VMware NSX для самых маленьких. Часть 2. Настройка Firewall и NAT

  • Tutorial


Часть первая
После небольшого перерыва возвращаемся к NSX. Сегодня покажу, как настроить NAT и Firewall.
Во вкладке Administration перейдите в ваш виртуальный дата-центр – Cloud Resources – Virtual Datacenters.

Выберите вкладку Edge Gateways и кликните на нужный NSX Edge правой кнопкой мыши. В появившемся меню выберите опцию Edge Gateway Services. Панель управления NSX Edge откроется в отдельной вкладке.



Настройка правил Firewall


По умолчанию в пункте default rule for ingress traffic выбрана опция Deny, т. е. Firewall будет блокировать весь трафик.



Чтобы добавить новое правило, нажмите +. Появится новая запись с названием New rule. Отредактируйте ее поля в соответствии с вашими требованиям.



В поле Name задайте название правила, например Internet.



В поле Source введите необходимые адреса источника. По кнопке IP можно задать единичный IP-адрес, диапазон IP-адресов, CIDR.





По кнопке + можно задать другие объекты:

  • Gateway interfaces. Все внутренние сети (Internal), все внешние сети (External) или Any.
  • Virtual machines. Привязываем правила к определенной виртуальной машине.
  • OrgVdcNetworks. Сети уровня организации.
  • IP Sets. Заранее созданная пользователем группа IP-адресов (создается в Grouping object).





В поле Destination укажите адрес получателя. Тут такие же опции, как и в поле Source.
В поле Service можно выбрать или указать вручную порт получателя (Destination Port), необходимый протокол (Protocol), порт отправителя (Source Port). Нажмите Keep.





В поле Action выберите необходимое действие: разрешить прохождение трафика, соответствующее этому правилу, или запретить.



Применяем введенную конфигурацию, выбрав пункт Save changes.



Примеры правил

Правило 1 для Firewall (Internet) разрешает доступ в Интернет по любым протоколам серверу с IP 192.168.1.10.

Правило 2 для Firewall (Web-server) разрешает доступ из Интернета по (ТСР-протокол, порт 80) через ваш внешний адрес. В данном случае – 185.148.83.16:80.



Настройка NAT


NAT (Network Address Translation) – трансляция приватных (серых) IP-адресов во внешние (белые), и наоборот. Благодаря этому процессу виртуальная машина получает доступ в Интернет. Для настройки этого механизма нужно настроить правила SNAT и DNAT.
Важно! NAT работает только при включенном Firewall и настроенных соответствующих разрешающих правилах.

Создание правила SNAT. SNAT (Source Network Address Translation) – механизм, суть которого состоит в замене адреса источника при пересылке пакета.

Сначала нужно узнать доступный нам внешний IP-адрес или диапазон IP-адресов. Для этого зайдите в раздел Administration и кликните дважды на виртуальный дата-центр. В появившемся меню настроек перейдите во вкладку Edge Gateways. Выберите нужный NSX Edge и кликните на него правой кнопкой мыши. Выберите опцию Properties.



В появившемся окне во вкладке Sub-Allocate IP Pools вы сможете посмотреть внешний IP-адрес или диапазон IP-адресов. Запишите или запомните его.



Дальше кликните на NSX Edge правой кнопкой мыши. В появившемся меню выберите опцию Edge Gateway Services. И мы снова в панели управления NSX Edge.



В появившемся окне открываем вкладку NAT и нажимаем Add SNAT.



В новом окне указываем:

  • в поле Applied on – внешнюю сеть (не сеть уровня организации!);
  • Original Source IP/range – внутренний диапазон адресов, например, 192.168.1.0/24;
  • Translated Source IP/range – внешний адрес, через который будет осуществляться выход в Интернет и который вы посмотрели во вкладке Sub-Allocate IP Pools.

Нажмите Keep.



Создание правила DNAT. DNAT – механизм, изменяющий адрес назначения пакета, а также порт назначения. Используется для перенаправления входящих пакетов с внешнего адреса/порта на приватный IP-адрес/порт внутри частной сети.

Выбираем вкладку NAT и нажимаем Add DNAT.



В появившемся окне укажите:

— в поле Applied on – внешнюю сеть (не сеть уровня организации!);
— Original IP/range  – внешний адрес (адрес из вкладки Sub-Allocate IP Pools);
— Protocol – протокол;
— Original Port – порт для внешнего адреса;
— Translated IP/range – внутренний IP-адрес, например, 192.168.1.10
— Translated Port – порт для внутреннего адреса, в который будет транслироваться порт внешнего адреса.

Нажмите Keep.



Применяем введенную конфигурацию, выбрав пункт Save changes.



Готово.



Дальше на очереди инструкция по DHCP, включая настройку DHCP Bindings и Relay.
DataLine
163,00
Экосистема на базе дата-центров TIER III
Поделиться публикацией

Комментарии 0

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое