短暂休息后,我们返回 NSX。 今天我将向您展示如何配置 NAT 和防火墙。
在标签中 行政和支持部门 前往您的虚拟数据中心 – 云资源 – 虚拟数据中心.
选择一个选项卡 边缘网关 并右键单击所需的 NSX Edge。 在出现的菜单中,选择选项 边缘网关服务。 NSX Edge 控制面板将在单独的选项卡中打开。
设置防火墙规则
默认情况下在项目中 入口流量的默认规则 选择“拒绝”选项,即防火墙将阻止所有流量。
要添加新规则,请单击 +。 将出现一个带有名称的新条目 新规则。 根据您的要求编辑其字段。
在 名字 为规则命名,例如 Internet。
在 来源 输入所需的源地址。 使用 IP 按钮,您可以设置单个 IP 地址、IP 地址范围、CIDR。
使用 + 按钮您可以指定其他对象:
- 网关接口。 所有内部网络(Internal)、所有外部网络(External)或Any。
- 虚拟机。 我们将规则绑定到特定的虚拟机。
- 组织Vdc网络。 组织级网络。
- IP 集。 预先创建的 IP 地址用户组(在分组对象中创建)。
在 目的地 注明收件人地址。 此处的选项与“源”字段中的选项相同。
在 服务 您可以选择或手动指定目的端口(Destination Port)、所需协议(Protocol)和发送端口(Source Port)。 单击“保留”。
在 操作 选择所需的操作:允许或拒绝与此规则匹配的流量。
通过选择应用输入的配置 保存更改.
规则示例
防火墙规则 1(互联网) 允许通过任何协议访问具有 IP 192.168.1.10 的服务器的 Internet。
防火墙规则 2(Web 服务器) 允许通过您的外部地址通过(TCP 协议,端口 80)从 Internet 进行访问。 在本例中 - 185.148.83.16:80。
NAT设置
NAT(网络地址转换) – 将私有(灰色)IP 地址转换为外部(白色)IP 地址,反之亦然。 通过这个过程,虚拟机获得了访问互联网的权限。 要配置此机制,您需要配置 SNAT 和 DNAT 规则。
重要的! 仅当启用防火墙并配置适当的允许规则时,NAT 才起作用。
创建 SNAT 规则。 SNAT(源网络地址转换)是一种机制,其本质是在发送数据包时替换源地址。
首先,我们需要找出可用的外部 IP 地址或 IP 地址范围。 为此,请转至以下部分 行政和支持部门 并双击虚拟数据中心。 在出现的设置菜单中,转到选项卡 边缘网关s。 选择所需的 NSX Edge 并右键单击它。 选择一个选项 查看房源.
在出现的窗口中的选项卡中 子分配 IP 池 您可以查看外部 IP 地址或 IP 地址范围。 写下来或记住它。
接下来,右键单击 NSX Edge。 在出现的菜单中,选择选项 边缘网关服务。 我们回到了 NSX Edge 控制面板。
在出现的窗口中,打开 NAT 选项卡并单击添加 SNAT。
在新窗口中我们指出:
- 在应用领域 – 外部网络(不是组织级网络!);
- 原始源 IP/范围 – 内部地址范围,例如 192.168.1.0/24;
- 转换后的源 IP/范围 – 用于访问 Internet 的外部地址,您可以在“子分配 IP 池”选项卡中查看该地址。
单击“保留”。
创建 DNAT 规则。 DNAT 是一种更改数据包的目标地址和目标端口的机制。 用于将传入数据包从外部地址/端口重定向到专用网络内的专用 IP 地址/端口。
选择 NAT 选项卡并单击添加 DNAT。
在出现的窗口中,指定:
— 在应用领域中 — 外部网络(不是组织级网络!);
— 原始 IP/范围 – 外部地址(来自“子分配 IP 池”选项卡的地址);
— 协议——协议;
— 原始端口 – 外部地址的端口;
— 转换后的 IP/范围 – 内部 IP 地址,例如 192.168.1.10
— 已转换端口 – 外部地址端口将转换为的内部地址端口。
单击“保留”。
通过选择应用输入的配置 保存更改.
完成。
接下来是有关 DHCP 的说明,包括设置 DHCP 绑定和中继。
来源: habr.com