您可以在 Tier-0 或 Tier-1 网关上为 IPv4 配置不同类型的 NAT。

注: 如果在此 NAT 规则中配置了服务,translated_port 将在 NSX Manager 上作为 destination_port 实现。这意味着该服务将成为转换的端口,而转换的端口将用作目标端口来匹配流量。如果未配置服务,则将忽略该端口。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 选择网络 > NAT
  3. 网关下拉菜单中选择一个网关。
  4. 视图旁边,选择 NAT
  5. 单击添加 NAT 规则
  6. 输入名称
  7. 选择操作。
    网关 可用操作
    Tier-1 网关 可用操作包括 SNATDNAT反射无 SNAT 以及无 DNAT
    活动-备用模式下的 Tier-0 网关 可用操作包括 SNATDNAT无 SNAT 以及无 DNAT
    活动-活动模式下的 Tier-0 网关 可用操作为反射
  8. 输入一个。如果将此文本框留空,NAT 规则将应用于本地子网外部的所有源。
    以 CIDR 格式指定一个 IP 地址或 IP 地址范围。对于 SNATNO_SNAT反射规则,这是必填字段,表示离开网络的数据包的源网络。
  9. (必选) 输入一个目标
    以 CIDR 格式指定一个 IP 地址或 IP 地址范围。对于 DNATNO_DNAT 规则,这是必填字段,表示离开网络的数据包的源网络。此字段不适用于 反射规则。
  10. 输入转换的 IP 的值。
    以 CIDR 格式指定一个 IPv4 地址或 IP 地址范围。对于 SNAT,如果转换的 IP 小于匹配 IP,它将作为 PAT 使用。
  11. 切换启用以启用该规则。
  12. 服务列中,单击设置以选择服务。
    如果在 NAT 规则中配置了服务接口, translated_port 将在 NSX Manager 上作为 destination_port 实现。这意味着该服务将成为转换的端口,而转换的端口将用作目标端口来匹配流量。如果未配置服务,则将忽略该端口。
  13. 输入转换的端口的值。
    如果在 NAT 规则中配置了服务接口, translated_port 将在 NSX Manager 上作为 destination_port 实现。这意味着该服务将成为转换的端口,而转换的端口将用作目标端口来匹配流量。如果未配置服务,则将忽略该端口。
  14. 对于应用对象,单击设置,然后选择应用此规则的对象。
    可用对象包括 Tier-0 网关接口标签服务实例端点虚拟端点
    注: 如果使用 NSX 联合 并从 全局管理器设备创建 NAT 规则,则可以为 NAT 选择特定于站点的 IP 地址。您可以将 NAT 规则应用于以下任何位置跨度:
    • 如果要使用默认选项,即将 NAT 规则应用于所有位置,请不要单击设置
    • 单击设置。在应用对象 | 新建规则对话框中,选择要应用规则的实体所在的位置,然后单击应用
    • 单击设置。在应用对象 | 新建规则对话框中,选择一个位置,然后从类别下拉菜单中选择接口。您可以选择要应用 NAT 规则的特定接口。
    • 单击设置。在应用对象 | 新建规则对话框中,选择一个位置,然后从类别下拉菜单中选择 VTI。可以选择要应用 NAT 规则的特定 VTI。
    有关更多详细信息,请参见 NSX 联合中支持的功能和配置
  15. (可选) 选择防火墙设置。
    可用的设置包括:
    • 匹配外部地址 - 防火墙将应用于 NAT 规则的外部地址。
      • 对于 SNAT,外部地址是执行 NAT 后转换的源地址。
      • 对于 DNAT,外部地址是执行 NAT 之前的原始目标地址。
      • 对于“反射”,针对输出流量,防火墙将在执行 NAT 之后应用于转换后的源地址。针对输入流量,防火墙将在执行 NAT 之前应用于原始目标地址。
    • 匹配内部地址 - 表示防火墙将应用于 NAT 规则的内部地址。
      • 对于 SNAT,内部地址是执行 NAT 之前的原始源地址。
      • 对于 DNAT,内部地址是执行 NAT 后转换的目标地址。
      • 对于“反射”,针对输出流量,防火墙将在执行 NAT 之前应用于原始源地址。针对输入流量,防火墙将在执行 NAT 之后应用于转换后的目标地址。
    • 绕过 - 数据包绕过防火墙规则。
  16. (可选) 切换日志记录按钮以启用日志记录。
  17. 指定优先级值。
    较低的值意味着更高的优先级。默认值为 0。 无 SNAT无 DNAT 规则的优先级应高于其他规则。
  18. (可选) 应用于基于策略的 VPN:仅适用于 DNAT无 DNAT 规则类别。将根据优先级值应用规则。尽管存在绕过匹配设置,但仍会采用应用于 NAT 策略的应用对象参数的设置。
    • 绕过:NAT 规则不会应用于已从基于策略的 IPSec VPN 隧道解密的流量。这是默认设置。
    • 匹配:如果流量已从基于策略的 IPSec VPN 隧道解密,则会评估并匹配 NAT 策略。如果流量未从基于策略的 IPSec VPN 隧道解密,则不会评估 NAT 策略。
    要使 NAT 策略命中解密的流量,必须将策略设置为 匹配,并且必须在 NAT 策略的 应用对象参数中设置发送/接收加密流量的接口。有关 应用对象参数的详细信息,请参见 网络地址转换 (NAT)
  19. 单击保存