La traducción de direcciones de red (NAT) controla cómo aparecen las direcciones IP en los encabezados de los paquetes en cada lado de una puerta de enlace. Las reglas que se ejecutan en puerta de enlace de cómputo asignan el tráfico de Internet a medida que entra y sale de la puerta de enlace. Las reglas que se ejecutan en otras puertas de enlace de nivel 1 asignan el tráfico entre la puerta de enlace y otras interfaces de red del SDDC.

Las reglas NAT se ejecutan en puerta de enlace de cómputo y en cualquier puerta de enlace de nivel 1 adicional que cree. Consulte Agregar una puerta de enlace de nivel 1 personalizada a un SDDC de VMware Cloud on AWS para obtener información sobre la creación de puertas de enlace de nivel 1 adicionales en el SDDC.

Las reglas NAT que se ejecutan en la interfaz de Internet del SDDC (la puerta de enlace de cómputo) asignan direcciones IP de origen o destino internas en paquetes de segmentos de red informática a direcciones que se pueden utilizar en la Internet pública. Para crear una regla NAT, proporcione la dirección interna de una máquina virtual o servicio de carga de trabajo y una dirección IP externa de su elección. Las reglas NAT que se ejecutan en la interfaz de Internet requieren una dirección IP pública. Consulte Solicitar o liberar una dirección IP pública.

Las reglas de firewall, que examinan las direcciones de origen y destino de los paquetes, se ejecutan en estas puertas de enlace y procesan el tráfico después de que una regla de NAT aplicable lo ha transformado. Al crear una regla de NAT, puede especificar si las direcciones IP internas o externas y el número de puerto de una máquina virtual se expondrán a reglas de firewall que afectan al tráfico de red hacia y desde dicha máquina virtual.

Importante:

El tráfico entrante a la dirección IP pública del SDDC siempre se procesa mediante las reglas de NAT que crea. El tráfico saliente (los paquetes de respuesta de las máquinas virtuales de carga de trabajo del SDDC) se enruta a lo largo de las rutas anunciadas y se procesa mediante las reglas de NAT cuando la ruta predeterminada de la red del SDDC atraviesa la interfaz de Internet del SDDC. Sin embargo, si la ruta predeterminada pasa por una conexión de Direct Connect, VPN, o VTGW, o bien se agregó como una ruta estática a una VPC, las reglas NAT se ejecutan para el tráfico entrante, pero no para el tráfico saliente, lo cual crea una ruta asimétrica que deja la máquina virtual inalcanzable en su dirección IP pública. Esta asimetría puede surgir cuando, por ejemplo, si 0.0.0.0/0 se anuncia a través de BGP o hay una VPN basada en directivas con una red remota de 0.0.0.0/0. Cuando la ruta predeterminada se anuncia desde el entorno local, debe configurar reglas de NAT en la red local mediante la conexión a Internet local y las direcciones IP públicas.

Requisitos previos

  • Para crear una regla NAT en la puerta de enlace de cómputo (interfaz de Internet), debe haber obtenido una dirección IP pública para que la use una máquina virtual en este SDDC. Consulte Solicitar o liberar una dirección IP pública.
  • La máquina virtual debe estar conectada a un segmento de red informática enrutada. Puede crear reglas de NAT para máquinas virtuales que tengan direcciones estáticas o dinámicas (DHCP), pero tenga en cuenta que las reglas de NAT para máquinas virtuales que utilizan la asignación de direcciones DHCP se pueden invalidar cuando a la máquina virtual se le asigna una dirección interna que ya no coincide con la especificada en la regla.

Procedimiento

  1. Inicie sesión en VMware Cloud Services en https://vmc.vmware.com.
  2. Haga clic en Inventario > SDDC, seleccione una tarjeta de SDDC y haga clic en VER DETALLES.
  3. Haga clic en ABRIR NSX MANAGER e inicie sesión con la cuenta de usuario administrador de NSX Manager que se muestra en la página Configuración del SDDC. Consulte Administración de redes de SDDC con NSX Manager.
    También puede utilizar la pestaña Redes y seguridad de la Consola de VMware Cloud para este flujo de trabajo.
  4. Haga clic en NAT > Internet para agregar reglas NAT que se ejecuten en la instancia predeterminada de puerta de enlace de cómputo.
    1. Haga clic en AGREGAR REGLA DE NAT y asigne un nombre a la regla.
    2. Configure las opciones de la regla NAT de Internet:
      Opción Descripción
      Dirección IP pública Elija de la lista desplegable de direcciones IP públicas que se aprovisionaron para este SDDC. Consulte Solicitar o liberar una dirección IP pública.
      Servicio
      • Seleccione Todo el tráfico para crear una regla que se aplique tanto al tráfico entrante (DNAT) como al saliente (SNAT) hacia o desde la dirección IP interna especificada.
      • Seleccione uno de los servicios enumerados para crear una regla entrante (DNAT) que se aplique solo al tráfico que utiliza ese protocolo y ese puerto. Todos los servicios personalizados que haya creado (consulte Trabajar con grupos de inventario) también se enumeran aquí.
        Nota: Debido a que los servicios que utilizan varios puertos de destino no pueden estar sujetos a una regla de NAT, no aparecen en esta lista.
      Puerto público Si especificó Servicio en Todo el tráfico, el puerto público predeterminado será Cualquiera.

      Si seleccionó un Servicio determinado, entonces, la regla se aplica al puerto público asignado para ese servicio.

      IP interna Introduzca la dirección IP interna de la máquina virtual. Esta dirección debe estar en un segmento de red de SDDC enrutado.
      Puerto interno

      Muestra el puerto interno utilizado por el Servicio seleccionado. Para usar un puerto personalizado, agregue un servicio personalizado (consulte Trabajar con grupos de inventario) y seleccione ese Servicio en la regla de NAT.

      Si especificó Servicio en Todo el tráfico, el puerto interno predeterminado será Cualquiera.

      Si seleccionó un Servicio determinado, entonces, la regla se aplica al puerto público asignado para ese servicio.

      Firewall Especifique el modo en que el tráfico sujeto a esta regla de NAT se expondrá a las reglas de firewall de la puerta de enlace. De forma predeterminada, estas reglas de firewall coinciden con la combinación de IP interna y Puerto interno. Seleccione Coincidir con dirección externa para que las reglas de firewall coincidan con la combinación de IP externa y Puerto externo. (Las reglas de firewall distribuido nunca se aplican a puertos o direcciones externos).

      Puede crear varias reglas de NAT que utilicen las mismas direcciones IP pública e IP interna con Todo el tráfico. Si hace esto, cada dirección IP interna usa la dirección IP pública para el tráfico saliente (SNAT), pero solo se utilizará la primera regla que coincida para el tráfico entrante (DNAT). El sistema crea (pero no muestra) una regla saliente predeterminada. Esta regla se utiliza para todas las direcciones IP internas que no coincidan con una regla de NAT específica que se aplique a Todo el tráfico. La dirección IP utilizada para esta regla se muestra en el resumen Puerta de enlace de cómputo predeterminad de la página Redes y seguridad Descripción general como IP pública de NAT de origen.

    3. Elija una Prioridad para la regla.
      Un valor inferior significa una prioridad más alta para esta regla.
    4. (opcional) Alterne Registro para registrar acciones de regla.
    5. La nueva regla está activa cuando se crea. Alterne Habilitar para desactivarla.
    6. Haga clic en GUARDAR para crear la regla.
  5. (opcional) Si creó una puerta de enlace de nivel 1 adicional, haga clic en NAT > Puerta de enlace de nivel 1 para agregar reglas NAT que se ejecuten en esa puerta de enlace.
    1. Elija una Puerta de enlace en la que desee que se ejecute la regla.
    2. Haga clic en AGREGAR REGLA DE NAT y asigne un nombre a la regla.
    3. Configure las opciones de regla NAT de Puerta de enlace de nivel 1:
      Opción Descripción:
      Acción Uno de los siguientes:
      SNAT
      NAT de origen. Cambia la dirección de origen en el encabezado del paquete. Consulte Configurar NAT de origen en un enrutador de nivel 1.
      DNAT
      NAT de destino. Cambia la dirección de destino en el encabezado del paquete. Consulte Configurar NAT de destino en un enrutador de nivel 1.

      Especifique un Puerto traducido si fuera necesario.

      Reflexivo
      Configuración de NAT sin estado para evitar rutas asimétricas. Consulte NAT reflexiva
      No hay SNAT
      Desactive la NAT de origen.
      No hay DNAT
      Desactive la NAT de destino.
      Coincide Para SNAT, introduzca una dirección de origen para utilizarla. Para DNAT, introduzca una dirección de destino para usarla.
      Traducido Introduzca una dirección IPv4 o un bloque CIDR que se utilizará para la dirección SNAT o DNAT traducida.
      Aplicar a Elija interfaces o etiquetas específicas para definir el tráfico al que desea que afecte la regla.
      Firewall Especifique el modo en que el tráfico sujeto a esta regla de NAT se expondrá a las reglas de firewall de la puerta de enlace. De forma predeterminada, estas reglas de firewall coinciden con la combinación de IP interna y Puerto interno. Seleccione Coincidir con dirección externa para que las reglas de firewall coincidan con la combinación de IP externa y Puerto externo. (Las reglas de firewall distribuido nunca se aplican a puertos o direcciones externos).
    4. Elija una Prioridad para la regla.
      Un valor inferior significa una prioridad más alta para esta regla.
    5. (opcional) Alterne Registro para registrar acciones de regla.
    6. La nueva regla está activa cuando se crea. Alterne Habilitar para desactivarla.
    7. Haga clic en GUARDAR para crear la regla.