Офис: +7 495 980 60 00 Тех. поддержка: +7 495 980 60 02 E-mail: info@stackgroup.ru
Онлайн-чат
Оставить заявку
Оставить заявку
NSX Edge Gateway (NSX-T)

NSX Edge Gateway — пограничное устройство сети, объединяющее маршрутизацию и защиту. Управляет North-South трафиком, связывая виртуальные машины с интернетом. Открывает доступ к настройкам: Firewall, NAT, IPSec VPN, DHCP. Добавляется в организацию администратором Провайдера.

Список Edge в VDC можно увидеть перейдя в раздел «Data Centers» на вкладку «Edges».

Список всех Edge организации можно увидеть перейдя в раздел «Networking» на вкладку «Edge Gateways».

Для перехода к настройкам Edge нажмите на его название.


NAT

Для выхода в интернет виртуальных машин в сети Routed создайте правило SNAT. Для доступа из интернета к машинам в этой сети настройте правило DNAT.

SNAT (выход в интернет)

SNAT — подмена локального адреса ВМ на публичный адрес для доступа в интернет. Несколько ВМ могут использовать 1 публичный адрес для выходить в интернет.

Для создания SNAT правила перейдите на вкладку «NAT», нажмите «NEW».

Заполните поля:

  • Name — введите название правила.
  • NAT Action — выберите SNAT.
  • External IP — укажите публичный адрес. Нажмите на i для просмотра перечня доступных адресов.
  • Internal IP — укажите внутренние адреса ВМ или подсеть, которые смогут выходить в интернет.
  • Destination IP (опционально) — адрес, на который ВМ будут отправлять трафик.
  • State (опционально) — статус правила.
  • Logging (опционально) — логирование подмены адресов.
  • Priority (опционально) — приоритет правило, можно оставить по умолчанию. Чем меньше число, тем выше приоритет.
  • Firewall Match (опционально) — определяет, как брандмауэр будет соответствовать адресу во время настройки, если этап брандмауэра не пропущен.
    • Match Internal Address — указывает, что брандмауэр будет применен к внутреннему адресу, указанному в правиле NAT. Для SNAT внутренним адресом является исходный адрес источника до завершения NAT.
    • Match External Address — указывает, что брандмауэр будет применен к внешнему адресу, указанному в правиле NAT. Для SNAT внешний адрес является преобразованным исходным адресом после завершения NAT.
    • Bypass — этап брандмауэра будет пропущен.

После выбора всех настроек нажмите «SAVE», правило будет создано.

Не забудьте настроить Firewall.

DNAT (доступ из интернета)

DNAT — перенаправление трафика с публичного адреса на локальный адрес ВМ для доступа ресурса из сети интернет. Несколько ВМ могут использовать 1 публичный адрес, но в таком случае, должны использоваться различные порты.

Для создания DNAT правила перейдите на вкладку «NAT», нажмите «NEW».

Заполните поля:

  • Name — введите название правила.
  • NAT Action — выберите DNAT.
  • External IP — укажите публичный адрес. Нажмите на i для просмотра перечня доступных адресов.
  • External Port — укажите порт для использования на публичном адресе.
  • Internal IP — укажите внутренний адрес ВМ, на который будет направлен трафик с публичного адреса.
  • Application (опционально) — укажите порт и протокол, используемые для входящего трафика.
  • State (опционально) — статус правила.
  • Logging (опционально) — логирование подмены адресов.
  • Priority (опционально) — приоритет правило, можно оставить по умолчанию. Чем меньше число, тем выше приоритет.
  • Firewall Match (опционально) — определяет, как брандмауэр будет соответствовать адресу во время настройки, если этап брандмауэра не пропущен.
    • Match Internal Address — указывает, что брандмауэр будет применен к внутреннему адресу, указанному в правиле NAT. Для DNAT внутренним адресом является преобразованный адрес назначения после завершения NAT.
    • Match External Address — указывает, что брандмауэр будет применен к внешнему адресу, указанному в правиле NAT. Для DNAT внешний адрес является исходным адресом назначения до завершения NAT.
    • Bypass — этап брандмауэра будет пропущен.

После выбора всех настроек нажмите «SAVE», правило будет создано.

Не забудьте настроить Firewall.

Firewall

Для управлением правилами Firewall перейдите на вкладку «Firewall».

Для создания нового правила нажмите «NEW».

  • Name — введите название правила.
  • State — статус правила.
  • Applications — выберите готовый профиль, который определяет порт и протокол. Или используйте ручной ввод.
  • Context (опционально) — можно выбрать один или несколько контекстных профилей.
  • Source — адреса, с которых будет осуществляться доступ.
    Например, для SNAT — внутренние адреса ВМ, для DNAT — «any», т.е. любой источник.
  • Destination — адреса, на которые будет осуществляться доступ.
    Например, для SNAT — «any», т.е. любой адресат, для DNAT — публичный адрес.
  • Action — действие с трафиком.
    • Allow — разрешить трафик.
    • Drop — блокировать трафик без уведомления заблокированного клиента.
    • Reject — блокировать трафик, а также уведомить заблокированного клиента о том, что трафик был отклонен.
  • IP Protocol — выбрать протокол, к которому будет применено правило.
  • Logging — логирование фильтрации.

После выбора всех настроек нажмите «SAVE», правило будет создано.

IPSec VPN (Policy-Based)

Виртуальный канал для защиты данных, которые передаются между облаком и внешней площадкой.

Для создания нового туннеля нажмите «NEW».

  • Name — название туннеля.
  • Security Profile — профиль по умолчанию.
  • Status — статус туннеля.
  • Logging — логирование.

В Authentication Mode необходимо выбрать способ аутентификации:

  • Pre-Shared Key — введите общий ключ, должен быть одинаковым на обоих концах туннеля.
  • Cetificate — загрузите сертификат сайта и центра сертификации.

Local Endpoint:

  • IP Address — публичный адрес. Нажмите на i для просмотра перечня доступных адресов. Лучше использовать IP, не задействованный в существующих конфигурациях NAT.
  • Networks — локальная подсеть с виртуальными машинами.

Remote Endpoint:

  • IP Address — IP-адрес удаленной площадки.
  • Networks — подсеть, которая будет туннелироваться.
  • Remote ID (опционально) — идентификатор удаленной площадки.

После выбора всех настроек нажмите «SAVE», туннель будет создан.

Правила Firewall создаются автоматически.

Далее следует выбрать созданный туннель и нажать «SECURITY PROFILE CUSTOMIZATION».

IKE Profiles:

  • Version — версия протокола Internet Key Exchange (IKE).
    • IKEv1 — только v1 версия протокола.
    • IKEv2 — только v2 версия протокола.
    • IKE-Flex — если при установлении туннеля по протоколу IKEv2 происходит сбой, исходный сайт не восстанавливает соединение и не инициирует его по протоколу IKEv1. Вместо этого, если удаленный сайт инициирует соединение по протоколу IKEv1, то соединение принимается.
  • Encryption — алгоритм шифрования.
  • Digest — алгоритм аутентификации.
  • Diffie-Hellman Group — выберите одну из криптографических схем.
  • Assication Life Time (Опционально) — количество секунд, по истечении которых туннель переустановится.

Tunnel Configuration:

  • Enable Perfect Forward Secrecy — активируйте переключатель.
  • Defragmentation Policy — выберите политику дефрагментации.
  • Encryption — алгоритм шифрования.
  • Digest — алгоритм аутентификации.
  • Diffie-Hellman Group — параметр, определяющий надежность ключа шифрования.
  • Assication Life Time (Опционально) — количество секунд, по истечении которых канал IPSec переустановится.

DPD Configuration:

  • Probe Interval (Опционально) — оставьте по умолчанию.

После выбора всех настроек нажмите «SAVE», туннель будет отображаться пользовательским.