NSX : Logical Firewall – Création d’une règle

 

Nous allons créer une règle autorisant seulement les VMs se terminant par 01 à communiquer entre elles et les VMs se terminant par 02 à communiquer entre elles :

 

firewall-rules

 

Pour cela, nous allons ajouter une règle sur la couche 3 en cliquant sur le symbole + vert dans l’onglet General. On lui donne un nom et dans Source on va spécifier la liste de nos 3 VMs :

 

 

Dans la destination les mêmes VMs :

 

 

Dans la liste des services vous pouvez spécifier un ou plusieurs services. Nous mettons any ici :

 

 

Cliquez sur le bouton Publishing.

Depuis la VM Web01, nous faisons un test de ping vers la VM App01 et vers la VM App02.

 

 

Notre règle fonctionne. Veillez à placer les règles qui autorise un trafic avant la règle par défaut qui Deny tout le trafic.

À vous de choisir le type de règle que vous souhaitez mettre en place entre vos objets vCenter.

Dans le prochain article, nous parlerons de routage.

 

NSX :

Partie 1 – NSX Présentation

Partie 2 – NSX : LAB Design

Partie 3 – Installer NSX Manager

Partie 4 – NSX : Mise en place du Control Plane / Control Cluster

Partie 5 – NSX : Déployer les modules VIB sur les ESXi

Partie 6 – NSX : Configurer les VXLAN

Partie 7 – NSX : Segment ID et Transport Zone

Partie 8 – NSX : Déployer les Logical Switches

Partie 9 – Présentation NSX Edge

Partie 10 – NSX : Installer un Logical Router

Partie 11 – Installer NSX Edge Service Gateway

Partie 12 – NSX : Présentation Logical Firewall

Partie 13 – NSX : Logical Firewall – Modification de règle par défaut

Partie 14 – NSX : Logical Firewall – Création d’une règle

Partie 15 – NSX : Présentation du Routage

Partie 16 – NSX : Routage Statique

Partie 17 – NSX : Routage Dynamique avec OSPF 

 

Share

NSX : Logical Firewall – Modification de règle par défaut

 

Par défaut, tout le trafic interne sur le Logical router est autorisé. Ce qui explique pourquoi toutes les VMs se ping entre elles.

Exemple : Ping de la VM Web01 vers la VM App02

 

 

Nous allons, modifier la Default Rule de la couche 3 en modifiant Action de Allow à Deny. Pour cela dans la colonne Action, cliquez sur le + et sélectionnez dans Action Block ou Reject :

 

 

 

 

Pour valider la modification, cliquez sur Publish Changes :

 

 

Après la modification, les VMs ne se ping plus :

 

 

 

Nous allons voir dans le prochain article comment créer les règles utilisateurs

 

NSX :

Partie 1 – NSX Présentation

Partie 2 – NSX : LAB Design

Partie 3 – Installer NSX Manager

Partie 4 – NSX : Mise en place du Control Plane / Control Cluster

Partie 5 – NSX : Déployer les modules VIB sur les ESXi

Partie 6 – NSX : Configurer les VXLAN

Partie 7 – NSX : Segment ID et Transport Zone

Partie 8 – NSX : Déployer les Logical Switches

Partie 9 – Présentation NSX Edge

Partie 10 – NSX : Installer un Logical Router

Partie 11 – Installer NSX Edge Service Gateway

Partie 12 – NSX : Présentation Logical Firewall

Partie 13 – NSX : Logical Firewall – Modification de règle par défaut

Partie 14 – NSX : Logical Firewall – Création d’une règle

Partie 15 – NSX : Présentation du Routage

Partie 16 – NSX : Routage Statique

Partie 17 – NSX : Routage Dynamique avec OSPF 

 

Share

NSX : Présentation Logical Firewall

 

Le firewall logique (logical firewall) fournit des mécanismes de sécurité pour votre environnement virtualisé. Il se répartit en deux composants : Distributed Firewall et Edge Firewall.

 

Distributed Firewall 

 

Le distributed firewall est utilisé pour le traffic Est-Ouest. C’est ce qu’on appelle un hypervisor kernel-embedded firewall. Autrement dit, le firewall distribué via un module sur tous les ESXi. Il est possible de créer des règles sur plusieurs objets du vCenter tel que les datacenters, les clusters, les ESxi, les VMs, etc. L’avantage du firewall distribué est qu’il est facile d’étendre ses propriétés à tout nouvel ESXi ajouté. C’est une architecture Scale-Out.

Ci-dessous la liste des objets vCenter sur lequel vous pouvez ajouter des règles :

  • Cluster
  • Datacenter
  • Distributed port group
  • IP set
  • Legacy port group
  • Logical switch
  • Resource pool
  • Security group
  • vApp
  • Virtual machine
  • vNIC
  • IP address (IPv4 or IPv6)

 

Edge Firewall

 

L’Edge Firewall est utilisé pour le traffic Nord-Sud. Il fournit des fonctionnalités telles que le firewall, Network Translation Address (NAT), VPN, etc.

 

Modifier et créer des règles Distributed Firewall

 

Dans un environnement multi tenant, le provider pourra définir les règles au niveau global. Pour travailler avec les règles de Distributed Firewall, depuis Networking & Security allez dans la partie Firewall :

 

 

Vous avez un onglet General et un onglet Ethernet. À ce niveau, vous voyez les règles par défaut du firewall distribué.

(Pour voir les règles par défaut des NSX Edge, il faut le faire depuis le niveau NSX Edge en double cliquant sur le NSX Edge dans la partie NSX Edge)

Comme vous pouvez le voir, les règles par défaut autorisent tout :

 

Au niveau couche 3

 

 

Au niveau de la couche 2 :

 


Avant de commencer les modifications, petite explication de chaque colonne et des options.

  • La première colonne est le numéro de votre règle selon sa position.
  • La colonne Name contient le nom de votre règle. Il faut, dans la mesure du possible, donner un nom qui soit parlant
  • La colonne Source contient les objets sources (IP ou objets). L’option Negate Source peut être sélectionnée dans ce champ. Si vous le cochez, cela voudra dire que la règle s’appliquera à toutes les IP Source sauf celle(s) que vous avez mentionnez.
  • La colonne Destination contient les objets destination (IP ou objets). L’option Negate Destination peut être sélectionnée dans ce champ. Si vous le cochez, cela voudra dire que la règle s’appliquera à toutes les IP Destination sauf celle(s) que vous avez mentionnez.
  • La colonne Service permet de définir un type de service particulier autorisé, un port en particulier. Vous pouvez y mettre any également pour spécifier tous les services. Il existe une liste de service pré-définis.
  • La colonne Action permet de choisir l’action à prendre pour le traffic :
    • Allow pour autoriser
    • Block pour bloquer
    • Reject pour envoyer un message reject pour les packets non acceptés
    • Log : Pour activer les logs
    • Do not log pour ne pas logguer
  • La colonne Applied To défini le scope sur lequel la règle est applicable.
    • Pour appliquer la règle sur tous les clusters préparés de votre environnement choisir « Apply this rule on all clusters on which distribtuded switch Firewall is enabled ». Distributed Firewall sera affiché.
    • Pour appliquer la règle sur tous les NSX Edge gateways de votre environnement choisir « Apply this rule on all Edge gateways » All Edges sera affiché.

Vous pouvez également rajouter les colonnes Rule ID, Log, Stats et Comments en cliquant sur le logo  

 

 

 

L’ID est le numéro de la règle. Ce numéro est incrémenté dès lors qu’il y a une création de règle. Cliquez sur le logo pour voir le nombre de packets et la taille du trafic en lien avec la règle.

 

Dans les prochains articles, nous présenterons la modification de règles et l’ajout de règles Firewall.

 

NSX :

Partie 1 – NSX Présentation

Partie 2 – NSX : LAB Design

Partie 3 – Installer NSX Manager

Partie 4 – NSX : Mise en place du Control Plane / Control Cluster

Partie 5 – NSX : Déployer les modules VIB sur les ESXi

Partie 6 – NSX : Configurer les VXLAN

Partie 7 – NSX : Segment ID et Transport Zone

Partie 8 – NSX : Déployer les Logical Switches

Partie 9 – Présentation NSX Edge

Partie 10 – NSX : Installer un Logical Router

Partie 11 – Installer NSX Edge Service Gateway

Partie 12 – NSX : Présentation Logical Firewall

Partie 13 – NSX : Logical Firewall – Modification de règle par défaut

Partie 14 – NSX : Logical Firewall – Création d’une règle

Partie 15 – NSX : Présentation du Routage

Partie 16 – NSX : Routage Statique

Partie 17 – NSX : Routage Dynamique avec OSPF 

 

 

Share

Installer NSX Edge Service Gateway

 

Nous allons maintenant mettre en place le NSX Edge Services Gateway.

 

lr-3

 

NSX Edge Service Gateway fournit des services tels que Firewall, NAT, DHCP, VPN, load balancing et Haute disponibilité. Vous pouvez installer plusieurs appliances NSX Edge Services Gateway dans un même datacenter. NSX Edge Service Gateway peut faire office de dernière étape avant l’extérieur. Dans un contexte cloud, il peut être le point de sortie de plusieurs Tenants :

 

 

Le maximum d’interface d’un NSX Edge Service Gateway est de 10.

NSX Edge Service Gateway est une appliance déployée depuis NSX Manager.

Depuis Networking & Security, dans la partie NSX Edges, ajouter un NSX Edge Service Gateway :

 

 

Renseignez le mot de passe, activez SSH et Enable auto rule generation :

 

 

Définissez la taille de l’appliance, cochez Deploy NSX Edge et sélectionnez le cluster pour le déploiement de l’appliance :

 

 

Ajoutez ensuite la ou les interfaces internes correspondant au réseau TRANSIT. Ceci est une internal interface :

 

 

Configurez ensuite l’interface externe :

 

 

Suivant :

 

 

Ne mettez pas de gateway par défaut ici, et configurer les règles firewall par défaut en Accept. Si vous ne configurer pas les règles, par défaut, tout le traffic est en Deny et les logs sont désactivés.

Ici nous autorisons tout par défaut et on active les logs :

 

 

Validez et attendez la fin du déploiement :

 

 

Depuis votre VM en Extranet, ajoutez la route par défaut pour le sous réseau TRANSIT et faites un test de ping, ça devrait passer puisque par défaut nous avons tout accepté :

 

 

Évidemment à ne pas faire en production ce n’est pas le but mais ce test permet de valider que votre gateway fonctionne bien avant de durcir les règles.

J’ai redéployé la même appliance avec cette fois les règles par défaut en Deny. Le ping ne fonctionne plus.

 

NSX :

Partie 1 – NSX Présentation

Partie 2 – NSX : LAB Design

Partie 3 – Installer NSX Manager

Partie 4 – NSX : Mise en place du Control Plane / Control Cluster

Partie 5 – NSX : Déployer les modules VIB sur les ESXi

Partie 6 – NSX : Configurer les VXLAN

Partie 7 – NSX : Segment ID et Transport Zone

Partie 8 – NSX : Déployer les Logical Switches

Partie 9 – Présentation NSX Edge

Partie 10 – NSX : Installer un Logical Router

Partie 11 – Installer NSX Edge Service Gateway

Partie 12 – NSX : Présentation Logical Firewall

Partie 13 – NSX : Logical Firewall – Modification de règle par défaut

Partie 14 – NSX : Logical Firewall – Création d’une règle

Partie 15 – NSX : Présentation du Routage

Partie 16 – NSX : Routage Statique

Partie 17 – NSX : Routage Dynamique avec OSPF 

 

 

Share

NSX : Installer un Logical Router

 

Nous allons dans cet article, déployer un Logical Router de deux façon. La première pour notre LAB pour le routage inter-VXLAN et c’est un NSX Edge Service Gateway qui fera le lien avec le réseau physique. La deuxième façon, où le Logical Router fera lui même le lien entre le réseau logique et le réseau physique.

 

Notre Cas de figure : Routage inter-VXLAN

 

lr-1

 

Nous allons déployer un logical router dans notre environnement afin de faire communiquer les différents réseaux Web, Bdd et App ainsi que le réseau Transit.

Pour cela, depuis Networking & Security, allez dans la partie NSX Edges et cliquez sur le + vert. Sélectionnez Logical (Distributed) Router puis renseignez un nom.

 

 

Renseignez le mot de passe du compte admin et, si vous le souhaitez, activez HA pour la Haute disponibilité (cela déploiera une deuxième appliance en standby) :

 

 

Sélectionnez le cluster, l’esxi, le datastore où sera déployer le Logical Router :

 

 

Renseignez une interface de management pour le Logical Router. La best practice VMware indique qu’il faut utiliser une interface qui n’est pas sur le même réseau que le trafic des VMs. Nous utilisons ici, une interface sur le réseau de management du cluster EDGE.

Renseignez ensuite les interfaces pour chaque réseau en précisant l’ip du logical router pour chaque sous réseau. Cette IP sera la gateway des VMs :

 

 

 

 

Finaliser votre installation. Nous ne choisissons pas de default gateway ici.

Tester un ping depuis une VM Web vers les autres réseaux :

 

 

Le routage fonctionne bien. Il n’y a pas ici de filtre par défaut. On y reviendra dans les futurs articles.

 

 

Autre Cas de figure : Faire sortir vos réseaux virtualisés sur le réseau Physique

 

lr-2

 

Nous allons déployer un logical router dans notre environnement afin de faire communiquer les différents réseaux Web, Bdd, App et External.

Pour le portgroup utilisé pour External, il doit impérativement être taggué.

Pour cela, depuis Networking & Security, allez dans la partie NSX Edges et cliquez sur le + vert. Sélectionnez Logical (Distributed) Router puis renseignez un nom.

 

 

Renseignez le mot de passe du compte admin et activez HA pour la Haute disponibilité (cela déploiera une deuxième appliance en standby) :

 

 

Sélectionnez le cluster, l’esxi, le datastore où sera déployer le Logical Router :

 

 

Renseignez une interface de management pour le Logical Router. La best practice VMware indique qu’il faut utiliser une interface qui n’est pas sur le même réseau que le traffic des VMs. Nous utilisons ici, une interface sur le réseau de management du cluster EDGE.

Renseignez ensuite les interfaces pour chaque réseau en précisant l’ip du logical router pour chaque sous réseau. Cette IP sera la gateway des VMs :

 

 

 

 

 

 

 

 

Finaliser votre installation. Nous choisissons comme default gateway ici, la gateway externe.

Tester un ping depuis une VM Web vers les autres réseaux et vers le réseau externe :

 

 

Vers le réseau externe :

 

 

Nous avons vu dans cet article le déploiement du Logical Router dans deux cas de figure. Nous allons voir dans le prochain article le déploiement du NSX Edge Service Gateway.

 

 

NSX :

Partie 1 – NSX Présentation

Partie 2 – NSX : LAB Design

Partie 3 – Installer NSX Manager

Partie 4 – NSX : Mise en place du Control Plane / Control Cluster

Partie 5 – NSX : Déployer les modules VIB sur les ESXi

Partie 6 – NSX : Configurer les VXLAN

Partie 7 – NSX : Segment ID et Transport Zone

Partie 8 – NSX : Déployer les Logical Switches

Partie 9 – Présentation NSX Edge

Partie 10 – NSX : Installer un Logical Router

Partie 11 – Installer NSX Edge Service Gateway

Partie 12 – NSX : Présentation Logical Firewall

Partie 13 – NSX : Logical Firewall – Modification de règle par défaut

Partie 14 – NSX : Logical Firewall – Création d’une règle

Partie 15 – NSX : Présentation du Routage

Partie 16 – NSX : Routage Statique

Partie 17 – NSX : Routage Dynamique avec OSPF 

 

 

 

Share