Tier-0 または Tier-1 論理ルーターにファイアウォール ルールを追加すると、ルーターへの通信を制御できます。
Edge ファイアウォールはアップリンク ルーター ポートに実装されます。つまり、トラフィックが Edge のアップリンク ルーター ポートに到達した場合にのみ、ファイアウォール ルールが適用されます。特定の宛先 IP にファイアウォール ルールを適用するには、/32 ネットワークを使用してグループを構成する必要があります。/32 以外のサブネットを指定すると、ファイアウォール ルールがサブネット全体に適用されます。
前提条件
-
ファイアウォール ルールのパラメータを確認します。マネージャ モードでのファイアウォール ルールの追加 を参照してください。
-
NSX Manager ユーザー インターフェイスで [マネージャ] モードが選択されていることを確認します。NSX Manager を参照してください。[ポリシー] モード ボタンと [マネージャ] モード ボタンが表示されない場合は、ユーザー インターフェイスの構成を参照してください。
手順
結果
注: Tier-0 論理ルーターにファイアウォール ルールを追加した場合、ルーターをバッキングしている
NSX Edge クラスタがアクティブ/アクティブ モードで実行されていると、ファイアウォールはステートレス モードでのみ実行できます。HTTP、SSL、TCP などのステートフル サービスのファイアウォール ルールを構成すると、ファイアウォール ルールは意図したとおりに機能しません。この問題を回避するには、
NSX Edge クラスタがアクティブ/スタンバイ モードで実行されるように構成します。