网络地址转换 (NAT) 将一个 IP 地址空间映射到另一个 IP 地址空间。可以在 Tier-0 和 Tier-1 网关上配置 NAT。
除了 NAT64 之外,还支持以下类型的 NAT:
- 源 NAT (SNAT) - 转换出站数据包的源 IP 地址,以便数据包显示为来自不同的网络。在以活动-备用模式运行的 Tier-0/Tier-1 网关上受支持。对于一对一 SNAT,SNAT 转换的 IP 地址不会在环回端口上进行编程,并且不存在以 SNAT 转换的 IP 作为前缀的转发条目。对于多对一 SNAT,SNAT 转换的 IP 地址将会在环回端口上进行编程,并且用户将看到以 SNAT 转换的 IP 地址作为前缀的转发条目。
- 目标 NAT (DNAT) - 转换入站数据包的目标 IP 地址,以便将数据包传送到其他网络中的目标地址。在以活动-备用模式运行的 Tier-0/Tier-1 网关上受支持。
- 反射 NAT -(有时称为无状态 NAT)转换通过路由设备传递的地址。入站数据包会进行目标地址重写,出站数据包会进行源地址重写。此类型不会保留会话,因为它是无状态的。在以活动-活动模式运行的 Tier-0 网关上受支持。在活动-活动模式下不支持有状态 NAT。
还可以为 IP 地址或地址范围禁用 SNAT 或 DNAT。如果某个地址具有多个 NAT 规则,将应用具有最高优先级的规则。
注: 配置了基于策略的 IPSec VPN 的 Tier-1 网关上不支持 DNAT。
在 Tier-0 网关的外部接口上配置的 SNAT 将处理来自 Tier-1 网关以及 Tier-0 网关上其他外部接口的流量。
注: NAT 在 Tier-0/Tier-1 网关的上行链路上配置,用于处理通过此接口的流量。这意味着,将不会在连接到 Tier-0 的两个 Tier-1 网关之间应用 Tier-0 网关 NAT 规则。
NAT64 是将 IPv6 数据包转换为 IPv4 数据包(以及执行反向转换)的机制。NAT64 允许仅支持 IPv6 的客户端使用单播 UDP 或 TCP 连接 IPv4 服务器。NAT64 只允许仅支持 IPv6 的客户端启动与仅支持 IPv4 的服务器的通信。为执行 IPv6 与 IPv4 之间的转换,将会保存绑定和会话信息。NAT64 是有状态的。
- 仅通过 NSX-T Edge 上行链路流入覆盖网络中的 IPv4 服务器的外部 IPv6 流量支持 NAT64。
- NAT64 支持 TCP 和 UDP,且将丢弃所有其他协议类型的数据包。NAT64 不支持 ICMP、分片化和具有扩展标头的 IPv6 数据包。
注: 在同一 Edge 节点上配置 NAT64 规则和内嵌负载均衡器时,不支持使用 NAT64 规则将 IPv6 数据包定向到 IPv4 内嵌负载均衡器。