发布时间 : 星期一 文章VMWare NSX POC测试报告更新完毕开始阅读
如上图所示,运行在同一个主机上的虚拟机的路由发生在内核中,流量并不会离开该主机。
5.2.2 配置并启用动态路由
在上面拓扑中,应用和数据库层连接到同一个路由器,而 Web 层则连接到外围边缘路由器。这两个路由器现在必须通过动态路由协议彼此通信,本测试将同时在两个路由器上启用 OSPF。
? 测试目的
验证分布式路由器上的动态路由功能,能够在逻辑空间中重现复杂的物理网络拓扑。
? 预期结果
在分布式路由器上成功启用OSPF,三层WEB应用可以正常运行。 ? 测试步骤
在目前的拓扑中,应用的 Web 层连接到一个路由器,而其他两层则连接到另一个路由器。因此,除非在两个路由器上都启用了动态路由,否则应用访问会失败。
测试 3 层应用的访问是否会失败,预期结果为访问失败。
在分布式路由上启用OSPF,发布变更将更新的配置推送到分布式边缘设备上,并确认已经在分布式边缘上启用和配置了 OSPF 路由。
在外围边界网关Edge上配置并启用OSPF路由和路由重新分发,最后发布变更。 再次刷新浏览器来验证 3 层 Web 应用是否正常运行,一旦两个路由器之间发生 OSPF 对等互连(如下图所示),Web 层虚拟机就能够访问跨分布式路由器连接的应用层虚拟机。
20
图:动态路由OSPF
测试结果应为WEB应用可以正常运行。
5.2.3 动态路由通告和控制
? 测试目的
验证如何在整个系统中控制、更新和传播 OSPF 动态路由。 ? 预期结果
OSPF动态路由可以在系统中更新和传播。 ? 测试步骤
首先测试OSPF 路由过程成功启动并在两个边缘设备之间形成了相邻关系。使用 SSH 连接到边界路由器设备并输入show ip ospf neighbor 来显示分布式边缘设备的 OSPF 相邻状态。
图:边缘设备的OSPF相邻状态
21
上图显示了与边界路由有路由关系的路由器(分布式逻辑路由器)的“Neighbor ID”,任何相关联的计时器以及 OSPF 相邻过程的状态。
至此,这一过程已经完成,“State”指示为“Full”则意味着 OSPF 过程完成,路由更新也已完成。
在命令提示符处输入命令how ip route 以显示路由表,可以看到边缘设备的整个路由表,包括该设备从 OSPF 邻居那里获知的路由。
图:边缘设备的路由表
该表显示,上述两个子网已经成功连接到分布式边缘设备,并且通过 OSPF 正确配置了从外围边缘设备(Edge)到分布式边缘设备的路由。
5.3 分布式防火墙
本部分将验证分布式防火墙如何帮助保护 3 层应用,以及如何根据安全组和身份而非基于 IP 地址的规则创建防火墙规则。基于 IP 地址的规则对移动虚拟机具有硬性限制,因此降低了使用资源池的灵活性。
NSX分布式防火墙测试包括如下内容。 ? 修改防火墙默认规则 ? 基于安全组的防火墙规则 ? 基于身份的防火墙规则
? 分布式防火墙与Edge防火墙的统一管理
5.3.1 修改防火墙默认规则
? 测试目的
22
验证分布式防火墙可以根据规则完成相关访问控制。 ? 预期结果
修改防火墙规则为“阻止”后,相应的网络访问均被屏蔽。 ? 测试步骤
执行从 WEB-SV-01A 到其他 3 层成员的 PING 操作并使用 WEB 浏览器演示 3 层应用,此刻将获得从 Web 层传递到 app-sv-01a 虚拟机并最终查询 db-sv-01a 虚拟机后返回的数据。
将默认防火墙策略从“允许”改为“阻止”,然后发布变更。 验证规则变更阻止了通信:
? Putty:打开 PuTTY 时将显示它不再处于活动状态,因为默认规则现在阻止
包括 SSH 在内的一切内容。
? Web 浏览器:通过浏览器访问Web应用,会收到一条“SSL connection
error”(SSL 连接错误)消息。
5.3.2 基于安全组的防火墙规则
? 测试目的
验证可以通过创建安全组与访问规则实现访问控制。 ? 预期结果
通过创建基于安全组的防火墙规则,可以实现三层应用间的通信。 ? 测试步骤
创建一个分配有两个虚拟机的名为 Web-tier 的安全组。接下来将添加新的规则以允许访问 Web 虚拟机,然后在各层间设置访问权限,步骤如下。
为三层应用添加新规则Section(“3-tier App”)并为该Section添加三条规则。 第一个规则为“Ext to Web”,在“目标”中,将“Web-tier”添加至该规则的安全组,将HTTPS和SSH添加至该规则的Service。
添加第二条规则“Web to App”,以允许 Web 安全组通过 App 端口访问 App 安全组,选择Web-tier 安全组作为源字段。
重复上述步骤创建第三条规则,用于允许在应用层和数据库层之间进行访问。
23