La traducción de direcciones de red (NAT) asigna un espacio de direcciones IP con otro. Puede configurar la NAT en puertas de enlace de nivel 0 y nivel 1.
Nota: Al deshabilitar el firewall de puerta de enlace, la regla NAT descarta el tráfico. Si es necesario deshabilitar el firewall de puerta de enlace, incluya una regla Permitir:
Origen | Destino | ACCIÓN |
ANY | ANY | ALLOW |
- NAT de origen (SNAT): traduce una dirección IP de origen de paquetes salientes para que los paquetes aparezcan como procedentes de otra red. Compatible con las puertas de enlace de nivel 0/nivel 1 que se ejecutan en modo activo-en espera. Para una SNAT de uno a uno, la dirección IP traducida de SNAT no está programada en el puerto de bucle invertido y no hay ninguna entrada de reenvío con una IP traducida por SNAT como prefijo. Para una SNAT de n a uno, la dirección IP traducida de SNAT está programada en el puerto de bucle invertido y los usuarios verán una entrada de reenvío con un prefijo de dirección IP traducido por SNAT. NSX SNAT está diseñado para aplicarse al tráfico saliente del entorno de NSX.
- NAT de destino (DNAT): traduce la dirección IP de destino de los paquetes entrantes para que los paquetes se entreguen en una dirección de destino de otra red. Compatible con las puertas de enlace de nivel 0/nivel 1 que se ejecutan en modo activo-en espera. NSX DNAT está diseñado para aplicarse al tráfico que entra al entorno de NSX.
- NAT reflexiva (a veces denominada NAT sin estado): traduce las direcciones que pasan a través de un dispositivo de enrutamiento. Los paquetes entrantes se someten a una reescritura de dirección de destino, y los paquetes salientes se someten a una reescritura de dirección de origen. No mantiene una sesión porque no tiene estado. Compatible con las puertas de enlace de nivel 0 que se ejecutan en modo Activo-Activo o Activo-En espera y en puertas de enlace de nivel 1.
- Se admiten servicios NAT con estado cuando se utiliza el modo de alta disponibilidad Activo-Activo con estado en la puerta de enlace de nivel 0 o nivel 1.
También se puede deshabilitar SNAT o DNAT para una dirección IP o un rango de direcciones (No-SNAT/No-DNAT). Si una dirección tiene varias reglas NAT, se aplica la regla con la prioridad más alta.
Nota: Si hay una interfaz de servicio configurada en esta regla NAT,
translated_port se realizará en NSX Manager como
destination_port. Esto significa que el servicio será el puerto traducido mientras que el puerto traducido se utilizará para que coincida con el tráfico como puerto de destino. Si no hay ningún servicio configurado, se omitirá el puerto.
Si va a crear una regla NAT desde un Global Manager en un entorno de NSX Federation, puede seleccionar direcciones IP específicas del sitio para NAT. Tenga en cuenta lo siguiente:
- No haga clic en Establecer en Se aplica a si desea utilizar la opción predeterminada para aplicar la regla NAT a todas las ubicaciones.
- En Se aplica a, haga clic en Establecer y seleccione las ubicaciones cuyas entidades desea aplicar a la regla y, a continuación, seleccione Aplicar regla NAT a todas las entidades.
- En Se aplica a, haga clic en Establecer y seleccione una ubicación y, a continuación, seleccione Interfaces en el menú desplegable Categorías. Puede seleccionar las interfaces específicas a las que desea aplicar la regla NAT.
- DNAT no es compatible con una puerta de enlace de nivel 1 donde está configurada la VPN de IPSec basada en directivas.
- La SNAT configurada en la interfaz externa de una puerta de enlace de nivel 0 procesa tráfico desde una puerta de enlace de nivel 1 desde otra interfaz externa en la puerta de enlace de nivel 0.
- NAT se configura en los vínculos superiores de las puertas de enlace de nivel 0/nivel 1 y procesa el tráfico que pasa a través de esta interfaz. Esto significa que las reglas NAT de puerta de enlace de nivel 0 no se aplicarán entre dos puertas de enlace de nivel 1 conectadas al nivel 0.
Matrices de compatibilidad de NAT
Campos de configuración
Tipo | source-addr | dest-addr | translated-addr | translated-port | match-service |
---|---|---|---|---|---|
SNAT | optional | optional | must | no | optional |
DNAT | optional | must | must | optional | optional |
NO_SNAT | must | optional | no | no | optional |
NO_DNAT | optional | must | no | no | optional |
REFLEXIVE | must | no | must | no | no |
NAT64 | optional | must | must | optional | optional |
Casos de uso de configuración
Tipos | 1:1 | n:n | n:m | n:1 | 1:m |
---|---|---|---|---|---|
SNAT | Sí | Sí | Sí | Sí | No |
DNAT | Sí | Sí | * configurable, pero no admitido | Sí | * configurable, pero no admitido |
NO_SNAT | - | - | - | - | - |
NO_DNAT | - | - | - | - | - |
REFLEXIVE | Sí | Sí | No | No | No |
NAT64 | Sí | Sí | No | Sí | No |
Compatibilidad con el flujo de tráfico NAT en interfaces
Compatibilidad con el flujo de tráfico en interfaces | DNAT | SNAT | NO_DNAT | NO_SNAT | REFLEXIVE | NAT64 |
---|---|---|---|---|---|---|
Vínculo superior → Vínculo superior | No | No | No | No | No | No |
Vínculo superior → Vínculo inferior | Sí | No | Sí | No | Sí | Sí |
Vínculo superior → Interfaz de servicio | Sí | No | Sí | No | Sí | Sí |
Vínculo inferior → Vínculo inferior | No | No | No | No | No | No |
Vínculo inferior → Vínculo superior | No | Sí | NO | Sí | Sí | No |
Vínculo inferior → Interfaz de servicio | No | No | NO | No | No | No |
Interfaz de servicio → Interfaz de servicio | No | No | No | No | No | No |
Interfaz de servicio → Vínculo superior | No | Sí | No | Sí | Sí | No |
Interfaz de servicio → Vínculo inferior | No | NO | No | No | No | No |