Ajoutez des règles pour rediriger un trafic horizontal à des fins d'introspection réseau.
Les règles sont définies dans une stratégie. La stratégie en tant que concept est similaire à la notion de sections dans les pare-feu. Lorsque vous ajoutez une stratégie, sélectionnez la chaîne de services afin de rediriger le trafic pour l'introspection par les profils de service de la chaîne de services.
La définition d'une règle comprend la source et la destination du trafic, un service d'introspection, l'objet NSX sur lequel appliquer la règle et la stratégie de redirection du trafic. Une fois la règle publiée, NSX Manager la déclenche lorsqu'un modèle de trafic correspondant est localisé. La règle commence à examiner le trafic. Par exemple, lorsque NSX Manager désigne un flux de trafic devant être examiné, il le transfère vers le pare-feu distribué habituel, puis vers la chaîne de services indiquée dans la stratégie. Les profils de service définis dans la chaîne de services examinent le trafic des services de réseau que le partenaire propose. Si un profil de service termine l'introspection sans détecter de problèmes de sécurité au niveau du trafic, ce dernier est transféré vers le profil de service suivant dans la chaîne de services. À la fin de la chaîne de services, le trafic est transféré vers la cible de destination.
Toutes les notifications sont envoyées aux Service Manager et NSX partenaires.
Note : Par défaut, une règle existe même lorsque le service est-ouest n'est pas configuré. Cette règle par défaut n'est pas appliquée et est inactive. Vous devez créer et appliquer la première règle après le déploiement du service est-ouest sur
NSX.
Conditions préalables
Une chaîne de services est disponible pour rediriger le trafic pour une introspection réseau.
Procédure
- Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
- Vérifiez que NSX Manager est en mode de stratégie.
- Sélectionnez .
Une section de stratégie est semblable à une section de pare-feu dans laquelle vous définissez des règles qui déterminent la circulation du trafic.
- Sélectionnez une chaîne de services.
- Pour ajouter une stratégie, cliquez sur Publier.
- Cliquez sur l'ellipse verticale sur une section et cliquez sur Ajouter une règle.
- Dans la colonne Sources, cliquez sur l'icône de modification et sélectionnez la source de la règle. Pour plus d'informations, reportez-vous à la section Ajouter un groupe.
Les adresses IPv4, IPv6 et de multidiffusion sont prises en charge.
- Cliquez sur Enregistrer.
- Dans la colonne Destinations, cliquez sur l'icône de modification et sélectionnez la destination de la règle. La destination correspond à n'importe laquelle si elle n'est pas définie. Pour plus d'informations, reportez-vous à la section Ajouter un groupe.
Les adresses IPv4, IPv6 et de multidiffusion sont prises en charge.
- Par défaut, la colonne Appliqué à est définie sur DFW et la règle est appliquée à toutes les charges de travail. Vous pouvez également appliquer la règle ou la stratégie à des groupes sélectionnés.La colonne Appliqué à définit l'étendue de la mise en application pour chaque règle. Elle est utilisée principalement pour l'optimisation des ressources sur les hôtes ESXi. Elle vous aide à définir une stratégie ciblée pour des zones et des locataires spécifiques, sans interférer avec d'autres stratégies définies pour les autres locataires et zones.
Les groupes comprenant uniquement des adresses IP, des adresses MAC ou des groupes Active Directory ne peuvent pas être utilisés dans la zone de texte Appliqué à.
- Dans la zone de texte Action, sélectionnez Rediriger pour rediriger le trafic le long de la chaîne de services ou Ne pas rediriger pour ne pas appliquer l'introspection réseau sur le trafic.
- Cliquez sur Publier.
- Pour ajouter une stratégie, cliquez sur + Ajouter une stratégie.
- Pour cloner une stratégie ou une règle, sélectionnez la stratégie ou une règle, et cliquez sur Cloner.
- Pour activer une règle, activez l'icône Activer/Désactiver ou sélectionnez la règle et, dans le menu, cliquez sur Activer > Activer une règle.
- Après l'activation ou la désactivation d'une règle, cliquez sur Publier pour l'appliquer.
Résultats
Le trafic en direction de la source est redirigé vers la chaîne de services pour l'introspection réseau. Une fois que les profils de service de la chaîne ont examiné le trafic, il est envoyé à destination.
Pendant le déploiement, il est possible que l'appartenance à un groupe de machines virtuelles d'une stratégie particulière change. NSX informe le Service Manager partenaire de ces mises à jour.