发布时间 : 星期日 文章VMWare NSX POC测试报告更新完毕开始阅读
验证新规则是否允许三层应用通信:打开浏览器并访问此应用,显示正在通过该 3 层应用获取数据,正常访问。
重启 PUTTY 与 WEB-SV-01A 的会话,在层之间执行 PING 测试,结果如下。
图:Ping操作
Ping 操作不被允许,并将失败,因为在上述规则中,不支持各层之间或层成员之间的 ICMP。
5.3.3 基于身份的防火墙规则
? 测试目的
验证可以通过使用 Active Directory 组创建规则,并借此控制用户对其他安全对象(如网络、IP 地址)和其他安全组的访问。
? 预期结果
符合AD身份认证的用户可以访问应用,反之则被屏蔽。 ? 测试步骤
创建将 NSX 链接到 Active Directory 所需的基于用户的规则。 通过NSX Manager中的域连接器配置并同步AD连接。
编辑“EXT TO WEB”规则,将新的域组“AD SALES”添加到“Ext to Web”规则的“Source”字段中,并发布变更。
测试用户身份规则:
24
打开域中另一个虚拟机的控制台,并以 Active Directory Sales 组成员的身份登录,来测试基于身份的新规则。
User:Sales1是Sales组的成员,User:NonSales不是该组的成员,分别用以上两个身份登录,尝试访问三层应用的结果如下。
用户nonsales不是AD-Sales Group的成员,因此会被禁止访问三层应用。 用户Sales1是AD-Sales组的成员,因此允许访问三层应用。 因此,基于身份的防火墙规则验证成功。
5.3.4 两种防火墙的统一管理
? 测试目的
验证NSX所提供的针对Edge服务网关防火墙和分布式防火墙的统一管理。 ? 预期结果
Edge服务网关防火墙和分布式防火墙可以通过一个规则条目进行访问控制。 ? 测试步骤
编辑 DFW 规则:将源设置为任意,并选择“阻止”操作。这将发送一个 TCP 重置以清除会话,阻止操作会放弃数据包而不作出响应,并将此规则应用到边界网关。添加新列“Rule-ID”,记住该规则的Rule-ID,例如:1008
已编辑的 DFW 规则表明 SSH 的“Any to Web-tier”现在为“阻止数据包”。此规则现在可应用于Edge外围网关以及DFW。
检查由于统一管理做出的Edge防火墙更改:查看边界网关的防火墙规则,这时,一条新规则已经以预规则的形式添加到Edge,规则标记与 DFW 中先前的数字相同:1008。
通过SSH登录到Edge,输入:show log follow以读取防火墙日志条目。 通过SSH登录到虚拟机WEB-SV-01A。 检查 Edge 日志是否受阻。
25
图:Edge日志受阻情况
这证明被置于DFW窗口中的规则可以同时被推送到 Edge。
26
6 NSX可用性验证 NSX可用性验证包括如下内容。
? 验证NSX 平台的高可用性,主动关闭其中一台控制器,查看网络是否仍可
运行
? Edge服务网关的可用性验证
? 等价多路径(ECMP)提供的高可用验证
6.1.1 NSX 控制器的可用性
? 测试目的
测试控制器的可用性。 ? 预期结果
一个节点的故障不会影响逻辑交换机或逻辑路由操作。 ? 测试步骤
检查 NSX Controller 节点,可以看到已经部署了三个控制器,NSX Controller 始终部署为奇数个数,以实现高可用性和可扩展性。
图:NSX控制器
27