Network Address Translation (NAT) 是 NSX Edge其中一項功能,NSX Edge支援兩種類型的 NAT,SNAT(Source NAT)和 DNAT(Destination NAT)。SNAT是指將內部 (Private) IP轉成外部 (External) IP;DNAT則是將外部 IP對應至內部 IP。本文會以一個例子說明如何在 Edge設定 NAT功能。
LAB架構說明
在此 LAB環境會有兩個 Port Group,MGMT-PortGroup可以連通至 Internet; Temp-DPortGroup則是獨立的封閉環境。為了要讓 Temp-DPortGroup中的虛擬機能夠出 Internet或是從外部要連到 Temp-DPortGroup中的虛擬機,我們可以佈署一台 NSX Edge分別接到兩個 Port group,然後啟用 NAT功能
佈署 NSX Edge
登入到 Networking & Security→NSX Edges
選擇佈署 Edge Service Gateway & 輸入名稱
設定帳號密碼 (帳號預設是 admin,密碼至少要12碼,包含大小寫、數字、特殊符號)
設定 Edge佈署的大小、在哪一個 Cluster、哪一個 Datastore
設定網路介面,在此例會設定兩張網路介面,vNic0接到 MGMT-PortGroup,在此命名為 Uplink-172.26.93.0;vNic1接到 Temp-DPortGroup,在此命名為 Internal-1.1.1.0
設定 Default Gateway
Firewall and HA 設定
確認設定資訊 & 開始佈署
佈署完成
設定 SNAT rule
點兩下進到 Edge的設定頁面,首先我們先設定 NAT
新增 SNAT rule
套用規則至 Uplink-172.26.93.0這個介面,將 Source IP為1.1.1.0/24轉成 172.26.93.100
設定完成後要記得 publish change
設定完 NAT後,接著要設定防火牆規則,因為預設的最後一條是 any to any Deny,所以我們要在這條規則之前設定白名單
在此例,新增了一條規則是從 Temp-DPortGroup to any都 Accept。設定後一樣要 publish change
這時候將虛擬機移至 Temp-DPortGroup中,就可以 ping到 8.8.8.8了
設定 DNAT rule
首先,先到 Edge Setting,編輯網路介面
在 vNic0這張介面上設定第二個 IP
接著設定 DNAT rule
套用規則至 Uplink-172.26.93.0這個介面,將 any to 172.26.93.101轉到 1.1.1.11,設定完後 publish change
新增防火牆規則,允許 any to 172.26.93.101,新增後 publish change
都設定完後,測試遠端連線至 172.26.93.101,可以成功的導到 1.1.1.11了
沒有留言:
張貼留言