您可以创建源 NAT (SNAT) 规则,以便将源 IP 地址从公用 IP 地址更改为专用 IP 地址,或者相反。您可以创建目标 NAT (DNAT) 规则,以便将目标 IP 地址从公用 IP 地址更改为专用 IP 地址,或者相反。
在创建 NAT 规则时,您可以使用以下格式指定原始和转换后的 IP 地址:
- IP 地址;例如,192.0.2.0
- IP 地址范围;例如,192.0.2.0-192.0.2.24
- IP 地址/子网掩码;例如,192.0.2.0/24
- any
在 VMware Cloud Director 环境中的 Edge 网关上配置 SNAT 或 DNAT 规则时,请始终从您组织虚拟数据中心的角度来配置此规则。SNAT 规则用于转换从一个组织虚拟数据中心网络发送到外部网络或其他组织虚拟数据中心网络的数据包的源 IP 地址。DNAT 规则用于转换某个组织虚拟数据中心网络中从外部网络或其他组织虚拟数据中心网络收到的数据包的 IP 地址,也可以选择转换其端口。
前提条件
过程
- 打开 Edge 网关服务。
- 在顶部导航栏中,单击网络,然后单击 Edge 网关。
- 选择要编辑的 Edge 网关,然后单击服务。
- 单击 NAT 以查看“NAT 规则”屏幕。
- 根据要创建的 NAT 规则类型,单击 DNAT 规则或 SNAT 规则。
- 配置目标 NAT 规则(入站)。
选项 描述 应用于 选择要应用规则的接口。 原始 IP/范围 键入所需的 IP 地址,或从列表中选择分配的 IP 地址。
此地址必须为您要为其配置 DNAT 规则的 Edge 网关的公用 IP 地址。在所检查的数据包中,此 IP 地址或范围将显示为此数据包的目标 IP 地址。这些数据包目标地址即为通过此 DNAT 规则转换的地址。
协议 选择要应用此规则的协议。要对所有协议应用此规则,请选择任何。 原始端口 (可选)选择入站流量为连接到连接虚拟机的内部网络而在 Edge 网关上使用的端口或端口范围。如果协议设置为 ICMP 或任何,则此选项不可用。 ICMP 类型 如果您对协议选择 ICMP(一种在设备之间传达错误信息的错误报告和诊断实用程序),请从下拉菜单中选择 ICMP 类型。 ICMP 消息可通过类型字段来识别。默认情况下,ICMP 类型设置为“任何”。
转换的 IP/范围 键入要将入站数据包上的目标地址转换到的 IP 地址或 IP 地址范围。 这些地址即为您要为其配置 DNAT 以使其可从外部网络接收流量的一个或多个虚拟机的 IP 地址。
转换的端口 (可选)选择入站流量要通过内部网络上的虚拟机连接到的端口或端口范围。这些端口即为 DNAT 规则要为虚拟机入站数据包转换到的端口。 源 IP 地址 如果您希望将规则仅应用于来自特定域的流量,请输入此域的 IP 地址或 CIDR 格式的 IP 地址范围。如果将此文本框留空,则 DNAT 规则将应用于本地子网中的所有 IP 地址。 源端口 (可选)输入源的端口号。 描述 (可选)为 DNAT 规则输入有意义的描述。 已启用 启用此选项可激活此规则。 启用日志记录 启用此选项可记录此规则执行的地址转换操作。 - 配置源 NAT 规则(出站)。
选项 描述 应用于 选择要应用规则的接口。 原始源 IP/范围 键入要应用于此规则的原始 IP 地址或 IP 地址范围,或从列表中选择分配的 IP 地址。 这些地址即为您要为其配置 SNAT 规则以使其可以向外部网络发送流量的一个或多个虚拟机的 IP 地址。
转换的源 IP/范围 键入所需 IP 地址。 此地址始终为您要为其配置 SNAT 规则的网关的公用 IP 地址。指定出站数据包上的源地址(虚拟机)在向外部网络发送流量时要转换到 IP 地址。
目标 IP 地址 (可选)如果您希望将规则仅应用到流向特定域的流量,请输入此域的 IP 地址或 CIDR 格式的 IP 地址范围。如果将此文本框留空,则 SNAT 规则将应用于本地子网外的所有目标。 目标端口 (可选)输入目标的端口号。 描述 (可选)为 SNAT 规则输入有意义的描述。 已启用 启用此选项可激活此规则。 启用日志记录 启用此选项可记录此规则执行的地址转换操作。 - 单击保留以将此规则添加到屏幕上的表中。
- 重复这些步骤以配置其他规则。
- 单击保存更改将规则保存到系统。
下一步做什么
为您刚刚配置的 SNAT 或 DNAT 规则添加相应的 Edge 网关防火墙规则。请参见在 VMware Cloud Director Tenant Portal 中添加 NSX Data Center for vSphere Edge 网关防火墙规则。