Tier-0 또는 Tier-1 게이트웨이에서 IPv4에 대해 다른 유형의 NAT(네트워크 주소 변환)를 구성할 수 있습니다. 트래픽 흐름이 Edge 방화벽 규칙과 NAT 규칙 모두에 도달하면 NAT 방화벽 설정이 사용됩니다.

NAT 방화벽 정책을 사용하면 방화벽 규칙이 외부 또는 내부 IP 주소와 일치할지 여부를 정의할 수 있습니다. 내부 주소는 NSX 도메인 내의 호스트 또는 VM에 할당된 IP 주소입니다. 외부 주소는 NSX 도메인 외부의 호스트 또는 VM에 할당된 IP 주소입니다.

참고: 이 NAT 규칙에 구성된 서비스가 있는 경우 translated_port가 NSX Manager에서 destination_port로 인식됩니다. 즉, 변환된 포트는 트래픽을 대상 포트로 일치시키는 데 사용되지만 서비스는 변환된 포트가 됩니다. 구성된 서비스가 없는 경우 포트가 무시됩니다.

프로시저

  1. 관리자 권한으로 NSX Manager에 로그인합니다.
  2. 네트워킹 > NAT를 선택합니다.
  3. 게이트웨이 드롭다운 목록에서 게이트웨이를 선택합니다.
  4. 보기 옆에 있는 NAT를 선택합니다.
  5. NAT 규칙 추가를 클릭합니다.
  6. 이름을 입력합니다.
  7. 작업을 선택합니다.
    게이트웨이 사용 가능한 작업
    Tier-1 게이트웨이 사용 가능한 작업은 SNAT, DNAT, Reflexive, NO SNATNO DNAT입니다.
    활성-대기 모드의 Tier-0 게이트웨이 사용 가능한 작업은 SNAT, DNAT, Reflexive, NO SNATNO DNAT입니다.
    활성-활성 모드의 Tier-0 게이트웨이 사용 가능한 작업은 Reflexive입니다.
  8. 소스를 입력합니다. 이 텍스트 상자를 비워 두면 로컬 서브넷 외부의 모든 소스에 이 NAT 규칙이 적용됩니다.
    IP 주소 또는 CIDR 형식의 IP 주소 범위를 지정합니다. SNAT, NO_SNATReflexive 규칙의 경우 이것은 필수 필드이며 네트워크에서 나가는 패킷의 소스 네트워크를 나타냅니다.
  9. 대상을 입력합니다.
    IP 주소 또는 CIDR 형식의 IP 주소 범위를 지정합니다. DNATNO_DNAT 규칙의 경우 이것은 필수 필드이며 네트워크에서 나가는 패킷의 소스 네트워크를 나타냅니다. 이 필드는 Reflexive에 적용될 수 없습니다.
  10. 변환된 IP에 대한 값을 입력합니다.
    IPv4 주소 또는 CIDR 형식의 IP 주소 범위를 지정합니다. 변환된 IP가 SNAT에 대한 일치 IP보다 작으면 PAT로 작동합니다.
  11. 규칙을 사용하도록 설정하려면 사용으로 전환합니다.
  12. (선택 사항) 서비스 열에서 설정을 클릭하여 서비스를 선택합니다.
    이 NAT 규칙에 구성된 서비스 인터페이스가 있는 경우 translated_port가 NSX Manager에서 destination_port로 인식됩니다. 즉, 변환된 포트는 트래픽을 대상 포트로 일치시키는 데 사용되지만 서비스는 변환된 포트가 됩니다. 구성된 서비스가 없는 경우 포트가 무시됩니다.
  13. (선택 사항) 변환된 포트에 대한 값을 입력합니다.
    이 NAT 규칙에 구성된 서비스 인터페이스가 있는 경우 translated_port가 NSX Manager에서 destination_port로 인식됩니다. 즉, 변환된 포트는 트래픽을 대상 포트로 일치시키는 데 사용되지만 서비스는 변환된 포트가 됩니다. 구성된 서비스가 없는 경우 포트가 무시됩니다.
  14. (선택 사항) 적용 대상의 경우 설정을 클릭하고 이 규칙이 적용되는 개체를 선택합니다.
    사용 가능한 개체는 Tier-0 게이트웨이, 인터페이스, 레이블, 서비스 인스턴스 끝점가상 끝점입니다.
    참고: NSX 페더레이션를 사용하고 글로벌 관리자 장치에서 NAT 규칙을 생성하는 경우에는 NAT에 대한 사이트별 IP 주소를 선택할 수 있습니다. 다음 위치 중 하나에 NAT 규칙을 적용할 수 있습니다.
    • 모든 위치에 NAT 규칙을 적용하는 기본 옵션을 사용하려는 경우에는 설정을 클릭하지 마십시오.
    • 설정을 클릭합니다. 적용 대상 | 새 규칙 대화상자에서 해당 엔티티에 규칙을 적용하려는 위치를 선택하고 적용을 클릭합니다.
    • 설정을 클릭합니다. 적용 대상 | 새 규칙 대화상자에서 위치를 선택한 다음, 범주 드롭다운 메뉴에서 인터페이스를 선택합니다. NAT 규칙을 적용하려는 특정 인터페이스를 선택할 수 있습니다.
    • 설정을 클릭합니다. 적용 대상 | 새 규칙 대화상자에서 위치를 선택한 다음, 범주 드롭다운 메뉴에서 VTI를 선택합니다. NAT 규칙을 적용할 특정 VTI를 선택할 수 있습니다.
    자세한 내용은 NSX 페더레이션에서 지원되는 기능 및 구성 항목을 참조하십시오.
  15. (선택 사항) NAT 방화벽 정책 설정을 선택합니다.
    사용 가능한 방화벽 설정은 다음과 같습니다.
    • 외부 주소와 일치 - 방화벽이 NAT 규칙의 외부 주소에 적용됩니다.
      • SNAT의 경우 외부 주소는 NAT가 완료된 후 변환된 소스 주소입니다.
      • DNAT의 경우 외부 주소는 NAT가 완료되기 전의 원래 대상 주소입니다.
      • REFLEXIVE의 경우 트래픽을 송신하기 위해 NAT가 완료된 후 방화벽이 변환된 소스 주소에 적용됩니다. 수신 트래픽의 경우 NAT가 완료되기 전에 방화벽이 원래 대상 주소에 적용됩니다.
    • 내부 주소 일치 - 방화벽이 NAT 규칙의 내부 주소에 적용됨을 나타냅니다.
      • SNAT의 경우 내부 주소는 NAT가 완료되기 전의 원래 소스 주소입니다.
      • DNAT의 경우 내부 주소는 NAT가 완료된 후 변환된 대상 주소입니다.
      • REFLEXIVE의 경우 송신 트래픽에서 NAT가 완료되기 전에 방화벽이 원래 소스 주소에 적용됩니다. 수신 트래픽의 경우 NAT가 완료된 후 방화벽이 변환된 대상 주소에 적용됩니다.
    • 우회 - 패킷은 방화벽 규칙을 우회합니다.
  16. (선택 사항) 로깅을 사용하도록 설정하려면 로깅 버튼을 전환합니다.
  17. (선택 사항) 우선 순위 값을 지정합니다.
    값이 낮을수록 우선 순위가 더 높습니다. 기본값은 0입니다. SNAT 없음 또는 DNAT 없음 규칙은 다른 규칙보다 우선 순위가 높아야 합니다.
  18. 저장을 클릭합니다.