NAT(네트워크 주소 변환)는 하나의 IP 주소 공간을 다른 주소 공간에 매핑합니다. Tier-0 및 Tier-1 게이트웨이에서 NAT를 구성할 수 있습니다.
참고: 게이트웨이 방화벽을 사용하지 않도록 설정하면 NAT 규칙에 따라 트래픽이 삭제됩니다. 게이트웨이 방화벽을 사용하지 않도록 설정해야 하는 경우 허용 규칙을 포함합니다.
소스 | 대상 | 작업 |
임의 | 임의 | 허용 |
- SNAT(소스 NAT) - 패킷이 다른 네트워크에서 시작된 것으로 표시될 수 있도록 아웃바운드 패킷의 소스 IP 주소를 변환합니다. 활성-대기 모드에서 실행 중인 Tier-0/Tier-1 게이트웨이에서 지원됩니다. 일대일 SNAT의 경우 SNAT 변환 IP 주소가 루프백 포트에 프로그래밍되지 않으며, SNAT 변환 IP가 접두사로 포함되는 전달 항목이 없습니다. 일대일 SNAT의 경우 SNAT 변환 IP 주소가 루프백 포트에 프로그래밍되며, 사용자는 SNAT 변환 IP 주소 접두사가 있는 전달 항목을 볼 수 있습니다. NSX SNAT는 NSX 환경을 송신하는 트래픽에 적용되도록 설계되었습니다.
- DNAT(대상 NAT) - 인바운드 패킷의 대상 IP 주소를 변환하여 패킷이 대상 주소에서 다른 네트워크로 전달됩니다. 활성-대기 모드에서 실행 중인 Tier-0/Tier-1 게이트웨이에서 지원됩니다. NSX DNAT는 NSX 환경을 수신하는 트래픽에 적용되도록 설계되었습니다.
- Reflexive NAT - (경우에 따라 상태 비저장 NAT라고도 함) 라우팅 디바이스를 통과하는 주소를 변환합니다. 인바운드 패킷의 대상 주소를 다시 작성하고 있으며 아웃바운드 패킷의 소스 주소를 다시 작성하고 있습니다. 상태 정보를 저장하지 않았으므로 세션은 유지되지 않습니다. 활성-활성 또는 활성-대기 모드로 실행되는 Tier-0 게이트웨이와 Tier-1 게이트웨이에서 지원됩니다.
- 상태 저장 NAT 서비스는 T0 또는 T1 게이트웨이에서 상태 저장 활성-활성 HA 모드를 사용할 때 지원됩니다.
IP 주소 또는 주소 범위에 대해 SNAT 또는 DNAT를 사용하지 않도록 설정할 수도 있습니다(No-SNAT/No-DNAT). 주소에 여러 NAT 규칙이 있는 경우 우선 순위가 가장 높은 규칙이 적용됩니다.
참고: 이 NAT 규칙에 구성된 서비스 인터페이스가 있는 경우
translated_port가 NSX Manager에서
destination_port로 인식됩니다. 즉, 변환된 포트는 트래픽을 대상 포트로 일치시키는 데 사용되지만 서비스는 변환된 포트가 됩니다. 구성된 서비스가 없는 경우 포트가 무시됩니다.
NSX 페더레이션 환경의 글로벌 관리자에서 NAT 규칙을 생성하는 경우 NAT에 대해 사이트별 IP 주소를 선택할 수 있습니다. 다음에 유의하십시오.
- 모든 위치에 NAT 규칙을 적용하는 기본 옵션을 사용하려는 경우에는 적용 대상에서 설정을 클릭하지 마십시오.
- 적용 대상에서 설정을 클릭하고 규칙을 적용할 엔티티를 포함하는 위치를 선택하고 모든 엔티티에 NAT 규칙 적용을 선택합니다.
- 적용 대상에서 설정을 클릭한 다음 위치를 선택하고 범주 드롭다운 메뉴에서 인터페이스를 선택합니다. NAT 규칙을 적용하려는 특정 인터페이스를 선택할 수 있습니다.
- 정책 기반 IPSec VPN이 구성된 Tier-1 게이트웨이에서는 DNAT가 지원되지 않습니다.
- Tier-0 게이트웨이의 외부 인터페이스에서 구성된 SNAT는 Tier-1 게이트웨이에서 나가는 트래픽은 물론 Tier-0 게이트웨이의 다른 외부 인터페이스에서 나가는 트래픽을 처리합니다.
- NAT는 Tier-0/Tier-1 게이트웨이의 업링크에 구성되어 있으며 이 인터페이스를 통과하는 트래픽을 처리합니다. 즉, Tier-0 게이트웨이 NAT 규칙이 Tier-0에 연결된 두 Tier-1 게이트웨이 간에 적용되지 않습니다.
NAT 지원 매트릭스
구성 필드
유형 | source-addr | dest-addr | translated-addr | translated-port | match-service |
---|---|---|---|---|---|
SNAT | 선택 사항 | 선택 사항 | 필수 | 아니요 | 선택 사항 |
DNAT | 선택 사항 | 필수 | 필수 | 선택 사항 | 선택 사항 |
NO_SNAT | 필수 | 선택 사항 | 아니요 | 아니요 | 선택 사항 |
NO_DNAT | 선택 사항 | 필수 | 아니요 | 아니요 | 선택 사항 |
REFLEXIVE | 필수 | 아니요 | 필수 | 아니요 | 아니요 |
NAT64 | 선택 사항 | 필수 | 필수 | 선택 사항 | 선택 사항 |
지원되는 사용 사례
유형 | 1:1 | n:n | n:m | n:1 | 1:m |
---|---|---|---|---|---|
SNAT | 예 | 예 | 예 | 예 | 아니요 |
DNAT | 예 | 예 | * 구성 가능하지만 지원되지 않음 | 예 | * 구성 가능하지만 지원되지 않음 |
NO_SNAT | - | - | - | - | - |
NO_DNAT | - | - | - | - | - |
REFLEXIVE | 예 | 예 | 아니요 | 아니요 | 아니요 |
NAT64 | 예 | 예 | 아니요 | 예 | 아니요 |
인터페이스의 NAT 트래픽 흐름 지원
인터페이스의 트래픽 흐름 지원 | DNAT | SNAT | NO_DNAT | NO_SNAT | REFLEXIVE | NAT64 |
---|---|---|---|---|---|---|
업링크 → 업링크 | 아니요 | 아니요 | 아니요 | 아니요 | 아니요 | 아니요 |
업링크 → 다운링크 | 예 | 아니요 | 예 | 아니요 | 예 | 예 |
업링크 → 서비스 인터페이스 | 예 | 아니요 | 예 | 아니요 | 예 | 예 |
다운링크 → 다운링크 | 아니요 | 아니요 | 아니요 | 아니요 | 아니요 | 아니요 |
다운링크 → 업링크 | 아니요 | 예 | NO | 예 | 예 | 아니요 |
다운링크 → 서비스 인터페이스 | 아니요 | 아니요 | NO | 아니요 | 아니요 | 아니요 |
서비스 인터페이스 → 서비스 인터페이스 | 아니요 | 아니요 | 아니요 | 아니요 | 아니요 | 아니요 |
서비스 인터페이스→ 업링크 | 아니요 | 예 | 아니요 | 예 | 예 | 아니요 |
서비스 인터페이스→ 다운링크 | 아니요 | NO | 아니요 | 아니요 | 아니요 | 아니요 |