Richten Sie Umleitungsregeln ein, um Datenverkehr an Drittanbieterdienste zu senden, die auf einem Tier-0 oder Tier-1 Router verwendet werden.

Voraussetzungen

  • Registrieren und stellen Sie Drittanbieterdienste auf NSX-T bereit.
  • Konfigurieren Sie den Tier-0 oder Tier-1 Router.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie Sicherheit > Vertikale Sicherheit > Netzwerk-Introspektion (vertikal) > Richtlinie hinzufügen aus.
    Ein Richtlinienabschnitt gleicht einem Firewallabschnitt, in dem Regeln definiert werden, die die Flussrichtung des Datenverkehrs bestimmen.
  3. Legen Sie die Einstellung im Feld Umleitung auf für eine Dienstinstanz oder eine Dienstkette auf einen logischen Tier-0 oder Tier-1 Router fest, um eine Netzwerk-Introspektion des Datenverkehrs zwischen Quell- und Zieleinheiten durchzuführen.
  4. Klicken Sie zum Hinzufügen einer Richtlinie auf Veröffentlichen.
  5. Klicken Sie auf die vertikalen Auslassungspunkte in einem Abschnitt und dann auf Regel hinzufügen.
  6. Bearbeiten Sie das Feld Quelle, um eine Gruppe hinzuzufügen, indem Sie Mitgliedschaftskriterien, statische Mitglieder, IP-/MAC-Adressen oder Active Directory-Gruppen festlegen. Mitgliedschaftskriterien können anhand eines der folgenden Typen definiert werden: virtuelle Maschine, logischer Switch, logischer Port, IP Set. Sie können statische Mitglieder aus einer der folgenden Kategorien auswählen: Gruppe, Segment, Segment-Port, virtuelle Netzwerkschnittstelle oder virtuelle Maschine.
  7. Klicken Sie auf Speichern.
  8. Bearbeiten Sie zum Hinzufügen einer Zielgruppe das Feld Ziel.
  9. Im Feld Angewendet auf können Sie einen der folgenden Schritte ausführen:
    • Für einen Dienst, der auf dem logischen Tier-0 Router eingefügt wurde, wählen Sie den Uplink des Tier-0 Routers aus.
    • Für einen Dienst, der auf dem logischen Tier-1 Router eingefügt ist, müssen Sie keine Uplinks auswählen.
  10. Jede Regel kann einzeln aktiviert werden. Nachdem Sie eine Regel aktiviert haben, wird sie auf den Datenverkehr angewendet, der mit der Regel übereinstimmt.
  11. Klicken Sie auf Erweiterte Einstellungen, um die Datenverkehrsrichtung zu konfigurieren und die Protokollierung zu aktivieren.
  12. Wählen Sie im Feld „Aktion“ die Option Umleiten aus, um den Datenverkehr der Dienstinstanz umzuleiten, oder die Option Nicht umleiten, um keine Netzwerk-Introspektion auf den Datenverkehr anzuwenden.
  13. Klicken Sie auf Veröffentlichen.
  14. Klicken Sie zum Wiederherstellen einer veröffentlichten Regel auf Wiederherstellen.
  15. Klicken Sie zum Hinzufügen einer Richtlinie auf + Richtlinie hinzufügen.
  16. Wählen Sie eine zu klonende Richtlinie oder Regel aus und klicken Sie auf Klonen.
  17. Verwenden Sie zum Aktivieren einer Regel das Symbol „Aktivieren/Deaktivieren“ oder wählen Sie die Regel aus und klicken Sie im Menü auf Aktivieren > Regel aktivieren.
  18. Klicken Sie nach dem Aktivieren oder Deaktivieren einer Regel zum Erzwingen der Regel auf Veröffentlichen.

Ergebnisse

Basierend auf den festgelegten Aktionen leitet NSX-T den vertikalen Datenverkehr zur Netzwerk-Introspektion an die Dienstinstanz um.

Der Datenverkehr auf NSX Edge-Knoten wird zu einem Dienstpfad für die Introspektion des Datenverkehrs umgeleitet. Nachdem der Dienstpfad die Introspektion des Datenverkehrs durchgeführt hat, werden die Pakete an ihr ursprüngliches Ziel gesendet.

Ab NSX-T 3.2 kann der an eine Dienstkette umgeleitete vertikale Datenverkehr mehrere Dienstpfade für das Load Balancing verwenden. NSX-T wählt einen der optimalen Dienstpfade aus, die derzeit für jeden neuen Datenverkehrsflow verfügbar sind. Jeder Flow ist an einen einzelnen Pfad angeheftet. Verschiedene Flows können basierend auf der Round-Robin-Richtlinie unterschiedliche Pfade verwenden. Die vertikale Dienstverkettung kann eine maximale Anzahl von 16 Dienstpfaden verwenden.