網路位址轉譯 (NAT) 會將一個 IP 位址空間對應至另一個。您可以在第 0 層和第 1 層閘道上設定 NAT。
下圖顯示如何設定 NAT。
除了 NAT64 之外,還支援三種類型的 NAT。
備註: 停用閘道防火牆會導致 NAT 規則捨棄流量。如果需要停用閘道防火牆,請包含允許規則:
來源 | 目的地 | 動作 |
任何 | 任何 | 允許 |
- 來源 NAT (SNAT) - 轉譯輸出封包的來源 IP 位址,讓封包顯示為源自不同的網路。支援在作用中/待命模式中執行的第 0 層/第 1 層閘道。對於一對一 SNAT,SNAT 轉譯的 IP 位址不會設定在回送連接埠上,且不會有轉送項目具有與首碼相同的 SNAT 轉譯 IP。對於多對一 SNAT,SNAT 轉譯的 IP 位址會設定在回送連接埠上,且使用者會看到具有 SNAT 轉譯 IP 位址首碼的轉送項目。依照設計,NSX-T SNAT 適用於輸出 NSX 環境的流量。
- 目的地 NAT (DNAT) - 轉譯輸入封包的目的地 IP 位址,讓封包傳遞至目標位址以進入另一個網路。支援在作用中/待命模式中執行的第 0 層/第 1 層閘道。依照設計,NSX-T DNAT 適用於輸入 NSX 環境的流量。
- 自反 NAT - (有時稱為無狀態 NAT) 會轉譯通過路由裝置的位址。輸入封包會經過目的地位址重新寫入,而輸出封包會經過來源位址重新寫入。不會保留工作階段,因為它為無狀態。在以作用中/作用中或作用中/待命模式執行的第 0 層閘道以及第 1 層閘道上受支援。在作用中/作用中式模式中不支援可設定狀態的 NAT。
您也可以針對某個 IP 位址或位址範圍 (非 SNAT/非 DNAT) 停用 SNAT 或 DNAT。如果位址具有多個 NAT 規則,則會套用優先順序最高的規則。
備註: 如果在 NAT 規則中設定了服務介面,
translated_port 將在 NSX Manager 上實現為
destination_port。這表示服務將會是轉譯的連接埠,而轉譯的連接埠會用來將流量比對為目的地連接埠。如果未設定任何服務,則將忽略該連接埠。
如果您要在 NSX 聯盟環境中從全域管理程式建立 NAT 規則,可以為 NAT 選取站台特定的 IP 位址。請注意下列事項:
- 如果您想使用預設選項 (亦即,將 NAT 規則套用於所有位置),請勿按一下套用至下的設定。
- 在套用至下,按一下設定,選取要套用規則之實體所在的位置,然後選取將 NAT 規則套用至所有實體。
- 在套用至下,按一下設定,選取一個位置,然後從類別下拉式功能表中,選取介面。您可以選取要套用 NAT 規則的特定介面。
- 在設定了以原則為基礎之 IPSec VPN 的 第 1 層閘道上不支援 DNAT。
- 在第 0 層閘道的外部介面上設定的 SNAT 會處理來自第 1 層閘道的流量,以及來自第 0 層閘道上另一個外部介面的流量。
- NAT 會在第 0 層/第 1 層閘道的上行中設定,並處理通過此介面的流量。這表示第 0 層閘道 NAT 規則將不會在連線至第 0 層的兩個第 1 層閘道之間套用。
NAT 支援對照表
組態欄位
類型 | source-addr | dest-addr | translated-addr | translated-port | match-service |
---|---|---|---|---|---|
SNAT | 選用 | 選用 | 必要 | 否 | 選用 |
DNAT | 選用 | 必要 | 必要 | 選用 | 選用 |
NO_SNAT | 必要 | 選用 | 否 | 否 | 選用 |
NO_DNAT | 選用 | 必要 | 否 | 否 | 選用 |
自反 | 必要 | 否 | 必要 | 否 | 否 |
NAT64 | 選用 | 必要 | 必要 | 選用 | 選用 |
組態使用案例
類型 | 1:1 | n:n | n:m | n:1 | 1:m |
---|---|---|---|---|---|
SNAT | 是 | 是 | 是 | 是 | 否 |
DNAT | 是 | 是 | * 可設定,但不受支援 | 是 | * 可設定,但不受支援 |
NO_SNAT | - | - | - | - | - |
NO_DNAT | - | - | - | - | - |
自反 | 是 | 是 | 否 | 否 | 否 |
NAT64 | 是 | 是 | 否 | 是 | 否 |