Qisqa tanaffusdan so'ng biz NSXga qaytamiz. Bugun men sizga NAT va xavfsizlik devorini qanday sozlashni ko'rsataman.
Yorliqda ma'muriyat virtual ma'lumotlar markazingizga o'ting - Bulutli manbalar - Virtual ma'lumotlar markazlari.
Yorliqni tanlang Edge shlyuzlari va kerakli NSX Edge-ni o'ng tugmasini bosing. Ko'rsatilgan menyuda variantni tanlang Edge Gateway xizmatlari. NSX Edge boshqaruv paneli alohida yorliqda ochiladi.
Xavfsizlik devori qoidalarini o'rnatish
Elementda sukut bo'yicha kirish trafigi uchun standart qoida Rad etish opsiyasi tanlangan, ya'ni xavfsizlik devori barcha trafikni bloklaydi.
Yangi qoida qo'shish uchun + tugmasini bosing. Nomi bilan yangi yozuv paydo bo'ladi Yangi qoida. Uning maydonlarini talablaringizga muvofiq tahrirlang.
Dalada Ism qoidaga nom bering, masalan, Internet.
Dalada manba Kerakli manba manzillarini kiriting. IP tugmasidan foydalanib, siz bitta IP-manzil, bir qator IP-manzillar, CIDR-ni o'rnatishingiz mumkin.
+ tugmasi yordamida siz boshqa ob'ektlarni belgilashingiz mumkin:
- Gateway interfeyslari. Barcha ichki tarmoqlar (ichki), barcha tashqi tarmoqlar (tashqi) yoki har qanday.
- Virtual mashinalar. Biz qoidalarni ma'lum bir virtual mashinaga bog'laymiz.
- OrgVdcNetworks. Tashkilot darajasidagi tarmoqlar.
- IP to'plamlari. IP manzillarining oldindan yaratilgan foydalanuvchilar guruhi (Guruhlash obyektida yaratilgan).
Dalada Nishon qabul qiluvchining manzilini ko'rsating. Bu yerdagi variantlar Manba maydonidagi bilan bir xil.
Dalada xizmat siz maqsad portni (Destination Port), kerakli protokolni (Protokol) va jo'natuvchi portni (Source Port) tanlashingiz yoki qo'lda belgilashingiz mumkin. Saqlash-ni bosing.
Dalada harakat kerakli amalni tanlang: ushbu qoidaga mos keladigan trafikka ruxsat berish yoki rad etish.
Tanlash orqali kiritilgan konfiguratsiyani qo'llang o'zgarishlarni saqlang.
Qoidalarga misollar
Xavfsizlik devori (Internet) uchun 1-qoida IP 192.168.1.10 bo'lgan serverga istalgan protokol orqali Internetga kirish imkonini beradi.
Xavfsizlik devori uchun 2-qoida (veb-server) tashqi manzilingiz orqali (TCP protokoli, port 80) orqali Internetdan kirish imkonini beradi. Bu holda - 185.148.83.16:80.
NAT sozlamalari
NAT (tarmoq manzili tarjimasi) - shaxsiy (kulrang) IP-manzillarni tashqi (oq)larga tarjima qilish va aksincha. Ushbu jarayon orqali virtual mashina Internetga kirish huquqiga ega bo'ladi. Ushbu mexanizmni sozlash uchun siz SNAT va DNAT qoidalarini sozlashingiz kerak.
Muhim! NAT faqat xavfsizlik devori yoqilganda va tegishli ruxsat berish qoidalari sozlanganda ishlaydi.
SNAT qoidasini yarating. SNAT (Source Network Address Translation) bu mexanizm bo'lib, uning mohiyati paketni jo'natishda manba manzilini almashtirishdan iborat.
Avval biz tashqi IP-manzilni yoki biz uchun mavjud bo'lgan IP-manzillar oralig'ini aniqlashimiz kerak. Buning uchun bo'limga o'ting ma'muriyat va virtual ma'lumotlar markaziga ikki marta bosing. Ko'rsatilgan sozlamalar menyusida yorlig'iga o'ting Edge Gateways. Kerakli NSX Edge-ni tanlang va ustiga o'ng tugmasini bosing. Variantni tanlang xususiyatlari.
Ko'rsatilgan oynada, yorliqda Sub-ajratish IP hovuzlari tashqi IP manzilini yoki IP manzillar diapazonini ko'rishingiz mumkin. Yozing yoki eslab qoling.
Keyin, NSX Edge-ni o'ng tugmasini bosing. Ko'rsatilgan menyuda variantni tanlang Edge Gateway xizmatlari. Va biz NSX Edge boshqaruv paneliga qaytdik.
Ko'rsatilgan oynada NAT yorlig'ini oching va SNAT qo'shish-ni bosing.
Yangi oynada biz quyidagilarni ko'rsatamiz:
- "Applied on" maydonida - tashqi tarmoq (tashkilot darajasidagi tarmoq emas!);
- Asl manba IP/diapazoni β ichki manzil diapazoni, masalan, 192.168.1.0/24;
- Tarjima qilingan manba IP/diapazoni - Internetga kirish mumkin bo'lgan va siz IP hovuzlarini pastki ajratish yorlig'ida ko'rgan tashqi manzil.
Saqlash-ni bosing.
DNAT qoidasini yarating. DNAT - bu paketning maqsad manzilini, shuningdek, maqsad portini o'zgartiruvchi mexanizm. Kiruvchi paketlarni tashqi manzil/portdan xususiy tarmoq ichidagi xususiy IP-manzil/portga yo'naltirish uchun foydalaniladi.
NAT yorlig'ini tanlang va DNAT qo'shish-ni bosing.
Ko'rsatilgan oynada quyidagilarni belgilang:
β Applied on maydonida β tashqi tarmoq (tashkilot darajasidagi tarmoq emas!);
β Asl IP/diapazoni β tashqi manzil (IP hovuzlarini sub-ajratish yorlig'idagi manzil);
β protokol β protokol;
β Original Port β tashqi manzil uchun port;
β Tarjima qilingan IP/diapazon β ichki IP manzili, masalan, 192.168.1.10
β Translated Port β tashqi manzil porti tarjima qilinadigan ichki manzil uchun port.
Saqlash-ni bosing.
Tanlash orqali kiritilgan konfiguratsiyani qo'llang o'zgarishlarni saqlang.
Bajarildi.
Keyingi qatorda DHCP bo'yicha ko'rsatmalar, jumladan DHCP Bindings va Relay sozlamalari mavjud.
Manba: www.habr.com