Sie können verschiedene NAT-Typen für IPv4 auf einem Tier-0- oder Tier-1-Gateway konfigurieren.
Hinweis: Wenn ein Dienst in dieser NAT-Regel konfiguriert ist, wird der translated_port auf dem NSX Manager als destination_port realisiert. Das bedeutet, dass der Dienst der übersetzte Port ist, während der übersetzte Port verwendet wird, um mit dem Datenverkehr als Zielport übereinzustimmen. Wenn kein Dienst konfiguriert ist, wird der Port ignoriert.
Prozedur
- Melden Sie sich mit Administratorrechten bei NSX Manager an.
- Wählen Sie Netzwerk > NAT.
- Wählen Sie ein Gateway im Dropdown-Menü Gateway aus.
- Wählen Sie neben Anzeigen die Option NAT aus.
- Klicken Sie auf NAT-Regel hinzufügen.
- Geben Sie einen Namen ein.
- Wählen Sie eine Aktion aus.
Gateway Verfügbare Aktionen Tier-1-Gateway Verfügbare Aktionen sind SNAT, DNAT, Reflexive, KEINE SNAT und KEINE DNAT. Tier-0-Gateway im „Aktiv/Standby“-Modus Verfügbare Aktionen sind SNAT, DNAT, KEINE SNAT und KEINE DNAT. Tier-0-Gateway im „Aktiv/Aktiv“-Modus Die verfügbare Aktion lautet Reflexiv. - Geben Sie eine Quelle ein. Wenn Sie dieses Textfeld leer lassen, gilt die NAT-Regel für alle Quellen außerhalb des lokalen Subnetzes.
Geben Sie eine IP-Adresse oder einen IP-Adressbereich im CIDR-Format an. Für SNAT-, NO_SNAT- und REFLEXIVE-Regeln ist dies ein erforderliches Feld und stellt das Quellnetzwerk der Pakete dar, die das Netzwerk verlassen.
- (Erforderlich) Geben Sie ein Ziel ein.
Geben Sie eine IP-Adresse oder einen IP-Adressbereich im CIDR-Format an. Für DNAT- und NO_DNAT-Regeln ist dies ein erforderliches Feld und stellt das Quellnetzwerk der Pakete dar, die das Netzwerk verlassen. Dieses Feld ist für Reflexive nicht anwendbar.
- Geben Sie einen Wert für Übersetzte IP ein.
Geben Sie eine IPv4-Adresse oder einen IP-Adressbereich im CIDR-Format an. Wenn die übersetzte IP kleiner als die entsprechende IP für SNAT ist, funktioniert sie als PAT.
- Schalten Sie Aktivieren um, um die Regel zu aktivieren.
- Klicken Sie in der Spalte Dienst auf Festlegen, um Dienste auszuwählen.
Wenn eine Dienstschnittstelle in einer NAT-Regel konfiguriert ist, wird der translated_port auf dem NSX Manager als destination_port realisiert. Das bedeutet, dass der Dienst der übersetzte Port ist, während der übersetzte Port verwendet wird, um mit dem Datenverkehr als Zielport übereinzustimmen. Wenn kein Dienst konfiguriert ist, wird der Port ignoriert.
- Geben Sie einen Wert für Übersetzter Port ein.
Wenn eine Dienstschnittstelle in einer NAT-Regel konfiguriert ist, wird der translated_port auf dem NSX Manager als destination_port realisiert. Das bedeutet, dass der Dienst der übersetzte Port ist, während der übersetzte Port verwendet wird, um mit dem Datenverkehr als Zielport übereinzustimmen. Wenn kein Dienst konfiguriert ist, wird der Port ignoriert.
- Klicken Sie unter Anwenden auf auf Festlegen und wählen Sie Objekte aus, für die diese Regel gilt.
Zu den verfügbaren Objekten gehören Tier-0-Gateways, Schnittstellen, Bezeichnungen, Dienstinstanz-Endpoints und Virtuelle Endpoints.Hinweis: Wenn Sie NSX-Verbund verwenden und eine NAT-Regel von einer Globaler Manager-Appliance erstellen, können Sie Site-spezifische IP-Adressen für NAT auswählen. Sie können die NAT-Regel auf einen der folgenden Standortbereiche anwenden:
- Klicken Sie nicht auf Festlegen, wenn Sie die Standardoption zum Anwenden der NAT-Regel auf alle Speicherorte verwenden möchten.
- Klicken Sie auf Festlegen. Wählen Sie im Dialogfeld Angewendet auf | Neue Regel die Speicherorte aus, auf deren Entitäten die Regel angewendet werden soll. Klicken Sie dann auf Anwenden.
- Klicken Sie auf Festlegen. Wählen Sie im Dialogfeld Angewendet auf | Neue Regel einen Speicherort aus und wählen Sie dann im Dropdown-Menü Kategorien den Eintrag Schnittstellen aus. Sie können bestimmte Schnittstellen auswählen, auf die Sie die NAT-Regel anwenden möchten.
- Klicken Sie auf Festlegen. Wählen Sie im Dialogfeld Angewendet auf | Neue Regel einen Speicherort aus und wählen Sie dann im Dropdown-Menü Kategorien den Eintrag VTI aus. Sie können bestimmte VTIs auswählen, auf die Sie die NAT-Regel anwenden möchten.
- (Optional) Wählen Sie eine Firewalleinstellung aus.
Verfügbare Einstellungen:
- Externe Adresse abgleichen – Die Firewall wird auf die externe Adresse einer NAT-Regel angewendet.
- Für SNAT ist die externe Adresse die übersetzte Quelladresse, nachdem NAT abgeschlossen ist.
- Für DNAT ist die externe Adresse die übersetzte Zieladresse, bevor NAT abgeschlossen ist.
- Für REFLEXIV wird die Firewall für ausgehenden Datenverkehr auf die übersetzte Quelladresse angewendet, nachdem NAT abgeschlossen ist. Für eingehenden Datenverkehr wird die Firewall auf die ursprüngliche Zieladresse angewendet, bevor NAT abgeschlossen ist.
- Interne Adresse abgleichen – Gibt an, dass die Firewall auf die interne Adresse einer NAT-Regel angewendet wird.
- Für SNAT ist die interne Adresse die ursprüngliche Quelladresse, bevor NAT abgeschlossen ist.
- Für DNAT ist die interne Adresse die übersetzte Zieladresse, nachdem NAT abgeschlossen ist.
- Für REFLEXIV wird für ausgehenden Datenverkehr die Firewall auf die ursprüngliche Quelladresse angewendet, bevor NAT abgeschlossen ist. Für eingehenden Datenverkehr wird die Firewall auf die übersetzte Zieladresse angewendet, nachdem NAT abgeschlossen ist.
- Umgehung: Das Paket umgeht Firewallregeln.
- Externe Adresse abgleichen – Die Firewall wird auf die externe Adresse einer NAT-Regel angewendet.
- (Optional) Klicken Sie auf die Schaltfläche Protokollierung, um die Protokollierung zu aktivieren.
- Geben Sie einen Prioritätswert an.
Ein niedrigerer Wert bedeutet eine höhere Priorität. Die Standardeinstellung ist 0. Eine Keine SNAT oder Keine DNAT-Regel sollte eine höhere Priorität besitzen als andere Regeln.
- (Optional) Anwendung auf richtlinienbasiertes VPN – Gilt nur für die Regelkategorie DNAT oder Keine DNAT. Die Regel wird basierend auf dem Prioritätswert angewendet. Trotz der Einstellungen für Umgehung oder Abgleich werden die für den Parameter Anwenden auf einer NAT-Richtlinie angewendeten Einstellungen weiterhin berücksichtigt.
- Umgehung – NAT-Regel wird nicht auf den von einem richtlinienbasierten IPSec-VPN-Tunnel entschlüsselten Datenverkehr angewendet. Dies ist die Standardeinstellung.
- Abgleich – Wenn der Datenverkehr von einem richtlinienbasierten IPSec-VPN-Tunnel entschlüsselt wird, wird die NAT-Richtlinie ausgewertet und abgeglichen. Die NAT-Richtlinie wird NICHT für den Datenverkehr ausgewertet, der nicht von einem richtlinienbasierten IPSec-VPN-Tunnel entschlüsselt wird.
Damit eine NAT-Richtlinie den entschlüsselten Datenverkehr trifft, muss für die Richtlinie Abgleich eingestellt sein und die Schnittstelle, über die der verschlüsselte Datenverkehr gesendet/empfangen wird, muss im Parameter Anwenden auf der NAT-Richtlinie eingestellt sein. Weitere Informationen zum Parameter Anwenden auf finden Sie unter Netzwerkadressübersetzung (NAT). - Klicken Sie auf Speichern.