La traducción de direcciones de red (NAT) asigna un espacio de direcciones IP con otro. Puede configurar la NAT en puertas de enlace de nivel 0 y nivel 1.

El siguiente diagrama muestra cómo se puede configurar NAT.

""

Se admiten tres tipos de NAT, además de NAT64.
Nota: Al deshabilitar el firewall de puerta de enlace, la regla NAT descarta el tráfico. Si es necesario deshabilitar el firewall de puerta de enlace, incluya una regla Permitir:
Origen Destino ACCIÓN
ANY ANY ALLOW
  • NAT de origen (SNAT): traduce una dirección IP de origen de paquetes salientes para que los paquetes aparezcan como procedentes de otra red. Compatible con las puertas de enlace de nivel 0/nivel 1 que se ejecutan en modo activo-en espera. Para una SNAT de uno a uno, la dirección IP traducida de SNAT no está programada en el puerto de bucle invertido y no hay ninguna entrada de reenvío con una IP traducida por SNAT como prefijo. Para una SNAT de n a uno, la dirección IP traducida de SNAT está programada en el puerto de bucle invertido y los usuarios verán una entrada de reenvío con un prefijo de dirección IP traducido por SNAT. NSX-T SNAT está diseñado para aplicarse al tráfico saliente del entorno de NSX.
  • NAT de destino (DNAT): traduce la dirección IP de destino de los paquetes entrantes para que los paquetes se entreguen en una dirección de destino de otra red. Compatible con las puertas de enlace de nivel 0/nivel 1 que se ejecutan en modo activo-en espera. NSX-T DNAT está diseñado para aplicarse al tráfico que entra al entorno de NSX.
  • NAT reflexiva (a veces denominada NAT sin estado): traduce las direcciones que pasan a través de un dispositivo de enrutamiento. Los paquetes entrantes se someten a una reescritura de dirección de destino, y los paquetes salientes se someten a una reescritura de dirección de origen. No mantiene una sesión porque no tiene estado. Compatible con las puertas de enlace de nivel 0 que se ejecutan en modo Activo-Activo o Activo-En espera y en puertas de enlace de nivel 1. No se admite NAT con estado en el modo activo-activo.

También se puede deshabilitar SNAT o DNAT para una dirección IP o un rango de direcciones (No-SNAT/No-DNAT). Si una dirección tiene varias reglas NAT, se aplica la regla con la prioridad más alta.

Nota: Si hay una interfaz de servicio configurada en esta regla NAT, translated_port se realizará en NSX Manager como destination_port. Esto significa que el servicio será el puerto traducido mientras que el puerto traducido se utilizará para que coincida con el tráfico como puerto de destino. Si no hay ningún servicio configurado, se omitirá el puerto.
Si va a crear una regla NAT desde un Global Manager en un entorno de NSX Federation, puede seleccionar direcciones IP específicas del sitio para NAT. Tenga en cuenta lo siguiente:
  • No haga clic en Establecer en Se aplica a si desea utilizar la opción predeterminada para aplicar la regla NAT a todas las ubicaciones.
  • En Se aplica a, haga clic en Establecer y seleccione las ubicaciones cuyas entidades desea aplicar a la regla y, a continuación, seleccione Aplicar regla NAT a todas las entidades.
  • En Se aplica a, haga clic en Establecer y seleccione una ubicación y, a continuación, seleccione Interfaces en el menú desplegable Categorías. Puede seleccionar las interfaces específicas a las que desea aplicar la regla NAT.
  • DNAT no es compatible con una puerta de enlace de nivel 1 donde está configurada la VPN de IPSec basada en directivas.
  • La SNAT configurada en la interfaz externa de una puerta de enlace de nivel 0 procesa tráfico desde una puerta de enlace de nivel 1 desde otra interfaz externa en la puerta de enlace de nivel 0.
  • NAT se configura en los vínculos superiores de las puertas de enlace de nivel 0/nivel 1 y procesa el tráfico que pasa a través de esta interfaz. Esto significa que las reglas NAT de puerta de enlace de nivel 0 no se aplicarán entre dos puertas de enlace de nivel 1 conectadas al nivel 0.

Matrices de compatibilidad de NAT

Campos de configuración
Tipo source-addr dest-addr translated-addr translated-port match-service
SNAT optional optional must no optional
DNAT optional must must optional optional
NO_SNAT must optional no no optional
NO_DNAT optional must no no optional
REFLEXIVE must no must no no
NAT64 optional must must optional optional
Casos de uso de configuración
Tipos 1:1 n:n n:m n:1 1:m
SNAT No
DNAT * configurable, pero no admitido * configurable, pero no admitido
NO_SNAT - - - - -
NO_DNAT - - - - -
REFLEXIVE No No No
NAT64 No No
Compatibilidad con el flujo de tráfico NAT en interfaces
Compatibilidad con el flujo de tráfico en interfaces DNAT SNAT NO_DNAT NO_SNAT REFLEXIVE NAT64
Vínculo superior → Vínculo superior No No No No No No
Vínculo superior → Vínculo inferior No No
Vínculo superior → Interfaz de servicio No No
Vínculo inferior → Vínculo inferior No No No No No No
Vínculo inferior → Vínculo superior No NO No
Vínculo inferior → Interfaz de servicio No No NO No No No
Interfaz de servicio → Interfaz de servicio No No No No No No
Interfaz de servicio → Vínculo superior No No No
Interfaz de servicio → Vínculo inferior No NO No No No No