Как настроить сеть?
Для создания сети в html5-консоли выполните следующие действия:
- Перейдите на вкладку Networks.
- Нажмите кнопку Add.
- Введите название сети и ее описание при необходимости.
- Выберите тип сети с выходом в интернет routed network (маршрутизируемая).
В открывшемся окне заполните настройки сети:
- Network Gateway — адрес шлюза, например, 192.168.10.1/24;
- Primary DNS — первичный DNS адрес, например, 8.8.8.8;
- в поле Static IP pool вводится диапазон адресов, которые в дальнейшем будут автоматически присваиваться вашим виртуальным машинам и нажмите кнопку New. Примечание: ввод должен осуществляться в формате xxx.xxx.xxx.xxx — yyy.yyy.yyy.yyy, где xxx.xxx.xxx.xxx — это начальный адрес подсети, а yyy.yyy.yyy.yyy — конечный IP-адрес подсети. Например, 192.168.10.2 — 192.168.10.22. Для ваших виртуальных машин будут выделяться адреса из указанного пула. Внизу будет указано количество доступных IP (total:20).
Нажмите кнопку Save.
Внешний IP-адрес виртуального дата-центра
Внешний IP-адрес можно просмотреть, выполнив следующие действия:
- Перейдите на вкладку Edges.
- Кликните на нужный edge правой кнопкой мыши.
- В открывшемся блоке Edge Gateway Settings в поле IP Addresses указан внешний IP-адрес.
Настройка Edges
Для настройки шлюза выполните следующие действия:
- Перейдите на вкладку Edges.
- Нажмите кнопку Converted to advanced.
- Нажмите кнопку Configure services.
Откроется окно с возможностью настраивать Firewall и правила NAT.
Настройка правил NAT
Что такое NAT
NAT (Network Address Translation) — технология преобразования приватных IP-адресов во внешние в IPv4, благодаря которой виртуальная машина получает доступ в интернет. В частной сети используются три блока приватных (серых) IP-адресов, которые не используются в интернете:
- 10.0.0.0 --- 10.255.255.255/8 (16777216 хостов);
- 172.16.0.0 --- 172.31.255.255/12 (1048576 хостов);
- 192.168.0.0 --- 192.168.255.255/16 (65536 хостов).
Любая организация имеет право использовать частные IP-адреса (также называемые внутренними, внутрисетевыми, локальными или серыми) по своему усмотрению без регистрации у какой-либо организации.
Для выхода в интернет нужен белый IP, который будет “маскировать” 1 или несколько приватных IP-адресов. Механизм NAT осуществляет подмену (“маскировку”) серых адресов на белые и наоборот. Благодаря этому вся частная сеть может подключаться к интернету через один публичный IP-адрес (или пул адресов), предоставленный провайдером. Ресурс глобальных адресов расходуется гораздо экономнее.
Преобразования NAT имеет важную особенность с точки зрения обеспечения безопасности: трансляция частных IP-адресов в публичные из пула маршрутизатора позволяет скрыть топологию внутренней сети от внешних пользователей, то есть затрудняет несанкционированный доступ к ресурсам сети.
Создание правил SNAT
Примечание: перед настройкой правил NAT обязательно уточните внешний IP-адрес виртуального дата-центра. Убедитесь, что Firewall включен (Enabled) и настроен (Настройка Firewall) — без этого механизм NAT не будет работать.
Для доступа виртуальных машин в интернет настройте правило SNAT:
- Перейдите на вкладку Edges.
- Нажмите кнопку Configure services.
- Перейдите на вкладку NAT.
- В правилах NAT есть два блока NAT44 Rules и NAT64 Rules. NAT44 означает использование ipv4, а NAT64 — ipv6. В настоящий момент поддержка IPv6 не реализована, и заполнять требуется только секцию NAT44.
- Нажмите кнопку + SNAT Rule.
- В открывшемся окне заполните поля:
- в поле Applied on выберите внешнюю сеть;
- в поле Original source IP/range укажите адрес из локального диапазона, например, 192.168.0.2 (при использовании подсети 192.168.0.0/24);
- в поле Translated source IP/range укажите внешний адрес, назначенный для вашего edge-роутера.
- Нажмите кнопку Keep.
Создание правил DNAT
DNAT — механизм, изменяющий адрес назначения пакета, а также порт назначения. Используется для перенаправления входящих пакетов с внешнего адреса/порта на приватный IP-адрес/порт внутри частной сети.
Для получения пакетов из интернета надо настроить правило DNAT:
- Перейдите на вкладку Edges.
- Нажмите кнопку Configure services.
- Перейдите на вкладку NAT.
- В правилах NAT есть два блока NAT44 Rules и NAT64 Rules. NAT44 означает использование ipv4, а NAT64 — ipv6. Рекомендуется заполнять блок NAT44.
- Нажмите кнопку + DNAT Rule.
- В появившемся окне заполните поля:
- в поле Applied on выберите внешнюю сеть (как и в случае с SNAT, это не сеть уровня организации!);
- в поле Original IP/range укажите внешний адрес, назначенный для вашего edge-роутера;
- в поле Protocol — протокол;
- в поле Translated IP/range укажите адрес из локального диапазона, например, 192.168.0.2 (при использовании подсети 192.168.0.0/24);
- в поле Translated Port — порт.
- Нажмите кнопку Keep.