Prohoster > Blog > quản lý > VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Phần một
Sau một thời gian nghỉ ngơi ngắn, chúng tôi quay trở lại NSX. Hôm nay tôi sẽ hướng dẫn các bạn cách cấu hình NAT và Tường lửa.
Trong tab Quản trị đi tới trung tâm dữ liệu ảo của bạn – Tài nguyên đám mây – Trung tâm dữ liệu ảo.

Chọn một tab Cổng cạnh và nhấp chuột phải vào NSX Edge mong muốn. Trong menu xuất hiện, chọn tùy chọn Dịch vụ cổng biên. Bảng điều khiển NSX Edge sẽ mở trong một tab riêng.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Thiết lập quy tắc tường lửa

Theo mặc định trong mục quy tắc mặc định cho lưu lượng truy cập vào Tùy chọn Từ chối được chọn, tức là Tường lửa sẽ chặn tất cả lưu lượng truy cập.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Để thêm quy tắc mới, hãy nhấp vào +. Một mục mới sẽ xuất hiện với tên Quy tắc mới. Chỉnh sửa các trường của nó theo yêu cầu của bạn.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Trong lĩnh vực này Họ tên đặt tên cho quy tắc, ví dụ như Internet.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Trong lĩnh vực này nguồn Nhập địa chỉ nguồn được yêu cầu. Sử dụng nút IP, bạn có thể đặt một địa chỉ IP duy nhất, một dải địa chỉ IP, CIDR.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Sử dụng nút + bạn có thể chỉ định các đối tượng khác:

  • Các giao diện cổng. Tất cả các mạng nội bộ (Internal), tất cả các mạng bên ngoài (External) hoặc Any.
  • Máy ảo. Chúng tôi ràng buộc các quy tắc với một máy ảo cụ thể.
  • Mạng OrgVdc. Mạng cấp tổ chức.
  • Bộ IP. Một nhóm địa chỉ IP người dùng được tạo trước (được tạo trong đối tượng Nhóm).

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Trong lĩnh vực này Nơi đến cho biết địa chỉ của người nhận. Các tùy chọn ở đây giống như trong trường Nguồn.
Trong lĩnh vực này Dịch vụ bạn có thể chọn hoặc chỉ định thủ công cổng đích (Cổng đích), giao thức được yêu cầu (Giao thức) và cổng người gửi (Cổng nguồn). Nhấp vào Giữ.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Trong lĩnh vực này Hoạt động chọn hành động bắt buộc: cho phép hoặc từ chối lưu lượng truy cập phù hợp với quy tắc này.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Áp dụng cấu hình đã nhập bằng cách chọn Lưu các thay đổi.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Ví dụ về quy tắc

Quy tắc 1 cho Tường lửa (Internet) cho phép truy cập Internet thông qua bất kỳ giao thức nào tới máy chủ có IP 192.168.1.10.

Quy tắc 2 cho Tường lửa (Máy chủ web) cho phép truy cập từ Internet qua (giao thức TCP, cổng 80) thông qua địa chỉ bên ngoài của bạn. Trong trường hợp này - 185.148.83.16:80.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

thiết lập NAT

NAT (Dịch địa chỉ mạng) – dịch địa chỉ IP riêng (màu xám) sang địa chỉ IP bên ngoài (màu trắng) và ngược lại. Thông qua quá trình này, máy ảo có được quyền truy cập vào Internet. Để định cấu hình cơ chế này, bạn cần định cấu hình các quy tắc SNAT và DNAT.
Quan trọng! NAT chỉ hoạt động khi Tường lửa được bật và các quy tắc cho phép phù hợp được cấu hình.

Tạo quy tắc SNAT. SNAT (Dịch địa chỉ mạng nguồn) là một cơ chế có bản chất là thay thế địa chỉ nguồn khi gửi gói tin.

Đầu tiên chúng ta cần tìm ra địa chỉ IP bên ngoài hoặc dải địa chỉ IP có sẵn cho chúng ta. Để làm điều này, hãy đi đến phần Quản trị và nhấp đúp vào trung tâm dữ liệu ảo. Trong menu cài đặt xuất hiện, hãy chuyển đến tab Cổng cạnhS. Chọn NSX Edge mong muốn và nhấp chuột phải vào nó. Chọn một tùy chọn Bất động sản.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Trong cửa sổ xuất hiện, trong tab Nhóm IP phân bổ phụ bạn có thể xem địa chỉ IP bên ngoài hoặc dải địa chỉ IP. Viết nó ra hoặc ghi nhớ nó.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Tiếp theo, nhấp chuột phải vào NSX Edge. Trong menu xuất hiện, chọn tùy chọn Dịch vụ cổng biên. Và chúng ta quay lại bảng điều khiển NSX Edge.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Trong cửa sổ xuất hiện, mở tab NAT và nhấp vào Thêm SNAT.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Trong cửa sổ mới, chúng tôi chỉ ra:

  • trong trường Ứng dụng trên – mạng bên ngoài (không phải mạng cấp tổ chức!);
  • IP/dải nguồn gốc – dải địa chỉ nội bộ, ví dụ: 192.168.1.0/24;
  • IP/dải nguồn được dịch – địa chỉ bên ngoài mà qua đó Internet sẽ được truy cập và bạn đã xem trong tab Nhóm IP phân bổ phụ.

Nhấp vào Giữ.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Tạo quy tắc DNAT. DNAT là một cơ chế thay đổi địa chỉ đích của gói cũng như cổng đích. Được sử dụng để chuyển hướng các gói đến từ địa chỉ/cổng bên ngoài sang địa chỉ/cổng IP riêng trong mạng riêng.

Chọn tab NAT và nhấp vào Thêm DNAT.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Trong cửa sổ xuất hiện, chỉ định:

— trong trường Ứng dụng trên – mạng bên ngoài (không phải mạng cấp tổ chức!);
— IP/dải gốc – địa chỉ bên ngoài (địa chỉ từ tab Nhóm IP phân bổ phụ);
— Giao thức – giao thức;
— Cổng gốc – cổng cho địa chỉ bên ngoài;
— IP/dải được dịch – địa chỉ IP nội bộ, ví dụ: 192.168.1.10
— Cổng dịch – cổng dành cho địa chỉ nội bộ mà cổng của địa chỉ bên ngoài sẽ được dịch sang.

Nhấp vào Giữ.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Áp dụng cấu hình đã nhập bằng cách chọn Lưu các thay đổi.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Thực hiện.

VMware NSX dành cho các bạn nhỏ. Phần 2. Thiết lập Tường lửa và NAT

Tiếp theo là hướng dẫn về DHCP, bao gồm thiết lập DHCP Bindings và Relay.

Nguồn: www.habr.com

Thêm một lời nhận xét