El software NSX Data Center for vSphere en el entorno de VMware Cloud Director permite que las puertas de enlace Edge proporcionen un servicio de traducción de direcciones de red (Network Address Translation, NAT). Con esta capacidad, se reduce la cantidad de direcciones IP públicas que debe usar una organización para fines de seguridad y economía.
El servicio NAT de la puerta de enlace Edge proporciona la capacidad de asignar una dirección pública a una máquina virtual o un grupo de máquinas virtuales en una red privada. Para permitir que las puertas de enlace Edge proporcionen acceso a los servicios que se ejecutan en máquinas virtuales con direcciones privadas del centro de datos virtual de organización, debe configurar reglas NAT en las puertas de enlace Edge. En el caso más común, se asocia un servicio NAT con una interfaz de vínculo superior en una puerta de enlace Edge del entorno de VMware Cloud Director para que las direcciones en las redes de centros de datos virtuales de organización no queden expuestas en la red externa.
La configuración del servicio NAT se separa en reglas NAT de origen (Source NAT, SNAT) y reglas NAT de destino (Destination NAT, DNAT). Cuando se configura una regla SNAT o DNAT en una puerta de enlace Edge en el entorno de VMware Cloud Director, siempre se configura la regla desde la perspectiva del centro de datos virtual de organización. En concreto, eso significa que se deben configurar las reglas de las siguientes maneras:
- SNAT: el tráfico se transmite desde una máquina virtual en una red interna del centro de datos virtual de organización (origen) a través de Internet hasta la red externa (el destino). Una regla SNAT traduce la dirección IP de origen de los paquetes salientes de una red de centros de datos virtuales de organización que se envían a una red externa o a otra red de centros de datos virtuales de organización.
- DNAT: el tráfico se transmite desde Internet (origen) hasta una máquina virtual dentro del centro de datos virtual de organización (destino). Una regla DNAT traduce la dirección IP (y opcionalmente, el puerto) de los paquetes que recibe una red de centros de datos virtuales de organización de una red externa o de otra red de centros de datos virtuales de organización.
Puede configurar reglas NAT para crear un espacio de direcciones IP privadas dentro del centro de datos virtual de organización. Esta configuración ofrece la capacidad de mover un espacio de direcciones IP privadas de un centro de datos virtual de organización a otro. La configuración de reglas NAT permite utilizar las mismas direcciones IP privadas para máquinas virtuales de un centro de datos virtual de organización que se utilizaron en otro.
La capacidad de reglas NAT en el entorno de VMware Cloud Director admite lo siguiente:
- Crear subredes dentro de un espacio de direcciones IP privadas
- Crear varios espacios de direcciones IP privadas para una puerta de enlace Edge
- Configurar varias reglas NAT en varias interfaces de puerta de enlace Edge
Agregar una regla SNAT o DNAT
Puede crear una regla NAT (Source NAT, SNAT) de origen para cambiar la dirección IP de origen de pública a privada, o viceversa. Puede crear una regla NAT (Destination NAT, DNAT) de destino para cambiar la dirección IP de destino de pública a privada, o viceversa.
Al crear reglas NAT, puede especificar las direcciones IP originales y traducidas mediante los siguientes formatos:
- Dirección IP (por ejemplo, 192.0.2.0)
- Rango de direcciones IP (por ejemplo, 192.0.2.0-192.0.2.24)
- Dirección IP/máscara de subred (por ejemplo, 192.0.2.0/24)
- any
Cuando se configura una regla SNAT o DNAT en una puerta de enlace Edge en el entorno de VMware Cloud Director, siempre se configura la regla desde la perspectiva del centro de datos virtual de organización. Una regla SNAT traduce la dirección IP de origen de los paquetes enviados de una red de centros de datos virtuales de organización a una red externa o a otra red de centros de datos virtuales de organización. Una regla DNAT traduce la dirección IP (y opcionalmente, el puerto) de los paquetes que recibe una red de centros de datos virtuales de organización de una red externa o de otra red de centros de datos virtuales de organización.
Requisitos previos
Procedimiento
- Abra los servicios de puerta de enlace Edge.
- En la barra de navegación superior, haga clic en Redes y, a continuación, haga clic en Puertas de enlace Edge.
- Seleccione la puerta de enlace Edge que desea editar y haga clic en Servicios.
- Haga clic en NAT para ver la pantalla Reglas NAT.
- Según el tipo de regla NAT que se crea, haga clic en Regla DNAT o en Regla SNAT.
- Configure una regla NAT de destino (de afuera hacia adentro).
Opción Descripción Aplicado en Seleccione la interfaz en la que se va a aplicar la regla. IP/rango original Escriba la dirección IP que se requiere o seleccione la dirección IP asignada en la lista.
Esta debe ser la dirección IP pública de la puerta de enlace Edge para la que se va a configurar la regla DNAT. En el paquete que se está inspeccionando, esta dirección IP o este rango serían los que se muestran como la dirección IP de destino del paquete. Estas direcciones de destino del paquete son las que traduce esta regla DNAT.
Protocolo Seleccione el protocolo al que se aplica la regla. Para aplicar esta regla a todos los protocolos, seleccione Cualquiera. Puerto original (Opcional) Seleccione el puerto o el rango de puertos que el tráfico entrante utiliza en la puerta de enlace Edge para conectarse a la red interna en la que se conectan las máquinas virtuales. Esta selección no está disponible cuando se establece Protocolo como ICMP o Cualquiera. Tipo de ICMP Si selecciona ICMP (una utilidad de informe y diagnóstico de errores usada entre dispositivos para comunicar información de errores) en Protocolo, seleccione un valor de Tipo de ICMP del menú desplegable. Los mensajes de ICMP se identifican por campo de tipo. De forma predeterminada, el tipo de ICMP se establece en cualquiera.
IP/rango traducido Escriba la dirección IP o un rango de direcciones IP a los que se traducirán las direcciones de destino en los paquetes entrantes. Estas direcciones son las direcciones IP de una o varias máquinas virtuales para las que se configura DNAT, de modo que puedan recibir tráfico de la red externa.
Puerto traducido (Opcional) Seleccione el puerto o el rango de puertos a los que se conecta el tráfico entrante en las máquinas virtuales de la red interna. Estos son los puertos a los que traduce la regla DNAT para los paquetes entrantes a las máquinas virtuales. Dirección IP de origen Si desea que la regla se aplique solo para el tráfico a un dominio específico, introduzca una dirección IP para este dominio o un rango de direcciones IP con formato CIDR. Si deja en blanco este cuadro de texto, la regla DNAT se aplicará a todas las direcciones IP que estén fuera de la subred local. Puerto de origen (Opcional) Introduzca un número de puerto para el origen. Descripción (Opcional) Introduzca una descripción significativa para la regla DNAT. Habilitado Active el botón de alternancia para activar esta regla. Habilitar registro Active el botón de alternancia para que se registre la traducción de direcciones realizada por esta regla. - Configure una regla NAT de origen (de adentro hacia afuera).
Opción Descripción Aplicado en Seleccione la interfaz en la que se va a aplicar la regla. IP/rango de origen original Escriba la dirección IP original o el rango de direcciones IP que se aplicarán a esta regla, o bien seleccione la dirección IP asignada en la lista. Estas direcciones son las direcciones IP de una o varias máquinas virtuales para las que se configura la regla SNAT, de modo que puedan enviar tráfico a la red externa.
IP/rango de origen traducido Escriba la dirección IP requerida. Esta dirección es siempre la dirección IP pública de la puerta de enlace para la que se va a configurar la regla SNAT. Especifica la dirección IP a la que se traducen las direcciones de origen (las máquinas virtuales) en paquetes salientes cuando envían tráfico a la red externa.
Dirección IP de destino (Opcional) Si desea que la regla se aplique solo para el tráfico a un dominio específico, introduzca una dirección IP para este dominio o un rango de direcciones IP con formato CIDR. Si deja en blanco este cuadro de texto, la regla SNAT se aplicará a todos los destinos fuera de la subred local. Puerto de destino (Opcional) Introduzca un número de puerto para el destino. Descripción (Opcional) Introduzca una descripción significativa para la regla SNAT. Habilitado Active el botón de alternancia para activar esta regla. Habilitar registro Active el botón de alternancia para que se registre la traducción de direcciones realizada por esta regla. - Haga clic en Conservar para agregar la regla a la tabla que aparece en pantalla.
- Repita los pasos para configurar reglas adicionales.
- Haga clic en Guardar cambios para guardar las reglas en el sistema.
Qué hacer a continuación
Agregue reglas de firewall de puerta de enlace Edge correspondientes a las reglas SNAT o DNAT que acaba de configurar. Consulte Agregar una regla de firewall de puerta de enlace Edge de NSX Data Center for vSphere.