Pagkatapos ng maikling pahinga ay bumalik kami sa NSX. Ngayon ay ipapakita ko sa iyo kung paano i-configure ang NAT at Firewall.
Sa tab pangangasiwa pumunta sa iyong virtual data center β Mga Mapagkukunan ng Cloud β Mga Virtual Datacenter.
Pumili ng isang tab Mga Edge Gateway at i-right-click sa nais na NSX Edge. Sa lalabas na menu, piliin ang opsyon Mga Serbisyo sa Edge Gateway. Ang NSX Edge Control Panel ay magbubukas sa isang hiwalay na tab.
Pagse-set up ng mga panuntunan sa Firewall
Bilang default sa item default na panuntunan para sa trapiko sa pagpasok Ang pagpipiliang Tanggihan ay pinili, ibig sabihin, haharangin ng Firewall ang lahat ng trapiko.
Upang magdagdag ng bagong panuntunan, i-click ang +. May lalabas na bagong entry na may pangalan Bagong panuntunan. I-edit ang mga field nito ayon sa iyong mga kinakailangan.
Sa larangan Pangalan bigyan ng pangalan ang panuntunan, halimbawa Internet.
Sa larangan pinagmulan Ilagay ang mga kinakailangang source address. Gamit ang pindutan ng IP, maaari kang magtakda ng isang IP address, isang hanay ng mga IP address, CIDR.
Gamit ang + button maaari mong tukuyin ang iba pang mga bagay:
- Mga interface ng gateway. Lahat ng panloob na network (Panloob), lahat ng panlabas na network (Palabas) o Anuman.
- Mga virtual machine. Itinatali namin ang mga panuntunan sa isang partikular na virtual machine.
- OrgVdcNetworks. Mga network sa antas ng organisasyon.
- Mga IP Set. Isang paunang ginawang pangkat ng user ng mga IP address (nagawa sa object ng Pagpapangkat).
Sa larangan destinasyon ipahiwatig ang address ng tatanggap. Ang mga opsyon dito ay kapareho ng sa Source field.
Sa larangan serbisyo maaari mong piliin o manu-manong tukuyin ang patutunguhang port (Destination Port), ang kinakailangang protocol (Protocol), at ang sender port (Source Port). I-click ang Keep.
Sa larangan aksyon piliin ang kinakailangang pagkilos: payagan o tanggihan ang trapiko na tumutugma sa panuntunang ito.
Ilapat ang ipinasok na configuration sa pamamagitan ng pagpili I-save ang mga pagbabago.
Mga halimbawa ng panuntunan
Panuntunan 1 para sa Firewall (Internet) nagbibigay-daan sa pag-access sa Internet sa pamamagitan ng anumang protocol sa isang server na may IP 192.168.1.10.
Panuntunan 2 para sa Firewall (Web-server) nagbibigay-daan sa pag-access mula sa Internet sa pamamagitan ng (TCP protocol, port 80) sa pamamagitan ng iyong panlabas na address. Sa kasong ito - 185.148.83.16:80.
Pag-setup ng NAT
NAT (Pagsasalin sa Address ng Network) β pagsasalin ng mga pribado (kulay-abo) na IP address sa panlabas (puti), at kabaliktaran. Sa pamamagitan ng prosesong ito, ang virtual machine ay nakakakuha ng access sa Internet. Upang i-configure ang mekanismong ito, kailangan mong i-configure ang mga panuntunan ng SNAT at DNAT.
Mahalaga! Gumagana lamang ang NAT kapag pinagana ang Firewall at na-configure ang naaangkop na mga panuntunan sa pagpapahintulot.
Gumawa ng SNAT rule. Ang SNAT (Source Network Address Translation) ay isang mekanismo na ang esensya ay palitan ang source address kapag nagpapadala ng packet.
Una kailangan nating alamin ang panlabas na IP address o hanay ng mga IP address na magagamit sa amin. Upang gawin ito, pumunta sa seksyon pangangasiwa at i-double click ang virtual data center. Sa lalabas na menu ng mga setting, pumunta sa tab Edge Gateways. Piliin ang nais na NSX Edge at i-right-click dito. Pumili ng opsyon Mga Katangian.
Sa lalabas na window, sa tab I-sub-allocate ang mga IP Pool maaari mong tingnan ang panlabas na IP address o hanay ng mga IP address. Isulat ito o tandaan ito.
Susunod, i-right-click sa NSX Edge. Sa lalabas na menu, piliin ang opsyon Mga Serbisyo sa Edge Gateway. At bumalik kami sa control panel ng NSX Edge.
Sa lalabas na window, buksan ang tab na NAT at i-click ang Magdagdag ng SNAT.
Sa bagong window ipinapahiwatig namin:
- sa field na Applied on β isang panlabas na network (hindi isang network sa antas ng organisasyon!);
- Original Source IP/range β panloob na hanay ng address, halimbawa, 192.168.1.0/24;
- Isinalin na Pinagmulan na IP/range β ang panlabas na address kung saan maa-access ang Internet at kung saan mo tiningnan sa tab na Sub-Allocate IP Pools.
I-click ang Keep.
Lumikha ng panuntunan ng DNAT. Ang DNAT ay isang mekanismo na nagbabago sa patutunguhang address ng isang packet pati na rin sa destinasyong port. Ginagamit upang i-redirect ang mga papasok na packet mula sa isang panlabas na address/port patungo sa isang pribadong IP address/port sa loob ng isang pribadong network.
Piliin ang tab na NAT at i-click ang Magdagdag ng DNAT.
Sa lalabas na window, tukuyin ang:
β sa field na Applied on β isang panlabas na network (hindi isang network sa antas ng organisasyon!);
β Orihinal na IP/range β panlabas na address (address mula sa tab na Sub-Allocate IP Pools);
β Protocol β protocol;
β Orihinal na Port β port para sa panlabas na address;
β Isinalin na IP/range β panloob na IP address, halimbawa, 192.168.1.10
β Translated Port β port para sa panloob na address kung saan isasalin ang port ng panlabas na address.
I-click ang Keep.
Ilapat ang ipinasok na configuration sa pamamagitan ng pagpili I-save ang mga pagbabago.
Tapos na.
Ang susunod sa linya ay mga tagubilin sa DHCP, kabilang ang pag-set up ng DHCP Bindings at Relay.
Pinagmulan: www.habr.com