Vous pouvez configurer différents types de NAT (Network Address Translation) pour IPv4 sur une passerelle de niveau 0 ou de niveau 1 . Les paramètres de pare-feu NAT sont utilisés lorsqu'un flux de trafic atteint les règles de pare-feu Edge et les règles NAT.
La stratégie de pare-feu NAT vous permet de définir si les règles de pare-feu correspondent à des adresses IP externes ou internes. Les adresses internes sont des adresses IP attribuées à des hôtes ou à des machines virtuelles à l'intérieur du domaine NSX. Les adresses externes sont des adresses IP attribuées à des hôtes ou à des machines virtuelles en dehors du domaine NSX.
Note : Si un service est configuré dans cette règle NAT, le translated_port sera réalisé sur NSX Manager en tant que destination_port. Cela signifie que le service sera le port traduit tandis que le port traduit est utilisé pour faire correspondre le trafic en tant que port de destination. Si aucun service n'est configuré, le port sera ignoré.
Procédure
- Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
- Sélectionnez .
- Sélectionnez une passerelle à partir de la liste déroulante Passerelle.
- En regard de Afficher, sélectionnez NAT.
- Cliquez sur Ajouter une règle NAT.
- Entrez un nom.
- Sélectionnez une action.
Passerelle |
Actions disponibles |
Passerelle de niveau 1 |
Les actions disponibles sont SNAT, DNAT, Réflexive, AUCUN SNAT et AUCUN DNAT. |
Passerelle de niveau 0 en mode actif-en veille |
Les actions disponibles sont SNAT, DNAT, Réflexive, AUCUN SNAT et AUCUN DNAT. |
Passerelle de niveau 0 en mode actif-actif |
L'action disponible est Réflexive. |
- Entrez une Source. Si cette zone de texte reste vide, la règle NAT s'applique à toutes les sources extérieures au sous-réseau local.
Spécifiez une adresse IP ou une plage d'adresses IP au format CIDR. Pour les règles
SNAT,
NO_SNAT et
Réflexive, il s'agit d'un champ obligatoire qui représente le réseau source des paquets quittant le réseau.
- Entrez une Destination.
Spécifiez une adresse IP ou une plage d'adresses IP au format CIDR. Pour les règles
DNAT et
NO_DNAT, il s'agit d'un champ obligatoire qui représente le réseau source des paquets quittant le réseau. Ce champ ne s'applique pas à
Réflexif.
- Entrez une valeur pour Adresse IP traduite.
Spécifiez une adresse IPv4 ou une plage d'adresses IP au format CIDR. Si l'adresse IP traduite est inférieure à l'adresse IP correspondante pour SNAT, elle fonctionnera comme PAT.
- Cliquez sur le bouton bascule Activer pour activer la règle.
- (Facultatif) Dans la colonne Service, cliquez sur Définir pour sélectionner des services.
Si un service est configuré dans cette règle NAT,
translated_port sera réalisé sur NSX Manager en tant que
destination_port. Cela signifie que le service sera le port traduit tandis que le port traduit est utilisé pour faire correspondre le trafic en tant que port de destination. Si aucun service n'est configuré, le port sera ignoré.
- (Facultatif) Entrez une valeur pour Port traduit.
Si un service est configuré dans cette règle NAT,
translated_port sera réalisé sur NSX Manager en tant que
destination_port. Cela signifie que le service sera le port traduit tandis que le port traduit est utilisé pour faire correspondre le trafic en tant que port de destination. Si aucun service n'est configuré, le port sera ignoré.
- (Facultatif) Dans Appliquer à, cliquez sur Définir et sélectionnez les objets auxquels s'applique cette règle.
Les objets disponibles sont
Passerelles de niveau 0,
Interfaces,
Étiquettes,
Points de terminaison de l'instance de service et
Points de terminaison virtuels.
Note : Si vous utilisez
NSX fédération et que vous créez une règle NAT à partir d'un dispositif
Gestionnaire global, vous pouvez sélectionner des adresses IP spécifiques au site pour NAT. Vous pouvez appliquer la règle NAT à l'une des étendues d'emplacements suivantes :
- Ne cliquez pas sur Définir si vous souhaitez utiliser l'option d'application par défaut de la règle NAT à tous les emplacements.
- Cliquez sur Définir. Dans la boîte de dialogue Appliqué à | Nouvelle règle, sélectionnez les emplacements auxquels vous souhaitez appliquer la règle, puis sélectionnez Appliquer.
- Cliquez sur Définir. Dans la boîte de dialogue Appliqué à | Nouvelle règle, sélectionnez un emplacement, puis sélectionnez Interfaces dans le menu déroulant Catégories. Vous pouvez sélectionner des interfaces spécifiques auxquelles vous souhaitez appliquer la règle NAT.
- Cliquez sur Définir. Dans la boîte de dialogue Appliqué à | Nouvelle règle, sélectionnez un emplacement, puis sélectionnez VTI dans le menu déroulant Catégories. Vous pouvez sélectionner des VTI spécifiques auxquelles vous souhaitez appliquer la règle NAT.
Pour plus d'informations, reportez-vous à la section
Fonctionnalités et configurations prises en charge dans NSX fédération.
- (Facultatif) Sélectionnez le paramètre de stratégie de pare-feu NAT.
Les paramètres de pare-feu disponibles sont les suivants :
- Correspond à une adresse externe : le pare-feu sera appliqué à l'adresse externe d'une règle NAT.
- Pour SNAT, l'adresse externe est l'adresse source traduite après l'exécution de NAT.
- Pour DNAT, l'adresse externe est l'adresse de destination d'origine avant l'exécution de NAT.
- Pour REFLÉXIVE, pour le trafic de sortie, le pare-feu est appliqué à l'adresse source traduite après l'exécution de NAT. Pour le trafic d'entrée, le pare-feu est appliqué à l'adresse de destination d'origine avant l'exécution de NAT.
- Correspond à une adresse interne : indique si le pare-feu sera appliqué à l'adresse interne d'une règle NAT.
- Pour SNAT, l'adresse interne est l'adresse source d'origine avant l'exécution de NAT.
- Pour DNAT, l'adresse interne est l'adresse de destination traduite après l'exécution de NAT.
- Pour REFLEXIVE, pour le trafic de sortie, le pare-feu est appliqué à l'adresse source d'origine avant l'exécution de NAT. Pour le trafic d'entrée, le pare-feu est appliqué à l'adresse de destination traduite après l'exécution de NAT.
- Contournement : le paquet contourne les règles de pare-feu.
- (Facultatif) Basculez le bouton Journalisation pour activer la journalisation.
- (Facultatif) Spécifiez une valeur de priorité.
Une valeur inférieure signifie une priorité plus élevée. La valeur par défaut est 0. Une règle
Aucun SNAT ou
Aucun DNAT doit avoir une priorité plus élevée que les autres règles.
- Cliquez sur Enregistrer.