După o scurtă pauză ne întoarcem la NSX. Astăzi vă voi arăta cum să configurați NAT și Firewall.
În fila Administrare accesați centrul dvs. de date virtual - Resurse cloud – Centre de date virtuale.
Selectați o filă Gateway-uri Edge și faceți clic dreapta pe NSX Edge dorit. În meniul care apare, selectați opțiunea Servicii Edge Gateway. Panoul de control NSX Edge se va deschide într-o filă separată.
Configurarea regulilor de firewall
Implicit în articol regula implicită pentru traficul de intrare Opțiunea Deny este selectată, adică Firewall-ul va bloca tot traficul.
Pentru a adăuga o nouă regulă, faceți clic pe +. Va apărea o nouă intrare cu numele Nouă regulă. Editați-i câmpurile în funcție de cerințele dvs.
În domeniul Nume si Prenume dați un nume regulii, de exemplu Internet.
În domeniul Sursă Introduceți adresele sursei necesare. Folosind butonul IP, puteți seta o singură adresă IP, o serie de adrese IP, CIDR.
Folosind butonul + puteți specifica alte obiecte:
- Interfețe gateway. Toate rețelele interne (Interne), toate rețelele externe (Externe) sau Oricare.
- Mașini virtuale. Legăm regulile la o anumită mașină virtuală.
- OrgVdcNetworks. Rețele la nivel de organizație.
- Seturi IP. Un grup de adrese IP pre-creat de utilizatori (creat în obiectul Grupare).
În domeniul Destinaţie indica adresa destinatarului. Opțiunile de aici sunt aceleași ca în câmpul Sursă.
În domeniul serviciu puteți selecta sau specifica manual portul de destinație (Portul de destinație), protocolul necesar (Protocol) și portul expeditor (Portul sursă). Faceți clic pe Păstrați.
În domeniul Acțiune selectați acțiunea necesară: permiteți sau interziceți traficul care corespunde acestei reguli.
Aplicați configurația introdusă selectând Salvează modificările.
Exemple de reguli
Regula 1 pentru Firewall (Internet) permite accesul la Internet prin orice protocol la un server cu IP 192.168.1.10.
Regula 2 pentru Firewall (server web) permite accesul de pe Internet prin (protocol TCP, portul 80) prin adresa dumneavoastră externă. În acest caz - 185.148.83.16:80.
Configurare NAT
NAT (Traducere adresă de rețea) – traducerea adreselor IP private (gri) în cele externe (albe) și invers. Prin acest proces, mașina virtuală obține acces la Internet. Pentru a configura acest mecanism, trebuie să configurați regulile SNAT și DNAT.
Important! NAT funcționează numai când firewall-ul este activat și sunt configurate regulile de autorizare corespunzătoare.
Creați o regulă SNAT. SNAT (Source Network Address Translation) este un mecanism a cărui esență este înlocuirea adresei sursă la trimiterea unui pachet.
Mai întâi trebuie să aflăm adresa IP externă sau gama de adrese IP disponibile pentru noi. Pentru a face acest lucru, accesați secțiunea Administrare și faceți dublu clic pe centrul de date virtual. În meniul de setări care apare, accesați fila Gateway Edges. Selectați NSX Edge dorit și faceți clic dreapta pe el. Selecteaza o optiune Proprietăţi.
În fereastra care apare, în fila Sub-alocați pool-uri de IP puteți vizualiza adresa IP externă sau intervalul de adrese IP. Scrieți-l sau amintiți-l.
Apoi, faceți clic dreapta pe NSX Edge. În meniul care apare, selectați opțiunea Servicii Edge Gateway. Și ne-am întors în panoul de control NSX Edge.
În fereastra care apare, deschideți fila NAT și faceți clic pe Adăugare SNAT.
În fereastra nouă indicăm:
- în câmpul Aplicat pe – o rețea externă (nu o rețea la nivel de organizație!);
- IP/gamă sursă originală – interval de adrese interne, de exemplu, 192.168.1.0/24;
- IP/interval sursă tradus – adresa externă prin care va fi accesat internetul și pe care ați privit-o în fila Sub-Allocate IP Pools.
Faceți clic pe Păstrați.
Creați o regulă DNAT. DNAT este un mecanism care modifică adresa de destinație a unui pachet, precum și portul de destinație. Folosit pentru a redirecționa pachetele primite de la o adresă/port extern către o adresă/port IP privată într-o rețea privată.
Selectați fila NAT și faceți clic pe Adăugați DNAT.
În fereastra care apare, specificați:
— în câmpul Aplicat pe – o rețea externă (nu o rețea la nivel de organizație!);
— IP/gamă originală – adresă externă (adresă din fila Sub-Allocate IP Pools);
— Protocol – protocol;
— Port original – port pentru adresa externă;
— IP/interval tradus – adresa IP internă, de exemplu, 192.168.1.10
— Port tradus – port pentru adresa internă în care va fi tradus portul adresei externe.
Faceți clic pe Păstrați.
Aplicați configurația introdusă selectând Salvează modificările.
Efectuat.
Urmează instrucțiunile despre DHCP, inclusiv configurarea DHCP Bindings și Relay.
Sursa: www.habr.com