NAT (Network Address Translation) mappa uno spazio di indirizzi IP a un altro. È possibile configurare NAT nei gateway di livello 0 e 1.
Il diagramma seguente mostra come è possibile configurare un NAT.
Oltre a NAT64, sono supportati tre tipi di NAT.
Nota: La disabilitazione del firewall del gateway causa l'eliminazione del traffico da parte della regola NAT. Se il firewall del gateway deve essere disabilitato, includere una regola Consenti:
| Origine | Destinazione | AZIONE |
| Qualsiasi | Qualsiasi | CONSENTI |
- NAT di origine (SNAT): converte un indirizzo IP di origine dei pacchetti in uscita in modo che i pacchetti appaiano come provenienti da una rete diversa. Supportato nei gateway di livello 0 e 1 in esecuzione in modalità Attivo-Standby. Per SNAT uno a uno, l'indirizzo IP tradotto mediante SNAT non viene programmato sulla porta di loopback e non è presente alcuna voce di inoltro con un IP tradotto mediante SNAT come prefisso. Per SNAT n a uno, l'indirizzo IP convertito mediante SNAT viene programmato nella porta di loopback e gli utenti visualizzano una voce di inoltro con un prefisso di indirizzo IP convertito mediante SNAT. SNAT NSX-T è progettato per essere applicato al traffico in uscita dall'ambiente NSX.
- DNAT (Destination NAT): converte l'indirizzo IP di destinazione dei pacchetti in entrata in modo che i pacchetti vengano consegnati a un indirizzo di destinazione in un'altra rete. Supportato nei gateway di livello 0 e 1 in esecuzione in modalità Attivo-Standby. DNAT NSX-T è progettato per essere applicato al traffico in ingresso nell'ambiente NSX.
- NAT riflessivo (a volte denominato NAT stateless) converte gli indirizzi che passano attraverso un dispositivo di routing. I pacchetti in entrata vengono sottoposti alla riscrittura dell'indirizzo di destinazione e i pacchetti in uscita vengono sottoposti alla riscrittura degli indirizzi di origine. Non mantiene una sessione perché è stateless. Supportato nei gateway di livello 0 in esecuzione in modalità attivo-attivo o attivo-standby e nei gateway di livello 1. NAT stateful non è supportato in modalità Attivo-Attivo.
È inoltre possibile disabilitare SNAT o DNAT per un indirizzo IP o un intervallo di indirizzi IP (No-SNAT/No-DNAT). Se un indirizzo presenta più regole NAT, viene applicata la regola con la priorità più alta.
Nota: Se è presente un'interfaccia di servizio configurata in una regola NAT,
translated_port verrà realizzato in NSX Manager come
destination_port. Questo significa che il servizio sarà la porta convertita mentre la porta convertita viene utilizzata per la corrispondenza del traffico come porta di destinazione. Se non è configurato alcun servizio, la porta verrà ignorata.
Se si sta creando una regola NAT da un Global Manager in un ambiente federazione di NSX, è possibile selezionare indirizzi IP specifici del sito per NAT. Si tenga presente quanto segue:
- Non fare clic su Imposta in Applica a se si desidera l'opzione predefinita per applicare la regola NAT a tutte le posizioni.
- In Applica a, fare clic su Imposta e selezionare le posizioni con le entità a cui si desidera applicare la regola e quindi selezionare Applica regola NAT a tutte le entità.
- In Applica a, fare clic su Imposta, selezionare una posizione e quindi selezionare Interfacce dal menu a discesa Categorie. È possibile selezionare le interfacce specifiche a cui si desidera applicare la regola NAT.
- DNAT non è supportato in un gateway di livello 1 in cui è configurata la VPN IPSec basata su criteri.
- SNAT configurato nell'interfaccia esterna di un gateway di livello 0 elabora il traffico da un gateway di livello 1 e da un'altra interfaccia esterna nel gateway di livello 0.
- NAT viene configurato negli uplink dei gateway di livello 0 e 1 ed elabora il traffico che passa attraverso questa interfaccia. Questo significa che le regole NAT del gateway di livello 0 non verranno applicate tra due gateway di livello 1 connessi al livello 0.
Matrici di supporto NAT
Campi di configurazione
| Tipo | source-addr | dest-addr | translated-addr | translated-port | match-service |
|---|---|---|---|---|---|
| SNAT | facoltativo | facoltativo | obbligatorio | no | facoltativo |
| DNAT | facoltativo | obbligatorio | obbligatorio | facoltativo | facoltativo |
| NO_SNAT | obbligatorio | facoltativo | no | no | facoltativo |
| NO_DNAT | facoltativo | obbligatorio | no | no | facoltativo |
| REFLEXIVE | obbligatorio | no | obbligatorio | no | no |
| NAT64 | facoltativo | obbligatorio | obbligatorio | facoltativo | facoltativo |
Casi d'uso della configurazione
| Tipi | 1:1 | n:n | n:m | n:1 | 1:m |
|---|---|---|---|---|---|
| SNAT | Sì | Sì | Sì | Sì | No |
| DNAT | Sì | Sì | * configurabile ma non supportato | Sì | * configurabile ma non supportato |
| NO_SNAT | - | - | - | - | - |
| NO_DNAT | - | - | - | - | - |
| REFLEXIVE | Sì | Sì | No | No | No |
| NAT64 | Sì | Sì | No | Sì | No |
Supporto del flusso del traffico NAT nelle interfacce
| Supporto del flusso del traffico nelle interfacce | DNAT | SNAT | NO_DNAT | NO_SNAT | REFLEXIVE | NAT64 |
|---|---|---|---|---|---|---|
| Uplink → Uplink | No | No | No | No | No | No |
| Uplink → Downlink | Sì | No | Sì | No | Sì | Sì |
| Uplink → Interfaccia del servizio | Sì | No | Sì | No | Sì | Sì |
| Downlink → Downlink | No | No | No | No | No | No |
| Downlink → Uplink | No | Sì | NO | Sì | Sì | No |
| Downlink → Interfaccia del servizio | No | No | NO | No | No | No |
| Interfaccia di servizio → Interfaccia del servizio | No | No | No | No | No | No |
| Interfaccia del servizio → Uplink | No | Sì | No | Sì | Sì | No |
| Interfaccia del servizio → Downlink | No | NO | No | No | No | No |
