الجزء الأولبعد استراحة قصيرة ، نعود إلى NSX. اليوم سأعرض كيفية تكوين NAT وجدار الحماية.
في علامة التبويب
الإدارة ، انتقل إلى مركز البيانات الافتراضي الخاص بك -
موارد سحابة - مراكز البيانات الافتراضية .
حدد علامة تبويب
Edge Gateways وانقر بزر الماوس الأيمن على NSX Edge الذي تريده. في القائمة التي تظهر ، حدد الخيار
Edge Gateway Services . يتم فتح NSX Edge Control Panel في علامة تبويب منفصلة.
تكوين قواعد جدار الحماية
بشكل افتراضي ، يتم تحديد خيار الرفض في
القاعدة الافتراضية لعنصر حركة المرور ، أي أن جدار الحماية سوف يحظر كل حركة المرور.
لإضافة قاعدة جديدة ، انقر فوق +. سيظهر إدخال
جديد باسم
القاعدة الجديدة . تحرير حقولها لتناسب الاحتياجات الخاصة بك.
في حقل
الاسم ، حدد اسم القاعدة ، على سبيل المثال الإنترنت.
في حقل
المصدر ، أدخل عناوين المصدر المطلوبة. باستخدام زر IP ، يمكنك تحديد عنوان IP واحد ، مجموعة من عناوين IP ، CIDR.
يسمح لك زر + بتعيين كائنات أخرى:
- واجهات البوابة. جميع الشبكات الداخلية (الداخلية) ، جميع الشبكات الخارجية (الخارجية) أو أي.
- آلات افتراضية. ربط القواعد بجهاز ظاهري معين.
- OrgVdcNetworks. شبكات مستوى المنظمة.
- مجموعات IP. مجموعة عناوين IP التي أنشأها المستخدمون (تم إنشاؤها في كائن Grouping).
في مجال
الوجهة ، حدد عنوان المستلم. فيما يلي نفس الخيارات الموجودة في حقل المصدر.
في حقل
الخدمة ، يمكنك تحديد منفذ الوجهة أو تحديده يدويًا (منفذ الوجهة) ، البروتوكول الضروري (البروتوكول) ، منفذ المرسل (منفذ المصدر). انقر فوق الاحتفاظ.
في حقل
الإجراء ، حدد الإجراء المطلوب: اسمح بتدفق حركة المرور الذي يطابق هذه القاعدة ، أو قم برفضها.
نطبق التكوين الذي تم إدخاله عن طريق تحديد
حفظ التغييرات .
أمثلة القاعدةتسمح
القاعدة 1 لجدار الحماية (الإنترنت) بالوصول إلى الإنترنت من خلال أي بروتوكول إلى خادم IP 192.168.1.10.
تسمح القاعدة 2 لجدار الحماية (خادم الويب) بالوصول من الإنترنت عبر (بروتوكول TCP ، المنفذ 80) من خلال عنوانك الخارجي. في هذه الحالة ، 185.148.83.16:80.
إعداد NAT
NAT (ترجمة عنوان الشبكة) - ترجمة عناوين IP الخاصة (الرمادية) إلى الخارجية (البيضاء) ، والعكس بالعكس. من خلال هذه العملية ، يتمكن الجهاز الظاهري من الوصول إلى الإنترنت. لتكوين هذه الآلية ، تحتاج إلى تكوين قواعد SNAT و DNAT.
مهم! لا يعمل NAT إلا عند تمكين جدار الحماية وتكوين قواعد التصريح المقابلة.
إنشاء قاعدة SNAT. SNAT (ترجمة عنوان الشبكة المصدر) هي آلية يكون جوهرها استبدال العنوان المصدر عند إعادة توجيه الحزمة.
تحتاج أولاً إلى معرفة عنوان IP الخارجي المتاح أو مجموعة عناوين IP. للقيام بذلك ، انتقل إلى قسم
الإدارة وانقر نقرًا مزدوجًا على مركز البيانات الافتراضي. في قائمة الإعدادات التي تظهر ، انتقل إلى علامة تبويب
Edge Gateway . حدد NSX Edge المطلوب وانقر بزر الماوس الأيمن فوقه. حدد خيار
الخصائص .
في النافذة التي تظهر ، في علامة التبويب
Sub-Allocate IP Pools ، يمكنك رؤية عنوان IP الخارجي أو مجموعة من عناوين IP. تسجيل أو حفظه.
بعد ذلك ، انقر بزر الماوس الأيمن على NSX Edge. في القائمة التي تظهر ، حدد الخيار
Edge Gateway Services . لقد عدنا إلى لوحة التحكم NSX Edge.
في النافذة التي تظهر ، افتح علامة التبويب NAT وانقر فوق إضافة SNAT.
في نافذة جديدة ، حدد:
- في مجال التطبيقية - شبكة خارجية (وليس شبكة على مستوى المؤسسة!) ؛
- Original Source IP / range - نطاق العنوان الداخلي ، على سبيل المثال ، 192.168.1.0/24 ؛
- IP المصدر / النطاق المترجم - عنوان خارجي يتم من خلاله توفير الوصول إلى الإنترنت ونظرت إليه في علامة التبويب Sub-Allocate IP Pools.
انقر فوق الاحتفاظ.
إنشاء قاعدة DNAT. DNAT هي آلية تغير عنوان الوجهة للحزمة ، وكذلك منفذ الوجهة. يستخدم لإعادة توجيه الحزم الواردة من عنوان / منفذ خارجي إلى عنوان / منفذ IP خاص داخل شبكة خاصة.
حدد علامة التبويب NAT وانقر فوق إضافة DNAT.
في النافذة التي تظهر ، حدد:
- في مجال التطبيقية - شبكة خارجية (وليس شبكة على مستوى المؤسسة!) ؛
- عنوان IP الأصلي / النطاق الأصلي - عنوان خارجي (عنوان من علامة التبويب Sub-Allocate IP Pools) ؛
- البروتوكول - البروتوكول ؛
- المنفذ الأصلي - منفذ لعنوان خارجي.
- ترجمة IP / النطاق - عنوان IP الداخلي ، على سبيل المثال ، 192.168.1.10
- المنفذ المترجم - منفذ العنوان الداخلي الذي سيتم ترجمة منفذ العنوان الخارجي إليه.
انقر فوق الاحتفاظ.
نطبق التكوين الذي تم إدخاله عن طريق تحديد
حفظ التغييرات .
تم
التالي في السطر هو دليل DHCP ، بما في ذلك إعداد ربط DHCP وترحيل.