您可以在 Tier-0 或 Tier-1 网关上配置 NAT 和 NAT64 规则。
注:
如果在此 NAT 规则中配置了服务,translated_port 将在 NSX Manager 上作为 destination_port 实现。这意味着该服务将成为转换的端口,而转换的端口将用作目标端口来匹配流量。如果未配置服务,则将忽略该端口。
过程
- 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
- 选择网络 > NAT。
- 选择网关。
- 在视图旁边,选择 NAT 或 NAT64。
- 单击添加 NAT 规则或添加 NAT64 规则。
- 输入名称。
- 如果要配置 NAT,请选择操作。对于 NAT64,操作为“NAT64”。
NAT 选项 说明 Tier-1 网关 可用操作包括 SNAT、DNAT、反射、无 SNAT 以及无 DNAT。 活动-备用模式下的 Tier-0 网关 可用操作包括 SNAT、DNAT、无 SNAT 以及无 DNAT。 活动-活动模式下的 Tier-0 网关 可用操作为反射。 - 输入一个源。如果将此文本框留空,NAT 规则将应用于本地子网外部的所有源。
选项 说明 NAT 以 CIDR 格式指定一个 IP 地址或 IP 地址范围。对于 SNAT、NO_SNAT 和反射规则,这是必填文本框,表示离开网络的数据包的源网络。 NAT64 输入一个 IPv6 地址或 IPv6 CIDR。 - (必选) 输入一个目标。
选项 说明 NAT 以 CIDR 格式指定一个 IP 地址或 IP 地址范围。 NAT64 以 CIDR 格式输入一个带有前缀 /96 的 IPv6 地址或 IPv6 地址范围。之所以支持前缀 /96,是因为目标 IPv4 IP 作为最后 4 个字节嵌入在 IPv6 地址中。 - 输入转换的 IP 的值。
选项 说明 NAT 以 CIDR 格式指定一个 IPv4 地址或 IP 地址范围。 NAT64 指定一个 IPv4 地址、以逗号分隔的 IPv4 地址列表或 IPv4 地址范围。不支持 IPv4 CIDR。 - 切换启用以启用该规则。
- 在服务列中,单击设置以选择服务。有关详细信息,请参见添加服务。对于 NAT64,请选择一个预定义的服务或者使用 TCP 或 UDP 创建一个用户定义的服务,并将源/目标端口设为任意或特定端口。
- 对于应用对象,单击设置,然后选择应用此规则的对象。
可用对象包括 Tier-0 网关、 接口、 标签、 服务实例端点和 虚拟端点。注: 如果使用 NSX 联合 并从 全局管理器设备创建 NAT 规则,则可以为 NAT 选择特定于站点的 IP 地址。您可以将 NAT 规则应用于以下任何位置跨度:
- 如果要使用默认选项,即将 NAT 规则应用于所有位置,请不要单击设置。
- 单击设置。在应用对象对话框中,选择要应用规则的实体所在的位置,然后选择将 NAT 规则应用于所有实体。
- 单击设置。在应用对象对话框中,选择一个位置,然后从类别下拉菜单中选择接口。您可以选择要应用 NAT 规则的特定接口。
- 输入转换的端口的值。
- 选择防火墙设置。
选项 说明 NAT 可用设置包括: - 匹配外部地址 - 通过与转换的 IP 地址和转换的端口组合相匹配的防火墙规则处理数据包。
- 对于 SNAT,外部地址是执行 NAT 后转换的源地址。
- 对于 DNAT,外部地址是执行 NAT 之前的原始目标地址。
- 对于“反射”,针对输出流量,防火墙将在执行 NAT 之后应用于转换后的源地址。针对输入流量,防火墙将在执行 NAT 之前应用于原始目标地址。
- 匹配内部地址 - 通过与原始 IP 地址和原始端口的组合相匹配的防火墙规则处理数据包。
- 对于 SNAT,内部地址是执行 NAT 之前的原始源地址。
- 对于 DNAT,内部地址是执行 NAT 后转换的目标地址。
- 对于“反射”,针对输出流量,防火墙将在执行 NAT 之前应用于原始源地址。针对输入流量,防火墙将在执行 NAT 之后应用于转换后的目标地址。
- 绕过 - 数据包绕过防火墙规则。
NAT64 可用设置为绕过 - 数据包绕过防火墙规则。 - 匹配外部地址 - 通过与转换的 IP 地址和转换的端口组合相匹配的防火墙规则处理数据包。
- (可选) 切换日志记录按钮以启用日志记录。
- 指定优先级值。
较低的值意味着更高的优先级。默认值为 0。
- 单击保存。
