Sie können eine Quell-NAT- bzw. SNAT-Regel erstellen, um die Quell-IP-Adresse von einer öffentlichen in eine private IP-Adresse zu ändern oder umgekehrt. Sie können eine Ziel-NAT- bzw. DNAT-Regel erstellen, um die Ziel-IP-Adresse von einer öffentlichen in eine private IP-Adresse zu ändern oder umgekehrt.

Beim Erstellen von NAT-Regeln können Sie die ursprünglichen und übersetzten IP-Adressen mit den folgenden Formaten angeben:

  • IP-Adresse – Beispiel: 192.0.2.0
  • IP-Adressbereich – Beispiel: 192.0.2.0-192.0.2.24
  • IP-Adresse/-Subnetzmaske – Beispiel: 192.0.2.0/24
  • any

Bei der Konfiguration einer SNAT- oder DNAT-Regel auf einem Edge-Gateway in der VMware Cloud Director-Umgebung konfigurieren Sie die Regel immer aus der Perspektive des virtuellen Datencenters Ihrer Organisation. Eine SNAT-Regel übersetzt die IP-Quelladresse von Paketen, die von einem VDC-Organisationsnetzwerk an ein externes Netzwerk oder an ein anderes VDC-Organisationsnetzwerk gesendet werden. Eine DNAT-Regel übersetzt die IP-Adresse und optional den Port von Paketen, die von einem VDC-Organisationsnetzwerk empfangen werden und aus einem externen Netzwerk oder einem anderen VDC-Organisationsnetzwerk stammen.

Voraussetzungen

Die öffentliche IP-Adresse muss bereits der NSX Data Center for vSphere-Edge-Gateway-Schnittstelle, für die Sie die Regel hinzufügen möchten, hinzugefügt worden sein. Für DNAT-Regeln muss der Edge-Gateway-Schnittstelle die ursprüngliche (öffentliche) IP-Adresse hinzugefügt worden sein, für SNAT-Regeln die übersetzte (öffentliche) IP-Adresse.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Klicken Sie auf NAT, um den Bildschirm „NAT-Regeln“ anzuzeigen.
  3. Klicken Sie je nach dem Typ der zu erstellenden NAT-Regel auf DNAT-Regel oder SNAT-Regel.
  4. Konfigurieren Sie eine NAT-Zielregel (von außen nach innen).
    Option Beschreibung
    Angewendet auf Wählen Sie die Schnittstelle aus, auf die die Regel angewendet werden soll.
    Ursprüngliche(r) IP/Bereich

    Geben Sie die erforderliche IP-Adresse ein oder wählen Sie die zugeteilte IP-Adresse aus der Liste aus.

    Bei dieser Adresse muss es sich um die öffentliche IP-Adresse des Edge-Gateways handeln, für das Sie die DNAT-Regel konfigurieren. Im untersuchten Paket würde diese IP-Adresse oder dieser Bereich die Adressen umfassen, die als IP-Zieladresse des Pakets angezeigt werden. Bei diesen Paket-Zieladressen handelt es sich um die Adressen, die von dieser DNAT-Regel übersetzt werden.

    Protokoll Wählen Sie das Protokoll aus, auf das die Regel angewendet wird. Wenn die Regel für alle Protokolle gelten soll, wählen Sie Alle aus.
    Ursprünglicher Port (Optional) Wählen Sie den Port oder Portbereich aus, über den der eingehende Datenverkehr auf dem Edge-Gateway eine Verbindung zum internen Netzwerk herstellt, in dem die virtuellen Maschinen verbunden sind. Diese Auswahl ist nicht verfügbar, wenn Protokoll auf ICMP oder Alle festgelegt ist.
    ICMP-Typ Wenn Sie ICMP (ein Fehlerberichts- und Diagnose-Dienstprogramm für die geräteübergreifende Kommunikation von Fehlerinformationen) als Protokoll auswählen, wählen Sie im Dropdown-Menü die Option ICMP-Typ aus.

    ICMP-Meldungen werden anhand des Feldtyps identifiziert. Der ICMP-Typ ist standardmäßig auf „Alle“ festgelegt.

    Übersetzte(r) IP/Bereich Geben Sie die IP-Adresse oder einen Bereich von IP-Adressen ein, in die Zieladressen in eingehenden Paketen übersetzt werden.

    Bei diesen Adressen handelt es sich um die IP-Adressen der virtuellen Maschine(n), für die Sie DNAT konfigurieren, sodass sie Datenverkehr aus dem externen Netzwerk empfangen können.

    Übersetzter Port (Optional) Wählen Sie den Port oder Portbereich aus, zu dem eingehender Datenverkehr auf den virtuellen Maschinen im internen Netzwerk eine Verbindung herstellt. Dies sind die Ports, in die die DNAT-Regel die Übersetzung für die auf den virtuellen Maschinen eingehenden Pakete vornimmt.
    Quell-IP-Adresse Wenn Sie möchten, dass die Regel nur für den Datenverkehr zu einer bestimmten Domäne angewendet wird, geben Sie eine IP-Adresse für diese Domäne oder einen IP-Adressbereich im CIDR-Format ein. Wenn Sie dieses Textfeld leer lassen, gilt die DNAT-Regel für alle IP-Adressen innerhalb des lokalen Subnetzes.
    Quellport (Optional) Geben Sie eine Portnummer für die Quelle ein.
    Beschreibung (Optional) Geben Sie eine aussagekräftige Beschreibung für die DNAT-Regel ein.
    Aktiviert Aktivieren Sie diese Option, um diese Regel zu aktivieren.
    Protokollierung aktivieren Aktivieren Sie diese Option, damit die Adressübersetzung dieser Regel protokolliert wird.
  5. Konfigurieren Sie eine NAT-Quellregel (von innen nach außen).
    Option Beschreibung
    Angewendet auf Wählen Sie die Schnittstelle aus, auf die die Regel angewendet werden soll.
    Ursprüngliche(r) Quell-IP/Quellbereich Geben Sie die ursprüngliche IP-Adresse oder den Bereich von IP-Adressen ein, der auf diese Regel angewendet werden soll, oder wählen Sie die zugewiesene IP-Adresse aus der Liste aus.

    Bei diesen Adressen handelt es sich um die IP-Adressen der virtuellen Maschinen, für die Sie die SNAT-Regel konfigurieren, damit diese Datenverkehr an das externe Netzwerk senden können.

    Übersetzte(r) Quell-IP/Quellbereich Geben Sie die erforderliche IP-Adresse ein.

    Bei dieser Adresse handelt es sich immer um die öffentliche IP-Adresse des Gateways, für das Sie die SNAT-Regel konfigurieren. Gibt die IP-Adresse an, in die Quelladressen (die virtuellen Maschinen) in ausgehenden Paketen übersetzt werden, wenn sie Datenverkehr an das externe Netzwerk senden.

    Ziel-IP-Adresse (Optional) Wenn Sie möchten, dass die Regel nur für den Datenverkehr zu einer bestimmten Domäne angewendet wird, geben Sie eine IP-Adresse für diese Domäne oder einen IP-Adressbereich im CIDR-Format ein. Wenn Sie dieses Textfeld leer lassen, gilt die SNAT-Regel für alle Ziele außerhalb des lokalen Subnetzes.
    Zielport (Optional) Geben Sie eine Portnummer für das Ziel ein.
    Beschreibung (Optional) Geben Sie eine aussagekräftige Beschreibung für die SNAT-Regel ein.
    Aktiviert Aktivieren Sie diese Option, um diese Regel zu aktivieren.
    Protokollierung aktivieren Aktivieren Sie diese Option, damit die Adressübersetzung dieser Regel protokolliert wird.
  6. Klicken Sie auf Behalten, um die Regel der Tabelle auf dem Bildschirm hinzuzufügen.
  7. Wiederholen Sie die Schritte, um weitere Regeln zu konfigurieren.
  8. Klicken Sie auf Änderungen speichern, um die Regeln im System zu speichern.

Nächste Maßnahme

Fügen Sie die entsprechenden Edge-Gateway-Firewallregeln für die SNAT- oder DNAT-Regeln hinzu, die Sie soeben konfiguriert haben. Weitere Informationen finden Sie unter Hinzufügen einer NSX Data Center for vSphere-Edge-Gateway-Firewallregel im VMware Cloud Director Tenant Portal.