చిన్న విరామం తర్వాత మేము NSXకి తిరిగి వస్తాము. ఈ రోజు నేను NAT మరియు ఫైర్వాల్ను ఎలా కాన్ఫిగర్ చేయాలో చూపిస్తాను.
ట్యాబ్లో పరిపాలన మీ వర్చువల్ డేటా సెంటర్కి వెళ్లండి - క్లౌడ్ వనరులు - వర్చువల్ డేటాసెంటర్లు.
ఒక ట్యాబ్ని ఎంచుకోండి ఎడ్జ్ గేట్వేలు మరియు కావలసిన NSX అంచుపై కుడి-క్లిక్ చేయండి. కనిపించే మెనులో, ఎంపికను ఎంచుకోండి ఎడ్జ్ గేట్వే సేవలు. NSX ఎడ్జ్ కంట్రోల్ ప్యానెల్ ప్రత్యేక ట్యాబ్లో తెరవబడుతుంది.
ఫైర్వాల్ నియమాలను సెటప్ చేస్తోంది
అంశంలో డిఫాల్ట్గా ప్రవేశ ట్రాఫిక్ కోసం డిఫాల్ట్ నియమం తిరస్కరించు ఎంపిక ఎంచుకోబడింది, అంటే ఫైర్వాల్ మొత్తం ట్రాఫిక్ను బ్లాక్ చేస్తుంది.
కొత్త నియమాన్ని జోడించడానికి, + క్లిక్ చేయండి. పేరుతో కొత్త ఎంట్రీ కనిపిస్తుంది కొత్త రూల్. మీ అవసరాలకు అనుగుణంగా దాని ఫీల్డ్లను సవరించండి.
ఫీల్డ్ లో పేరు నియమానికి పేరు పెట్టండి, ఉదాహరణకు ఇంటర్నెట్.
ఫీల్డ్ లో మూల అవసరమైన మూల చిరునామాలను నమోదు చేయండి. IP బటన్ని ఉపయోగించి, మీరు ఒకే IP చిరునామా, IP చిరునామాల పరిధి, CIDRని సెట్ చేయవచ్చు.
+ బటన్ని ఉపయోగించి మీరు ఇతర వస్తువులను పేర్కొనవచ్చు:
- గేట్వే ఇంటర్ఫేస్లు. అన్ని అంతర్గత నెట్వర్క్లు (అంతర్గత), అన్ని బాహ్య నెట్వర్క్లు (బాహ్య) లేదా ఏదైనా.
- వర్చువల్ యంత్రాలు. మేము నిర్దిష్ట వర్చువల్ మెషీన్కు నియమాలను బంధిస్తాము.
- OrgVdcNetworks. సంస్థ స్థాయి నెట్వర్క్లు.
- IP సెట్లు. IP చిరునామాల యొక్క ముందే సృష్టించబడిన వినియోగదారు సమూహం (గ్రూపింగ్ ఆబ్జెక్ట్లో సృష్టించబడింది).
ఫీల్డ్ లో గమ్యం గ్రహీత చిరునామాను సూచించండి. ఇక్కడ ఎంపికలు సోర్స్ ఫీల్డ్లో ఉన్నట్లే ఉంటాయి.
ఫీల్డ్ లో సర్వీస్ మీరు డెస్టినేషన్ పోర్ట్ (డెస్టినేషన్ పోర్ట్), అవసరమైన ప్రోటోకాల్ (ప్రోటోకాల్) మరియు సెండర్ పోర్ట్ (సోర్స్ పోర్ట్)ని ఎంచుకోవచ్చు లేదా మాన్యువల్గా పేర్కొనవచ్చు. ఉంచండి క్లిక్ చేయండి.
ఫీల్డ్ లో క్రియ అవసరమైన చర్యను ఎంచుకోండి: ఈ నియమానికి సరిపోలే ట్రాఫిక్ను అనుమతించండి లేదా తిరస్కరించండి.
ఎంచుకోవడం ద్వారా నమోదు చేసిన కాన్ఫిగరేషన్ను వర్తింపజేయండి మార్పులను ఊంచు.
నియమ ఉదాహరణలు
ఫైర్వాల్ (ఇంటర్నెట్) కోసం రూల్ 1 IP 192.168.1.10తో సర్వర్కు ఏదైనా ప్రోటోకాల్ ద్వారా ఇంటర్నెట్కు ప్రాప్యతను అనుమతిస్తుంది.
ఫైర్వాల్ (వెబ్-సర్వర్) కోసం రూల్ 2 మీ బాహ్య చిరునామా ద్వారా (TCP ప్రోటోకాల్, పోర్ట్ 80) ద్వారా ఇంటర్నెట్ నుండి యాక్సెస్ను అనుమతిస్తుంది. ఈ సందర్భంలో - 185.148.83.16:80.
NAT సెటప్
NAT (నెట్వర్క్ చిరునామా అనువాదం) - ప్రైవేట్ (బూడిద) IP చిరునామాలను బాహ్య (తెలుపు) వాటికి అనువాదం, మరియు వైస్ వెర్సా. ఈ ప్రక్రియ ద్వారా, వర్చువల్ మిషన్ ఇంటర్నెట్కు ప్రాప్యతను పొందుతుంది. ఈ యంత్రాంగాన్ని కాన్ఫిగర్ చేయడానికి, మీరు SNAT మరియు DNAT నియమాలను కాన్ఫిగర్ చేయాలి.
ముఖ్యమైనది! ఫైర్వాల్ ప్రారంభించబడినప్పుడు మరియు తగిన అనుమతించే నియమాలు కాన్ఫిగర్ చేయబడినప్పుడు మాత్రమే NAT పని చేస్తుంది.
SNAT నియమాన్ని సృష్టించండి. SNAT (సోర్స్ నెట్వర్క్ అడ్రస్ ట్రాన్స్లేషన్) అనేది ప్యాకెట్ను పంపేటప్పుడు సోర్స్ అడ్రస్ను భర్తీ చేయడమే దీని సారాంశం.
ముందుగా మనం బాహ్య IP చిరునామా లేదా మనకు అందుబాటులో ఉన్న IP చిరునామాల పరిధిని కనుగొనాలి. దీన్ని చేయడానికి, విభాగానికి వెళ్లండి పరిపాలన మరియు వర్చువల్ డేటా సెంటర్పై డబుల్ క్లిక్ చేయండి. కనిపించే సెట్టింగ్ల మెనులో, ట్యాబ్కు వెళ్లండి ఎడ్జ్ గేట్వేలు. కావలసిన NSX ఎడ్జ్ని ఎంచుకుని, దానిపై కుడి-క్లిక్ చేయండి. ఒక ఎంపికను ఎంచుకోండి గుణాలు.
కనిపించే విండోలో, ట్యాబ్లో IP పూల్లను సబ్-కేటాయించండి మీరు బాహ్య IP చిరునామా లేదా IP చిరునామాల పరిధిని వీక్షించవచ్చు. దానిని వ్రాయండి లేదా గుర్తుంచుకోండి.
తరువాత, NSX ఎడ్జ్పై కుడి-క్లిక్ చేయండి. కనిపించే మెనులో, ఎంపికను ఎంచుకోండి ఎడ్జ్ గేట్వే సేవలు. మరియు మేము NSX ఎడ్జ్ కంట్రోల్ ప్యానెల్కి తిరిగి వచ్చాము.
కనిపించే విండోలో, NAT ట్యాబ్ని తెరిచి, SNATని జోడించు క్లిక్ చేయండి.
కొత్త విండోలో మేము సూచిస్తాము:
- అప్లైడ్ ఆన్ ఫీల్డ్లో - బాహ్య నెట్వర్క్ (సంస్థ-స్థాయి నెట్వర్క్ కాదు!);
- అసలు మూలం IP/పరిధి - అంతర్గత చిరునామా పరిధి, ఉదాహరణకు, 192.168.1.0/24;
- అనువాద మూలం IP/పరిధి – ఇంటర్నెట్ యాక్సెస్ చేయబడే బాహ్య చిరునామా మరియు మీరు సబ్-కేటాయింపు IP పూల్స్ ట్యాబ్లో చూసారు.
ఉంచండి క్లిక్ చేయండి.
DNAT నియమాన్ని సృష్టించండి. DNAT అనేది ప్యాకెట్ యొక్క గమ్యస్థాన చిరునామాను అలాగే డెస్టినేషన్ పోర్ట్ను మార్చే మెకానిజం. ఇన్కమింగ్ ప్యాకెట్లను బాహ్య చిరునామా/పోర్ట్ నుండి ప్రైవేట్ నెట్వర్క్లోని ప్రైవేట్ IP చిరునామా/పోర్ట్కి మళ్లించడానికి ఉపయోగించబడుతుంది.
NAT ట్యాబ్ని ఎంచుకుని, DNATని జోడించు క్లిక్ చేయండి.
కనిపించే విండోలో, పేర్కొనండి:
— అప్లైడ్ ఆన్ ఫీల్డ్లో – బాహ్య నెట్వర్క్ (సంస్థ-స్థాయి నెట్వర్క్ కాదు!);
— అసలు IP/పరిధి – బాహ్య చిరునామా (ఉప-కేటాయింపు IP పూల్స్ ట్యాబ్ నుండి చిరునామా);
- ప్రోటోకాల్ - ప్రోటోకాల్;
- ఒరిజినల్ పోర్ట్ - బాహ్య చిరునామా కోసం పోర్ట్;
— అనువదించబడిన IP/పరిధి – అంతర్గత IP చిరునామా, ఉదాహరణకు, 192.168.1.10
— అనువదించబడిన పోర్ట్ – బాహ్య చిరునామా యొక్క పోర్ట్ అనువదించబడే అంతర్గత చిరునామా కోసం పోర్ట్.
ఉంచండి క్లిక్ చేయండి.
ఎంచుకోవడం ద్వారా నమోదు చేసిన కాన్ఫిగరేషన్ను వర్తింపజేయండి మార్పులను ఊంచు.
Done.
DHCP బైండింగ్లు మరియు రిలేను సెటప్ చేయడంతో సహా DHCPపై తదుపరి వరుసలో సూచనలు ఉన్నాయి.
మూలం: www.habr.com