Vous pouvez configurer différents types de NAT pour IPv4 sur une passerelle de niveau 0 ou de niveau 1.
Note : Si un service est configuré dans cette règle NAT, le translated_port sera réalisé sur NSX Manager en tant que destination_port. Cela signifie que le service sera le port traduit tandis que le port traduit est utilisé pour faire correspondre le trafic en tant que port de destination. Si aucun service n'est configuré, le port sera ignoré.
Procédure
- Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
- Sélectionnez Mise en réseau > NAT.
- Sélectionnez une passerelle dans le menu déroulant Passerelle.
- En regard de Afficher, sélectionnez NAT.
- Cliquez sur Ajouter une règle NAT.
- Entrez un nom.
- Sélectionnez une action.
Passerelle Actions disponibles Passerelle de niveau 1 Les actions disponibles sont SNAT, DNAT, Réflexive, AUCUN SNAT et AUCUN DNAT. Passerelle de niveau 0 en mode actif-en veille Les actions disponibles sont SNAT, DNAT, AUCUN SNAT et AUCUN DNAT. Passerelle de niveau 0 en mode actif-actif L'action disponible est Réflexive. - Entrez une Source. Si cette zone de texte reste vide, la règle NAT s'applique à toutes les sources extérieures au sous-réseau local.
Spécifiez une adresse IP ou une plage d'adresses IP au format CIDR. Pour les règles SNAT, NO_SNAT et Réflexive, il s'agit d'un champ obligatoire qui représente le réseau source des paquets quittant le réseau.
- (Requis) Entrez une Destination.
Spécifiez une adresse IP ou une plage d'adresses IP au format CIDR. Pour les règles DNAT et NO_DNAT, il s'agit d'un champ obligatoire qui représente le réseau source des paquets quittant le réseau. Ce champ ne s'applique pas à Réflexif.
- Entrez une valeur pour Adresse IP traduite.
Spécifiez une adresse IPv4 ou une plage d'adresses IP au format CIDR. Si l'adresse IP traduite est inférieure à l'adresse IP correspondante pour SNAT, elle fonctionnera comme PAT.
- Cliquez sur le bouton bascule Activer pour activer la règle.
- Dans la colonne Service, cliquez sur Définir pour sélectionner des services.
Si un service est configuré dans cette règle NAT, translated_port sera réalisé sur NSX Manager en tant que destination_port. Cela signifie que le service sera le port traduit tandis que le port traduit est utilisé pour faire correspondre le trafic en tant que port de destination. Si aucun service n'est configuré, le port sera ignoré.
- Entrez une valeur pour Port traduit.
Si un service est configuré dans cette règle NAT, translated_port sera réalisé sur NSX Manager en tant que destination_port. Cela signifie que le service sera le port traduit tandis que le port traduit est utilisé pour faire correspondre le trafic en tant que port de destination. Si aucun service n'est configuré, le port sera ignoré.
- Dans Appliquer à, cliquez sur Définir et sélectionnez les objets auxquels s'applique cette règle.
Les objets disponibles sont Passerelles de niveau 0, Interfaces, Étiquettes, Points de terminaison de l'instance de service et Points de terminaison virtuels.Note : Si vous utilisez Fédération NSX et que vous créez une règle NAT à partir d'un dispositif Gestionnaire global, vous pouvez sélectionner des adresses IP spécifiques au site pour NAT. Vous pouvez appliquer la règle NAT à l'une des étendues d'emplacements suivantes :
- Ne cliquez pas sur Définir si vous souhaitez utiliser l'option d'application par défaut de la règle NAT à tous les emplacements.
- Cliquez sur Définir. Dans la boîte de dialogue Appliqué à | Nouvelle règle, sélectionnez les emplacements auxquels vous souhaitez appliquer la règle, puis sélectionnez Appliquer.
- Cliquez sur Définir. Dans la boîte de dialogue Appliqué à | Nouvelle règle, sélectionnez un emplacement, puis sélectionnez Interfaces dans le menu déroulant Catégories. Vous pouvez sélectionner des interfaces spécifiques auxquelles vous souhaitez appliquer la règle NAT.
- Cliquez sur Définir. Dans la boîte de dialogue Appliqué à | Nouvelle règle, sélectionnez un emplacement, puis sélectionnez VTI dans le menu déroulant Catégories. Vous pouvez sélectionner des VTI spécifiques auxquelles vous souhaitez appliquer la règle NAT.
- (Facultatif) Sélectionnez un paramètre de pare-feu.
Les paramètres disponibles sont les suivants :
- Correspond à une adresse externe : le pare-feu sera appliqué à l'adresse externe d'une règle NAT.
- Pour SNAT, l'adresse externe est l'adresse source traduite après l'exécution de NAT.
- Pour DNAT, l'adresse externe est l'adresse de destination d'origine avant l'exécution de NAT.
- Pour REFLÉXIVE, pour le trafic de sortie, le pare-feu est appliqué à l'adresse source traduite après l'exécution de NAT. Pour le trafic d'entrée, le pare-feu est appliqué à l'adresse de destination d'origine avant l'exécution de NAT.
- Correspond à une adresse interne : indique si le pare-feu sera appliqué à l'adresse interne d'une règle NAT.
- Pour SNAT, l'adresse interne est l'adresse source d'origine avant l'exécution de NAT.
- Pour DNAT, l'adresse interne est l'adresse de destination traduite après l'exécution de NAT.
- Pour REFLEXIVE, pour le trafic de sortie, le pare-feu est appliqué à l'adresse source d'origine avant l'exécution de NAT. Pour le trafic d'entrée, le pare-feu est appliqué à l'adresse de destination traduite après l'exécution de NAT.
- Contournement : le paquet contourne les règles de pare-feu.
- Correspond à une adresse externe : le pare-feu sera appliqué à l'adresse externe d'une règle NAT.
- (Facultatif) Basculez le bouton Journalisation pour activer la journalisation.
- Spécifiez une valeur de priorité.
Une valeur inférieure signifie une priorité plus élevée. La valeur par défaut est 0. Une règle Aucun SNAT ou Aucun DNAT doit avoir une priorité plus élevée que les autres règles.
- (Facultatif) Appliquer au VPN basé sur la stratégie : s'applique uniquement à la catégorie de règles DNAT ou Aucun DNAT. La règle est appliquée en fonction de la valeur de priorité. En dépit des paramètres de Contournement ou Correspondance, les paramètres appliqués au paramètre Appliquer à d'une stratégie NAT sont toujours respectés.
- Contournement : la règle NAT n'est pas appliquée au trafic déchiffré à partir d'un tunnel VPN IPSec basé sur les stratégies. Il s'agit du paramètre par défaut.
- Correspondance : si le trafic est déchiffré à partir d'un tunnel VPN IPSec basé sur la stratégie, la stratégie NAT est évaluée et mise en correspondance. La stratégie NAT n'est PAS évaluée sur le trafic qui n'est pas déchiffré à partir d'un tunnel VPN IPSec basé sur la stratégie.
Pour qu'une stratégie NAT atteigne le trafic déchiffré, la stratégie doit être définie sur Correspondance et l'interface dans laquelle le trafic chiffré est envoyé/reçu doit être définie dans le paramètre Appliquer à de la stratégie NAT. Pour plus d'informations sur le paramètre Appliquer à, consultez Traduction d'adresse réseau (NAT). - Cliquez sur Enregistrer.