您可以建立來源 NAT (SNAT) 規則,將來源 IP 位址從公用 IP 位址變更為私人 IP 位址,或反向變更。您可以建立目的地 NAT (DNAT) 規則,將目的地 IP 位址從公用 IP 位址變更為私人 IP 位址,或反向變更。
建立 NAT 規則時,您可以使用下列格式指定原始和轉譯的 IP 位址:
- IP 位址;例如 192.0.2.0
- IP 位址範圍;例如 192.0.2.0-192.0.2.24
- IP 位址/子網路遮罩;例如 192.0.2.0/24
- any
在 VMware Cloud Director 環境中的 Edge 閘道上設定 SNAT 或 DNAT 規則時,一律從組織虛擬資料中心的角度來設定規則。SNAT 規則會轉譯從組織虛擬資料中心網路傳送至外部網路,或傳送至另一個組織虛擬資料中心網路之封包的來源 IP 位址。DNAT 規則會轉譯組織虛擬資料中心網路從外部網路或另一個組織虛擬資料中心網路接收到之封包的 IP 位址,並會選擇性地轉譯連接埠。
必要條件
程序
- 開啟 Edge 閘道服務。
- 在頂部導覽列中,按一下網路,然後按一下 Edge 閘道。
- 選取要編輯的 Edge 閘道,然後按一下服務。
- 按一下 NAT 以檢視 [NAT 規則] 畫面。
- 根據您要建立的 NAT 規則類型,按一下 DNAT 規則或 SNAT 規則。
- 設定目的地 NAT 規則 (從外到內)。
選項 描述 套用於 選取要套用規則的介面。 原始 IP/範圍 輸入所需的 IP 位址,或從清單中選取已配置的 IP 位址。
此位址必須是為其設定 DNAT 規則的 Edge 閘道的公用 IP 位址。在要檢查的封包中,此 IP 位址或範圍是顯示為封包之目的地 IP 位址的 IP 位址或範圍。這些封包的目的地位址是此 DNAT 規則所轉譯的位址。
通訊協定 選取要套用規則的通訊協定。若要在所有通訊協定上套用此規則,選取任何。 原始連接埠 (選擇性) 選取傳入流量在 Edge 閘道上用於連線到虛擬機器所連線之內部網路的連接埠或連接埠範圍。當通訊協定設定為 ICMP 或任何時,此選取項目無法使用。 ICMP 類型 針對通訊協定選取 ICMP (裝置間用來傳達錯誤資訊的錯誤報告與診斷公用程式) 時,請從下拉式功能表中選取 ICMP 類型。 ICMP 訊息透過 [類型] 欄位來識別。依預設,ICMP 類型設定為 [任何]。
轉譯的 IP/範圍 輸入輸入封包上的目的地位址將轉譯到的 IP 位址或 IP 位址範圍。 這些位址是您要為其設定 DNAT 的一或多個虛擬機器的 IP 位址,使其能夠從外部網路接收流量。
轉譯的連接埠 (選擇性) 選取在內部網路的虛擬機器上輸入流量要連線到的連接埠或連接埠範圍。這些連接埠是針對輸入到虛擬機器的封包將 DNAT 規則轉譯到的連接埠。 來源 IP 位址 如果希望僅針對來自特定網域的流量套用規則,則以 CIDR 格式輸入此網域的 IP 位址或 IP 位址範圍。如果將此文字方塊保留空白,則 DNAT 規則會套用至本機子網路中的所有 IP 位址。 來源連接埠 (選擇性) 輸入來源的連接埠號碼。 描述 (選擇性) 為 DNAT 規則輸入有意義的說明。 已啟用 開啟以啟用此規則。 啟用記錄 開啟以讓系統記錄由此規則執行的位址轉譯。 - 設定來源 NAT 規則 (從內到外)。
選項 描述 套用於 選取要套用規則的介面。 原始來源 IP/範圍 輸入要套用到此規則的原始 IP 位址或 IP 位址範圍,或從清單中選取已配置的 IP 位址。 這些位址是您要為其設定 SNAT 規則的一或多個虛擬機器的 IP 位址,使其能夠將流量傳送至外部網路。
轉譯的來源 IP/範圍 輸入所需的 IP 位址。 此位址一律是為其設定 SNAT 規則之閘道的公用 IP 位址。指定輸出封包的來源位址 (虛擬機器) 在傳送流量至外部網路時要轉譯到的 IP 位址。
目的地 IP 位址 (選擇性) 如果希望僅針對特定網域的流量套用規則,則以 CIDR 格式輸入此網域的 IP 位址或 IP 位址範圍。如果將此文字方塊保留空白,則 SNAT 規則會套用至本機子網路外部的所有目的地。 目的地連接埠 (選擇性) 輸入目的地的連接埠號碼。 描述 (選擇性) 為 SNAT 規則輸入有意義的說明。 已啟用 開啟以啟用此規則。 啟用記錄 開啟以讓系統記錄由此規則執行的位址轉譯。 - 按一下保留,將規則新增至畫面上的資料表。
- 重複步驟來設定其他規則。
- 按一下儲存變更,將規則儲存至系統。
下一步
針對剛設定的 SNAT 或 DNAT 規則新增對應的 Edge 閘道防火牆規則。請參閱在 VMware Cloud Director Tenant Portal中新增 NSX Data Center for vSphere Edge 閘道防火牆規則。
