Po krótkiej przerwie wracamy do NSX. Dzisiaj pokażę Ci jak skonfigurować NAT i Firewall.
W zakładce Administracja przejdź do swojego wirtualnego centrum danych – Zasoby w chmurze – wirtualne centra danych.
Wybierz kartę Bramy brzegowe i kliknij prawym przyciskiem myszy żądaną NSX Edge. W wyświetlonym menu wybierz opcję Usługi bramy brzegowej. Panel sterowania NSX Edge otworzy się w osobnej karcie.
Konfigurowanie reguł zapory sieciowej
Domyślnie w elemencie domyślna reguła dla ruchu przychodzącego Wybrana jest opcja Odmów, co oznacza, że Zapora sieciowa będzie blokować cały ruch.
Aby dodać nową regułę, kliknij +. Pojawi się nowy wpis z nazwą Nowa zasada. Edytuj jego pola zgodnie ze swoimi wymaganiami.
W polu Imię nadaj regule nazwę, na przykład Internet.
W polu Źródło Wprowadź wymagane adresy źródłowe. Za pomocą przycisku IP można ustawić pojedynczy adres IP, zakres adresów IP, CIDR.
Za pomocą przycisku + możesz określić inne obiekty:
- Interfejsy bramek. Wszystkie sieci wewnętrzne (wewnętrzne), wszystkie sieci zewnętrzne (zewnętrzne) lub Dowolne.
- Wirtualne maszyny. Reguły wiążemy z konkretną maszyną wirtualną.
- OrgVdcNetworks. Sieci na poziomie organizacji.
- Zestawy IP. Wstępnie utworzona grupa użytkowników adresów IP (utworzona w obiekcie Grouping).
W polu Cel wskazać adres odbiorcy. Opcje tutaj są takie same jak w polu Źródło.
W polu Usługi możesz wybrać lub ręcznie określić port docelowy (port docelowy), wymagany protokół (protokół) i port nadawcy (port źródłowy). Kliknij Zachowaj.
W polu Działania wybierz wymaganą akcję: zezwól lub zablokuj ruch pasujący do tej reguły.
Zastosuj wprowadzoną konfigurację wybierając Zapisz zmiany.
Przykłady reguł
Zasada 1 dla zapory sieciowej (Internet) umożliwia dostęp do Internetu poprzez dowolny protokół do serwera o adresie IP 192.168.1.10.
Zasada 2 dla zapory sieciowej (serwer WWW) umożliwia dostęp z Internetu poprzez (protokół TCP, port 80) poprzez Twój adres zewnętrzny. W tym przypadku - 185.148.83.16:80.
Konfiguracja NAT-a
NAT (tłumaczenie adresów sieciowych) – tłumaczenie prywatnych (szarych) adresów IP na zewnętrzne (białe) i odwrotnie. Dzięki temu procesowi maszyna wirtualna uzyskuje dostęp do Internetu. Aby skonfigurować ten mechanizm, należy skonfigurować reguły SNAT i DNAT.
Ważny! NAT działa tylko wtedy, gdy włączona jest zapora sieciowa i skonfigurowane są odpowiednie reguły zezwalające.
Utwórz regułę SNAT. SNAT (ang. Source Network Address Translation) to mechanizm, którego istotą jest zamiana adresu źródłowego podczas wysyłania pakietu.
Najpierw musimy dowiedzieć się, jaki jest zewnętrzny adres IP lub zakres dostępnych adresów IP. Aby to zrobić, przejdź do sekcji Administracja i kliknij dwukrotnie wirtualne centrum danych. W wyświetlonym menu ustawień przejdź do zakładki Bramka brzegowaS. Wybierz żądaną wersję NSX Edge i kliknij ją prawym przyciskiem myszy. Wybierz opcję Właściwości.
W wyświetlonym oknie, w zakładce Podprzydzielaj pule adresów IP możesz wyświetlić zewnętrzny adres IP lub zakres adresów IP. Zapisz to lub zapamiętaj.
Następnie kliknij prawym przyciskiem myszy NSX Edge. W wyświetlonym menu wybierz opcję Usługi bramy brzegowej. I wracamy do panelu sterowania NSX Edge.
W wyświetlonym oknie otwórz zakładkę NAT i kliknij Dodaj SNAT.
W nowym oknie wskazujemy:
- w polu Stosowane na – sieć zewnętrzna (nie sieć na poziomie organizacji!);
- Oryginalny źródłowy adres IP/zakres – wewnętrzny zakres adresów, np. 192.168.1.0/24;
- Przetłumaczony źródłowy adres IP/zakres – adres zewnętrzny, przez który będzie uzyskiwany dostęp do Internetu, który sprawdziłeś w zakładce Podalokuj pule adresów IP.
Kliknij Zachowaj.
Utwórz regułę DNAT. DNAT to mechanizm zmieniający adres docelowy pakietu oraz port docelowy. Służy do przekierowywania przychodzących pakietów z adresu/portu zewnętrznego na prywatny adres/port IP w sieci prywatnej.
Wybierz zakładkę NAT i kliknij Dodaj DNAT.
W wyświetlonym oknie określ:
— w polu Stosowane na – sieć zewnętrzna (nie sieć na poziomie organizacji!);
— Oryginalne IP/zakres – adres zewnętrzny (adres z zakładki Sub-Allocate IP Pools);
— Protokół – protokół;
— Original Port – port dla adresu zewnętrznego;
— Przetłumaczony adres IP/zakres – wewnętrzny adres IP, np. 192.168.1.10
— Translated Port – port dla adresu wewnętrznego, na który zostanie przetłumaczony port adresu zewnętrznego.
Kliknij Zachowaj.
Zastosuj wprowadzoną konfigurację wybierając Zapisz zmiany.
Zrobione.
Następne w kolejce są instrukcje dotyczące protokołu DHCP, w tym konfigurowania powiązań DHCP i przekazywania.
Źródło: www.habr.com