VMware Aria Operations for Networks unterstützt statisches NAT (SNAT), dynamisches NAT (DNAT), reflexive Regeln in den Flows und den VM-VM-Pfad für NSX-V, NSX-T-Edges, Fortinet und Check Point.
Die NAT-Flow-Unterstützung in
VMware Aria Operations for Networks ist wie folgt:
- VMware Aria Operations for Networks unterstützt die verschachtelte NAT-Hierarchie für NSX for vSphere und NSX-T und für physische Geräte, VMware Aria Operations for Networks unterstützt die einzelne Hierarchie (DNAT) nur für Fortinet.
- VMware Aria Operations for Networks unterstützt die Edges und die Ebenenrouter mit NAT-definierten Uplinks.
Hinweis: Die NAT-Regeln auf der NSX Edge Version 5.5 oder den vorherigen Versionen werden nicht unterstützt.
- VMware Aria Operations for Networks unterstützt SNAT-Regeln mit Bereich. DNAT muss jedoch eine 1:1-Zuordnung zwischen den Ziel- und den übersetzten IP-Adressen (Parität mit NSX for vSphere) sein.
- Für Check Point werden sowohl automatisch als auch manuell generierte NAT-Regeln sowohl für die Quelle als auch für das Ziel als Netzwerk, Netzwerkgruppe oder Adressbereich unterstützt.
Abfragen
Verwenden Sie die folgenden Abfragen, um NAT-Regeln anzuzeigen:
- Um alle NAT-Regeln in NSX-T anzuzeigen, verwenden Sie die Abfrage
NSX-T Edge NAT Rule
. - Um alle NAT-Regeln in NSX-V anzuzeigen, verwenden Sie die Abfrage Edge NAT Rules.
- Um alle NAT-Regeln in Fortinet anzuzeigen, verwenden Sie die Abfrage Fortinet NAT Rule.
- Um alle NAT-Regeln in Check Point anzuzeigen, verwenden Sie die Abfrage Check Point NAT Rule.
- Um alle NAT-Regeln anzuzeigen, verwenden Sie die Abfrage NAT Rule.
Überlegung
- VMware Aria Operations for Networks unterstützt die folgenden Anwendungsfälle nicht:
- In NSX-T können NAT-Regeln auf Dienstebene angewendet werden. Beispielsweise ist in NSX-T der L4-Port-Satz ein Diensttyp und die zugehörigen Protokolle können TCP oder UDP sein. Folglich werden die Details der Dienstebene im VM-VM-Pfad nicht unterstützt.
- Jede Übersetzung auf Portebene wird nicht unterstützt.
- Die Zieladresse der SNAT-Übereinstimmung und die Quelladresse der DNAT-Übereinstimmung werden nicht unterstützt. Verwenden Sie die Zieladresse der SNAT-Übereinstimmung als Ziel-IP-Adresse, wenn Sie die SNAT-Regel festlegen. Verwenden Sie die Quelladresse der DNAT-Übereinstimmung als Quell-IP-Adresse, wenn Sie die DNAT-Regel angeben. Wenn beispielsweise eine in der SNAT-Regel erwähnte Ziel-IP-Adresse vorhanden ist, wendet VMware Aria Operations for Networks die SNAT-Regel an, unabhängig davon, ob das Paket die Zieladresse als Ziel-IP-Adresse aufweist.
- Die NSX-T Edge-Firewall hat Auswirkungen auf den Datenpfad, wenn sie mit dem NAT-Dienst auf demselben logischen Router aktiviert ist. Wenn ein Flow sowohl mit der NAT- als auch der Edge-Firewall übereinstimmt, hat das NAT-Lookup-Ergebnis Vorrang vor der Firewall. Daher wird die Firewall nicht auf diesen Flow angewendet. Wenn der Flow nur mit einer Firewallregel übereinstimmt, wird das Ergebnis der Firewallsuche für diesen Flow berücksichtigt.
- Dienstübersetzung wird nicht unterstützt.
- vSEC NAT wird nicht unterstützt.