Vous devez configurer une règle de redirection par défaut dans le cadre de la configuration initiale de l'insertion de services.

Une fois la configuration initiale terminée, vous pouvez créer et modifier des règles de redirection comme requis pour la redirection des différents types de trafic pour vos machines virtuelles de charge de travail gérées par NSX, via le dispositif de service.

Voici les deux types de règles de redirection :
  1. Dans le cadre de la configuration initiale de l'insertion de services, vous devez créer une règle catch-all afin d'empêcher la redirection du trafic pour l'interface VTI du tunnel VPN entre l'instance de la PCG et le dispositif de service. Cette règle doit avoir la priorité la plus faible possible et doit être créée pour les deux cas d'utilisation d'insertion de services.
  2. La deuxième règle configure la redirection spécifique pour le trafic du dispositif de service. Vous pouvez ajuster cette règle et en ajouter d'autres si nécessaire.

Procédure

  1. Pour ajouter la règle catch-all par défaut pour effectuer la configuration ponctuelle, procédez comme suit :
    1. Accédez à Sécurité > Pare-feu Nord-Sud > Introspection réseau (N-S)
    2. Cliquez sur Ajouter une stratégie.
      Option Description
      Nom Fournissez un nom descriptif, par exemple, Default_No-Redirect-Policy.
      Rediriger vers : Sélectionnez le nom du point de terminaison virtuel créé pour ce dispositif de service lors de l'enregistrement du service.
      Appliquer à : Sélectionnez la passerelle de niveau 0 de la PCG.
    3. Sélectionnez la nouvelle stratégie et cliquez sur Ajouter une règle. Notez les valeurs suivantes spécifiques de l'insertion de services :
      Option Description
      Sources Quelconque
      Destinations Quelconque
      Appliqué à Sélectionnez l'interface VTI entre la PCG et le dispositif de service.
      Action Sélectionnez Ne pas rediriger.
    Important : Cette règle doit avoir la priorité la plus faible possible.
  2. Pour la deuxième règle, procédez comme suit :
    1. Accédez à Sécurité > Pare-feu Nord-Sud > Introspection réseau (N-S)
    2. Cliquez sur Ajouter une stratégie.
      Option Description
      Nom : Fournissez un nom descriptif pour la stratégie, par exemple Insertion de services sur site pour les machines virtuelles AWS ou Insertion de services nord-sud pour les machines virtuelles Azure.
      Rediriger vers : Sélectionnez le nom du point de terminaison virtuel créé pour ce dispositif de service lors de l'enregistrement du service.
      Appliquer à : Sélectionnez la passerelle de niveau 0 de la PCG.
    3. Sélectionnez la nouvelle stratégie et cliquez sur Ajouter une règle. Notez les valeurs suivantes spécifiques de l'insertion de services :
      Option Description
      Sources Sélectionnez un groupe de sous-réseaux dont le trafic doit être redirigé, par exemple, un groupe de vos machines virtuelles de charge de travail gérées par NSX.
      Destinations Sélectionnez une liste d'adresses IP de destination ou de services, tels que YouTube, que vous souhaitez acheminer via le dispositif de service.
      Appliqué à
      • Si vous utilisez l'insertion de services nord-sud avec le dispositif de service dans le cloud public : sélectionnez le port de liaison montante de la PCG active et en veille.
      • Si vous utilisez le trafic VPN vers le site : sélectionnez l'interface VTI de la PCG active et en veille sur le dispositif de service sur site.
      Action Sélectionnez Rediriger.