VMware Aria Operations for Networks 针对 NSX-V、NSX-T Edge、Fortinet 和 Check Point 支持静态 NAT (SNAT)、动态 NAT (DNAT)、流中的自反规则以及虚拟机-虚拟机路径。
VMware Aria Operations for Networks 中的 NAT 流支持如下所示:
- VMware Aria Operations for Networks 针对 NSX for vSphere 和 NSX-T 支持嵌套 NAT 层次结构,对于物理设备,VMware Aria Operations for Networks 仅针对 Fortinet 支持单一层次结构 (DNAT)。
- VMware Aria Operations for Networks 支持具有 NAT 定义的上行链路的 Edge 和层路由器。
注: 不支持 NSX Edge 版本 5.5 或早期版本上的 NAT 规则。
- VMware Aria Operations for Networks 支持带有范围的 SNAT 规则。但是,对于 DNAT,目标 IP 地址和转换后的 IP 地址之间必须是一对一映射(等同于 NSX for vSphere)。
- 对于 Check Point,无论是网络、网络组或地址范围作为源和目标,均支持自动或手动生成的 NAT 规则。
查询
要查看 NAT 规则,请使用以下查询:
- 要查看 NSX-T 中的所有 NAT 规则,请使用
NSX-T Edge NAT Rule
查询。 - 要查看 NSX-V 中的所有 NAT 规则,请使用 Edge NAT Rules 查询。
- 要查看 Fortinet 中的所有 NAT 规则,请使用 Fortinet NAT Rule 查询。
- 要查看 Check Point 中的所有 NAT 规则,请使用 Check Point NAT Rule 查询。
- 要查看所有 NAT 规则,请使用 NAT Rule 查询。
注意事项
- VMware Aria Operations for Networks 不支持以下用例:
- 在 NSX-T 中,可以在服务级别上应用 NAT 规则。例如,在 NSX-T 中,L4 端口集是一种服务类型,关联的协议可以是 TCP 或 UDP。因此,在虚拟机-虚拟机路径中,不支持服务级别详细信息。
- 不支持任何端口级别转换。
- 不支持 SNAT 匹配目标地址和 DNAT 匹配源地址。指定 SNAT 规则时,使用 SNAT 匹配目标地址作为目标 IP 地址。指定 DNAT 规则时,使用 DNAT 匹配源地址作为源 IP 地址。例如,如果存在 SNAT 规则中提及的目标 IP 地址,则 VMware Aria Operations for Networks 会应用 SNAT 规则,而不考虑数据包是否将目标地址作为目标 IP 地址。
- 在同一逻辑路由器上使用 NAT 服务启用时,NSX-T Edge 防火墙对数据路径有影响。如果流与 NAT 和 Edge 防火墙都匹配,则 NAT 查找结果优先于防火墙。因此防火墙不应用于该流。如果流仅与防火墙规则匹配,则该流接受防火墙查找结果。
- 不支持服务转换。
- 不支持 vSEC NAT。