Після невеликої перерви повертаємося до NSX. Сьогодні покажу, як налаштувати NAT та Firewall.
У вкладці адміністрація перейдіть у ваш віртуальний дата-центр Cloud Resources – Virtual Datacenters.
Виберіть вкладку Граничні шлюзи та клацніть на потрібний NSX Edge правою кнопкою миші. У меню виберіть опцію Edge Gateway Services. Панель керування NSX Edge відкриється в окремій вкладці.
Налаштування правил Firewall
За замовчуванням у пункті default rule for ingress traffic обрана опція Deny, тобто Firewall блокуватиме весь трафік.
Щоб додати нове правило, натисніть +. З'явиться новий запис під назвою Нове правило. Відредагуйте її поля відповідно до ваших вимог.
В полі ІМ'Я вкажіть назву правила, наприклад Internet.
В полі Source введіть потрібні адреси джерела. На кнопці IP можна задати одиничну IP-адресу, діапазон IP-адрес, CIDR.
На кнопці + можна задати інші об'єкти:
- Gateway interfaces. Усі внутрішні мережі (Internal), всі зовнішні мережі (External) чи Any.
- Virtual machines. Прив'язуємо правила до певної віртуальної машини.
- OrgVdcNetworks. Мережі рівня організації.
- IP Sets. Заздалегідь створена користувачем група IP-адрес (створюється Grouping object).
В полі призначення вкажіть адресу одержувача. Тут такі самі опції, як і в полі Source.
В полі Обслуговування можна вибрати або вказати вручну порт отримувача (Destination Port), необхідний протокол (Protocol), порт відправника (Source Port). Натисніть кнопку Keep.
В полі дію виберіть потрібну дію: дозволити проходження трафіку, що відповідає цьому правилу, або заборонити.
Застосовуємо введену конфігурацію, вибравши пункт зберегти зміни.
Приклади правил
Правило 1 для Firewall (Internet) дозволяє доступ до Інтернету за будь-якими протоколами серверу з IP 192.168.1.10.
Правило 2 для Firewall (Web-server) дозволяє доступ з Інтернету (ТСР-протокол, порт 80) через вашу зовнішню адресу. У цьому випадку – 185.148.83.16:80.
Налаштування NAT
NAT (переклад мережевої адреси) - трансляція приватних (сірих) IP-адрес у зовнішні (білі), і навпаки. Завдяки цьому процесу віртуальна машина отримує доступ до Інтернету. Для налаштування цього механізму необхідно налаштувати правила SNAT та DNAT.
Важливо! NAT працює тільки при увімкненому Firewall і налаштованих відповідних дозвільних правилах.
Створення правила SNAT. SNAT (Source Network Address Translation) – механізм, суть якого полягає у заміні адреси джерела під час пересилання пакета.
Спочатку потрібно дізнатися доступну нам зовнішню IP-адресу або діапазон IP-адрес. Для цього зайдіть у розділ адміністрація і клацніть двічі на віртуальний дата-центр. У меню налаштувань перейдіть у вкладку Граничний шлюзs. Виберіть потрібний NSX Edge і клацніть правою кнопкою миші. Виберіть опцію властивості.
У вікні, що з'явилося, у вкладці Sub-Allocate IP Pools Ви зможете переглянути зовнішню IP-адресу або діапазон IP-адрес. Запишіть або запам'ятайте його.
Далі клацніть правою кнопкою миші на NSX Edge. У меню виберіть опцію Edge Gateway Services. І ми знову на панелі керування NSX Edge.
У вікні відкриваємо вкладку NAT і натискаємо Add SNAT.
У новому вікні вказуємо:
- у полі Applied on – зовнішню мережу (не мережу рівня організації!);
- Original Source IP/range – внутрішній діапазон адрес, наприклад, 192.168.1.0/24;
- Translated Source IP/range – зовнішня адреса, через яку буде здійснюватися вихід в Інтернет і яку ви подивилися у вкладці Sub-Allocate IP Pools.
Натисніть кнопку Keep.
Створення правила DNAT. DNAT – механізм, який змінює адресу призначення пакета, і навіть порт призначення. Використовується для перенаправлення вхідних пакетів із зовнішньої адреси/порту на приватну IP-адресу/порт у приватній мережі.
Вибираємо вкладку NAT та натискаємо Add DNAT.
У вікні вкажіть:
- у полі Applied on - зовнішню мережу (не мережу рівня організації!);
— Original IP/range – зовнішня адреса (адреса із вкладки Sub-Allocate IP Pools);
- Protocol - протокол;
- Original Port - порт для зовнішньої адреси;
— Translated IP/range – внутрішня IP-адреса, наприклад, 192.168.1.10
— Translated Port – порт для внутрішньої адреси, до якого транслюватиметься порт зовнішньої адреси.
Натисніть кнопку Keep.
Застосовуємо введену конфігурацію, вибравши пункт зберегти зміни.
Готово.
Далі на черзі інструкція з DHCP, включаючи налаштування DHCP Bindings та Relay.
Джерело: habr.com