È possibile configurare diversi tipi di NAT per IPv4 in un gateway di livello 0 o 1.
Nota: Se è presente un servizio configurato in questa regola NAT, translated_port verrà realizzato in NSX Manager come destination_port. Questo significa che il servizio sarà la porta convertita mentre la porta convertita viene utilizzata per la corrispondenza del traffico come porta di destinazione. Se non è configurato alcun servizio, la porta verrà ignorata.
Procedura
- Con i privilegi admin, accedere a NSX Manager.
- Selezionare Rete > NAT.
- Dal menu a discesa Visualizza selezionare NAT.
- Fare clic su Aggiungi regola NAT.
- Immettere un nome in Nome.
- Selezionare un'azione.
Gateway Azioni disponibili Gateway di livello 1 Le azioni disponibili sono SNAT, DNAT, Riflessivo, Nessuno SNAT e Nessun DNAT. Gateway di livello 0 in modalità attivo-standby Le azioni disponibili sono SNAT, DNAT, Nessuno SNAT e Nessun DNAT. Gateway di livello 0 in modalità attivo-attivo L'azione disponibile è Riflessivo. - Immettere un'origine in Origine. Se questa casella di testo viene lasciata vuota, la regola NAT viene applicata a tutte le origini esterne alla subnet locale.
Specificare un indirizzo IP o un intervallo di indirizzi IP nel formato CIDR. Per le regole SNAT, NO_SNAT e Riflessiva, questo campo è obbligatorio e rappresenta la rete di origine dei pacchetti che lasciano la rete.
- (Obbligatorio) Immettere una destinazione in Destinazione.
Specificare un indirizzo IP o un intervallo di indirizzi IP nel formato CIDR. Per le regole DNAT e NO_DNAT, questo campo è obbligatorio e rappresenta la rete di origine dei pacchetti che lasciano la rete. Questo campo non è applicabile per Riflessiva.
- Immettere un valore per IP convertito.
Specificare un indirizzo IPv4 o un intervallo di indirizzi IP nel formato CIDR. Se l'IP convertito è inferiore all'IP corrispondente per SNAT, funzionerà come PAT.
- Attivare o disattivare Abilita per abilitare la regola.
- Nella colonna Servizio fare clic su Imposta per selezionare i servizi.
Se è presente un'interfaccia di servizio configurata in una regola NAT, translated_port verrà realizzato in NSX Manager come destination_port. Questo significa che il servizio sarà la porta convertita mentre la porta convertita viene utilizzata per la corrispondenza del traffico come porta di destinazione. Se non è configurato alcun servizio, la porta verrà ignorata.
- Immettere un valore per Porta convertita.
Se è presente un'interfaccia di servizio configurata in una regola NAT, translated_port verrà realizzato in NSX Manager come destination_port. Questo significa che il servizio sarà la porta convertita mentre la porta convertita viene utilizzata per la corrispondenza del traffico come porta di destinazione. Se non è configurato alcun servizio, la porta verrà ignorata.
- In Applica a fare clic su Imposta e selezionare gli oggetti a cui la regola si applica.
Gli oggetti disponibili sono Gateway di livello 0, Interfacce, Etichette, Endpoint dell'istanza di servizio ed Endpoint virtuali.Nota: Se si utilizza federazione di NSX e si crea una regola NAT da un'appliance Global Manager, è possibile selezionare indirizzi IP specifici del sito per NAT. È possibile applicare la regola NAT a uno degli intervalli di posizioni seguenti:
- Non fare clic su Imposta se si desidera utilizzare l'opzione predefinita per applicare la regola NAT a tutte le posizioni.
- Fare clic su Imposta. Nella finestra di dialogo Si applica a | Nuova regola, selezionare le posizioni con le entità a cui si desidera applicare la regola e quindi fare clic su Applica.
- Fare clic su Imposta. Nella finestra di dialogo Si applica a | Nuova regola, selezionare una posizione e quindi selezionare Interfacce dal menu a discesa Categorie. È possibile selezionare le interfacce specifiche a cui si desidera applicare la regola NAT.
- Fare clic su Imposta. Nella finestra di dialogo Si applica a | Nuova regola, selezionare una posizione e quindi selezionare VTI dal menu a discesa Categorie. È possibile selezionare le VTI specifiche a cui si desidera applicare la regola NAT.
- (Facoltativo) Selezionare un'impostazione del firewall.
Le impostazioni disponibili sono:
- Corrispondenza con indirizzo esterno: il firewall verrà applicato all'indirizzo esterno di una regola NAT.
- Per SNAT, l'indirizzo estero è l'indirizzo di origine convertito dopo l'esecuzione del NAT.
- Per DNAT, l'indirizzo esterno è l'indirizzo di destinazione originario prima dell'esecuzione del NAT.
- Per RIFLESSIVA, per il traffico in uscita, il firewall viene applicato all'indirizzo di origine convertito dopo l'operazione NAT. Per il traffico in ingresso, il firewall viene applicato all'indirizzo di destinazione originale prima dell'esecuzione del NAT.
- Corrispondenza con indirizzo interno: indica che il firewall verrà applicato all'indirizzo interno di una regola NAT.
- Per SNAT, l'indirizzo interno è l'indirizzo di origine prima dell'esecuzione del NAT.
- Per DNAT, l'indirizzo interno è l'indirizzo di destinazione convertito dopo l'esecuzione del NAT.
- Per RIFLESSIVA, per il traffico in uscita, il firewall viene applicato all'indirizzo di origine prima dell'esecuzione del NAT. Per il traffico in entrata, il firewall viene applicato all'indirizzo di destinazione convertito dopo l'esecuzione del NAT.
- Ignora: il pacchetto ignora le regole del firewall.
- Corrispondenza con indirizzo esterno: il firewall verrà applicato all'indirizzo esterno di una regola NAT.
- (Facoltativo) Attivare o disattivare il pulsante di Registrazione per abilitare la registrazione.
- Specificare un valore di priorità.
Più basso è il valore, più alta è la priorità. Il valore predefinito è 0. Una regola Nessuno SNAT o Nessun DNAT deve avere una priorità più alta rispetto ad altre regole.
- (Facoltativo) Applica a VPN basata su criteri: si applica solo per la categoria di regole DNAT o Nessun DNAT. La regola viene applicata in base al valore di priorità. Indipendentemente dalle impostazioni Ignora o Associa, le impostazioni applicate per il parametro Applica a di un criterio NAT sono ancora rispettate.
- Ignora: la regola NAT non viene applicata al traffico decrittografato da un tunnel VPN IPSec basato su criteri. Questa è l'impostazione predefinita.
- Associa: se il traffico viene decrittografato da un tunnel VPN IPSec basato su criteri, il criterio NAT viene valutato e fatto corrispondere. Il criterio NAT NON viene valutato sul traffico non decrittografato da un tunnel VPN IPSec basato su criteri.
Affinché un criterio NAT arrivi al traffico decrittografato, il criterio deve essere impostato su Associa e l'interfaccia in cui il traffico crittografato viene inviato/ricevuto deve essere impostata sul parametro Applica a del criterio NAT. Per ulteriori informazioni sul parametro Applica a, vedere NAT (Network Address Translation). - Fare clic su Salva.