjennom din eksterne adresse. I dette tilfellet - 185.148.83.16:80.
NAT-oppsett
NAT (Network Address Translation) – oversettelse av private (grå) IP-adresser til eksterne (hvite) og omvendt. Gjennom denne prosessen får den virtuelle maskinen tilgang til Internett. For å konfigurere denne mekanismen, må du konfigurere SNAT- og DNAT-regler.
Viktig! NAT fungerer bare når brannmuren er aktivert og de riktige tillatelsesreglene er konfigurert.
Lag en SNAT-regel. SNAT (Source Network Address Translation) er en mekanisme hvis essens er å erstatte kildeadressen når du sender en pakke.
Først må vi finne ut den eksterne IP-adressen eller rekkevidden av IP-adresser som er tilgjengelige for oss. For å gjøre dette, gå til delen Administrasjon og dobbeltklikk på det virtuelle datasenteret. Gå til fanen i innstillingsmenyen som vises Edge gateways. Velg ønsket NSX Edge og høyreklikk på den. Velg et alternativ Eiendommer.
I vinduet som vises, i fanen Undertildel IP-pooler du kan se den eksterne IP-adressen eller rekkevidden av IP-adresser. Skriv det ned eller husk det.
Deretter høyreklikker du på NSX Edge. Velg alternativet i menyen som vises Edge Gateway-tjenester. Og vi er tilbake i NSX Edge-kontrollpanelet.
I vinduet som vises, åpne NAT-fanen og klikk Legg til SNAT.
I det nye vinduet angir vi:
- i feltet Brukt på – et eksternt nettverk (ikke et nettverk på organisasjonsnivå!);
- Original kilde IP/område – internt adresseområde, for eksempel 192.168.1.0/24;
- Oversatt kilde IP/område – den eksterne adressen som Internett vil få tilgang til og som du så på i kategorien Sub-alloker IP-pooler.
Klikk Behold.
Lag en DNAT-regel. DNAT er en mekanisme som endrer destinasjonsadressen til en pakke så vel som destinasjonsporten. Brukes til å omdirigere innkommende pakker fra en ekstern adresse/port til en privat IP-adresse/port innenfor et privat nettverk.
Velg fanen NAT og klikk på Legg til DNAT.
I vinduet som vises, spesifiser:
– i feltet Brukt på – et eksternt nettverk (ikke et nettverk på organisasjonsnivå!);
— Opprinnelig IP/område – ekstern adresse (adresse fra kategorien Sub-Alloker IP-pooler);
— Protokoll – protokoll;
— Original Port – port for ekstern adresse;
— Oversatt IP/område – intern IP-adresse, for eksempel 192.168.1.10
— Oversatt port – port for den interne adressen som porten til den eksterne adressen vil bli oversatt til.
Klikk Behold.
Bruk den angitte konfigurasjonen ved å velge lagre endringer.
Ferdig.
Neste på rad er instruksjoner om DHCP, inkludert oppsett av DHCP-bindinger og relé.
Kilde: www.habr.com