Für NAT (Network Address Translation) können Sie für IPv4 auf einem Tier-0- oder Tier-1-Gateway verschiedene Typen konfigurieren. NAT-Firewalleinstellungen werden verwendet, wenn ein Datenverkehrsfluss sowohl von Edge-Firewallregeln als auch von NAT-Regeln betroffen ist.

Mit der NAT-Firewallrichtlinie können Sie definieren, ob Firewallregeln externe oder interne IP-Adressen betreffen. Interne Adressen sind IP-Adressen, die Hosts oder VMs innerhalb der NSX-Domäne zugewiesen sind. Externe Adressen sind IP-Adressen, die Hosts oder VMs außerhalb der NSX-Domäne zugewiesen sind.

Hinweis: Wenn ein Dienst in dieser NAT-Regel konfiguriert ist, wird der translated_port auf dem NSX Manager als destination_port realisiert. Das bedeutet, dass der Dienst der übersetzte Port ist, während der übersetzte Port verwendet wird, um mit dem Datenverkehr als Zielport übereinzustimmen. Wenn kein Dienst konfiguriert ist, wird der Port ignoriert.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie Netzwerk > NAT.
  3. Wählen Sie ein Gateway in der Dropdown-Liste Gateway aus.
  4. Wählen Sie neben Anzeigen die Option NAT aus.
  5. Klicken Sie auf NAT-Regel hinzufügen.
  6. Geben Sie einen Namen ein.
  7. Wählen Sie eine Aktion aus.
    Gateway Verfügbare Aktionen
    Tier-1-Gateway Verfügbare Aktionen sind SNAT, DNAT, Reflexive, KEINE SNAT und KEINE DNAT.
    Tier-0-Gateway im „Aktiv/Standby“-Modus Verfügbare Aktionen sind SNAT, DNAT, Reflexive, KEINE SNAT und KEINE DNAT.
    Tier-0-Gateway im „Aktiv/Aktiv“-Modus Die verfügbare Aktion lautet Reflexiv.
  8. Geben Sie eine Quelle ein. Wenn Sie dieses Textfeld leer lassen, gilt die NAT-Regel für alle Quellen außerhalb des lokalen Subnetzes.
    Geben Sie eine IP-Adresse oder einen IP-Adressbereich im CIDR-Format an. Für SNAT-, NO_SNAT- und REFLEXIVE-Regeln ist dies ein erforderliches Feld und stellt das Quellnetzwerk der Pakete dar, die das Netzwerk verlassen.
  9. Geben Sie ein Ziel ein.
    Geben Sie eine IP-Adresse oder einen IP-Adressbereich im CIDR-Format an. Für DNAT- und NO_DNAT-Regeln ist dies ein erforderliches Feld und stellt das Quellnetzwerk der Pakete dar, die das Netzwerk verlassen. Dieses Feld ist für REFLEXIVE nicht anwendbar.
  10. Geben Sie einen Wert für Übersetzte IP ein.
    Geben Sie eine IPv4-Adresse oder einen IP-Adressbereich im CIDR-Format an. Wenn die übersetzte IP kleiner als die Übereinstimmungs-IP für SNAT ist, funktioniert sie als PAT.
  11. Schalten Sie Aktivieren um, um die Regel zu aktivieren.
  12. (Optional) Klicken Sie in der Spalte Dienst auf Festlegen, um Dienste auszuwählen.
    Wenn eine Dienstschnittstelle in einer NAT-Regel konfiguriert ist, wird der translated_port auf dem NSX Manager als destination_port realisiert. Das bedeutet, dass der Dienst der übersetzte Port ist, während der übersetzte Port verwendet wird, um mit dem Datenverkehr als Zielport übereinzustimmen. Wenn kein Dienst konfiguriert ist, wird der Port ignoriert.
  13. (Optional) Geben Sie einen Wert für Übersetzter Port ein.
    Wenn eine Dienstschnittstelle in einer NAT-Regel konfiguriert ist, wird der translated_port auf dem NSX Manager als destination_port realisiert. Das bedeutet, dass der Dienst der übersetzte Port ist, während der übersetzte Port verwendet wird, um mit dem Datenverkehr als Zielport übereinzustimmen. Wenn kein Dienst konfiguriert ist, wird der Port ignoriert.
  14. (Optional) Klicken Sie unter Anwenden auf auf Festlegen und wählen Sie Objekte aus, für die diese Regel gilt.
    Zu den verfügbaren Objekten gehören Tier-0-Gateways, Schnittstellen, Bezeichnungen, Dienstinstanz-Endpoints und Virtuelle Endpoints.
    Hinweis: Wenn Sie NSX-Verbund verwenden und eine NAT-Regel von einer Globaler Manager-Appliance erstellen, können Sie Site-spezifische IP-Adressen für NAT auswählen. Sie können die NAT-Regel auf einen der folgenden Standortbereiche anwenden:
    • Klicken Sie nicht auf Festlegen, wenn Sie die Standardoption zum Anwenden der NAT-Regel auf alle Speicherorte verwenden möchten.
    • Klicken Sie auf Festlegen. Wählen Sie im Dialogfeld Angewendet auf | Neue Regel die Speicherorte aus, auf deren Entitäten die Regel angewendet werden soll. Klicken Sie dann auf Anwenden.
    • Klicken Sie auf Festlegen. Wählen Sie im Dialogfeld Angewendet auf | Neue Regel einen Speicherort aus und wählen Sie dann im Dropdown-Menü Kategorien den Eintrag Schnittstellen aus. Sie können bestimmte Schnittstellen auswählen, auf die Sie die NAT-Regel anwenden möchten.
    • Klicken Sie auf Festlegen. Wählen Sie im Dialogfeld Angewendet auf | Neue Regel einen Speicherort aus und wählen Sie dann im Dropdown-Menü Kategorien den Eintrag VTI aus. Sie können bestimmte VTIs auswählen, auf die Sie die NAT-Regel anwenden möchten.
    Weitere Informationen finden Sie unter Funktionen und Konfigurationen, die in NSX-Verbund unterstützt werden.
  15. (Optional) Wählen Sie die Einstellung für die NAT-Firewall-Richtlinie aus.
    Verfügbare Firewalleinstellungen:
    • Externe Adresse abgleichen – Die Firewall wird auf die externe Adresse einer NAT-Regel angewendet.
      • Für SNAT ist die externe Adresse die übersetzte Quelladresse, nachdem NAT abgeschlossen ist.
      • Für DNAT ist die externe Adresse die übersetzte Zieladresse, bevor NAT abgeschlossen ist.
      • Für REFLEXIVE wird die Firewall für ausgehenden Datenverkehr auf die übersetzte Quelladresse angewendet, nachdem NAT abgeschlossen ist. Für eingehenden Datenverkehr wird die Firewall auf die ursprüngliche Zieladresse angewendet, bevor NAT abgeschlossen ist.
    • Interne Adresse abgleichen – Gibt an, dass die Firewall auf die interne Adresse einer NAT-Regel angewendet wird.
      • Für SNAT ist die interne Adresse die ursprüngliche Quelladresse, bevor NAT abgeschlossen ist.
      • Für DNAT ist die interne Adresse die übersetzte Zieladresse, nachdem NAT abgeschlossen ist.
      • Für REFLEXIVE wird die Firewall für ausgehenden Datenverkehr auf die ursprüngliche Quelladresse angewendet, bevor NAT abgeschlossen ist. Für eingehenden Datenverkehr wird die Firewall auf die übersetzte Zieladresse angewendet, nachdem NAT abgeschlossen ist.
    • Umgehung: Das Paket umgeht Firewallregeln.
  16. (Optional) Klicken Sie auf die Schaltfläche Protokollierung, um die Protokollierung zu aktivieren.
  17. (Optional) Geben Sie einen Prioritätswert an.
    Ein niedrigerer Wert bedeutet eine höhere Priorität. Die Standardeinstellung ist 0. Eine Keine SNAT- oder Keine DNAT-Regel sollte eine höhere Priorität besitzen als andere Regeln.
  18. Klicken Sie auf Speichern.