Configurez des règles de redirection pour envoyer le trafic à des services tiers insérés sur un routeur de niveau 0 ou de niveau 1.

Conditions préalables

  • Enregistrez et déployez des services tiers sur NSX-T.
  • Configurez le routeur de niveau 0 ou de niveau 1.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Sécurité > Sécurité nord sud > Introspection réseau (N-S) > Ajouter une stratégie.
    Une section de stratégie est semblable à une section de pare-feu dans laquelle vous définissez des règles qui déterminent la circulation du trafic.
  3. Définissez le champ Rediriger vers d'une instance de service ou d'une chaîne de services vers un routeur logique de niveau 0 ou de niveau 1 pour effectuer une introspection réseau sur le trafic circulant entre les entités source et de destination.
  4. Pour ajouter une stratégie, cliquez sur Publier.
  5. Cliquez sur l'ellipse verticale menu à trois points sur une section et cliquez sur Ajouter une règle.
  6. Modifiez le champ Source pour ajouter un groupe en définissant des critères d'appartenance, des membres statiques, des adresses IP/MAC ou des groupes Active Directory. Voici les types de critère d'appartenance disponibles : Machine virtuelle, Commutateur logique, Port logique, Ensemble d'adresses IP. Vous pouvez sélectionner des membres statiques dans l'une des catégories suivantes : Groupe, Segment, Port de segment, Interface réseau virtuelle ou Machine virtuelle.
  7. Cliquez sur Enregistrer.
  8. Pour ajouter un groupe de destination, modifiez le champ Destination.
  9. Dans le champ Appliqué à, vous pouvez effectuer l'une des opérations suivantes :
    • Pour un service inséré sur un routeur logique de niveau 0, sélectionnez la liaison montante du routeur de niveau 0.
    • Pour un service inséré sur un routeur logique de niveau 1, il n'est pas nécessaire de sélectionner des liaisons montantes.
  10. Chaque règle peut être activée individuellement. Une fois que vous avez activé une règle, elle s'applique au trafic correspondant à la règle.
  11. Cliquez sur Paramètres avancés pour configurer la direction du trafic et pour activer la journalisation.
  12. Dans le champ Action, sélectionnez Rediriger pour rediriger le trafic le long de l'instance de service ou Ne pas rediriger pour ne pas appliquer l'introspection réseau sur le trafic.
  13. Cliquez sur Publier.
  14. Pour restaurer une règle publiée, sélectionnez une règle et cliquez sur Restaurer.
  15. Pour ajouter une stratégie, cliquez sur + Ajouter une stratégie.
  16. Pour cloner une stratégie ou une règle, sélectionnez la stratégie ou une règle, et cliquez sur Cloner.
  17. Pour activer une règle, activez l'icône Activer/Désactiver ou sélectionnez la règle et, dans le menu, cliquez sur Activer > Activer une règle.
  18. Après avoir activé ou désactivé une règle, cliquez sur Publier pour l'appliquer.

Résultats

En fonction des actions définies, NSX-T redirige le trafic nord-sud vers l'instance de service pour l'introspection réseau.

Le trafic sur les nœuds NSX Edge est redirigé vers un chemin de service pour l'introspection du trafic. Une fois que le chemin du service a examiné le trafic, les paquets sont envoyés vers leur destination d'origine.

À partir de NSX-T 3.2, le trafic nord-sud redirigé vers une chaîne de service peut utiliser plusieurs chemins de service pour l'équilibrage de charge. NSX-T sélectionne l'un des chemins de service optimaux actuellement disponibles pour servir chaque nouveau flux de trafic. Chaque flux est lié à un chemin unique. Différents flux peuvent utiliser différents chemins basés sur la stratégie Round Robin. Le chaînage de services nord-sud peut utiliser un nombre maximal de 16 chemins de service.