Po krátkej prestávke sa vraciame k NSX. Dnes vám ukážem, ako nakonfigurovať NAT a Firewall.
V záložke Administrácia prejdite do svojho virtuálneho dátového centra – Cloudové zdroje – virtuálne dátové centrá.
Vyberte kartu Okrajové brány a kliknite pravým tlačidlom myši na požadovaný NSX Edge. V zobrazenej ponuke vyberte možnosť Služby Edge Gateway. Ovládací panel NSX Edge sa otvorí na samostatnej karte.
Nastavenie pravidiel brány firewall
Štandardne v položke predvolené pravidlo pre vstupnú prevádzku Je vybratá možnosť Odmietnuť, t. j. brána firewall bude blokovať všetku komunikáciu.
Ak chcete pridať nové pravidlo, kliknite na +. Objaví sa nový záznam s názvom Nové pravidlo. Upravte jeho polia podľa svojich požiadaviek.
V poli Meno pomenujte pravidlo, napríklad Internet.
V poli zdroj Zadajte požadované zdrojové adresy. Pomocou tlačidla IP môžete nastaviť jednu IP adresu, rozsah IP adries, CIDR.
Pomocou tlačidla + môžete určiť ďalšie objekty:
- Rozhrania brán. Všetky interné siete (Interné), všetky externé siete (External) alebo Ľubovoľné.
- Virtuálne stroje. Pravidlá viažeme na konkrétny virtuálny stroj.
- OrgVdcNetworks. Siete na úrovni organizácie.
- IP sady. Vopred vytvorená užívateľská skupina IP adries (vytvorená v objekte Grouping).
V poli Destinácia uveďte adresu príjemcu. Možnosti sú tu rovnaké ako v poli Zdroj.
V poli Služba sa môžete vybrať alebo manuálne zadať cieľový port (Cieľový port), požadovaný protokol (Protokol) a port odosielateľa (Zdrojový port). Kliknite na Ponechať.
V poli akčná vyberte požadovanú akciu: povoliť alebo zakázať návštevnosť, ktorá vyhovuje tomuto pravidlu.
Použiť zadanú konfiguráciu výberom Uložiť zmeny.
Príklady pravidiel
Pravidlo 1 pre bránu firewall (internet) umožňuje prístup na internet cez akýkoľvek protokol na server s IP 192.168.1.10.
Pravidlo 2 pre bránu firewall (webový server) umožňuje prístup z internetu cez (TCP protokol, port 80) cez vašu externú adresu. V tomto prípade - 185.148.83.16:80.
Nastavenie NAT
NAT (preklad sieťových adries) – preklad súkromných (sivých) IP adries na externé (biele) a naopak. Prostredníctvom tohto procesu získa virtuálny stroj prístup na internet. Ak chcete nakonfigurovať tento mechanizmus, musíte nakonfigurovať pravidlá SNAT a DNAT.
Dôležité! NAT funguje len vtedy, keď je povolená brána firewall a sú nakonfigurované príslušné povoľovacie pravidlá.
Vytvorte pravidlo SNAT. SNAT (Source Network Address Translation) je mechanizmus, ktorého podstatou je nahradenie zdrojovej adresy pri odosielaní paketu.
Najprv musíme zistiť externú IP adresu alebo rozsah IP adries, ktoré máme k dispozícii. Ak to chcete urobiť, prejdite do sekcie Administrácia a dvakrát kliknite na virtuálne dátové centrum. V zobrazenej ponuke nastavení prejdite na kartu Okrajová bránas. Vyberte požadovaný NSX Edge a kliknite naň pravým tlačidlom myši. Vyberte možnosť vlastnosti.
V zobrazenom okne na karte Sub-Alocate IP Pools môžete zobraziť externú IP adresu alebo rozsah IP adries. Zapíšte si to alebo si to zapamätajte.
Potom kliknite pravým tlačidlom myši na NSX Edge. V zobrazenej ponuke vyberte možnosť Služby Edge Gateway. A sme späť v ovládacom paneli NSX Edge.
V zobrazenom okne otvorte kartu NAT a kliknite na Pridať SNAT.
V novom okne uvádzame:
- v poli Aplikované na – externá sieť (nie sieť na úrovni organizácie!);
- Pôvodná zdrojová IP/rozsah – interný rozsah adries, napríklad 192.168.1.0/24;
- Preložená zdrojová IP/rozsah – externá adresa, cez ktorú sa bude pristupovať na internet a ktorú ste si pozreli na karte Sub-Alocate IP Pools.
Kliknite na Ponechať.
Vytvorte pravidlo DNAT. DNAT je mechanizmus, ktorý mení cieľovú adresu paketu, ako aj cieľový port. Používa sa na presmerovanie prichádzajúcich paketov z externej adresy/portu na súkromnú IP adresu/port v rámci súkromnej siete.
Vyberte kartu NAT a kliknite na Pridať DNAT.
V zobrazenom okne zadajte:
— v poli Aplikované – externá sieť (nie sieť na úrovni organizácie!);
— Pôvodná IP/rozsah – externá adresa (adresa zo záložky Sub-Allocate IP Pools);
— Protokol – protokol;
— Pôvodný port – port pre externú adresu;
— Preložená adresa IP/rozsah – interná adresa IP, napríklad 192.168.1.10
— Translated Port – port pre internú adresu, na ktorú bude preložený port externej adresy.
Kliknite na Ponechať.
Použiť zadanú konfiguráciu výberom Uložiť zmeny.
Hotovo.
Ďalšie v poradí sú inštrukcie o DHCP, vrátane nastavenia DHCP Bindings a Relay.
Zdroj: hab.com