網路位址轉譯 (NAT) 會將一個 IP 位址空間對應至另一個。您可以在第 0 層和第 1 層閘道上設定 NAT。

下圖顯示如何設定 NAT。

""

除了 NAT64 之外,還支援三種類型的 NAT。
備註: 停用閘道防火牆會導致 NAT 規則捨棄流量。如果需要停用閘道防火牆,請包含允許規則:
來源 目的地 動作
任何 任何 允許
  • 來源 NAT (SNAT) - 轉譯輸出封包的來源 IP 位址,讓封包顯示為源自不同的網路。支援在作用中/待命模式中執行的第 0 層/第 1 層閘道。對於一對一 SNAT,SNAT 轉譯的 IP 位址不會設定在回送連接埠上,且不會有轉送項目具有與首碼相同的 SNAT 轉譯 IP。對於多對一 SNAT,SNAT 轉譯的 IP 位址會設定在回送連接埠上,且使用者會看到具有 SNAT 轉譯 IP 位址首碼的轉送項目。依照設計,NSX-T SNAT 適用於輸出 NSX 環境的流量。
  • 目的地 NAT (DNAT) - 轉譯輸入封包的目的地 IP 位址,讓封包傳遞至目標位址以進入另一個網路。支援在作用中/待命模式中執行的第 0 層/第 1 層閘道。依照設計,NSX-T DNAT 適用於輸入 NSX 環境的流量。
  • 自反 NAT - (有時稱為無狀態 NAT) 會轉譯通過路由裝置的位址。輸入封包會經過目的地位址重新寫入,而輸出封包會經過來源位址重新寫入。不會保留工作階段,因為它為無狀態。在以作用中/作用中或作用中/待命模式執行的第 0 層閘道以及第 1 層閘道上受支援。在作用中/作用中式模式中不支援可設定狀態的 NAT。

您也可以針對某個 IP 位址或位址範圍 (非 SNAT/非 DNAT) 停用 SNAT 或 DNAT。如果位址具有多個 NAT 規則,則會套用優先順序最高的規則。

備註: 如果在 NAT 規則中設定了服務介面, translated_port 將在 NSX Manager 上實現為 destination_port。這表示服務將會是轉譯的連接埠,而轉譯的連接埠會用來將流量比對為目的地連接埠。如果未設定任何服務,則將忽略該連接埠。
如果您要在 NSX 聯盟環境中從全域管理程式建立 NAT 規則,可以為 NAT 選取站台特定的 IP 位址。請注意下列事項:
  • 如果您想使用預設選項 (亦即,將 NAT 規則套用於所有位置),請勿按一下套用至下的設定
  • 套用至下,按一下設定,選取要套用規則之實體所在的位置,然後選取將 NAT 規則套用至所有實體
  • 套用至下,按一下設定,選取一個位置,然後從類別下拉式功能表中,選取介面。您可以選取要套用 NAT 規則的特定介面。
  • 在設定了以原則為基礎之 IPSec VPN 的 第 1 層閘道上不支援 DNAT。
  • 在第 0 層閘道的外部介面上設定的 SNAT 會處理來自第 1 層閘道的流量,以及來自第 0 層閘道上另一個外部介面的流量。
  • NAT 會在第 0 層/第 1 層閘道的上行中設定,並處理通過此介面的流量。這表示第 0 層閘道 NAT 規則將不會在連線至第 0 層的兩個第 1 層閘道之間套用。

NAT 支援對照表

組態欄位
類型 source-addr dest-addr translated-addr translated-port match-service
SNAT 選用 選用 必要 選用
DNAT 選用 必要 必要 選用 選用
NO_SNAT 必要 選用 選用
NO_DNAT 選用 必要 選用
自反 必要 必要
NAT64 選用 必要 必要 選用 選用
組態使用案例
類型 1:1 n:n n:m n:1 1:m
SNAT
DNAT * 可設定,但不受支援 * 可設定,但不受支援
NO_SNAT - - - - -
NO_DNAT - - - - -
自反
NAT64