Содержание:

 

1. Настройка виртуальных сетей
2. Настройка Firewall
3. Настройка NAT
4. Настройка Site-to-site IPSec VPN

 
 
1. Настройка виртуальных сетей
 

Создание Organization VDC сети.
Для создания виртуальной сети переходим в раздел Data Centers и выбираем виртуальный VDC, в котором хотим создать сеть. 
Далее переходим в раздел Networks и жмем NEW:
 
    
Откроется диалоговое окно создания Organization VDC сети. 
На 1 шаге (Scope) выбираем виртуальный VDC, в котором хотим создать сеть. 
 
На 2 шаге (Network Type) выбираем тип создаваемой сети:
    - Isolated - изолированная сеть. Нельзя получить доступ к ВМ в этой сети из внешних сетей. Не подключается к Edge;
    - Routed - маршрутизируемая сеть. ВМ в этой сети смогут получить доступ во внешние сети или другие Routed сегменты. Подключается к Edge.
 
 
Если на 2 шаге был выбран тип сети Routed, то на 3 шаге (Edge Connection) дополнительно потребуется указать Edge, к которому будет подключаться сеть. 
 
 
На 4 шаге (General) задаем основные параметры новой сети:
-    Name - имя сети;
-    Gateway CIDR - IP-адрес/маска шлюза сети, который будет назначен на Edge;
-    Description - краткое описание создаваемой сети.
 
 
Если на ВМ требуется назначить статический IP-адрес, то на 5 шаге  (Static IP Pools) для таких ВМ в создаваемой сети можно зарезервировать один или несколько IP-адресов:
 
На 6 шаге (DNS) указываем настройки DNS:
-    Use Edge DNS - Edge будем выступать в роли DNS Relay;
-    Primary DNS и Secondary DNS - IP-адреса первичного и вторичного DNS серверов;
-    DNS suffix - DNS-суффикс.

 
На 7 заключительном шаге (Ready to Complete) контрольно проверяем корректность настроек и жмем FINISH:

Новая сеть отобразится в разделе Networks: 
 
Чтобы просмотреть или скорректировать настройки сети необходимо нажать на ее название:
 
 
Создание и настройка Edge.
По умолчанию, у Organization Administrator не достаточно прав для создания Edge.
Чтобы смотреть и редактировать параметры Edge, созданного при разворачивании VDC переходим в раздел Data Centers и выбираем виртуальный VDC. Далее переходим во вкладку Edges, где будет доступна информация обо всех созданных Edge данного VDC:
 
Для перехода в настройки нажимаем на имя Edge. Ниже краткое описание доступных разделов:
•    Services
•    -Firewall - настройка правил доступа;
•    -NAT - настройка правил NAT трансляций;
•    -IPSec VPN - настройка Site-to-Site IPSec VPN канала;
•    -Load Balancer - настройка балансировщика нагрузки. По умолчанию, у Organization Administrator недостаточно прав для настройки этого функционала;
•    -Security
•    -Security Groups - объединение нескольких ВМ в группу, к которой применяются единые политики доступа;
•    -IP Sets - настройка именных объектов с указанием  IP-адреса или группы адресов, которые применяются в правилах Firewall;
•    -Application Port Profiles - настройка именных профилей приложений с указанием L4 протоколов и портов, которые применяются в правилах Firewall;
•    -IP Management
•    -IP Allocations - список IP-адресов, выделенных и задействованных на Edge; 
•    -DNS - настройка DNS Forwarder 
 
2. Настройка Firewall
Firewall служит для управления доступом между внутренними сетями и внешними (например, Интернет).
Настройка правил доступа выполняется из раздела Services/Firewall.
Примечание: перед созданием правил Firewall требуется настроить объекты Application Port Profiles (задается протокол и порт, которые использует приложение) и IP Sets (задается IP-адрес хоста). Настройка выше указанных объектов выполняется из раздела Security:
 
По умолчанию, Firewall включен и блокирует весь межсетевой трафик согласно преднастроенному правилу default_rule. Для создания нового правила нажимаем EDIT RULES для перехода в окно редактирования, далее выбираем действие NEW ON TOP:
 
    
Новое правило появится выше правила default_rule:
•    Name - имя правила доступа;
•    State - активация/деактивация правила;
•    Application - тип протокола и порт. Если нужного Application объекта нет, то его нужно создать в разделе Security/Application Port Profiles.
•    Source - задается IP-адрес отправителя. Если нужного объекта нет, то его нужно создать в разделе Security/IP Sets. Переключатель Any Source включает проверку всех IP;
•    Destination - задается IP-адрес получателя; настраивается по аналогии с полем Source;
•    Action - задается необходимое действие:
•    Accept - разрешить прохождение трафика;
•    Drop - блокировать прохождение трафика без уведомления отправителя;
•    Reject - блокировать прохождение трафика с посылкой уведомления отправителю;
•    Protocol - версия протокола IP;
•    Logging - активируется логирование.
 
 
После того как все настройки выполнены сохраняем конфигурацию SAVE.
 
 
Важно: Edge обрабатывает трафик по правилам Firewall в том порядке, в котором они настроены, т.е. сверху вниз. Чтобы подвинуть правило относительно остальных, нужно выделить его и воспользоваться действиями:
    - MOVE UP - переместить правило на 1 позицию выше;
            - MOVE DOWN - переместить правило на 1 позицию ниже;
            - MOVE TO - переместить правило на определенную позицию;
 
3. Настройка NAT
NAT (Network Address Translation) - это технология преобразования внутренних (серых) IP-адресов во внешние (белые), и наоборот. Чтобы ВМ из внутренней сети могла получить доступ во внешнюю сеть Интернет, необходимо подменить ее внутренний IP-адрес во внешний.
NAT позволяет транслировать в один белый IP-адрес и внутреннюю сеть целиком, что сокращает количество арендуемых внешних IP-адресов.
 
Настройка SNAT.
SNAT (Source NAT) - механизм преобразования IP-адреса источника трафика. Чаше всего используется как раз для предоставления доступа в сеть Интернет.
Для добавления правила SNAT переходим в раздел Services/NAT и нажимаем NEW:
 
    В открывшемся окне Add NAT Rule заполняем необходимые поля:
•    Name - задаем название правилу;
•    Description - описание правила;
•    Interface Type - выбираем тип настраиваемого NAT правила - SNAT;
•    External IP - внешний IP-адрес, в который будут транслироваться внутренние IP-адреса;
•    Internal IP - диапазон внутренних IP-адресов источников;
•    Destination IP  - IP-адрес назначения. Эти поля настраиваются в том случае, если трансляция IP-адреса источника должна выполняться при передачи трафика только до указанного IP-адреса назначения. По умолчанию, это поле автоматически заполняется значением any;
В разделе Advanced Settings:
•    State - активирует правило NAT;
•    Logging - активирует логирование;
•    Priority - назначается приоритет для правила. Если для IP-адреса настроено несколько пересекающихся правил NAT, то первым применится правило с наименьшим значением Priority;
•    Firewall Match - определяется какой IP-адрес (до или после SNAT трансляции) будет проверяться правилами Firewall. Доступны следующие опции:
•    Match Internal Address - т.е. Firewall будет проверять трафик на основе Internal IP адреса (до SNAT трансляции);
•    Match External Address - т.е. Firewall будет проверять трафик на основе External IP адреса (после SNAT трансляции);
 
 
 
 После выполнения всех настроек жмем SAVE.
Примечание: не забудьте создать разрешающее правило в разделе Services/Firewall.
 
 
Настройка DNAT.
DNAT (Destination NAT) - механизм преобразования IP-адреса и порта назначения. Используется для организации доступа из сети Интернет к ВМ с внутренним IP-адресом через выделенный внешний IP-адрес. Также DNAT позволяет через один внешний IP-адрес организовать доступ одновременно к нескольким ВМ. В этом случае при прохождении трафика через Edge транслируется не только IP-адрес назначения, но и TCP/UDP порт.
Для добавления правила DNAT переходим в раздел Services/NAT и нажимаем NEW:
 
В открывшемся окне Add NAT Rule заполняем необходимые поля:
•    Name - название правила;
•    Description - описание правила;
•    Interface Type - выбираем тип настраиваемого NAT правила - DNAT;
•    External IP - внешний IP-адрес, в который будут транслироваться внутренние IP-адреса;
•    External Port - номер порта для подключения к External IP. Если через 1 внешний IP-адрес требуется организовать доступ (например, по SSH) одновременно к нескольким ВМ, то нужно указывать отличные произвольные номера портов (10022 и 10023). Если не указать порт, то весь входящий трафик на External IP будет транслироваться в Internal IP;
•    Internal IP - внутренний IP-адрес ВМ;
•    Application - номер порта для подключения к внутреннему IP-адресу ВМ;
В разделе Advanced Settings:
•    State - активирует правило DNAT;
•    Logging - активирует логирование;
•    Priority - назначается приоритет для правила. Если для IP-адреса настроено несколько пересекающихся правил NAT, то первым применится правило с наименьшим значением Priority;
•    Firewall Match - определяется какой IP-адрес (до или после DNAT трансляции) будет проверяться правилами Firewall. Доступны следующие опции:
•    Match Internal Address - т.е. Firewall будет проверять трафик на основе Internal IP адреса (после NAT трансляции);
•    Match External Address - т.е. Firewall будет проверять трафик на основе External IP адреса (до DNAT трансляции);
 
 
 После выполнения всех настроек жмем SAVE.
Примечание: не забудьте создать разрешающее правило в разделе Firewall.
 
 
Настройка NO SNAT/DNAT правил.
В NSX-T правила трансляций SNAT/DNAT не привязаны к конкретным интерфейсам Edge как это сделано в NSX-V. Это нужно учитывать, когда на Edge планируется настроить доступ не только в сеть Интернет, используя SNAT трансляцию, но и в удаленные сети с сохранением IP-адреса источника. 
Для добавления правила NO SNAT переходим в раздел Services/NAT и нажимаем NEW:
 
 
В открывшемся окне Add NAT Rule заполняем необходимые поля:
•    Name - название правила;
•    Description - описание правила;
•    Interface Type - выбираем тип настраиваемого NAT правила - NO SNAT;
•    Internal IP - внутренний IP-адрес ВМ;
•    Destination IP - сеть назначения
В разделе Advanced Settings:
•    State - активирует правило;
•    Logging - активирует логирование;
•    Priority - назначается приоритет для правила. Если для IP-адреса настроено несколько пересекающихся правил NAT, то первым применится правило с наименьшим значением Priority;
•    Firewall Match - определяется какой IP-адрес (до или после SNAT трансляции) будет проверяться правилами Firewall. Доступны следующие опции:
•    Match Internal Address - т.е. Firewall будет проверять трафик на основе Internal IP адреса (до SNAT трансляции);
•    Match External Address - т.е. Firewall будет проверять трафик на основе External IP адреса (после SNAT трансляции);
 
 
После выполнения всех настроек жмем SAVE.
Примечание: не забудьте создать разрешающее правило в разделе Firewall.
 
 
4. Настройка Site-to-site IPSec VPN
Site-to-site VPN на базе протоколов IPSec позволяет организовать защищенный L3 VPN туннель «точка-точка» между двумя площадками через сеть Интернет. В отличие от Remote Access VPN устанавливать ПО VPN клиент на пользовательские устройства не требуется.
NSX-T Edge поддерживает следующий функционал:
•    IKE версии 1 и 2;
•    Тип VPN сессии - Policy-based;
•    Аутентификация по общему ключу (PSK).
 
 
Ниже будет представлен пример настройки Policy-based IPSec VPN с PSK аутентификацией.
 
Для настройки IPSec VPN переходим в настройки Services/IPSec VPN выбранного VDC и Edge и жмем NEW:
 
 
В открывшемся окне Edit IPSec VPN Tunnel заполняем необходимые поля:
•    Name - условное обозначение удаленной площадки;
•    Enabled - активирует VPN туннель;
•    Pre-shared Key - указываем ключ аутентификации PSK. Должен совпадать с обеих сторон;
•    Security Profile - выбирается профиль с настройками алгоритмов шифрования, хеширования и т.д. При создании VPN туннеля, по умолчанию, можно выбрать только преднастроенный профиль Default. Просмотреть настройки профиля Default можно нажав на >. Изменить настройки параметров профиля можно после создания VPN туннеля.
 
 
•    Local Endpoint - IP Address -  указывается IP-адрес локального Edge, на котором будет терминироваться IPSec туннель. Чаще всего это IP-адрес из пула «внешних» адресов;
•    Local Endpoint - Networks - список локальных IP-адресов или сетей (разделены запятой), из которых необходимо получить доступ в сети удаленной площадки;
•    Remote Endpoint - IP Address - указывается IP-адрес удаленного VPN шлюза, на котором будет терминироваться IPSec туннель;
•    Remote Endpoint - Networks - список IP-адресов или сетей удаленной площадки, разделенных запятой;
•    Logging - активируется логирование.
 
После выполнения всех настроек жмем SAVE. После настройки VPN туннеля станут доступны следующие меню:
•    EDIT - редактирование настроек VPN туннеля;
•    VIEW STATISTICS - просмотр состояния VPN туннеля и различной статистики отправленного/принятого трафика;
•    SECURITY PROFILE CUSTOMIZATION - редактирование алгоритмов шифрования, хеширования IKE/IPSec фаз,  DPD таймингов и т.д. для конкретного VPN туннеля;
•    DELETE - удаление VPN туннеля.
 
 После выполнения всех настроек в разделе Services/Firewall автоматически появится правило, разрешающее установку IPSec соединения. Но потребуется создать правило доступа для трафика между сетями Local и Remote Subnets.