Puede configurar diferentes tipos de NAT para IPv4 en una puerta de enlace de nivel 0 o nivel 1.
Nota: Si hay un servicio configurado en esta regla NAT, translated_port se realizará en NSX Manager como destination_port. Esto significa que el servicio será el puerto traducido mientras que el puerto traducido se utilizará para que coincida con el tráfico como puerto de destino. Si no hay ningún servicio configurado, se omitirá el puerto.
Procedimiento
- Con privilegios de administrador, inicie sesión en NSX Manager.
- Seleccione Redes > NAT.
- Seleccione una puerta de enlace en el menú Puerta de enlace.
- Junto a Ver, seleccione NAT.
- Haga clic en Agregar regla NAT.
- Introduzca un valor en Nombre.
- Seleccione una acción.
Puerta de enlace Acciones disponibles Puerta de enlace de nivel 1 Las acciones disponibles son SNAT, DNAT, Reflexiva, NO SNAT y NO DNAT. Puerta de enlace de nivel 0 en modo activo-en espera Las acciones disponibles son SNAT, DNAT, NO SNAT y NO DNAT. Puerta de enlace de nivel 0 en modo activo-activo La acción disponible es Reflexiva. - Introduzca un valor en Origen. Si deja vacío este cuadro de texto, la regla NAT se aplicará a todos los orígenes fuera de la subred local.
Especifique una dirección IP o un rango de direcciones IP en formato CIDR. Para las reglas SNAT, NO_SNAT y REFLEXIVE, este campo es obligatorio y representa la red de origen de los paquetes que salen de la red.
- (Requerido) Introduzca un valor en Destino.
Especifique una dirección IP o un rango de direcciones IP en formato CIDR. Para las reglas DNAT y NO_DNAT, este campo es obligatorio y representa la red de origen de los paquetes que salen de la red. Este campo no es aplicable a REFLEXIVE.
- Introduzca un valor en IP traducida.
Especifique una dirección IPv4 o un rango de direcciones IP en formato CIDR. Si la IP traducida es menor que la IP de coincidencia para SNAT, funcionará como PAT.
- Habilite la regla.
- En la columna Servicio, haga clic en Establecer para seleccionar los servicios.
Si hay una interfaz de servicio configurada en esta regla NAT, translated_port se realizará en NSX Manager como destination_port. Esto significa que el servicio será el puerto traducido mientras que el puerto traducido se utilizará para que coincida con el tráfico como puerto de destino. Si no hay ningún servicio configurado, se omitirá el puerto.
- Introduzca un valor en Puerto traducido.
Si hay una interfaz de servicio configurada en esta regla NAT, translated_port se realizará en NSX Manager como destination_port. Esto significa que el servicio será el puerto traducido mientras que el puerto traducido se utilizará para que coincida con el tráfico como puerto de destino. Si no hay ningún servicio configurado, se omitirá el puerto.
- Para la opción Se aplica a, haga clic en Establecer y seleccione los objetos a los que se aplica esta regla.
Los objetos disponibles son Puertas de enlace de nivel 0, Interfaces, Etiquetas, Endpoints de instancia de servicio y Endpoints virtuales.Nota: Si utiliza NSX Federation y crea una regla NAT desde un dispositivo de Global Manager, puede seleccionar direcciones IP específicas de sitio para NAT. Puede aplicar la regla NAT a cualquiera de los siguientes intervalos de ubicación:
- No haga clic en Establecer si desea utilizar la opción predeterminada para aplicar la regla NAT a todas las ubicaciones.
- Haga clic en Establecer. En el cuadro de diálogo Se aplica a | Nueva regla, seleccione las ubicaciones cuyas entidades desea aplicar a la regla y, a continuación, haga clic en Aplicar.
- Haga clic en Establecer. En el cuadro de diálogo Se aplica a | Nueva regla, seleccione una ubicación y, a continuación, seleccione Interfaces en el menú desplegable Categorías. Puede seleccionar las interfaces específicas a las que desea aplicar la regla NAT.
- Haga clic en Establecer. En el cuadro de diálogo Se aplica a | Nueva regla, seleccione una ubicación y, a continuación, seleccione VTI en el menú desplegable Categorías. Puede seleccionar las VTI específicas a las que desea aplicar la regla NAT.
- (opcional) Seleccione una configuración de firewall.
Las opciones disponibles son:
- Hacer coincidir con dirección externa: el firewall se aplicará a la dirección externa de una regla NAT.
- Para SNAT, la dirección externa es la dirección de origen traducida después de que se haya realizado la NAT.
- Para DNAT, la dirección externa es la dirección de destino original antes de que se haya realizado la NAT.
- Para REFLEXIVE, para el tráfico de salida, el firewall se aplica a la dirección de origen traducida después de que se haya realizado la NAT. Para el tráfico de entrada, el firewall se aplica a la dirección de destino original antes de que se haya realizado la NAT.
- Hacer coincidir con dirección interna: indica que el firewall se aplicará a la dirección interna de una regla NAT.
- Para SNAT, la dirección interna es la dirección de origen original antes de que se haya realizado la NAT.
- Para DNAT, la dirección interna es la dirección de destino traducida después de que se haya realizado la NAT.
- Para REFLEXIVE, para el tráfico de salida, el firewall se aplica a la dirección de origen original antes de que se realice la NAT. Para el tráfico de entrada, el firewall se aplica a la dirección de destino traducida después de que se haya realizado la NAT.
- Omitir: el paquete omite las reglas de firewall.
- Hacer coincidir con dirección externa: el firewall se aplicará a la dirección externa de una regla NAT.
- (opcional) Active el botón Registro para habilitar el registro.
- Especifique un valor de prioridad.
Un valor inferior significa una prioridad más elevada. El valor predeterminado es 0. Una regla Sin SNAT o Sin DNAT debe tener una prioridad más alta que otras reglas.
- (opcional) Aplicar a VPN basada en directivas: se aplica solo para la categoría de reglas DNAT o Sin DNAT. La regla se aplica en función del valor de prioridad. A pesar de la configuración de las opciones Omitir o Coincidencia, se seguirá respetando la configuración aplicada para el parámetro Se aplica a de una directiva de NAT.
- Omitir: la regla NAT no se aplica al tráfico descifrado de un túnel VPN de IPSec basado en directivas. Esta es la configuración predeterminada.
- Coincidencia: si el tráfico se descifra desde un túnel de VPN de IPSec basado en directivas, se evalúa y se hace coincidir la directiva de NAT. La directiva NAT NO se evalúa en el tráfico que no se descifra desde un túnel VPN de IPSec basado en directivas.
Para que una directiva de NAT afecte al tráfico descifrado, la directiva debe establecerse en Coincidencia, y la interfaz en la que se envía/recibe el tráfico cifrado debe establecerse en el parámetro Se aplica a de la directiva de NAT. Para obtener más información sobre el parámetro Se aplica a, consulte Traducción de direcciones de red (NAT). - Haga clic en Guardar.