È possibile creare una regola NAT di origine (SNAT) per modificare l'indirizzo IP di origine da pubblico a privato o viceversa. È possibile creare una regola NAT di destinazione (DNAT) per modificare l'indirizzo IP di destinazione da pubblico a privato o viceversa.

Durante la creazione di regole NAT, è possibile specificare gli indirizzi IP originali e convertiti utilizzando i seguenti formati:

  • Indirizzo IP, ad esempio 192.0.2.0
  • Intervallo di indirizzi IP, ad esempio 192.0.2.0-192.0.2.24
  • Indirizzo IP/subnet mask, ad esempio 192.0.2.0/24
  • any

Quando si configura una regola SNAT o DNAT in un gateway edge nell'ambiente di VMware Cloud Director, la regola viene sempre configurata dal punto di vista del virtual data center dell'organizzazione. Una regola SNAT converte l'indirizzo IP di origine dei pacchetti inviati da una rete di virtual data center dell'organizzazione a una rete esterna o a un'altra rete di virtual data center dell'organizzazione. Una regola DNAT converte l'indirizzo IP, e facoltativamente la porta, dei pacchetti ricevuti dalla rete di virtual data center dell'organizzazione provenienti da una rete esterna o da un'altra rete di virtual data center dell'organizzazione.

Prerequisiti

È necessario che gli indirizzi IP pubblici siano stati aggiunti all'interfaccia del gateway edge NSX Data Center for vSphere a cui si desidera aggiungere la regola. Per le regole DNAT, è necessario che all'interfaccia del gateway edge sia stato aggiunto l'indirizzo IP originale (pubblico), mentre per le regole SNAT, è necessario che all'interfaccia sia stato aggiunto l'indirizzo IP convertito (pubblico).

Procedura

  1. Aprire i servizi gateway edge.
    1. Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
    2. Selezionare il gateway edge da modificare e fare clic su Servizi.
  2. Fare clic su NAT per visualizzare la schermata Regole NAT.
  3. In base al tipo di regola NAT che si sta creando, fare clic su REGOLA DNAT o REGOLA SNAT.
  4. Configurare una regola NAT di destinazione (dall'esterno verso l'interno).
    Opzione Descrizione
    Applicato su Selezionare l'interfaccia in cui si desidera applicare la regola.
    IP/Intervallo originale

    Digitare l'indirizzo IP richiesto oppure selezionare l'indirizzo IP allocato nell'elenco.

    Questo indirizzo deve essere l'indirizzo IP pubblico del gateway edge per il quale si sta configurando la regola DNAT. Nel pacchetto ispezionato, questo indirizzo o intervallo IP è quello visualizzato come indirizzo IP di destinazione del pacchetto. Questi indirizzi di destinazione dei pacchetti sono quelli convertiti dalla regola DNAT.

    Protocollo Selezionare il protocollo a cui applicare la regola. Per applicare la regola a tutti i protocolli, selezionare Qualsiasi.
    Porta originale (Facoltativo) Selezionare la porta o l'intervallo di porte che il traffico in entrata utilizza nel gateway edge per connettersi alla rete interna a cui sono connesse le macchine virtuali. Questa opzione non è disponibile quando il Protocollo è impostato su ICMP o Qualsiasi.
    Tipo di ICMP Quando si seleziona ICMP (un'utilità di segnalazione degli errori e di diagnostica utilizzata tra i dispositivi per comunicare le informazioni sugli errori) in Protocollo, selezionare Tipo di ICMP dal menu a discesa.

    I messaggi di ICMP vengono identificati dal campo del tipo. Per impostazione predefinita, il tipo di ICMP è impostato su Qualsiasi.

    IP/Intervallo convertito Digitare l'indirizzo IP o un intervallo di indirizzi IP in cui verranno convertiti gli indirizzi di destinazione dei pacchetti in entrata.

    Si tratta degli indirizzi IP di una o più macchine virtuali per le quali si sta configurando la regola DNAT in modo che possano ricevere traffico dalla rete esterna.

    Porta convertita (Facoltativo) Selezionare la porta o l'intervallo di porte a cui si connette il traffico in entrata nelle macchine virtuali della rete interna. Si tratta delle porte in cui la regola DNAT esegue la conversione per i pacchetti in entrata per le macchine virtuali.
    Indirizzo IP origine Se si desidera che la regola venga applicata solo al traffico proveniente da un dominio specifico, immettere un indirizzo IP per questo dominio o un intervallo di indirizzi IP nel formato CIDR. Se si lascia vuota questa casella di testo, la regola DNAT viene applicata a tutti gli indirizzi IP presenti nella subnet locale.
    Porta di origine (Facoltativo) Immettere un numero di porta per l'origine.
    Descrizione (Facoltativo) Immettere una descrizione significativa per la regola DNAT.
    Abilitato Attivare questa opzione per attivare la regola.
    Abilita registrazione Attivare questa opzione per abilitare la registrazione della conversione degli indirizzi eseguita dalla regola.
  5. Configurare una regola NAT di origine (dall'interno verso l'esterno).
    Opzione Descrizione
    Applicato su Selezionare l'interfaccia in cui si desidera applicare la regola.
    IP di origine/Intervallo originale Digitare l'indirizzo IP originale o l'intervallo di indirizzi IP da applicare a questa regola oppure selezionare l'indirizzo IP allocato nell'elenco.

    Si tratta degli indirizzi IP di una o più macchine virtuali per le quali si sta configurando la regola SNAT in modo che possano inviare traffico alla rete esterna.

    IP di origine/Intervallo convertito Digitare l'indirizzo IP richiesto.

    Questo indirizzo è sempre l'indirizzo IP pubblico del gateway per il quale si sta configurando la regola SNAT. Specifica l'indirizzo IP in cui gli indirizzi (le macchine virtuali) di origine nei pacchetti in uscita vengono convertiti quando inviano il traffico alla rete esterna.

    Indirizzo IP destinazione (Facoltativo) Se si desidera che la regola venga applicata solo per il traffico verso un dominio specifico, immettere un indirizzo IP per questo dominio o un intervallo di indirizzi IP in formato CIDR. Se si lascia vuota questa casella di testo, la regola SNAT viene applicata a tutte le destinazioni esterne alla subnet locale.
    Porta di destinazione (Facoltativo) Immettere un numero di porta per la destinazione.
    Descrizione (Facoltativo) Immettere una descrizione significativa per la regola SNAT.
    Abilitato Attivare questa opzione per attivare la regola.
    Abilita registrazione Attivare questa opzione per abilitare la registrazione della conversione degli indirizzi eseguita dalla regola.
  6. Fare clic su Mantieni per aggiungere la regola alla tabella nella schermata.
  7. Ripetere i passaggi per configurare regole aggiuntive.
  8. Fare clic su Salva modifiche per salvare le regole nel sistema.

Operazioni successive

Aggiungere le regole del firewall del gateway edge corrispondente per la regola SNAT o DNAT appena configurata. Vedere Aggiunta di una regola del firewall del gateway edge di NSX Data Center for vSphere nel VMware Cloud Director Tenant Portal.