Geekly articles weekly

VMware NSX untuk yang terkecil. Bagian 2. Mengkonfigurasi Firewall dan NAT



Bagian satu
Setelah istirahat sebentar, kami kembali ke NSX. Hari ini saya akan menunjukkan cara mengkonfigurasi NAT dan Firewall.
Di tab Administrasi , buka pusat data virtual Anda - Sumber Daya Cloud - Pusat Data Virtual .

Pilih tab Edge Gateways dan klik kanan pada NSX Edge yang Anda inginkan. Di menu yang muncul, pilih opsi Layanan Edge Gateway . NSX Edge Control Panel terbuka di tab terpisah.



Konfigurasikan Aturan Firewall


Secara default, opsi Tolak dipilih dalam aturan default untuk masuknya item lalu lintas , yaitu, Firewall akan memblokir semua lalu lintas.



Untuk menambahkan aturan baru, klik +. Entri baru akan muncul dengan nama Aturan baru . Edit bidangnya sesuai dengan kebutuhan Anda.



Di bidang Nama , tentukan nama aturan, misalnya Internet.



Di bidang Sumber , masukkan alamat sumber yang diperlukan. Dengan menggunakan tombol IP, Anda dapat menentukan satu alamat IP, rentang alamat IP, CIDR.





Tombol + memungkinkan Anda untuk mengatur objek lain:

  • Antarmuka Gateway. Semua jaringan internal (Internal), semua jaringan eksternal (Eksternal) atau Apa saja.
  • Mesin virtual. Bind aturan ke mesin virtual tertentu.
  • OrgVdcNetworks. Jaringan Tingkat Organisasi.
  • Set IP. Grup alamat IP yang dibuat pengguna (dibuat dalam objek Pengelompokan).





Di bidang Tujuan , tentukan alamat penerima. Berikut adalah opsi yang sama seperti di bidang Sumber.
Di bidang Layanan , Anda dapat memilih atau secara manual menentukan port tujuan (Port Tujuan), protokol yang diperlukan (Protokol), port pengirim (Port Sumber). Klik Simpan.





Di bidang Tindakan , pilih tindakan yang diperlukan: izinkan arus lalu lintas yang cocok dengan aturan ini, atau tolak.



Kami menerapkan konfigurasi yang dimasukkan dengan memilih Simpan perubahan .



Contoh Aturan

Aturan 1 untuk Firewall (Internet) memungkinkan akses Internet melalui protokol apa pun ke server dengan IP 192.168.1.10.

Aturan 2 untuk Firewall (server-Web) memungkinkan akses dari Internet via (protokol TCP, port 80) melalui alamat eksternal Anda. Dalam hal ini, 185.148.83.16:80.



Pengaturan NAT


NAT (Terjemahan Alamat Jaringan) - terjemahan alamat IP pribadi (abu-abu) ke eksternal (putih), dan sebaliknya. Melalui proses ini, mesin virtual mendapatkan akses ke Internet. Untuk mengkonfigurasi mekanisme ini, Anda perlu mengkonfigurasi aturan SNAT dan DNAT.
Penting! NAT hanya berfungsi ketika Firewall diaktifkan dan aturan perizinan yang sesuai telah dikonfigurasi.

Buat aturan SNAT. SNAT (Source Network Address Translation) adalah mekanisme yang intinya adalah mengganti alamat sumber saat meneruskan paket.

Pertama, Anda perlu mengetahui alamat IP eksternal yang tersedia atau kisaran alamat IP. Untuk melakukan ini, buka bagian Administrasi dan klik dua kali pada pusat data virtual. Di menu pengaturan yang muncul, buka tab Edge Gateway . Pilih NSX Edge yang diinginkan dan klik kanan padanya. Pilih opsi Properties .



Di jendela yang muncul, di tab Sub-Allocate IP Pools , Anda bisa melihat alamat IP eksternal atau rentang alamat IP. Rekam atau hafalkan.



Selanjutnya, klik kanan pada NSX Edge. Di menu yang muncul, pilih opsi Layanan Edge Gateway . Dan kita kembali di panel kontrol NSX Edge.



Di jendela yang muncul, buka tab NAT dan klik Tambah SNAT.



Di jendela baru, tentukan:

  • di bidang Diterapkan pada bidang - jaringan eksternal (bukan jaringan tingkat organisasi!);
  • IP / rentang Sumber Asli - rentang alamat internal, misalnya, 192.168.1.0/24;
  • Sumber IP diterjemahkan / rentang - alamat eksternal di mana akses Internet akan diberikan dan yang Anda cari di tab Sub-Alokasi IP Pools.

Klik Simpan.



Buat aturan DNAT. DNAT adalah mekanisme yang mengubah alamat tujuan suatu paket, serta port tujuan. Digunakan untuk mengarahkan paket yang masuk dari alamat / port eksternal ke alamat / port IP pribadi dalam jaringan pribadi.

Pilih tab NAT dan klik Tambahkan DNAT.



Di jendela yang muncul, tentukan:

- di bidang Diterapkan pada bidang - jaringan eksternal (bukan jaringan tingkat organisasi!);
- IP Asli / rentang - alamat eksternal (alamat dari tab Sub-Allocate IP Pools);
- Protokol - protokol;
- Port Asli - port untuk alamat eksternal;
- Diterjemahkan IP / range - alamat IP internal, misalnya, 192.168.1.10
- Port Diterjemahkan - port untuk alamat internal dimana port alamat eksternal akan diterjemahkan.

Klik Simpan.



Kami menerapkan konfigurasi yang dimasukkan dengan memilih Simpan perubahan .



Selesai



Baris berikutnya adalah manual DHCP, termasuk pengaturan Bindings dan Relay DHCP.

Source: https://habr.com/ru/post/id441026/

More articles:


All Articles