หลังจากพักเบรคสั้นๆ เราก็กลับมาที่ NSX วันนี้ฉันจะแสดงวิธีกำหนดค่า NAT และไฟร์วอลล์
ในแท็บ การบริหารจัดการ ไปที่ศูนย์ข้อมูลเสมือนของคุณ – ทรัพยากรคลาวด์ – ศูนย์ข้อมูลเสมือน.
เลือกแท็บ เกตเวย์ Edge และคลิกขวาที่ NSX Edge ที่ต้องการ ในเมนูที่ปรากฏขึ้น ให้เลือกตัวเลือก บริการเกตเวย์ขอบ. แผงควบคุม NSX Edge จะเปิดขึ้นในแท็บแยกต่างหาก
การตั้งค่ากฎไฟร์วอลล์
โดยค่าเริ่มต้นในรายการ กฎเริ่มต้นสำหรับการรับส่งข้อมูลขาเข้า เลือกตัวเลือกปฏิเสธ เช่น ไฟร์วอลล์จะบล็อกการรับส่งข้อมูลทั้งหมด
หากต้องการเพิ่มกฎใหม่ คลิก + รายการใหม่จะปรากฏขึ้นพร้อมชื่อ กฎใหม่. แก้ไขฟิลด์ตามความต้องการของคุณ
ใน Name ตั้งชื่อกฎ เช่น อินเทอร์เน็ต
ใน แหล่ง ป้อนที่อยู่ต้นทางที่จำเป็น เมื่อใช้ปุ่ม IP คุณสามารถตั้งค่าที่อยู่ IP เดียว, ช่วงของที่อยู่ IP, CIDR
การใช้ปุ่ม + คุณสามารถระบุวัตถุอื่นๆ ได้:
- อินเทอร์เฟซเกตเวย์ เครือข่ายภายในทั้งหมด (ภายใน) เครือข่ายภายนอกทั้งหมด (ภายนอก) หรือใดๆ
- เครื่องเสมือน เราผูกกฎเข้ากับเครื่องเสมือนเฉพาะ
- OrgVdcNetworks. เครือข่ายระดับองค์กร
- ชุด IP กลุ่มผู้ใช้ที่อยู่ IP ที่สร้างไว้ล่วงหน้า (สร้างในออบเจ็กต์การจัดกลุ่ม)
ใน ปลายทาง ระบุที่อยู่ของผู้รับ ตัวเลือกที่นี่เหมือนกับในฟิลด์แหล่งที่มา
ใน Service คุณสามารถเลือกหรือระบุพอร์ตปลายทาง (พอร์ตปลายทาง) โปรโตคอลที่ต้องการ (โปรโตคอล) และพอร์ตผู้ส่ง (พอร์ตต้นทาง) ด้วยตนเองได้ คลิกเก็บ
ใน การกระทำ เลือกการดำเนินการที่จำเป็น: อนุญาตหรือปฏิเสธการรับส่งข้อมูลที่ตรงกับกฎนี้
ใช้การกำหนดค่าที่ป้อนโดยเลือก บันทึกการเปลี่ยนแปลง.
ตัวอย่างกฎ
กฎข้อที่ 1 สำหรับไฟร์วอลล์ (อินเทอร์เน็ต) อนุญาตให้เข้าถึงอินเทอร์เน็ตผ่านโปรโตคอลใด ๆ ไปยังเซิร์ฟเวอร์ที่มี IP 192.168.1.10
กฎข้อที่ 2 สำหรับไฟร์วอลล์ (เว็บเซิร์ฟเวอร์) อนุญาตให้เข้าถึงจากอินเทอร์เน็ตผ่าน (โปรโตคอล TCP, พอร์ต 80) ผ่านที่อยู่ภายนอกของคุณ ในกรณีนี้ - 185.148.83.16:80.
การตั้งค่า NAT
NAT (การแปลที่อยู่เครือข่าย) – การแปลที่อยู่ IP ส่วนตัว (สีเทา) ไปเป็นที่อยู่ภายนอก (สีขาว) และในทางกลับกัน ด้วยกระบวนการนี้ เครื่องเสมือนจะสามารถเข้าถึงอินเทอร์เน็ตได้ ในการกำหนดค่ากลไกนี้ คุณต้องกำหนดค่ากฎ SNAT และ DNAT
สำคัญ! NAT จะทำงานเมื่อเปิดใช้งานไฟร์วอลล์และมีการกำหนดค่ากฎการอนุญาตที่เหมาะสมเท่านั้น
สร้างกฎ SNAT SNAT (การแปลที่อยู่เครือข่ายต้นทาง) เป็นกลไกที่มีสาระสำคัญคือการแทนที่ที่อยู่ต้นทางเมื่อส่งแพ็กเก็ต
ก่อนอื่น เราต้องค้นหาที่อยู่ IP ภายนอกหรือช่วงของที่อยู่ IP ที่เรามี โดยไปที่ส่วนนี้ การบริหารจัดการ และดับเบิลคลิกที่ศูนย์ข้อมูลเสมือน ในเมนูการตั้งค่าที่ปรากฏขึ้น ให้ไปที่แท็บ ขอบเกตเวย์ส. เลือก NSX Edge ที่ต้องการแล้วคลิกขวา เลือกตัวเลือก อสังหาริมทรัพย์ .
ในหน้าต่างที่ปรากฏขึ้นในแท็บ จัดสรร IP พูลย่อย คุณสามารถดูที่อยู่ IP ภายนอกหรือช่วงของที่อยู่ IP ได้ จดไว้หรือจำไว้
จากนั้นคลิกขวาที่ NSX Edge ในเมนูที่ปรากฏขึ้น ให้เลือกตัวเลือก บริการเกตเวย์ขอบ. และเรากลับมาที่แผงควบคุม NSX Edge แล้ว
ในหน้าต่างที่ปรากฏขึ้น ให้เปิดแท็บ NAT แล้วคลิกเพิ่ม SNAT
ในหน้าต่างใหม่เราระบุ:
- ในฟิลด์ Applied on – เครือข่ายภายนอก (ไม่ใช่เครือข่ายระดับองค์กร!);
- IP/ช่วงต้นทางดั้งเดิม – ช่วงที่อยู่ภายใน เช่น 192.168.1.0/24
- IP/ช่วงต้นทางที่แปล – ที่อยู่ภายนอกที่จะใช้ในการเข้าถึงอินเทอร์เน็ต และที่คุณดูในแท็บกลุ่ม IP ที่จัดสรรย่อย
คลิกเก็บ
สร้างกฎ DNAT DNAT เป็นกลไกที่เปลี่ยนที่อยู่ปลายทางของแพ็กเก็ตและพอร์ตปลายทาง ใช้เพื่อเปลี่ยนเส้นทางแพ็กเก็ตขาเข้าจากที่อยู่/พอร์ตภายนอกไปยังที่อยู่ IP/พอร์ตส่วนตัวภายในเครือข่ายส่วนตัว
เลือกแท็บ NAT แล้วคลิกเพิ่ม DNAT
ในหน้าต่างที่ปรากฏขึ้น ให้ระบุ:
— ในฟิลด์ Applied on – เครือข่ายภายนอก (ไม่ใช่เครือข่ายระดับองค์กร!);
— IP/ช่วงดั้งเดิม – ที่อยู่ภายนอก (ที่อยู่จากแท็บกลุ่ม IP จัดสรรย่อย)
— โปรโตคอล – โปรโตคอล;
— พอร์ตดั้งเดิม – พอร์ตสำหรับที่อยู่ภายนอก
— IP/ช่วงที่แปลแล้ว – ที่อยู่ IP ภายใน เช่น 192.168.1.10
— พอร์ตที่แปลแล้ว – พอร์ตสำหรับที่อยู่ภายในที่จะแปลพอร์ตของที่อยู่ภายนอก
คลิกเก็บ
ใช้การกำหนดค่าที่ป้อนโดยเลือก บันทึกการเปลี่ยนแปลง.
ทำ
บรรทัดถัดไปคือคำแนะนำเกี่ยวกับ DHCP รวมถึงการตั้งค่า DHCP Bindings และ Relay
ที่มา: will.com