總代nsx演示環(huán)境-vmware實驗指導(dǎo)手冊安全

第一章VMwareNSX介 第二章VMwareNSX測試概 IP地址規(guī) 第三章實驗操作 3.1.1的重要 實驗步驟同網(wǎng)段.............................................................................. 第一章VMwareNSX介VMwareNSXVMwareVMwareNSX路由器、分布式、負載平衡器、和工作負載安全性，可以減少物理網(wǎng)絡(luò)資源的消耗。另外VMwareNSX可以通過標準的API實現(xiàn)第網(wǎng)絡(luò)和安全解決方案的集成。管理員VMwareNSX主要組件與功NSX的架構(gòu)其實很簡單，因為具有很清晰的邏輯層次，主要分為管理層面，控制層面管理層面是管理配置的單一，提供RESET應(yīng)用程序接口和用戶界面，主要的組件為NSXmanagerVMwareNSXManagerNSX中的其他組和轉(zhuǎn)為的控制與NSXmanager都無關(guān)。NSXmanger還有配置Edge網(wǎng)關(guān)，負載均衡和網(wǎng)絡(luò)流量等功能。另外通過NSXmanager提供API接口，可以和第網(wǎng)絡(luò)抑制VXLAN中的網(wǎng)絡(luò)廣播流量等，做到了對轉(zhuǎn)發(fā)平面流量實現(xiàn)集中式策略控制?？刂茖用娌渴鹪谄鏀?shù)個成員的集群中，避免“腦裂”的現(xiàn)象，提高可用性和可擴展性。另外DLRControlVM也是NSX控制平面的一個組件，于控制邏輯路由器。式路由、分布式等服務(wù)并實現(xiàn)VXLAN橋接功能的內(nèi)核模塊(VIB)，可以為客戶提與服務(wù)器虛擬化的計算模式相似，NSX提供邏輯網(wǎng)絡(luò)組件，包括邏輯交換機、路由器、、負載平衡器、及其他組件。它對物理網(wǎng)絡(luò)的唯一要求是必須提供IP傳輸。它對底層硬件或虛擬化管理程序無任何依NSX在每個虛擬網(wǎng)絡(luò)中的軟件中重現(xiàn)整個網(wǎng)絡(luò)環(huán)境、L2、L3、L4-L7網(wǎng)絡(luò)服務(wù)。NSX為 NSX提供了基于REST的API，允許云計算管理平臺自動交付網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)調(diào)配過NSXServiceComposer第二章VMwareNSX測試概初步了解VMwareNSX的原理。設(shè)OS\臺IP地址規(guī)IPIP實驗拓VMwareNSXdemo實驗環(huán)境是搭建在一臺CISCOUCS-B服務(wù)器上的,UCS服務(wù)器裝一臺CISCO3750交換機連接到IM-cloud.在上已經(jīng)做好端口映射，實驗人員可以通過桌面接入到實驗環(huán)境中。IM-CiscoCiscoCiscoUCS-規(guī)劃的邏輯拓撲如下圖所示：實驗環(huán)境采用一臺Edge網(wǎng)關(guān)，兩臺分布式邏輯路由器，IM-CiscoEdge 軟件版NSX實驗人員的準備工準備一臺計算機，安裝Windows系統(tǒng)或者安裝的Windows桌面客戶端的MAC如何進入實驗界打開桌面程序，輸入IM的VMwareNSX-demo環(huán)境的跳板機地址：117.144.176.83，在彈出的框中，輸入用戶名:admin和：Vmware!1然后就可以登錄到demo環(huán)境的跳板機中。vSphereWebClient。在VMwarevCenterSingleSign-On頁面輸入用戶名和：administrator@im.vsphere.local/戶名和和Web登錄的信息相同。第三章驗操作場景一：微分段3.1.1的重要 3.1.2的作用及分做到硬件的安全策略，也不能集中部署，管理比較麻煩，而VmwareNSX的分布式解決了這個難題分布式相對于傳統(tǒng)的優(yōu)劣分 VmwareNSX采用的是分布式，基于微分段，可以在將和每個虛機的vNIC進行策略關(guān)聯(lián)，對每臺虛機的出棧入棧流量執(zhí)行就近允許，等相關(guān)策略。微且在manger上只需要創(chuàng)建一個實例，做到了統(tǒng)一控制。如上圖所示，每個虛擬機的vNIC上都有可以進行策略，這樣大大提高了內(nèi)實驗?zāi)寇浖琖eb之間相互可以達到提高安全性的目的。 實驗步驟網(wǎng)在中間的默認的條目中，單擊如圖綠色加號按鈕選添加一個新的默認條滑動滾軸，選擇ICMPecho，然后單擊OK在Action框中選擇修改，默認的對流量的動作都是放行，因為我們要阻斷選中的流量，所以我們選擇block12)點擊publishChanges，使剛剛我們配置的的規(guī)則生效（沒有點擊之間，條測試Web規(guī)則生效后，Web0110.1.10.1無法通Web03Web0310.1.10.3無法通 作，在VMwareNSX中，一般使用VMware安全組來同網(wǎng)段的設(shè)備，在下一個實驗步驟不同網(wǎng)段的單向限1）再添加一條規(guī)則，使Web不能DB，而DB可以Web（注意：由于是單向限App0210.1.20.2可以正常到達Web0110.1.10.1Web03Web界面，單擊PublishChanges,然后測試APP到Web規(guī)則生效后，App02Web0110.1.10.1Web03Web0110.1.10.1Web0310.1.10.3是可以到達APP0210.1.20.2場景二：同網(wǎng)段的安全NSX動態(tài)安全組概述實驗?zāi)繉嶒灢竭M入VMwareNSX配置界面。將新建的安全組命名為Deny-Web-Web,然后選擇在定義動態(tài)組項目中，選擇將VMnameWeb AvailableObjectsDeny-Web-Web，然后單擊向右小箭頭，將其加入到SelectedObjects中。添加好destination后，單擊Action欄中的修改選項publishchanges,打開VsphereclientWeb01的控制臺，打開CMD，測試到web01的性的的可以看出，Web03到Web01也無問題。現(xiàn)在單擊條目上方的Publishchanges,使場景三：操作系統(tǒng)智能分組智能分實驗?zāi)繉嶒灢矫行枰僮鞯奶摍C的，現(xiàn)在將虛機web-03改成APP-03選擇VMsandVMoption中，對VMname進行修改，然后單擊OK測試Web01和Web03的現(xiàn)在測試虛機App-02到Web01的為Web-02（修改完畢后，頁面上方的刷新按鈕，可能Web頁面同步不及時，顯示性場景四：針對的微分段安全策略場景概實驗?zāi)繉嶒灢紸Dsalesjerry,manage讓用戶組中有用戶tom(用戶已經(jīng)添加好，此步驟不需要操作)。返回NSXmanagerServicecomposer選項，然后在Servercomposer中，選將name命名為ADsales,然后單擊下一步，如圖選擇實體（Entity）,選擇范圍選則Directory 組然后找到sales,