您可以在 Tier-0 或 Tier-1 网关上配置 NAT 和 NAT64 规则。

NAT64 是将 IPv6 数据包转换为 IPv4 数据包(以及执行反向转换)的机制。NAT64 允许仅支持 IPv6 的客户端使用单播 UDP 或 TCP 连接 IPv4 服务器。NAT64 只允许仅支持 IPv6 的客户端启动与仅支持 IPv4 的服务器的通信。为执行 IPv6 与 IPv4 之间的转换,将会保存绑定和会话信息。NAT64 是有状态的。
  • 仅通过 NSX-T Edge 上行链路流入覆盖网络中的 IPv4 服务器的外部 IPv6 流量支持 NAT64。
  • NAT64 支持 TCP 和 UDP,且将丢弃所有其他协议类型的数据包。NAT64 不支持 ICMP、分片化和具有扩展标头的 IPv6 数据包。
注:

在同一 Edge 节点上配置 NAT64 规则和内嵌负载均衡器时,不支持使用 NAT64 规则将 IPv6 数据包定向到 IPv4 内嵌负载均衡器。

对于 NAT,支持源 NAT (SNAT)、目标 NAT (DNAT) 或反射 NAT。如果 Tier-0 网关在主动-主动模式下运行,则无法配置 SNAT 或 DNAT,因为不对称的路径可能会导致出现问题。只能配置反射 NAT(有时称为无状态 NAT)。如果 Tier-0 网关在活动-备用模式下运行,则可以配置 SNAT、DNAT 或反射 NAT。

还可以为 IP 地址或地址范围禁用 SNAT 或 DNAT。如果某个地址具有多个 NAT 规则,将应用具有最高优先级的规则。

注: 配置了基于策略的 IPSec VPN 的 Tier-1 网关上不支持 DNAT。

在 Tier-0 网关的外部接口上配置的 SNAT 将处理来自 Tier-1 网关以及 Tier-0 网关上其他外部接口的流量。

过程

  1. 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 选择网络 > NAT
  3. 选择网关。
  4. 视图旁边,选择 NATNAT64
  5. 单击添加 NAT 规则添加 NAT64 规则
  6. 输入名称
  7. 如果要配置 NAT,请选择操作。对于 NAT64,操作为“NAT64”。
    NAT 选项 说明
    Tier-1 网关 可用操作包括 SNATDNAT反射无 SNAT 以及无 DNAT
    活动-备用模式下的 Tier-0 网关 可用操作包括 SNATDNAT无 SNAT 以及无 DNAT
    活动-活动模式下的 Tier-0 网关 可用操作为反射
  8. 输入一个。如果将此文本框留空,NAT 规则将应用于本地子网外部的所有源。
    选项 说明
    NAT 以 CIDR 格式指定一个 IP 地址或 IP 地址范围。对于 SNAT、NO_SNAT 和反射规则,这是必填文本框,表示离开网络的数据包的源网络。
    NAT64 输入一个 IPv6 地址或 IPv6 CIDR。
  9. (必选) 输入一个目标
    选项 说明
    NAT 以 CIDR 格式指定一个 IP 地址或 IP 地址范围。
    NAT64 以 CIDR 格式输入一个带有前缀 /96 的 IPv6 地址或 IPv6 地址范围。之所以支持前缀 /96,是因为目标 IPv4 IP 作为最后 4 个字节嵌入在 IPv6 地址中。
  10. 输入转换的 IP 的值。
    选项 说明
    NAT 以 CIDR 格式指定一个 IPv4 地址或 IP 地址范围。
    NAT64 指定一个 IPv4 地址、以逗号分隔的 IPv4 地址列表或 IPv4 地址范围。不支持 IPv4 CIDR。
  11. 切换启用以启用该规则。
  12. 服务列中,单击设置以选择服务。有关详细信息,请参见添加服务。对于 NAT64,请选择一个预定义的服务或者使用 TCP 或 UDP 创建一个用户定义的服务,并将源/目标端口设为任意或特定端口。
  13. 对于应用对象,单击设置,然后选择应用此规则的对象。
    可用对象包括 Tier-0 网关接口标签服务实例端点虚拟端点
    注: 如果使用 联合 并从 全局管理器设备创建 NAT 规则,则可以为 NAT 选择特定于站点的 IP 地址。您可以将 NAT 规则应用于以下任何位置跨度:
    • 如果要使用默认选项,即将 NAT 规则应用于所有位置,请不要单击设置
    • 单击设置。在应用对象对话框中,选择要应用规则的实体所在的位置,然后选择将 NAT 规则应用于所有实体
    • 单击设置。在应用对象对话框中,选择一个位置,然后从类别下拉菜单中选择接口。您可以选择要应用 NAT 规则的特定接口。
    有关更多详细信息,请参见 联合中支持的功能和配置
  14. 输入转换的端口的值。
  15. 选择防火墙设置。
    选项 说明
    NAT 可用设置包括:
    • 匹配外部地址 - 通过与转换的 IP 地址和转换的端口组合相匹配的防火墙规则处理数据包。
    • 匹配内部地址 - 通过与原始 IP 地址和原始端口的组合相匹配的防火墙规则处理数据包。
    • 绕过 - 数据包绕过防火墙规则。
    NAT64 可用设置为绕过 - 数据包绕过防火墙规则。
  16. (可选) 切换日志记录按钮以启用日志记录。
  17. 指定优先级值。
    较低的值意味着更高的优先级。默认值为 0。
  18. 单击保存