网络地址转换 (NAT) 将一个 IP 地址空间映射到另一个 IP 地址空间。可以在 Tier-0 和 Tier-1 网关上配置 NAT。

下图显示了如何配置 NAT。

""

除了 NAT64 之外,还支持三种类型的 NAT。
注: 禁用网关防火墙会导致 NAT 规则丢弃流量。如果需要禁用网关防火墙,请包含一个“允许”规则:
目标 操作
任意 任意 允许
  • 源 NAT (SNAT) - 转换出站数据包的源 IP 地址,以便数据包显示为来自不同的网络。在以活动-备用模式运行的 Tier-0/Tier-1 网关上受支持。对于一对一 SNAT,SNAT 转换的 IP 地址不会在环回端口上进行编程,并且不存在以 SNAT 转换的 IP 作为前缀的转发条目。对于多对一 SNAT,SNAT 转换的 IP 地址将会在环回端口上进行编程,并且用户将看到以 SNAT 转换的 IP 地址作为前缀的转发条目。NSX-T SNAT 设计为应用于输出 NSX 环境的流量。
  • 目标 NAT (DNAT) - 转换入站数据包的目标 IP 地址,以便将数据包传送到其他网络中的目标地址。在以活动-备用模式运行的 Tier-0/Tier-1 网关上受支持。NSX-T DNAT 设计为应用于输入 NSX 环境的流量。
  • 反射 NAT -(有时称为无状态 NAT)转换通过路由设备传递的地址。入站数据包会进行目标地址重写,出站数据包会进行源地址重写。此类型不会保留会话,因为它是无状态的。在以活动-活动或活动-备用模式运行的 Tier-0 网关以及 Tier-1 网关上受支持。在活动-活动模式下不支持有状态 NAT。

还可以为 IP 地址或地址范围(非 SNAT/非 DNAT)禁用 SNAT 或 DNAT。如果某个地址具有多个 NAT 规则,将应用具有最高优先级的规则。

注: 如果在 NAT 规则中配置了服务接口, translated_port 将在 NSX Manager 上作为 destination_port 实现。这意味着该服务将成为转换的端口,而转换的端口将用作目标端口来匹配流量。如果未配置服务,则将忽略该端口。
如果要在 NSX 联合环境中从全局管理器创建 NAT 规则,可以为 NAT 选择站点特定的 IP 地址。请注意以下事项:
  • 如果要使用默认选项,即将 NAT 规则应用于所有位置,请不要单击应用对象下的设置
  • 应用对象下,单击设置,选择要应用规则的实体所在的位置,然后选择将 NAT 规则应用于所有实体
  • 应用对象下,单击设置,选择一个位置,然后从类别下拉菜单中选择接口。您可以选择要应用 NAT 规则的特定接口。
  • 配置了基于策略的 IPSec VPN 的 Tier-1 网关上不支持 DNAT。
  • 在 Tier-0 网关的外部接口上配置的 SNAT 将处理来自 Tier-1 网关以及 Tier-0 网关上其他外部接口的流量。
  • NAT 在 Tier-0/Tier-1 网关的上行链路上配置,用于处理通过此接口的流量。这意味着,将不会在连接到 Tier-0 的两个 Tier-1 网关之间应用 Tier-0 网关 NAT 规则。

NAT 支持列表

配置字段
类型 source-addr dest-addr translated-addr translated-port match-service
SNAT 可选 可选 必需 可选
DNAT 可选 必需 必需 可选 可选
NO_SNAT 必需 可选 可选
NO_DNAT 可选 必需 可选
REFLEXIVE 必需 必需
NAT64 可选 必需 必需 可选 可选
配置用例
类型 1:1 n:n n:m n:1 1:m
SNAT
DNAT * 可配置,但不受支持 * 可配置,但不受支持
NO_SNAT - - - - -
NO_DNAT - - - - -
REFLEXIVE
NAT64