您可以在第 0 層或第 1 層閘道上,為 IPv4 設定不同類型的 NAT。

備註: 如果在此 NAT 規則中設定了服務,則 translated_port 將在 NSX Manager 上實現為 destination_port。這表示服務將會是轉譯的連接埠,而轉譯的連接埠會用作目的地連接埠來比對流量。如果未設定任何服務,則將忽略該連接埠。

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取網路 > NAT
  3. 檢視下拉式功能表中,選取 NAT
  4. 按一下新增 NAT 規則
  5. 輸入名稱
  6. 選取動作。
    閘道 可用動作
    第 1 層閘道 可用動作包括 SNATDNAT自反無 SNAT 以及無 DNAT
    作用中/待命模式中的第 0 層閘道 可用動作包括 SNATDNAT無 SNAT 以及無 DNAT
    作用中/作用中式模式中的第 0 層閘道 可用動作為自反
  7. 輸入來源。如果將此文字方塊保留空白,則 NAT 規則會套用至本機子網路外部的所有來源。
    以 CIDR 格式指定 IP 位址或 IP 位址範圍。對於 SNATNO_SNAT自反規則,這是必填欄位,代表離開網路的封包來源網路。
  8. (必要) 輸入目的地
    以 CIDR 格式指定 IP 位址或 IP 位址範圍。對於 DNATNO_DNAT 規則,這是必填欄位,表示離開網路的封包來源網路。此欄位不適用於 自反
  9. 輸入轉譯的 IP 的值。
    以 CIDR 格式指定 IPv4 位址或 IP 位址範圍。對於 SNAT,如果已轉譯的 IP 小於相符 IP,它將作為 PAT 使用。
  10. 切換啟用以啟用規則。
  11. 服務資料行中,按一下設定以選取服務。
    如果在 NAT 規則中設定了服務介面, translated_port 將在 NSX Manager 上實現為 destination_port。這表示服務將會是轉譯的連接埠,而轉譯的連接埠會用來將流量比對為目的地連接埠。如果未設定任何服務,則將忽略該連接埠。
  12. 輸入轉譯的連接埠的值。
    如果在 NAT 規則中設定了服務介面, translated_port 將在 NSX Manager 上實現為 destination_port。這表示服務將會是轉譯的連接埠,而轉譯的連接埠會用來將流量比對為目的地連接埠。如果未設定任何服務,則將忽略該連接埠。
  13. 對於套用至,按一下設定並選取要套用此規則的物件。
    可用的物件包括 第 0 層閘道介面標籤服務執行個體端點虛擬端點
    備註: 如果您使用 NSX 聯盟 並從 全域管理員 應用裝置建立 NAT 規則,則可以為 NAT 選取網站特定的 IP 位址。您可以將 NAT 規則套用至下列任一位置範圍:
    • 如果您想要使用將 NAT 規則套用至所有位置的預設選項,請勿按一下設定
    • 按一下設定。在套用至 | 新增規則對話方塊中,選取您要對其實體套用規則的位置,然後按一下套用
    • 按一下設定。在套用至 | 新增規則對話方塊中,選取位置,然後從類別下拉式功能表中選取介面。您可以選取要套用 NAT 規則的特定介面。
    • 按一下設定。在套用至 | 新增規則對話方塊中,選取位置,然後從類別下拉式功能表中選取 VTI。您可以選取要套用 NAT 規則的特定 VTI。
  14. (選擇性) 選取防火牆設定。
    可用的設定如下:
    • 符合外部位址 - 防火牆將套用至 NAT 規則的外部位址。
      • 對於 SNAT,外部位址是執行 NAT 之後轉譯的來源位址。
      • 對於 DNAT,外部位址是執行 NAT 之前的原始目的地位址。
      • 在「自反」方面,對於出口流量,防火牆會套用至執行 NAT 之後轉譯的來源位址。對於入口流量,防火牆會套用至執行 NAT 之前的原始目的地位址。
    • 符合內部位址 - 指出防火牆將套用至 NAT 規則的內部位址。
      • 對於 SNAT,內部位址是執行 NAT 之前的原始來源位址。
      • 對於 DNAT,內部位址是執行 NAT 之後轉譯的目的地位址。
      • 在「自反」方面,對於出口流量,防火牆會套用至執行 NAT 之前的原始來源位址。對於入口流量,防火牆會套用至執行 NAT 之後轉譯的目的地位址。
    • 略過 - 封包會略過防火牆規則。
  15. (選擇性) 切換記錄按鈕,以啟用記錄。
  16. 指定優先順序值。
    較低的值表示較高的優先順序。預設值為 0。 無 SNAT無 DNAT 規則的優先順序應高於其他規則。
  17. (選擇性) 套用至以原則為基礎的 VPN:僅套用於 DNAT無 DNAT 規則類別。將根據優先順序值套用規則。即使有略過比對設定,但仍會接受套用於 NAT 原則的套用至參數的設定。
    • 略過:NAT 規則不會套用至原則型 IPSec VPN 通道解密的流量。這是預設設定。
    • 比對:如果流量已從以原則為基礎的 IPSec VPN 通道解密,則會評估並比對 NAT 原則。如果流量未從以原則為基礎的 IPSec VPN 通道解密,則不會評估 NAT 原則。
    若要使 NAT 原則叫用解密的流量,必須將原則設定為 比對,並且必須在 NAT 原則的 套用至參數中設定傳送/接收加密流量的介面。如需有關 套用至參數的詳細資訊,請參閱 網路位址轉譯 (NAT)
  18. 按一下儲存