Ab VMware Cloud Director 10.5.1 können Sie NAT-Regeln auf Ihrem Providergateway konfigurieren, das IP-Räume verwendet.
Voraussetzungen
- Stellen Sie sicher, dass Sie ein Systemadministrator sind oder dass Ihre Rolle die Rechte Providergateway-NAT: Ansicht und die Rechte Providergateway-NAT: Verwalten umfasst.
- Stellen Sie sicher, dass das Providergateway IP-Räume nutzt.
- Stellen Sie sicher, dass das Providergateway privat ist, d. h. dass es für eine einzelne Organisation reserviert ist.
- Stellen Sie sicher, dass sich der stützende NSX Tier-0-Router im Aktiv/Standby-Modus befindet. Andernfalls können Sie die NAT- und Firewall-Dienstabsichten des Providergateways nicht auf Providergateways oder Provider- und Edge-Gateways festlegen.
- Stellen Sie sicher, dass Sie die NAT- und Firewalltopologie für das Providergateway auf Providergateways oder Provider- und Edge-Gateways konfiguriert haben. Weitere Informationen finden Sie im Konfigurieren von Routenankündigungs-Topologieabsichten in einem Providergateway im VMware Cloud Director Service Provider Admin Portal.
Prozedur
- Wählen Sie im primären linken Navigationsbereich Ressourcen und dann in der oberen Navigationsleiste der Seite die Option Cloud-Ressourcen aus.
- Wählen Sie im sekundären linken Bereich Providergateways aus.
- Klicken Sie auf das Providergateway.
- Klicken Sie unter „Dienste“ auf NAT.
- Klicken Sie auf Neu, um eine NAT-Regel hinzuzufügen.
- Geben Sie einen Namen und optional eine Beschreibung für die Regel ein.
- Wählen Sie im Dropdown-Menü eine NAT-Aktion aus und geben Sie die erforderlichen Informationen ein.
Aktion |
Beschreibung |
Systemeinstellungen |
SNAT |
Übersetzt eine Quell-IP-Adresse von ausgehenden Paketen, sodass Pakete als aus einem anderen Netzwerk stammend angezeigt werden. |
- Geben Sie eine externe IP-Adresse oder eine CIDR-Notation ein.
- (Optional) Geben Sie eine interne IP-Adresse oder eine CIDR-Notation ein.
- Geben Sie eine Ziel-IP-Adresse oder CIDR-Notation ein.
Dieses Feld gilt nur für SNAT- und KEINE SNAT-Regeln. Wenn die Regel nur für den Datenverkehr zu einer bestimmten Domäne gelten soll, geben Sie eine IP-Adresse für diese Domäne oder eine IP-Adressliste ein. Wenn Sie dieses Textfeld leer lassen, gilt die Regel für alle Ziele außerhalb des lokalen Subnetzes.
|
KEINE SNAT |
Deaktivieren Sie die Quell-NAT. |
- Geben Sie eine externe IP-Adresse oder eine CIDR-Notation ein.
- (Optional) Geben Sie eine Ziel-IP-Adresse oder CIDR-Notation ein.
|
DNAT |
Übersetzt die Ziel-IP-Adresse von eingehenden Paketen, sodass Pakete an eine Zieladresse in ein anderes Netzwerk übermittelt werden. |
- Geben Sie eine interne IP-Adresse oder eine CIDR-Notation ein.
- (Optional) Geben Sie einen externen Port ein.
- Geben Sie eine interne IP-Adresse oder eine CIDR-Notation ein.
- Wählen Sie im Dropdown-Menü ein bestimmtes Anwendungs-Portprofil aus, auf das die Regel angewendet werden soll.
Das Anwendungsportprofil enthält einen Port und ein Protokoll, das der eingehende Datenverkehr auf dem Edge-Gateway verwendet, um eine Verbindung mit dem internen Netzwerk herzustellen.
|
KEINE DNAT |
Deaktivieren Sie die Ziel-NAT. |
- Geben Sie eine externe IP-Adresse oder eine CIDR-Notation ein.
- (Optional) Geben Sie einen externen Port ein.
|
Reflexiv |
Übersetzt Adressen, die über ein Routing-Gerät übertragen werden. Bei eingehenden Paketen wird die Zieladresse neu geschrieben, und bei ausgehenden Paketen wird die Quelladresse neu geschrieben. |
- Geben Sie eine externe IP-Adresse oder eine CIDR-Notation ein.
- Geben Sie eine interne IP-Adresse oder eine CIDR-Notation ein.
|
- (Optional) Klicken Sie auf Erweiterte Einstellungen.
- Um die Regel bei der Erstellung zu deaktivieren, deaktivieren Sie die Umschaltoption Zustand.
Diese Option ist standardmäßig aktiviert.
- Zum Aktivieren der Protokollierung wählen Sie die Option Protokollierung aus.
- Geben Sie eine Zahl ein, um die Regelpriorität anzugeben.
Wenn mehrere NAT-Regeln für dieselbe IP-Adresse vorhanden sind, wird die Regel mit der höchsten Priorität darauf angewendet. Ein niedrigerer Wert bedeutet eine höhere Priorität für diese Regel.
- Wählen Sie im Dropdown-Menü aus, wie der Datenverkehr, der der NAT-Regel unterliegt, für die Providergateway-Firewall verfügbar gemacht werden soll.
Option |
Bezeichnung |
Interne Adressübereinstimmung |
Wenden Sie die Firewall auf die interne Adresse der NAT-Regel an. Für SNAT ist die interne Adresse die ursprüngliche Quelladresse, bevor NAT abgeschlossen ist. Für DNAT ist die interne Adresse die übersetzte Zieladresse, nachdem NAT abgeschlossen ist. |
Externe Adressübereinstimmung |
Wenden Sie die Firewall auf die externe Adresse der NAT-Regel an. Für SNAT ist die externe Adresse die übersetzte Quelladresse, nachdem NAT abgeschlossen ist. Für DNAT ist die externe Adresse die übersetzte Zieladresse, bevor NAT abgeschlossen ist. |
Bypass |
Die Firewall wird umgangen. |
- Wählen Sie im Dropdown-Menü einen IP-Raum-Uplink aus, auf den die Regel angewendet werden soll.
Hinweis: Wenn Sie keine der Providergateway-Schnittstellen mit dem ausgewählten IP-Raum-Uplink verknüpft haben, gilt die NAT-Regel für alle Providergateway-Schnittstellen.
- Klicken Sie auf Speichern.