Tier-0 또는 Tier-1 게이트웨이에서 IPv4에 대해 다른 유형의 NAT를 구성할 수 있습니다.
참고: 이 NAT 규칙에 구성된 서비스가 있는 경우 translated_port가 NSX Manager에서 destination_port로 인식됩니다. 즉, 변환된 포트는 트래픽을 대상 포트로 일치시키는 데 사용되지만 서비스는 변환된 포트가 됩니다. 구성된 서비스가 없는 경우 포트가 무시됩니다.
프로시저
- 관리자 권한으로 NSX Manager에 로그인합니다.
- 네트워킹 > NAT를 선택합니다.
- 보기 드롭다운 메뉴에서 NAT를 선택합니다.
- NAT 규칙 추가를 클릭합니다.
- 이름을 입력합니다.
- 작업을 선택합니다.
게이트웨이 사용 가능한 작업 Tier-1 게이트웨이 사용 가능한 작업은 SNAT, DNAT, Reflexive, NO SNAT 및 NO DNAT입니다. 활성-대기 모드의 Tier-0 게이트웨이 사용 가능한 작업은 SNAT, DNAT, NO SNAT 및 NO DNAT입니다. 활성-활성 모드의 Tier-0 게이트웨이 사용 가능한 작업은 Reflexive입니다. - 소스를 입력합니다. 이 텍스트 상자를 비워 두면 로컬 서브넷 외부의 모든 소스에 이 NAT 규칙이 적용됩니다.
IP 주소 또는 CIDR 형식의 IP 주소 범위를 지정합니다. SNAT, NO_SNAT 및 Reflexive 규칙의 경우 이것은 필수 필드이며 네트워크에서 나가는 패킷의 소스 네트워크를 나타냅니다.
- (필수 사항) 대상을 입력합니다.
IP 주소 또는 CIDR 형식의 IP 주소 범위를 지정합니다. DNAT 및 NO_DNAT 규칙의 경우 이것은 필수 필드이며 네트워크에서 나가는 패킷의 소스 네트워크를 나타냅니다. 이 필드는 Reflexive에 적용될 수 없습니다.
- 변환된 IP에 대한 값을 입력합니다.
IPv4 주소 또는 CIDR 형식의 IP 주소 범위를 지정합니다. 변환된 IP가 SNAT에 대한 일치 IP보다 작으면 PAT로 작동합니다.
- 규칙을 사용하도록 설정하려면 사용으로 전환합니다.
- 서비스 열에서 설정을 클릭하여 서비스를 선택합니다.
이 NAT 규칙에 구성된 서비스 인터페이스가 있는 경우 translated_port가 NSX Manager에서 destination_port로 인식됩니다. 즉, 변환된 포트는 트래픽을 대상 포트로 일치시키는 데 사용되지만 서비스는 변환된 포트가 됩니다. 구성된 서비스가 없는 경우 포트가 무시됩니다.
- 변환된 포트에 대한 값을 입력합니다.
이 NAT 규칙에 구성된 서비스 인터페이스가 있는 경우 translated_port가 NSX Manager에서 destination_port로 인식됩니다. 즉, 변환된 포트는 트래픽을 대상 포트로 일치시키는 데 사용되지만 서비스는 변환된 포트가 됩니다. 구성된 서비스가 없는 경우 포트가 무시됩니다.
- 적용 대상의 경우 설정을 클릭하고 이 규칙이 적용되는 개체를 선택합니다.
사용 가능한 개체는 Tier-0 게이트웨이, 인터페이스, 레이블, 서비스 인스턴스 끝점 및 가상 끝점입니다.참고: NSX 페더레이션를 사용하고 글로벌 관리자 장치에서 NAT 규칙을 생성하는 경우에는 NAT에 대한 사이트별 IP 주소를 선택할 수 있습니다. 다음 위치 중 하나에 NAT 규칙을 적용할 수 있습니다.
- 모든 위치에 NAT 규칙을 적용하는 기본 옵션을 사용하려는 경우에는 설정을 클릭하지 마십시오.
- 설정을 클릭합니다. 적용 대상 | 새 규칙 대화상자에서 해당 엔티티에 규칙을 적용하려는 위치를 선택하고 적용을 클릭합니다.
- 설정을 클릭합니다. 적용 대상 | 새 규칙 대화상자에서 위치를 선택한 다음, 범주 드롭다운 메뉴에서 인터페이스를 선택합니다. NAT 규칙을 적용하려는 특정 인터페이스를 선택할 수 있습니다.
- 설정을 클릭합니다. 적용 대상 | 새 규칙 대화상자에서 위치를 선택한 다음, 범주 드롭다운 메뉴에서 VTI를 선택합니다. NAT 규칙을 적용할 특정 VTI를 선택할 수 있습니다.
- (선택 사항) 방화벽 설정을 선택합니다.
사용 가능한 설정은 다음과 같습니다.
- 외부 주소와 일치 - 방화벽이 NAT 규칙의 외부 주소에 적용됩니다.
- SNAT의 경우 외부 주소는 NAT가 완료된 후 변환된 소스 주소입니다.
- DNAT의 경우 외부 주소는 NAT가 완료되기 전의 원래 대상 주소입니다.
- REFLEXIVE의 경우 트래픽을 송신하기 위해 NAT가 완료된 후 방화벽이 변환된 소스 주소에 적용됩니다. 수신 트래픽의 경우 NAT가 완료되기 전에 방화벽이 원래 대상 주소에 적용됩니다.
- 내부 주소 일치 - 방화벽이 NAT 규칙의 내부 주소에 적용됨을 나타냅니다.
- SNAT의 경우 내부 주소는 NAT가 완료되기 전의 원래 소스 주소입니다.
- DNAT의 경우 내부 주소는 NAT가 완료된 후 변환된 대상 주소입니다.
- REFLEXIVE의 경우 송신 트래픽에서 NAT가 완료되기 전에 방화벽이 원래 소스 주소에 적용됩니다. 수신 트래픽의 경우 NAT가 완료된 후 방화벽이 변환된 대상 주소에 적용됩니다.
- 우회 - 패킷은 방화벽 규칙을 우회합니다.
- 외부 주소와 일치 - 방화벽이 NAT 규칙의 외부 주소에 적용됩니다.
- (선택 사항) 로깅을 사용하도록 설정하려면 로깅 버튼을 전환합니다.
- 우선 순위 값을 지정합니다.
값이 낮을수록 우선 순위가 더 높습니다. 기본값은 0입니다. SNAT 없음 또는 DNAT 없음 규칙은 다른 규칙보다 우선 순위가 높아야 합니다.
- (선택 사항) 정책 기반 VPN에 적용: DNAT 또는 DNAT 없음 규칙 범주에만 적용됩니다. 규칙은 우선 순위 값을 기준으로 적용됩니다. 바이패스 또는 일치 설정에도 불구하고 NAT 정책의 적용 대상 매개 변수에 적용된 설정은 여전히 적용됩니다.
- 바이패스: NAT 규칙이 정책 기반 IPSec VPN 터널에서 암호 해독된 트래픽에 적용되지 않습니다. 기본 설정입니다.
- 일치: 트래픽이 정책 기반 IPSec VPN 터널에서 암호 해독되면 NAT 정책이 평가되고 일치됩니다. NAT 정책은 정책 기반 IPSec VPN 터널에서 암호 해독되지 않은 트래픽에 대해 평가되지 않습니다.
NAT 정책이 암호 해독된 트래픽에 도달하려면 정책을 일치로 설정하고 암호화된 트래픽이 전송/수신되는 인터페이스를 NAT 정책의 적용 대상 매개 변수에 설정해야 합니다. 적용 대상 매개 변수에 대한 자세한 내용은 NAT(네트워크 주소 변환) 항목을 참조하십시오. - 저장을 클릭합니다.