短暫休息後,我們回到 NSX。 今天我將向您展示如何設定 NAT 和防火牆。
在選項卡中 行政管理 前往您的虛擬資料中心 – 雲端資源 – 虛擬資料中心.
選擇一個選項卡 邊緣網關 並右鍵單擊所需的 NSX Edge。 在出現的選單中,選擇選項 邊緣網關服務。 NSX Edge 控制面板將在單獨的標籤中開啟。
設定防火牆規則
預設在項目中 入口流量的預設規則 選擇「拒絕」選項,即防火牆將阻止所有流量。
若要新增規則,請按一下 +。 將出現一個帶有名稱的新條目 新規則。 根據您的要求編輯其字段。
在現場 姓名 為規則命名,例如 Internet。
在現場 資源 輸入所需的來源位址。 使用 IP 按鈕,您可以設定單一 IP 位址、IP 位址範圍、CIDR。
使用 + 按鈕您可以指定其他物件:
- 網關介面。 所有內部網路(Internal)、所有外部網路(External)或Any。
- 虛擬機。 我們將規則綁定到特定的虛擬機器。
- 組織Vdc網路。 組織級網路。
- IP 集。 預先建立的 IP 位址使用者群組(在分組物件中建立)。
在現場 目的地 註明收件人地址。 此處的選項與「來源」欄位中的選項相同。
在現場 服務 您可以選擇或手動指定目的連接埠(Destination Port)、所需協定(Protocol)和傳送連接埠(Source Port)。 按一下“保留”。
在現場 行動 選擇所需的操作:允許或拒絕與此規則相符的流量。
透過選擇套用輸入的配置 保存更改.
規則範例
防火牆規則 1(網際網路) 允許透過任何協定存取具有 IP 192.168.1.10 的伺服器的 Internet。
防火牆規則 2(Web 伺服器) 允許透過您的外部位址透過(TCP 協議,連接埠 80)從 Internet 進行存取。 在本例中 - 185.148.83.16:80。
NAT設定
NAT(網絡地址轉換) – 將私有(灰色)IP 位址轉換為外部(白色)IP 位址,反之亦然。 透過這個過程,虛擬機器獲得了存取互聯網的權限。 若要設定此機制,需要設定 SNAT 和 DNAT 規則。
重要的! 僅當啟用防火牆並配置適當的允許規則時,NAT 才會起作用。
建立 SNAT 規則。 SNAT(來源網路位址轉換)是一種機制,其本質是在發送資料包時替換來源位址。
首先,我們需要找出可用的外部 IP 位址或 IP 位址範圍。 為此,請轉到以下部分 行政管理 並雙擊虛擬資料中心。 在出現的設定選單中,轉到選項卡 邊緣網關s。 選擇所需的 NSX Edge 並右鍵單擊它。 選擇一個選項 氟化鈉性能.
在出現的視窗中的標籤中 子分配 IP 池 您可以查看外部 IP 位址或 IP 位址範圍。 寫下來或記住它。
接下來,右鍵單擊 NSX Edge。 在出現的選單中,選擇選項 邊緣網關服務。 我們回到了 NSX Edge 控制台。
在出現的視窗中,開啟 NAT 標籤並點擊新增 SNAT。
在新視窗中我們指出:
- 在應用領域 – 外部網路(不是組織級網路!);
- 原始來源 IP/範圍 – 內部位址範圍,例如 192.168.1.0/24;
- 轉換後的來源 IP/範圍 – 用於存取 Internet 的外部位址,您可以在「子指派 IP 池」標籤中查看該位址。
單擊“保留”。
建立 DNAT 規則。 DNAT 是一種更改封包的目標位址和目標連接埠的機制。 用於將傳入封包從外部位址/連接埠重新導向到專用網路內的專用 IP 位址/連接埠。
選擇 NAT 標籤並點擊新增 DNAT。
在出現的視窗中,指定:
— 在應用領域中 — 外部網路(不是組織級網路!);
— 原始 IP/範圍 – 外部位址(來自「子分配 IP 池」標籤的位址);
— 協議——協議;
— 原始連接埠 – 外部位址的連接埠;
— 轉換後的 IP/範圍 – 內部 IP 位址,例如 192.168.1.10
— 已轉換連接埠 – 外部位址連接埠將轉換為的內部位址連接埠。
單擊“保留”。
透過選擇套用輸入的配置 保存更改.
完成。
接下來是有關 DHCP 的說明,包括設定 DHCP 綁定和中繼。
來源: www.habr.com