Configurare le regole di reindirizzamento per inviare il traffico a servizi di terze parti inseriti in un router di livello 0 o di livello 1.

Prerequisiti

  • Registrare e distribuire servizi di terze parti in NSX-T.
  • Configurare il router di livello 0 o 1.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Sicurezza > Sicurezza nord-sud > Network Introspection (N-S) > Aggiungi criterio.
    Una sezione del criterio è simile a una sezione del firewall in cui si definiscono le regole che determinano la modalità di flusso del traffico.
  3. Impostare il campo Reindirizzamento per un'istanza di servizio o una catena di servizi su un router logico di livello 0 o di livello 1 per eseguire la network introspection del flusso di traffico tra le entità di origine e di destinazione.
  4. Per aggiungere un criterio, fare clic su Pubblica.
  5. Fare clic sui menu dei tre punti tre punti verticali in una sezione, quindi fare clic su Aggiungi regola.
  6. Modificare il campo Origine per aggiungere un gruppo definendo criteri di appartenenza, membri statici, indirizzi IP/MAC o gruppi di Active Directory. I criteri di appartenenza possono essere definiti da uno di questi tipi: Macchina virtuale, Commutatore logico, Porta logica, Set di IP. È possibile selezionare membri statici da una di queste categorie: Gruppo, Segmento, Porta segmento, Interfaccia di rete virtuale o Macchina virtuale.
  7. Fare clic su Salva.
  8. Per aggiungere un gruppo di destinazione, modificare il campo Destinazione.
  9. Nel campo Si applica a, è possibile eseguire una delle seguenti operazioni:
    • Per un servizio inserito nel router logico di livello 0, selezionare l'uplink del router di livello 0.
    • Per un servizio inserito nel router logico di livello 1, non è necessario selezionare alcun uplink.
  10. Ogni regola può essere abilitata singolarmente. Dopo aver abilitato una regola, questa viene applicata al traffico che corrisponde alla regola.
  11. Fare clic su Impostazioni avanzate per configurare la direzione del traffico e abilitare la registrazione.
  12. Nel campo Azione, selezionare Reindirizza per reindirizzare il traffico lungo l'istanza del servizio o Non reindirizzare per non applicare la network introspection sul traffico.
  13. Fare clic su Pubblica.
  14. Per ripristinare una regola pubblicata, selezionare una regola e fare clic su Ripristina.
  15. Per aggiungere un criterio, fare clic su + Aggiungi criterio.
  16. Per clonare un criterio o una regola, selezionare il criterio o la regola e fare clic su Clona.
  17. Per abilitare una regola, abilitare l'icona Abilita/Disabilita o selezionare la regola e dal menu fare clic su Abilita > Abilita regola.
  18. Dopo aver abilitato o disattivato una regola, per applicarla, fare clic su Pubblica.

risultati

In base alle azioni impostate, NSX-T reindirizza il traffico nord-sud all'istanza del servizio per Network Introspection.

Il traffico nei nodi di NSX Edge viene reindirizzato a un percorso di servizio per l'introspezione del traffico. Dopo che il percorso del servizio esegue l'introspezione del traffico, i pacchetti vengono inviati alla destinazione originale.

A partire da NSX-T 3.2, il traffico nord-sud reindirizzato a una catena di servizi può utilizzare più percorsi di servizio per il bilanciamento del carico. NSX-T seleziona uno dei percorsi di servizio ottimali attualmente disponibili per ogni nuovo flusso di traffico. Ogni flusso è associato a un singolo percorso. Flussi diversi possono utilizzare percorsi diversi in base al criterio round robin. Il concatenamento dei servizi nord-sud può utilizzare un numero massimo di 16 percorsi di servizio.