您可以在 NSX VPC 中添加具有 SNAT、DNAT 或 REFLEXIVE 操作的 NAT 规则。
在
NSX VPC 中配置 NAT 规则时,当前不支持以下功能:
- 目标端口
- 转换的端口
- 服务
- 无 SNAT 操作
- 无 DNAT 操作
用于在 NSX VPC 中添加 NAT 规则的工作流
- 从项目下拉菜单中选择一个项目。
- 单击 VPC 选项卡,然后单击 VPC。
- 展开 VPC 详细信息,然后在网络服务部分下,单击 NAT 旁边的计数。
- 单击添加 NAT 规则。
- 输入 NAT 规则的名称。
- 选择以下任一规则操作:
- DNAT
- SNAT
- 反射
- 根据在上一步中选择的操作,在必填字段中指定 IP 地址。
操作 必填字段 备注 DNAT 目标 IP 和转换的 IP 对于目标 IP 地址,当前仅支持单个 IPv4 地址。不支持 CIDR 块或逗号分隔的 IPv4 地址列表。
目标 IPv4 地址必须属于 NSX VPC 的外部 IPv4 块,并且必须可供分配。
SNAT 转换的 IP 对于转换的 IP 地址,当前仅支持单个 IPv4 地址。不支持 CIDR 块或逗号分隔的 IPv4 地址列表。
转换后的 IPv4 地址必须属于 NSX VPC 的外部 IPv4 块,并且必须可供分配。
反射 源 IP 和转换的 IP 对于转换的 IP 地址,当前仅支持单个 IPv4 地址。不支持 CIDR 块。
- 默认情况下,将停用规则日志记录。如果需要使用规则日志进行故障排除,请开启日志记录选项。
- 指定优先级值。较低的值意味着更高的优先级。默认值为 0。
- 从防火墙下拉菜单中,选择以下任一选项:
- 匹配内部地址:此选项是默认选择。这意味着 NSX VPC 中的南北向防火墙规则将应用于 NAT 规则的内部地址。
- 对于 SNAT,内部地址是执行 NAT 之前的原始源地址。
- 对于 DNAT,内部地址是执行 NAT 后转换的目标地址。
- 对于 REFLEXIVE 操作,针对输出流量,防火墙将在执行 NAT 之前应用于原始源地址。针对输入流量,防火墙将在执行 NAT 之后应用于转换后的目标地址。
- 匹配外部地址:这意味着 NSX VPC 中的南北向防火墙规则将应用于 NAT 规则的外部地址。
- 对于 SNAT,外部地址是执行 NAT 后转换的源地址。
- 对于 DNAT,外部地址是执行 NAT 之前的原始目标地址。
- 对于 REFLEXIVE 操作,针对输出流量,防火墙将在执行 NAT 之后应用于转换后的源地址。针对输入流量,防火墙将在执行 NAT 之前应用于原始目标地址。
- 绕过:这意味着数据包将绕过 NSX VPC 中的南北向防火墙规则。
- 匹配内部地址:此选项是默认选择。这意味着 NSX VPC 中的南北向防火墙规则将应用于 NAT 规则的内部地址。
- 单击保存。
