Przejdź do głównej zawartości

NAT Legacy

NAT to jedna z podstawowych usług dostępnych w ramach wirtualnego routera brzegowego Edge Gateway, dostępnego w VMware Cloud Director. Umożliwia on m.in. udostępnianie usług działających na maszynach wirtualnych na świat oraz umożliwienie dostępu do Internetu w środowisku wirtualnym.

Panel konfiguracyjny do NAT

Lokalizacja

Istnieje kilka sposobów, aby dostać się do ustawień NAT. Oto dwa z nich:

W widoku Virtual Data Centers:

  1. Kliknij w VDC, w którym jest Edge Gateway, którego ustawienia NAT zamierzasz zmienić.
  2. Przejdź do Edges na panelu bocznym z lewej strony.
  3. Kliknij nazwę Edge Gateway, którego ustawienia NAT zamierzasz zmienić.
  4. Kliknij przycisk SERVICES widniejący na górnej sekcji strony.
  5. W nowo otwartym okienku wybierz zakładkę NAT.

W widoku Networking:

  1. Przejdź do zakładki Edge Gateways.
  2. Kliknij nazwę Edge Gateway, którego ustawienia NAT zamierzasz zmienić.
  3. Kliknij przycisk SERVICES widniejący na górnej sekcji strony.
  4. W nowo otwartym okienku wybierz zakładkę NAT.

Interfejs

Zakładka NAT posiada dwie sekcje:

NAT44 Rules

Tabela reguł NAT działająca na adresach IPv4. Nad tabelą są przyciski, które umożliwiają m.in. dodawać reguły SNAT (Source NAT) oraz DNAT (Destination NAT), edytować istniejące reguły, zmieniać ich kolejność i je usuwać.

NAT64 Rules

Tabela reguł NAT na adresach IPv6, które nie są w tym momencie powszechnie używanym standardem, dlatego w tej instrukcji skupimy się na regułach NAT44.

Zasady działania NAT

NAT na Edge Gateway rządzi się kilkoma zasadami:

1. Pozycja nadaje priorytet

Tak samo jak w przypadku Firewalla, im wyższa pozycja reguły, tym wyższy jest jej priorytet.

Przykład

Jeżeli istnieją dwie reguły DNAT translujące adres publiczny na porcie 80 na inne porty adresów prywatnych, zawsze pod uwagę będzie brana tylko pierwsza reguła. W tym przypadku wchodząc na adres publiczny wyświetli się witryna translowana na adres 192.168.8.109:8070.

2. Reguły wewnętrzne

Istnieją reguły typu Internal i Internal (High). Są one tworzone automatycznie i nie można ich usuwać i zmieniać. Najczęściej są tworzone przez różne usługi dostępne w ramach Edge Gateway, takie jak np. IPSec czy SSL VPN.

Przykład

Na poniższym zrzucie widnieją automatyczne stworzone reguły DNAT typu Internal (High). Odpowiadają one za usługi skonfigurowane w ramach Edge Gateway.

3. Reguła Firewalla jest również potrzebna

Utworzenie reguły NAT najczęściej nie jest wystarczające. W większości przypadków jest potrzebna również reguła zapory sieciowej, o którym instrukcję znajdziesz tutaj.

Dodawanie nowej reguły

Nowa reguła doda się w tabeli pod poprzednio zaznaczoną regułą.

Aby dodać nową regułę kliknij przycisk +DNAT RULE lub +SNAT RULE. Uzupełnij pola w oknie dodawania nowej reguły posługując się poniższym objaśnieniem kolumn:

Applied On

Wybierz z listy sieć, na którą ma być zastosowana tworzona reguła.

Original IP/Range

Oryginalny adres IP lub zakres adresów. Wpisz tutaj adres lub zakres adresów, które mają być translowane. Możesz też kliknąć przycisk SELECT, aby wybrać adres z listy.

Protocol

Protokół dla translowanego adresu. Możesz wybrać TCP, UDP, ICMP lub Any.

Original Port

W przypadku wybrania w polu Protocol TCP lub UDP podaj oryginalny port dla reguły.

Translated IP/Range

Podaj adres, na który będzie translowany adres oryginalny.

Translated Port

Podaj port, na który będzie translowany port oryginalny.

Source Adress

Adres źródłowy dla reguły. W zależności od reguły możesz potrzebować wpisać tutaj any lub konkretny adres IP.

Source Port

Port źródłowy dla reguły. W zależności od reguły możesz potrzebować wpisać tutaj any lub konkretny numer portu sieciowego.

Description

Opcjonalny opis reguły.

Często używane, przykładowe reguły

Dostęp do Internetu w wirtualnej sieci lokalnej

Applied On

Wybierz na jaką sieć ma zostać zastosowana reguła, w naszym przypadku jest to EXEA_01_EXTERNAL_NETWORK_03

Original Source IP/Range

Adres CIDR sieci (IP sieci i maska sieci po /), której chcemy dać dostęp do Internetu. W naszym przypadku jest to 192.168.8.0/24. Jeśli chcesz dać dostęp do Internetu pojedynczej maszynie wirtualnej podaj tutaj jej adres IP.

Protocol

Pozwalamy na ruch do całego Internetu, więc zostawiamy Any.

Translated Source IP/Range

Tutaj podaj publiczny adres IP przypisany do Edge Gateway. Najłatwiej wybrać go z listy klikając przycisk SELECT.

Destination IP Address

Ponownie, zostawiamy Any.

Udostępnienie na świat usługi działającej na maszynie wirtualnej

Applied On

Sieć, do której będzie zastosowana reguła. Wybierz tutaj swoją publiczną sieć wyjściową (z nazwą zaczynającą się od słowa EXTERNAL).

Original IP/Range

Adres, na którym dostępna będzie udostępniona usługa. Musi być to adres publiczny przypisany do twojej sieci. Najłatwiej jest tu kliknąć przycisk SELECT i w okienku wybrać sieć i publiczny adres IP dostępny dla danej sieci.

Protocol

Protokół, który musi być używany, by adres został przepuszczony. Część usług korzysta z TCP, część z UDP. Upewnij się, co powinieneś wybrać. HTTPS korzysta z protokołu TCP. Możesz też wybrać Any, aby tłumaczyć zapytania używające któregokolwiek protokołu.

Original Port

Port, na którym zostanie udostępniona usługa. My dla przykładu wybierzemy 443, gdyż jest to port HTTPS.

Translated IP/Range

Adres IP, do którego będzie prowadzić translacja. Tutaj powinieneś wpisać wewnętrzny adres IP maszyny. Możliwe tutaj jest także wpisanie CIDR (format z maską po ukośniku, np. 10.235.238.0/24), aby translacja prowadziła do całej podsieci.

Translated Port

Port, do którego będzie prowadzić translacja. Nasza przykładowa maszyna udostępnia serwer HTTPS na porcie 443, więc wpisaliśmy w to pole wartość 443.

Source IP Address oraz Source Port

Adres IP i port, z którego może pochodzić zapytanie. Jeżeli chcesz, aby twoja maszyna (lub usługa postawiona na niej) była dostępna z całego internetu, to wpisz w obu tych polach wartość any.

Okienko po uzupełnieniu powinno wyglądać mniej więcej tak: