网络地址转换 (NAT) 将一个 IP 地址空间映射到另一个 IP 地址空间。可以在 Tier-0 和 Tier-1 网关上配置 NAT。
下图显示了如何配置 NAT。
除了 NAT64 之外,还支持三种类型的 NAT。
注: 禁用网关防火墙会导致 NAT 规则丢弃流量。如果需要禁用网关防火墙,请包含一个“允许”规则:
| 源 | 目标 | 操作 |
| 任意 | 任意 | 允许 |
- 源 NAT (SNAT) - 转换出站数据包的源 IP 地址,以便数据包显示为来自不同的网络。在以活动-备用模式运行的 Tier-0/Tier-1 网关上受支持。对于一对一 SNAT,SNAT 转换的 IP 地址不会在环回端口上进行编程,并且不存在以 SNAT 转换的 IP 作为前缀的转发条目。对于多对一 SNAT,SNAT 转换的 IP 地址将会在环回端口上进行编程,并且用户将看到以 SNAT 转换的 IP 地址作为前缀的转发条目。NSX-T SNAT 设计为应用于输出 NSX 环境的流量。
- 目标 NAT (DNAT) - 转换入站数据包的目标 IP 地址,以便将数据包传送到其他网络中的目标地址。在以活动-备用模式运行的 Tier-0/Tier-1 网关上受支持。NSX-T DNAT 设计为应用于输入 NSX 环境的流量。
- 反射 NAT -(有时称为无状态 NAT)转换通过路由设备传递的地址。入站数据包会进行目标地址重写,出站数据包会进行源地址重写。此类型不会保留会话,因为它是无状态的。在以活动-活动或活动-备用模式运行的 Tier-0 网关以及 Tier-1 网关上受支持。在活动-活动模式下不支持有状态 NAT。
还可以为 IP 地址或地址范围(非 SNAT/非 DNAT)禁用 SNAT 或 DNAT。如果某个地址具有多个 NAT 规则,将应用具有最高优先级的规则。
注: 如果在 NAT 规则中配置了服务接口,
translated_port 将在 NSX Manager 上作为
destination_port 实现。这意味着该服务将成为转换的端口,而转换的端口将用作目标端口来匹配流量。如果未配置服务,则将忽略该端口。
如果要在 NSX 联合环境中从全局管理器创建 NAT 规则,可以为 NAT 选择站点特定的 IP 地址。请注意以下事项:
- 如果要使用默认选项,即将 NAT 规则应用于所有位置,请不要单击应用对象下的设置。
- 在应用对象下,单击设置,选择要应用规则的实体所在的位置,然后选择将 NAT 规则应用于所有实体。
- 在应用对象下,单击设置,选择一个位置,然后从类别下拉菜单中选择接口。您可以选择要应用 NAT 规则的特定接口。
- 配置了基于策略的 IPSec VPN 的 Tier-1 网关上不支持 DNAT。
- 在 Tier-0 网关的外部接口上配置的 SNAT 将处理来自 Tier-1 网关以及 Tier-0 网关上其他外部接口的流量。
- NAT 在 Tier-0/Tier-1 网关的上行链路上配置,用于处理通过此接口的流量。这意味着,将不会在连接到 Tier-0 的两个 Tier-1 网关之间应用 Tier-0 网关 NAT 规则。
NAT 支持列表
配置字段
| 类型 | source-addr | dest-addr | translated-addr | translated-port | match-service |
|---|---|---|---|---|---|
| SNAT | 可选 | 可选 | 必需 | 否 | 可选 |
| DNAT | 可选 | 必需 | 必需 | 可选 | 可选 |
| NO_SNAT | 必需 | 可选 | 否 | 否 | 可选 |
| NO_DNAT | 可选 | 必需 | 否 | 否 | 可选 |
| REFLEXIVE | 必需 | 否 | 必需 | 否 | 否 |
| NAT64 | 可选 | 必需 | 必需 | 可选 | 可选 |
配置用例
| 类型 | 1:1 | n:n | n:m | n:1 | 1:m |
|---|---|---|---|---|---|
| SNAT | 是 | 是 | 是 | 是 | 否 |
| DNAT | 是 | 是 | * 可配置,但不受支持 | 是 | * 可配置,但不受支持 |
| NO_SNAT | - | - | - | - | - |
| NO_DNAT | - | - | - | - | - |
| REFLEXIVE | 是 | 是 | 否 | 否 | 否 |
| NAT64 | 是 | 是 | 否 | 是 | 否 |
