通过使用 LAN 端 NAT(网络地址转换)规则,您可以将未通告的子网中的 IP 地址转换为通告的子网中的 IP 地址。对于配置文件和 Edge 级别,3.3.2 版在设备设置配置中引入了 LAN 端 NAT 规则,3.4 版引入了相同的数据包源和目标 NAT 支持以作为扩展(基于源和目标的 LAN 端 NAT)。
从 3.3.2 版开始,VMware引入了新的 LAN 端 NAT 模块以转换 Edge 上的 VPN 路由。主要用例如下所示:
- 由于 M&A(合并和收购),分支使用重叠 IP
- 由于安全原因,隐藏分支或数据中心的专用 IP
在 3.4 版中,引入了其他配置字段以满足其他用例要求。下面简要说明了不同版本中的 LAN 端 NAT 支持:
- 所有匹配的子网的源或目标 NAT,支持 1:1 和多对一(3.3.2 版)
- 基于目标子网的源 NAT 或基于源子网的目标 NAT,支持 1:1 和多对一(3.4 版)
- 同一数据包上的源 NAT 和目标 1:1 NAT(3.4 版本)
注:
- LAN 端 NAT 支持通过 VCMP 隧道的流量。它不支持底层流量。
- 支持“多对一”和“1:1”(例如 /24 对 /24)源和目标 NAT。
- 如果配置了多个规则,则仅执行第一个匹配的规则。
- LAN 端 NAT 在路由或流查找之前完成。要在业务配置文件中匹配流量,用户必须使用转换的 IP。
- 默认情况下,不会从 Edge 中通告转换的 IP。因此,请确保为转换的 IP 添加静态路由,并向覆盖网络通告该路由。
- 将转移 3.3.2 中的配置,而无需在升级到 3.4 后重新配置。
过程
注意:如果用户要配置默认规则“任意”(any),他们必须指定 IP 地址必须全为零,并且前缀也必须为零:0.0.0.0/0。
要在配置文件级别应用 LAN 端 NAT 规则,请执行以下操作:
- 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > 配置文件 (Profiles)。
- 单击配置文件名称 (Name) 旁边的复选框以选择相应的配置文件。
- 如果尚未选择,请单击设备 (Device) 选项卡链接。
- 向下滚动到路由和 NAT (Routing & NAT)。
- 打开 LAN 端 NAT 规则 (LAN-Side NAT Rules) 区域。
- 单击 +添加 (+ADD) 以添加 NAT 源或目标。
- 在 LAN 端 NAT 规则 (LAN-Side NAT Rules) 区域中,为“NAT 源或目标”(NAT Source or Destination) 部分完成以下操作:(请参阅下表以了解以下步骤中的字段的描述。)
- 为内部地址 (Inside Address) 文本框输入一个地址。
- 为外部地址 (Outside Address) 文本框输入一个地址。
- 在相应的文本框中输入源路由。
- 在相应的文本框中输入目标路由。
- 在描述 (Description) 文本框中键入规则的描述(可选)。
- 在 LAN 端 NAT 规则 (LAN-side NAT Rules) 区域中,为“NAT 源和目标”(NAT Source and Destination) 完成以下操作:(请参阅下表以了解以下步骤中的字段的描述。)
- 对于源 (Source) 类型,请在相应的文本框中输入内部地址 (Inside Address) 和外部地址 (Outside Address)。
- 对于目标 (Destination) 类型,请在相应的文本框中输入内部地址 (Inside Address) 和外部地址 (Outside Address)。
- 在描述 (Description) 文本框中键入规则的描述(可选)。
| LAN 端 NAT 规则 | 类型 | 描述 |
|---|---|---|
| 类型 (Type) 下拉菜单 | 选择“源”(Source) 或“目标”(Destination) | 确定是否应在用户流量的源或目标 IP 地址上应用该 NAT 规则。 |
| 内部地址 (Inside Address) 文本框 | IPv4 地址/前缀,前缀必须为 1-32 | “内部”或“NAT 之前的”IP 地址(如果前缀为 32)或子网(如果前缀小于 32)。 |
| 外部地址 (Outside Address) 文本框 | IPv4 地址/前缀,前缀必须为 1-32 | “外部”或“NAT 之后的”IP 地址(如果前缀为 32)或子网(如果前缀小于 32)。 |
| 源路由 (Source Route) 文本框 | - 可选 - IPv4 地址/前缀 - 前缀必须为 1-32 - 默认值:任意 (any) |
对于目标 NAT,请将源 IP/子网指定为匹配条件。只有在类型为“目标”(Destination) 时才有效。 |
| 目标路由 (Destination Route) 文本框 | - 可选 - IPv4 地址/前缀 - 前缀必须为 1-32 - 默认值:任意 (any) |
对于源 NAT,请将目标 IP/子网指定为匹配条件。只有在类型为“源”(Source) 时才有效。 |
| 描述 (Description) 文本框 | 文本 | 用于描述 NAT 规则的自定义文本框。 |
注:
重要信息:如果内部前缀小于外部前缀,则在 LAN 到 WAN 方向支持多对一 NAT,并在 WAN 到 LAN 方向支持 1:1 NAT。例如,如果内部地址 = 10.0.5.0/24,外部地址 = 192.168.1.25/32,类型 = 源,对于从 LAN 到 WAN 并具有源 IP 匹配“内部地址”的会话,10.0.5.1 将转换为 192.168.1.25。对于从 WAN 到 LAN 并具有目标 IP 匹配“外部地址”的会话,192.168.1.25 将转换为 10.0.5.25。同样,如果内部前缀大于外部前缀,则在 WAN 到 LAN 方向支持多对一 NAT,并在 LAN 到 WAN 方向支持 1:1 NAT。不会自动通告转换的 IP,请确保应配置转换的 IP 的静态路由,并且下一跃点应为源子网的 LAN 下一跃点 IP。
