Agregue reglas a fin de redirigir un tráfico de este a oeste para introspección de red.
Las reglas se definen en una directiva. Una directiva como concepto es similar al concepto de secciones en los firewalls. Al agregar una directiva, seleccione la cadena de servicios para redirigir el tráfico de introspección mediante los perfiles de servicio de la cadena de servicios.
La definición de una regla consiste en el origen y el destino del tráfico, el servicio de introspección, el objeto NSX al cual se aplica la regla y la directiva de redirección de tráfico. Después de publicar la regla, NSX Manager activa la regla cuando se encuentra un patrón de tráfico que coincide. La regla comienza a realizar la introspección del tráfico. Por ejemplo, cuando NSX Manager clasifica un flujo de tráfico que se debe someter a introspección, reenvía el tráfico al firewall distribuido regular, y después a la cadena de servicios especificada en la directiva. Los perfiles de servicio definidos en la cadena de servicios realizan la introspección del tráfico para los servicios de red que ofrece el partner. Si un perfil de servicio finaliza la introspección sin detectar problemas de seguridad en el tráfico, el tráfico se reenvía al perfil de servicio siguiente en la cadena de servicios. Al final de la cadena de servicios, el tráfico se reenvía al destino.
Todas las notificaciones se envían a la instancia de Service Manager de partners y a NSX.
Nota: De forma predeterminada, existe una regla incluso cuando no se configura el servicio este-oeste. Esta regla predeterminada no se aplica y está inactiva. Debe crear y aplicar la primera regla después de implementar serviec este-oeste en
NSX.
Requisitos previos
Una cadena de servicios está disponible para redirigir el tráfico en una introspección de red.
Procedimiento
- Con privilegios de administrador, inicie sesión en NSX Manager.
- Compruebe que NSX Manager esté en el modo Directiva.
- Seleccione .
Una sección de directiva es similar a una sección de firewall donde se definen las reglas que determinan cómo fluye el tráfico.
- Seleccione una cadena de servicios.
- Para agregar una directiva, haga clic en Publicar.
- Haga clic en los tres puntos verticales en una sección y haga clic en Agregar regla.
- En la columna Orígenes, haga clic en el icono de edición y seleccione el origen de la regla. Consulte Agregar un grupo para obtener más información.
Se admiten direcciones IPv4, IPv6 y de multidifusión.
- Haga clic en Guardar.
- En la columna Destinos, haga clic en el icono de edición y seleccione el destino de la regla. Si no está definido, el destino coincidirá con cualquiera. Consulte Agregar un grupo para obtener más información.
Se admiten direcciones IPv4, IPv6 y de multidifusión.
- De forma predeterminada, la columna Se aplica a se establece como DFW y la regla se aplica en todas las cargas de trabajo. También puede aplicar la regla o la directiva a grupos seleccionados.Se aplica a define el ámbito de la implementación por regla, y se utiliza principalmente para la optimización de los recursos en hosts ESXi. Esto ayuda a definir una directiva dirigida para zonas y tenants específicos sin interferir con otra directiva definida para otros tenants y zonas.
Los grupos que constan únicamente de direcciones IP, direcciones MAC o grupos de Active Directory no se pueden utilizar en el cuadro de texto Se aplica a.
- En el cuadro de texto Acción, seleccione Redirigir para redirigir el tráfico por la cadena de servicios o No redirigir para que no se aplique introspección de red en el tráfico.
- Haga clic en Publicar.
- Para agregar una directiva, haga clic en + Agregar directiva.
- Para clonar una directiva o una regla, seleccione la directiva o la regla y haga clic en Clonar.
- Para habilitar una regla, active el icono Habilitar/deshabilitar, o bien seleccione la regla y, en el menú, haga clic en Habilitar > Habilitar regla.
- Después de habilitar o deshabilitar una regla, haga clic en Publicar para aplicar la regla.
Resultados
El tráfico que circula hacia el origen se redirige a la cadena de servicios para introspección de red. Después de que los perfiles de servicio de la cadena realizan la introspección del tráfico, este se envía al destino.
Durante la implementación, es posible que cambie la pertenencia de un grupo de máquinas virtuales para una directiva específica. NSX notifica a la instancia de Service Manager de partners sobre estas actualizaciones.