Настройка NAT

NAT (Network Address Translation) - трансляция приватных (серых) IP-адресов во внешние (белые) и наоборот. Благодаря этому процессу ваша виртуальная машина получает доступ в Интернет. Для настройки этого механизма в vCloud Director нужно настроить правила SNAT и DNAT.

Создание правила SNAT

SNAT (Source Network Address Translation) - механизм, суть которого состоит в замене адреса источника при пересылке пакета. 

1. Зайдите в раздел Administration и кликните дважды на ваш виртуальный дата-центр. В появившемся меню настроек перейдите во вкладку Edge Gateways. Выберите нужный vShield Edge и кликните на него правой кнопкой мыши. Выберите опцию Properties.

2. В появившемся окне во вкладке Sub-Allocate IP Pools вы сможете посмотреть внешний IP-адрес или их диапазон. Закройте окно.

3. Снова кликните на vShield Edge правой кнопкой мыши. В появившемся меню выберите опцию Edge Gateway Services

4. В появившемся окне открываем вкладку NAT и нажимаем Add SNAT

4. В новом окне: 

  • в поле Applied on (Применяется) указываем внешнюю сеть (не сеть уровня организации!); 
  • в поле Original (Internal) source IP/range указываем внутренний диапазон адресов, например 192.168.0.0/24;
  • в поле Translated (External) source IP/range внешний адрес, через который будет осуществляться выход в Интернет и который вы посмотрели во вкладке Sub-Allocate IP Pools (см. п. 2).

Нажмите ОК

Создание правила DNAT 

DNAT- механизм, изменяющий адрес назначения пакета, а также порт назначения. Используется для перенаправления входящих пакетов с  внешнего адреса/порта на приватный IP-адрес/порт внутри частной сети. 

  1.  В окне Configure Services выбираем вкладку NAT и нажимаем Add DNAT.

2. В появившемся окне

  • в поле Applied on указываем внешнюю сеть (не сеть уровня организации!);
  • в поле Description указываем описание правила DNAT;
  • в поле Original (External) IP/range указываем внешний адрес (адрес из вкладки Sub-Allocate IP Pools);
  • в поле Protocol - протокол; 
  • в поле Port - порт; 
  • в поле Translated (Internal) IP/range укажите внутренний IP-адрес, например 192.168.0.101

Нажмите ОК.

Теперь необходимо настроить Firewall. По умолчанию в пункте Default action выбрана опция Deny, т. е. Firewall будет блокировать весь трафик. Чтобы этого не происходило нужно настроить правила.