Del ett
Efter en kort paus återvänder vi till NSX. Idag kommer jag att visa dig hur du konfigurerar NAT och brandvägg.
I fliken Administration gå till ditt virtuella datacenter – Molnresurser – Virtuella datacenter.

Välj en flik Edge-gateways och högerklicka på önskad NSX Edge. Välj alternativet i menyn som visas Edge Gateway-tjänster. NSX Edge-kontrollpanelen öppnas på en separat flik.

Konfigurera brandväggsregler

Som standard i objekt standardregel för inkommande trafik Alternativet Neka är valt, det vill säga att brandväggen blockerar all trafik.

För att lägga till en ny regel, klicka på +. En ny post kommer att visas med namnet Ny regel. Redigera dess fält enligt dina krav.

Inom området Namn ge regeln ett namn, till exempel Internet.

Inom området Källa Ange de källadresser som krävs. Med hjälp av IP-knappen kan du ställa in en enda IP-adress, ett antal IP-adresser, CIDR.

Med +-knappen kan du ange andra objekt:

• Gateway-gränssnitt. Alla interna nätverk (internt), alla externa nätverk (externt) eller valfritt.
• Virtuella maskiner. Vi binder reglerna till en specifik virtuell maskin.
• OrgVdcNetworks. Nätverk på organisationsnivå.
• IP-uppsättningar. En förskapad användargrupp med IP-adresser (skapad i Grouping-objektet).

Inom området Destination ange mottagarens adress. Alternativen här är desamma som i fältet Källa.
Inom området Service du kan välja eller manuellt ange destinationsporten (Destination Port), det erforderliga protokollet (Protocol) och avsändarporten (Source Port). Klicka på Behåll.

Inom området Handling välj önskad åtgärd: tillåt eller neka trafik som matchar denna regel.

Använd den angivna konfigurationen genom att välja Spara ändringar.

Regel exempel

Regel 1 för brandvägg (internet) ger tillgång till Internet via valfritt protokoll till en server med IP 192.168.1.10.

Regel 2 för brandvägg (webbserver) tillåter åtkomst från Internet via (TCP-protokoll, port 80) via din externa adress. I detta fall - 185.148.83.16:80.

NAT-inställning

NAT (Network Address Translation) – översättning av privata (grå) IP-adresser till externa (vita) och vice versa. Genom denna process får den virtuella maskinen tillgång till Internet. För att konfigurera denna mekanism måste du konfigurera SNAT- och DNAT-reglerna.
Viktig! NAT fungerar bara när brandväggen är aktiverad och lämpliga tillåtelseregler är konfigurerade.

Skapa en SNAT-regel. SNAT (Source Network Address Translation) är en mekanism vars essens är att ersätta källadressen när ett paket skickas.

Först måste vi ta reda på den externa IP-adressen eller intervallet av IP-adresser som är tillgängliga för oss. För att göra detta, gå till avsnittet Administration och dubbelklicka på det virtuella datacentret. Gå till fliken i inställningsmenyn som visas kantports. Välj önskad NSX Edge och högerklicka på den. Välj ett alternativ Våra Bostäder.

I fönstret som visas, i fliken Underallokera IP-pooler du kan se den externa IP-adressen eller intervallet av IP-adresser. Skriv ner det eller kom ihåg det.

Högerklicka sedan på NSX Edge. Välj alternativet i menyn som visas Edge Gateway-tjänster. Och vi är tillbaka i NSX Edge-kontrollpanelen.

Öppna fliken NAT i fönstret som visas och klicka på Lägg till SNAT.

I det nya fönstret anger vi:

• i fältet Tillämpad på – ett externt nätverk (inte ett nätverk på organisationsnivå!);
• Ursprunglig källa IP/intervall – internt adressområde, till exempel 192.168.1.0/24;
• Översatt källa IP/intervall – den externa adressen genom vilken Internet kommer att nås och som du tittade på på fliken Sub-allokera IP-pooler.

Klicka på Behåll.

Skapa en DNAT-regel. DNAT är en mekanism som ändrar destinationsadressen för ett paket såväl som destinationsporten. Används för att omdirigera inkommande paket från en extern adress/port till en privat IP-adress/port inom ett privat nätverk.

Välj fliken NAT och klicka på Lägg till DNAT.

I fönstret som visas anger du:

— i fältet Tillämpad på – ett externt nätverk (inte ett nätverk på organisationsnivå!);
— Ursprunglig IP/intervall – extern adress (adress från fliken Sub-Allocate IP Pools);
— Protokoll – protokoll;
— Originalport – port för extern adress;
— Översatt IP/intervall – intern IP-adress, till exempel 192.168.1.10
— Translated Port – port för den interna adressen till vilken porten för den externa adressen kommer att översättas.

Klicka på Behåll.

Använd den angivna konfigurationen genom att välja Spara ändringar.

Klar.

Nästa på tur är instruktioner om DHCP, inklusive inställning av DHCP-bindningar och relä.

Källa: will.com