Haeba u sheba tlhophiso ea firewall efe kapa efe, mohlomong re tla bona lakane e nang le liaterese tse ngata tsa IP, likou, liprothokholo le subnets. Ena ke tsela eo maano a ts'ireletso ea marang-rang bakeng sa phihlello ea basebelisi ho lisebelisoa a kengoang ts'ebetsong. Qalong ba leka ho boloka taolo ho config, empa joale basebeletsi ba qala ho tloha lefapheng ho ea ho lefapha, li-server li ngatafala le ho fetola mesebetsi ea tsona, ho fumana menyetla ea merero e fapaneng e hlaha moo hangata e sa lumelloeng, 'me litsela tse makholo tse sa tsejoeng tsa lipōli lia hlaha.
Haufi le melao e meng, haeba u le lehlohonolo, ho na le litlhaloso "Vasya o nkōpile hore ke etse sena" kapa "Ena ke tsela e eang ho DMZ." Mookameli oa marang-rang oa tlohela, 'me ntho e' ngoe le e 'ngoe e fetoha e sa hlakang ka ho feletseng. Joale motho e mong o ile a etsa qeto ea ho hlakola Vasya's config, 'me SAP e ile ea senyeha, hobane Vasya o kile a kōpa monyetla ona oa ho tsamaisa SAP ea ntoa.
Kajeno ke tla bua ka tharollo ea VMware NSX, e thusang ho sebelisa ka nepo likhokahano tsa marang-rang le maano a ts'ireletso ntle le pherekano ho li-firewall configs. Ke tla u bontša hore na ho hlahile likarolo life tse ncha ha li bapisoa le tseo VMware e neng e e-na le tsona pele karolong ena.
VMWare NSX ke sethala sa ts'ireletso le ts'ireletso bakeng sa lits'ebeletso tsa marang-rang. NSX e rarolla mathata a ho tsamaisa, ho switjha, ho leka-lekanya thepa, firewall mme e ka etsa lintho tse ling tse ngata tse khahlisang.
NSX ke mohlahlami oa sehlahisoa sa VMware sa vCloud Networking and Security (vCNS) le Nicira NVP e fumanoeng.
Ho tloha ho vCNS ho ea ho NSX
Pejana, moreki o ne a e-na le mochini o ikhethileng oa vCNS vShield Edge ka leru le hahiloeng ho VMware vCloud. E ne e sebetsa e le heke ea moeli, moo ho neng ho khoneha ho lokisa mesebetsi e mengata ea marang-rang: NAT, DHCP, Firewall, VPN, tekanyo ea mojaro, joalo-joalo vShield Edge e lekanyelitse ho sebelisana ha mochine oa sebele le lefatše le ka ntle ho latela melao e boletsoeng ho Firewall le NAT. Ka har'a marang-rang, mechine ea sebele e ne e buisana ka bolokolohi ka har'a subnets. Haeba u hlile u batla ho arola le ho hlōla sephethephethe, u ka etsa marang-rang a arohaneng bakeng sa likarolo tsa motho ka mong tsa likopo (mechini e fapaneng ea sebele) 'me u behe melao e nepahetseng bakeng sa ho sebelisana ha marang-rang ho firewall. Empa sena se telele, se thata ebile ha se thahaselle, haholo-holo ha u e-na le mechine e mengata ea sebele.
Ho NSX, VMware e kentse tšebetsong mohopolo oa karohano e nyane e sebelisa firewall e phatlalalitsoeng e hahiloeng ka har'a kernel ea hypervisor. E hlakisa maano a ts'ireletso le marang-rang a marang-rang eseng feela bakeng sa liaterese tsa IP le MAC, empa le bakeng sa lintho tse ling: mechini e sebetsang, lits'ebetso. Haeba NSX e kentsoe ka har'a mokhatlo, lintho tsena e ka ba mosebelisi kapa sehlopha sa basebelisi ho tsoa ho Active Directory. Ntho e 'ngoe le e' ngoe e joalo e fetoha microsegment ka har'a loop ea eona ea ts'ireletso, ka har'a subnet e hlokahalang, e nang le DMZ ea eona e monate :).
Nakong e fetileng, ho ne ho e-na le sebaka se le seng sa ts'ireletso bakeng sa letamo lohle la lisebelisoa, se sirelelitsoeng ke sesebelisoa se ka thōko, empa ka NSX u ka sireletsa mochine o fapaneng oa sebele ho tloha litšebelisanong tse sa hlokahaleng, esita le ka har'a marang-rang a tšoanang.
Melao ea ts'ireletso le marang-rang e ikamahanya le maemo haeba mokhatlo o fallela ho netweke e fapaneng. Ka mohlala, haeba re tsamaisa mochine o nang le database ho ea karolong e 'ngoe ea marang-rang kapa esita le ho setsi se seng se amanang le boitsebiso ba boitsebiso, joale melao e ngotsoeng bakeng sa mochine ona oa sebele e tla tsoela pele ho sebetsa ho sa tsotellehe sebaka sa eona se secha. Seva ea ts'ebeliso e ntse e tla khona ho buisana le database.
Tsela e ka thōko ka boeona, vCNS vShield Edge, e nkeloe sebaka ke NSX Edge. E na le likarolo tsohle tse bonolo tsa Edge ea khale, hammoho le likarolo tse 'maloa tse ncha tsa bohlokoa. Re tla bua ka tsona ho ea pele.
Ke eng e ncha ka NSX Edge?
NSX Edge tshebetso e itšetlehile ka NSX. Ho na le tse hlano tsa tsona: Standard, Professional, Advanced, Enterprise, Plus Remote Ofisi ea Lekala. Ntho e ngoe le e ngoe e ncha le e khahlisang e ka bonoa feela ho qala ka Advanced. Ho kenyeletsoa sebopeho se secha, seo, ho fihlela vCloud e fetohela ho HTML5 ka botlalo (VMware e ts'episa hlabula 2019), e bula tab e ncha.
Pula Tsa Lehlohonolo. U ka khetha liaterese tsa IP, marang-rang, li-interface tsa liheke, le mechini e fumanehang e le lintho tseo melao e tla sebelisoa ho tsona.
DHCP. Ntle le ho hlophisa mefuta e mengata ea liaterese tsa IP tse tla fuoa mechini e fumanehang marang-rang ena, NSX Edge joale e na le mesebetsi e latelang: tlamang и Khutlisa.
Ka har'a tab Tlamo O ka tlama aterese ea MAC ea mochini o sebetsang ho aterese ea IP haeba o hloka aterese ea IP hore e se fetohe. Ntho e ka sehloohong ke hore aterese ena ea IP ha e kenyelelitsoe Letamong la DHCP.
Ka har'a tab Khutlisa phetisetso ea melaetsa ea DHCP e lokiselitsoe ho li-server tsa DHCP tse fumanehang ka ntle ho mokhatlo oa hau ho vCloud Director, ho kenyeletsoa le li-server tsa DHCP tsa lisebelisoa tsa motheo.
Ho tsamaisa tsela. vShield Edge e ne e ka hlophisa mokhoa o tsitsitseng feela. Tsela e matla e nang le ts'ehetso ea liprothokholo tsa OSPF le BGP e hlahile mona. Litlhophiso tsa ECMP (Active-active) le tsona li se li fumaneha, ho bolelang hore li-failover tse sebetsang ho li-routers tsa 'mele.
Ho theha OSPF
Ho theha BGP
Ntho e 'ngoe e ncha ke ho theha phetiso ea litsela lipakeng tsa liprothokholo tse fapaneng,
kabo botjha ya tsela.
L4/L7 Mojaro Balancer. X-Forwarded-For e ile ea hlahisoa bakeng sa sehlooho sa HTTPs. Bohle ba ile ba lla ntle le yena. Ka mohlala, u na le sebaka sa marang-rang seo u se leka-lekaneng. Ntle le ho fetisetsa hlooho ena, ntho e 'ngoe le e' ngoe e sebetsa, empa lipalo-palo tsa seva sa websaete ha ua ka ua bona IP ea baeti, empa IP ea balancer. Jwale tsohle di lokile.
Hape tabeng ea Melao ea Tšebeliso joale u ka eketsa mangolo a tla laola ka ho toba ho leka-lekana ha sephethephethe.
vpn. Ntle le IPSec VPN, NSX Edge e tšehetsa:
- L2 VPN, e u lumellang ho otlolla marang-rang lipakeng tsa libaka tse hasantsoeng. VPN e joalo e hlokahala, ka mohlala, e le hore ha u fallela sebakeng se seng, mochine oa sebele o lula o le ka har'a subnet e le 'ngoe' me o boloka aterese ea IP.
- SSL VPN Plus, e lumellang basebelisi ho hokela hole le marang-rang a khoebo. Boemong ba vSphere ho ne ho e-na le ts'ebetso e joalo, empa ho vCloud Director ena ke mokhoa o mocha.
Setifikeiti sa SSL. Hona joale litifikeiti li ka kenngoa ho NSX Edge. Sena se boetse se tla potsong ea hore na ke mang ea hlokang balancer ntle le setifikeiti sa https.
Lihlopha tsa Lintho. Tabeng ena, lihlopha tsa lintho li hlalositsoe moo melao e itseng ea ho sebelisana le marang-rang e tla sebetsa, mohlala, melao ea firewall.
Lintho tsena e ka ba liaterese tsa IP le MAC.
Hape ho na le lethathamo la litšebeletso (protocol-port combination) le likopo tse ka sebelisoang ha ho etsoa melao ea firewall. Ke feela vCD portal administrator ea ka eketsang lits'ebeletso le lits'ebetso tse ncha.
Lipalo-palo. Lipalopalo tsa khokahanyo: sephethephethe se fetang hekeng, firewall le balancer.
Boemo le lipalo-palo bakeng sa kotopo e 'ngoe le e 'ngoe ea IPSEC VPN le L2 VPN.
Ho rema lifate. Ka har'a li-setting tsa Edge, o ka seta seva bakeng sa ho rekota li-log. Ho rema lifate ho sebetsa bakeng sa DNAT/SNAT, DHCP, Firewall, routing, balancer, IPsec VPN, SSL VPN Plus.
Mefuta e latelang ea litlhokomeliso e teng bakeng sa ntho/tšebeletso ka 'ngoe:
— Ho lokisa liphoso
— Tlhokomeliso
—E bohlokoa
- Phoso
—Temoso
— Hlokomela
- Boitsebiso
NSX Edge Litekanyo
Ho ipapisitse le mesebetsi e rarolloang le boholo ba VMware theha NSX Edge ka boholo bo latelang:
NSX Edge
(E patisane)
NSX Edge
(E kholo)
NSX Edge
(Kholo-Kholo)
NSX Edge
(X-Kholo)
vCPU
1
2
4
6
memori
512MB
1GB
1GB
8GB
tiske
512MB
512MB
512MB
4.5GB + 4GB
Khetho
E 'ngoe
kopo, teko
setsi sa data
Nyenyane
kapa karolelano
setsi sa data
E laisitsoe
firewall
Ho leka-lekanya
meroalo e maemong a L7
Ka tlase tafoleng ho na le metrics ea ts'ebetso ea lits'ebeletso tsa marang-rang ho latela boholo ba NSX Edge.
NSX Edge
(E patisane)
NSX Edge
(E kholo)
NSX Edge
(Kholo-Kholo)
NSX Edge
(X-Kholo)
likarolo
10
10
10
10
Sub Interfaces (Trunk)
200
200
200
200
Melao ea NAT
2,048
4,096
4,096
8,192
Menyetla ea ARP
Ho fihlela ho Ngola
1,024
2,048
2,048
2,048
Melao ea FW
2000
2000
2000
2000
Ts'ebetso ea FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Matamo a DHCP
20,000
20,000
20,000
20,000
Litsela tsa ECMP
8
8
8
8
Litsela tse sa fetoheng
2,048
2,048
2,048
2,048
Matamo a LB
64
64
64
1,024
Li-server tsa LB Virtual
64
64
64
1,024
LB Server/Letamo
32
32
32
32
LB Litlhahlobo tsa Bophelo bo Botle
320
320
320
3,072
Melao ea Kopo ea LB
4,096
4,096
4,096
4,096
L2VPN Clients Hub ho Bua
5
5
5
5
L2VPN Marang-rang ka Moreki / Seva
200
200
200
200
IPSec Tunnels
512
1,600
4,096
6,000
Lithapo tsa SSLVPN
50
100
100
1,000
Li-network tsa poraefete tsa SSLVPN
16
16
16
16
Likopano tse Kopanetsoeng
64,000
1,000,000
1,000,000
1,000,000
Likopano/ tsa Bobeli
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB Throughput L4 Mode)
6Gbps
6Gbps
6Gbps
LB Connections/s (L7 Proxy)
46,000
50,000
50,000
Likhokahano tsa nako e le 'ngoe tsa LB (L7 Proxy)
8,000
60,000
60,000
LB Connections/s (Mokhoa oa L4)
50,000
50,000
50,000
Likhokahano tsa LB (Mokhoa oa L4)
600,000
1,000,000
1,000,000
Litsela tsa BGP
20,000
50,000
250,000
250,000
Baahelani ba BGP
10
20
100
100
Litsela tsa BGP li Ajoa bocha
Ha ho Limit
Ha ho Limit
Ha ho Limit
Ha ho Limit
Litsela tsa OSPF
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
Likamano tsa OSPF
10
20
40
40
OSPF Litsela Redistributed
2000
5000
20,000
20,000
Kakaretso ea Litsela
20,000
50,000
250,000
250,000
→
Tafole e bonts'a hore ho khothaletsoa ho hlophisa ho leka-lekanya ho NSX Edge bakeng sa maemo a hlahisang litholoana a qalang ho tloha boholo bo boholo.
Ke phetho seo ke nang le sona bakeng sa kajeno. Likarolong tse latelang ke tla bala ka botlalo mokhoa oa ho hlophisa ts'ebeletso e 'ngoe le e' ngoe ea marang-rang ea NSX Edge.
Source: www.habr.com