Vous pouvez créer une règle NAT source (SNAT) pour rendre privée l'adresse IP source publique et inversement. Vous pouvez créer une règle NAT de destination (DNAT) pour rendre privée l'adresse IP de destination publique et inversement.

Lorsque vous créez des règles NAT, vous pouvez spécifier les adresses IP d'origine et converties en utilisant les formats suivants :

  • Adresse IP ; par exemple, 192.0.2.0
  • Plage d'adresses IP ; par exemple, 192.0.2.0-192.0.2.24
  • Adresse IP/masque de sous-réseau ; par exemple, 192.0.2.0/24
  • any

Lorsque vous configurez une règle SNAT ou DNAT sur une passerelle Edge dans l'environnement VMware Cloud Director, vous configurez toujours la règle du point de vue de votre centre de données virtuel d'organisation. Une règle SNAT traduit l'adresse IP source des paquets envoyés à partir du réseau d'un centre de données virtuel d'organisation vers un réseau externe ou un autre réseau de centre de données virtuel d'organisation. Une règle DNAT traduit l'adresse IP, et éventuellement le port, des paquets reçus par un réseau de centre de données virtuel d'organisation en provenance d'un réseau externe ou d'un autre réseau de centre de données virtuel d'organisation.

Conditions préalables

Les adresses IP publiques doivent avoir été ajoutées à l'interface de la passerelle Edge NSX Data Center for vSphere sur laquelle vous voulez ajouter la règle. Pour des règles DNAT, l'adresse IP (publique) initiale doit avoir été ajoutée à l'interface de la passerelle Edge et pour les règles SNAT, l'adresse IP convertie (publique) doit avoir été ajoutée à l'interface.

Procédure

  1. Ouvrez les services de passerelle Edge.
    1. Dans la barre de navigation supérieure, cliquez sur Mise en réseau, puis sur Passerelles Edge.
    2. Sélectionnez la passerelle Edge à modifier, puis cliquez sur Services.
  2. Cliquez sur NAT pour afficher l'écran des règles NAT.
  3. Selon le type de règle NAT que vous créez, cliquez sur Règle DNAT ou Règle SNAT.
  4. Configurez une règle NAT de destination (de l'extérieur vers l'intérieur).
    Option Description
    Appliqué sur Sélectionnez l'interface sur laquelle appliquer la règle.
    IP/plage d'origine

    Entrez l'adresse IP requise ou sélectionnez l'adresse IP allouée dans la liste.

    Cette adresse doit être l'adresse IP publique de la passerelle Edge pour laquelle vous configurez la règle DNAT. Dans le paquet en cours d'inspection, cette adresse IP ou cette plage est celle qui apparaît comme adresse IP de destination du paquet. Ces adresses de destination du paquet sont celles traduites par cette règle DNAT.

    Protocole Sélectionnez le protocole auquel la règle s'applique. Pour appliquer cette règle à tous les protocoles, sélectionnez Tous.
    Port d'origine (Facultatif) Sélectionnez le port ou la plage de ports que le trafic entrant utilise sur la passerelle Edge pour se connecter au réseau interne sur lequel les machines virtuelles sont connectées. Cette sélection n'est pas disponible lorsque le Protocole est défini sur ICMP ou sur Tous.
    Type ICMP Lorsque vous sélectionnez ICMP (un utilitaire de signalement d'erreur et de diagnostic utilisé entre les périphériques pour communiquer des informations d'erreur) pour Protocole, sélectionnez le Type ICMP dans le menu déroulant.

    Les messages ICMP sont identifiés par le champ type. Par défaut, le type ICMP est défini sur tous.

    Adresse IP/plage traduite Tapez l'adresse IP ou la plage d'adresses IP vers laquelle les adresses de destination des paquets entrants seront traduites.

    Ces adresses sont les adresses IP d'une ou plusieurs machines virtuelles pour lesquelles vous configurez DNAT afin qu'elles puissent recevoir le trafic depuis le réseau externe.

    Port traduit (Facultatif) Sélectionnez le port ou la plage de ports avec lesquels le trafic entrant se connecte sur les machines virtuelles du réseau interne. Ces ports sont ceux vers lesquels la règle DNAT effectue la traduction pour les paquets entrants destinés aux machines virtuelles.
    Adresse IP source Si vous souhaitez que la règle s'applique uniquement au trafic issu d'un domaine spécifique, entrez une adresse IP pour ce domaine ou une plage d'adresses IP au format CIDR. Si vous laissez cette zone de texte vide, la règle DNAT s'applique à toutes les adresse IP incluses dans le sous-réseau local.
    Port source (Facultatif) Entrez un numéro de port pour la source.
    Description (Facultatif) Entrez une description significative pour la règle DNAT.
    Activé Activez cette option pour activer la règle.
    Activer la journalisation Activez cette option pour que la traduction d'adresses effectuée par cette règle soit consignée.
  5. Configurez une règle NAT source (de l'intérieur vers l'extérieur).
    Option Description
    Appliqué sur Sélectionnez l'interface sur laquelle appliquer la règle.
    IP/plage source d'origine Entrez l'adresse IP ou la plage d'adresses IP d'origine à appliquer à cette règle ou sélectionner l'adresse IP allouée dans la liste.

    Ces adresses sont les adresses IP d'une ou plusieurs machines virtuelles pour lesquelles vous configurez la règle SNAT, afin qu'elles puissent envoyer du trafic vers le réseau externe.

    IP/plage source traduite Entrez l'adresse IP requise.

    Cette adresse est toujours l'adresse IP publique de la passerelle pour laquelle vous configurez la règle SNAT. Spécifie l'adresse IP vers laquelle les adresses source (les machines virtuelles) des paquets sortants sont traduites lorsqu'elles envoient du trafic vers le réseau externe.

    Adresse IP de destination (Facultatif) Si vous souhaitez que la règle s'applique uniquement au trafic vers un domaine spécifique, entrez une adresse IP pour ce domaine ou une plage d'adresses IP au format CIDR. Si vous laissez cette zone de texte vide, la règle SNAT s'applique à toutes les destinations à l'extérieur du sous-réseau local.
    Port de destination (Facultatif) Entrez un numéro de port pour la destination.
    Description (Facultatif) Entrez une description significative pour la règle SNAT.
    Activé Activez cette option pour activer la règle.
    Activer la journalisation Activez cette option pour que la traduction d'adresses effectuée par cette règle soit consignée.
  6. Cliquez sur Conserver pour ajouter la règle à la table affichée à l'écran.
  7. Répétez les étapes pour configurer des règles supplémentaires.
  8. Cliquez sur Enregistrer les modifications pour enregistrer les règles dans le système.

Que faire ensuite

Ajoutez les règles de pare-feu de passerelle Edge correspondant aux règles SNAT ou DNAT que vous venez de configurer. Reportez-vous à Ajouter une règle de pare-feu de passerelle Edge NSX Data Center for vSphere.