La traduction d'adresses réseau (NAT) met en correspondance un espace d'adressage IP et un autre. Vous pouvez configurer NAT sur les passerelles de niveau 0 et de niveau 1.
Le diagramme suivant montre comment NAT peut être configuré.
Trois types de NAT sont pris en charge, en plus de NAT64.
Note : La désactivation du pare-feu de passerelle entraîne l'abandon du trafic par la règle NAT. Si le pare-feu de passerelle doit être désactivé, incluez une règle Autoriser :
Source | Destination | ACTION |
ANY | ANY | AUTORISER |
- NAT source (SNAT) : traduit une adresse IP source de paquets sortants afin que les paquets apparaissent comme provenant d'un réseau différent. Pris en charge sur les passerelles de niveau 0/niveau 1 s'exécutant en mode actif-en veille. Pour SNAT individuel , l'adresse IP traduite SNAT n'est pas programmée sur le port de bouclage et il n'y a pas d'entrée de transfert avec une adresse IP traduite SNAT comme préfixe. Pour SNAT individuelle, l'adresse IP traduite SNAT est programmée sur le port de bouclage et les utilisateurs voient une entrée de transfert avec un préfixe d'adresse IP traduite SNAT. NSX SNAT est conçue pour être appliquée au trafic qui sort de l'environnement NSX.
- NAT de destination (DNAT) : traduit l'adresse IP de destination des paquets entrants afin que les paquets soient livrés à une adresse cible dans un autre réseau. Pris en charge sur les passerelles de niveau 0/niveau 1 s'exécutant en mode actif-en veille. NSX DNAT est conçue pour être appliquée au trafic qui entre dans l'environnement NSX.
- NAT réflexive : (parfois appelé NAT sans état) traduit les adresses passant par un périphérique de routage. Les paquets entrants font l'objet d'une réécriture d'adresse de destination, et les paquets sortants subissent la réécriture de l'adresse source. Elle ne maintient pas une session, car elle est sans état. Pris en charge sur les passerelles de niveau 0 s'exécutant en mode actif-actif ou actif-en veille, et sur les passerelles de niveau 1. La NAT avec état n'est pas prise en charge en mode actif-actif.
Vous pouvez également désactiver la SNAT ou la DNAT pour une adresse IP ou une plage d'adresses (No-SNAT/No-DNAT). Si une adresse dispose de plusieurs règles NAT, la règle présentant la priorité la plus élevée est appliquée.
Note : Si un service est configuré dans cette règle NAT,
translated_port sera réalisé sur NSX Manager en tant que
destination_port. Cela signifie que le service sera le port traduit tandis que le port traduit est utilisé pour faire correspondre le trafic en tant que port de destination. Si aucun service n'est configuré, le port sera ignoré.
Si vous créez une règle NAT à partir d'un gestionnaire global dans un environnement la fédération NSX, vous pouvez sélectionner des adresses IP spécifiques au site pour la NAT. Notez les points suivants :
- Ne cliquez pas sur Définir sous Appliquer à si vous souhaitez utiliser l'option d'application par défaut de la règle NAT à tous les emplacements.
- Sous Appliquer à, cliquez sur Définir et sélectionnez les emplacements auxquels vous souhaitez appliquer la règle, puis sélectionnez Appliquer la règle NAT à toutes les entités.
- Sous Appliquer à, cliquez sur Définir, sélectionnez un emplacement puis sélectionnez Interfaces dans le menu déroulant Catégories. Vous pouvez sélectionner des interfaces spécifiques auxquelles vous souhaitez appliquer la règle NAT.
- DNAT n'est pas pris en charge sur une passerelle de niveau 1 où un VPN IPSec basé sur les stratégies est configuré.
- Le SNAT configuré sur l'interface externe de la passerelle de niveau 0 traite le trafic provenant d'une passerelle de niveau 1, et d'une autre interface externe sur la passerelle de niveau 0.
- La NAT est configurée sur les liaisons montantes des passerelles de niveau 0/niveau 1 et traite le trafic passant par cette interface. Cela signifie que les règles NAT de la passerelle de niveau 0 ne s'appliquent pas entre deux passerelles de niveau 1 connectées au niveau 0.
Matrices de prise en charge NAT
Champs de configuration
Type | adresse source | adresse de destination | adresse traduite | port traduit | service de mise en correspondance |
---|---|---|---|---|---|
SNAT | facultatif | facultatif | obligatoire | non | facultatif |
DNAT | facultatif | obligatoire | obligatoire | facultatif | facultatif |
NO_SNAT | obligatoire | facultatif | non | non | facultatif |
NO_DNAT | facultatif | obligatoire | non | non | facultatif |
RÉFLEXIF | obligatoire | non | obligatoire | non | non |
NAT64 | facultatif | obligatoire | obligatoire | facultatif | facultatif |
Cas d'utilisation de configuration
Types | 1:1 | n:n | n:m | n:1 | 1:m |
---|---|---|---|---|---|
SNAT | Oui | Oui | Oui | Oui | Non |
DNAT | Oui | Oui | * configurable mais non pris en charge | Oui | * configurable mais non pris en charge |
NO_SNAT | - | - | - | - | - |
NO_DNAT | - | - | - | - | - |
RÉFLEXIF | Oui | Oui | Non | Non | Non |
NAT64 | Oui | Oui | Non | Oui | Non |
Prise en charge du flux de trafic NAT sur les interfaces
Prise en charge du flux de trafic sur les interfaces | DNAT | SNAT | NO_DNAT | NO_SNAT | RÉFLEXIF | NAT64 |
---|---|---|---|---|---|---|
Liaison montante → Liaison montante | Non | Non | Non | Non | Non | Non |
Liaison montante → Liaison descendante | Oui | Non | Oui | Non | Oui | Oui |
Liaison montante → Interface de service | Oui | Non | Oui | Non | Oui | Oui |
Liaison descendante → Liaison descendante | Non | Non | Non | Non | Non | Non |
Liaison descendante → Liaison montante | Non | Oui | NON | Oui | Oui | Non |
Liaison descendante → Interface de service | Non | Non | NON | Non | Non | Non |
Interface de service → Interface de service | Non | Non | Non | Non | Non | Non |
Interface de service → Liaison montante | Non | Oui | Non | Oui | Oui | Non |
Interface de service → Liaison descendante | Non | NON | Non | Non | Non | Non |