Bei der Netzwerkadressübersetzung (NAT) wird ein IP-Adressbereich einem anderen zugeordnet. Sie können NAT auf Tier-0- und Tier-1-Gateways konfigurieren.
Das folgende Diagramm zeigt wie NAT konfiguriert werden kann.
Neben NAT64 werden drei NAT-Typen unterstützt.
Hinweis: Das Deaktivieren der Gateway-Firewall führt dazu, dass die NAT-Regel den Datenverkehr verwerfen kann. Wenn die Gateway-Firewall deaktiviert werden muss, schließen Sie eine Positivregel ein:
Quelle | Ziel | AKTION |
ANY | ANY | ZULASSEN |
- Quell-NAT (SNAT) – übersetzt eine Quell-IP-Adresse von ausgehenden Paketen, sodass Pakete als aus einem anderen Netzwerk stammend angezeigt werden. Unterstützt auf Tier-0/Tier-1-Gateways, die im Aktiv-Standby-Modus ausgeführt werden. Für 1:1-SNAT ist die übersetzte SNAT-IP-Adresse nicht auf dem Loopback-Port programmiert und es gibt keinen Weiterleitungseintrag mit einer übersetzten SNAT-IP-Adresse als Präfix. Für N:1-SNAT ist die übersetzte SNAT-IP-Adresse auf dem Loopback-Port programmiert und Benutzer sehen einen Weiterleitungseintrag mit einer übersetzten SNAT-IP-Adresse als Präfix. NSX-SNAT wurde für die Anwendung auf Datenverkehr entwickelt, der aus der NSX-Umgebung ausgeht.
- Ziel-NAT (DNAT) übersetzt die Ziel-IP-Adresse von eingehenden Paketen, sodass Pakete an eine Zieladresse in ein anderes Netzwerk übermittelt werden. Unterstützt auf Tier-0/Tier-1-Gateways, die im Aktiv-Standby-Modus ausgeführt werden. NSX-DNAT wurde für die Anwendung auf Datenverkehr entwickelt, der in die NSX-Umgebung eingeht.
- Reflexiv-NAT – (manchmal als statusfreie NAT bezeichnet) übersetzt Adressen, die über ein Routing-Gerät übertragen werden. Bei eingehenden Paketen wird die Zieladresse neu geschrieben, und bei ausgehenden Paketen wird die Quelladresse neu geschrieben. Es wird keine Sitzung gespeichert, da sie statusfrei ist. Unterstützt auf Tier-0-Gateways im Modus „Aktiv-Aktiv“ oder „Aktiv-Standby“ sowie auf Tier-1-Gateways. Statusbehaftete NAT wird im Aktiv-Aktiv-Modus nicht unterstützt.
Sie können SNAT oder DNAT auch für eine IP-Adresse oder einen Adressbereich deaktivieren (Keine SNAT/Keine DNAT). Weist eine Adresse mehrere NAT-Regeln auf, wird die Regel mit der höchsten Priorität angewendet.
Hinweis: Wenn eine Dienstschnittstelle in einer NAT-Regel konfiguriert ist, wird der
translated_port auf dem NSX Manager als
destination_port realisiert. Das bedeutet, dass der Dienst der übersetzte Port ist, während der übersetzte Port verwendet wird, um mit dem Datenverkehr als Zielport übereinzustimmen. Wenn kein Dienst konfiguriert ist, wird der Port ignoriert.
Wenn Sie eine NAT-Regel aus einem globalen Manager in einer NSX-Verbundumgebung erstellen, können Sie standortspezifische IP-Adressen für NAT auswählen. Beachten Sie Folgendes:
- Klicken Sie unter Anwenden auf nicht auf Festlegen, wenn Sie die Standardoption zum Anwenden der NAT-Regel auf alle Speicherorte verwenden möchten.
- Klicken Sie unter Anwenden auf auf Festlegen und wählen Sie die Speicherorte aus, auf deren Elemente die Regel angewendet werden soll. Wählen Sie dann NAT-Regel auf alle Elemente anwenden aus.
- Klicken Sie unter Anwenden auf auf Festlegen, wählen Sie einen Speicherort und dann im Dropdown-Menü Kategorien den Eintrag Schnittstellen aus. Sie können bestimmte Schnittstellen auswählen, auf die Sie die NAT-Regel anwenden möchten.
- DNAT wird auf einem Gateway der Ebene 1 nicht unterstützt, bei dem richtlinienbasiertes IPSec-VPN konfiguriert ist.
- Auf der externen Schnittstelle eines Tier-0-Gateways konfigurierte SNAT verarbeitet Datenverkehr aus einem Tier-1-Gateway sowie von einer anderen externen Schnittstelle auf dem Tier-0-Gateway.
- NAT wird auf den Uplinks der Tier-0/Tier-1-Gateways konfiguriert und verarbeitet den Datenverkehr, der über diese Schnittstelle geht. Dies bedeutet, dass NAT-Regeln des Tier-0-Gateways nicht zwischen zwei Tier-1-Gateways gelten, die mit Tier-0 verbunden sind.
NAT-Supportmatrizen
Konfigurationsfelder
Typ | source-addr | dest-addr | translated-addr | translated-port | match-service |
---|---|---|---|---|---|
SNAT | optional | optional | muss | kein | optional |
DNAT | optional | muss | muss | optional | optional |
NO_SNAT | muss | optional | kein | kein | optional |
NO_DNAT | optional | muss | kein | kein | optional |
REFLEXIVE | muss | kein | muss | kein | kein |
NAT64 | optional | muss | muss | optional | optional |
Konfigurationsanwendungsbeispiele
Typen | 1:1 | n:n | n:m | n:1 | 1:m |
---|---|---|---|---|---|
SNAT | Ja | Ja | Ja | Ja | Nein |
DNAT | Ja | Ja | * konfigurierbar, aber nicht unterstützt | Ja | * konfigurierbar, aber nicht unterstützt |
NO_SNAT | - | - | - | - | - |
NO_DNAT | - | - | - | - | - |
REFLEXIVE | Ja | Ja | Nein | Nein | Nein |
NAT64 | Ja | Ja | Nein | Ja | Nein |
Unterstützung des NAT-Datenverkehrsflusses auf Schnittstellen
Unterstützung des Datenverkehrsflusses auf Schnittstellen | DNAT | SNAT | NO_DNAT | NO_SNAT | REFLEXIVE | NAT64 |
---|---|---|---|---|---|---|
Uplink → Uplink | Nein | Nein | Nein | Nein | Nein | Nein |
Uplink → Downlink | Ja | Nein | Ja | Nein | Ja | Ja |
Uplink → Dienstschnittstelle | Ja | Nein | Ja | Nein | Ja | Ja |
Downlink → Downlink | Nein | Nein | Nein | Nein | Nein | Nein |
Downlink → Uplink | Nein | Ja | NO | Ja | Ja | Nein |
Downlink → Dienstschnittstelle | Nein | Nein | NO | Nein | Nein | Nein |
Dienstschnittstelle → Dienstschnittstelle | Nein | Nein | Nein | Nein | Nein | Nein |
Dienstschnittstelle → Uplink | Nein | Ja | Nein | Ja | Ja | Nein |
Dienstschnittstelle → Downlink | Nein | NO | Nein | Nein | Nein | Nein |