Pravidla překladu síťových adres (NAT) na straně LAN vám umožňují překlad IP adres v neoznamované podsíti na IP adresy ve oznamované podsíti. Na úrovni profilu i Edge byla v rámci konfigurace nastavení zařízení pro verzi 3.3.2 zavedena pravidla NAT na straně LAN a jako rozšíření pro verzi 3.4 podpora NAT na straně LAN založeného na zdroji a cíli, stejném zdroji paketů a NAT cíle.

Od verze 3.3.2 VMware zavádí nový modul NAT na straně LAN pro směru VPN NAT Edge. Příklady primárního použití jsou tyto:

  • Překrývající se IP adresy větve z důvodu M&A
  • Skrytí privátní IP adresy větve nebo datového centra z bezpečnostních důvodů
Ve verzi 3.4 jsou pro další případy použití doplněna další konfigurační pole. Níže je uvedeno podrobné rozdělení podpory NAT na straně LAN v různých verzích:
  • NAT zdroje nebo cíle pro všechny odpovídající podsítě, jak 1:1, tak mnoho:1 (verze 3.3.2)
  • Je podporován NAT zdroje na základě podsítě cíle nebo NAT cíle založený na podsíti zdroje, jak 1:1, tak mnoho:1 (verze 3.4).
  • NAT zdroje a NAT 1:1 cíle ve stejném paketu (verze 3.4)
Poznámka:
  • NAT na straně sítě LAN podporuje přenos dat přes tunel VCMP. Nepodporuje underlay provoz.
  • Podpora NAT „mnoho:1“ a „1:1“ (např. /24 na /24) zdroje a cíle.
  • Pokud je nakonfigurováno více pravidel, provede se pouze první odpovídající pravidlo.
  • NAT na straně LAN se provádí před vyhledáváním smyčky směru nebo toku. Aby bylo možné spárovat provoz v podnikovém profilu, uživatelé musí používat přeloženou IP adresu.
  • Ve výchozím nastavení nejsou přeložené IP adresy z Edge oznamovány. Proto nezapomeňte přidat statický směr pro přeloženou IP adresu a oznamovat v překrytí.
  • Konfigurace z verze 3.3.2 budou přeneseny, po přechodu na verzi 3.4 není nutné provádět novou konfiguraci.

NAT na straně LAN (verze 3.3.2)

Příklad použití číslo 1: „Překlad zdroje mnoho:1“

V tomto scénáři třetí strana přiřadila lokalitě zákazníka více nepřekrývajících se podsítí. Server v datovém centru zákazníka rozpozná provoz od této třetí strany podle jedné IP adresy v kterékoli lokalitě.

Konfigurace vyžadovaná pro příklad použití číslo 1 pro verzi 3.3.2: Nové pravidlo: NAT na straně LAN 192.168.1.0/24 -> 172.16.24.4/32

Jak je vidět na obrázku níže, protože pravidlo NAT je jediná IP adresa, TCP a UDP bude PAT. V tomto příkladu se tedy 192.168.1.50 stává 172.16.24.4 s dočasným zdrojovým portem pro provoz TCP/UDP, provoz ICMP se stává 172.16.24.4 s vlastním ID ICMP pro zpětné vyhledávání a veškerý další provoz bude zahozen.

Příklad použití číslo 2: „Překlad zdroje 1:1“

V tomto scénáři je podsíť LAN 192.168.1.0/24. Jedná se však o překrývající se podsíť s jinými lokalitami. Za tímto účelem byla pro komunikaci VPN v této lokalitě přidělena jedinečná podsíť stejné velikosti 172.16.24.0/24. Provoz z PC musí být před vyhledáváním směru v Edge přeložen, jinak bude směr zdroje odpovídat 192.168.1.0/24, která není z tohoto Edge oznamována, a provoz bude zahozen.

Konfigurace vyžadovaná pro příklad použití číslo 2: Nové pravidlo: NAT na straně LAN 192.168.1.0/24 -> 172.16.24.0/24

Protože se velikost podsítí shoduje, všechny bity odpovídající masce podsítě budou přeloženy. V příkladu na obrázku níže se 192.168.1.50 stává 172.16.24.50.

NAT na straně LAN na základě zdroje nebo cíle (verze 3.4)

Verze 3.4 zavádí NAT na straně LAN založený na podpoře zdroje/cíle jako součást jediného pravidla, ve kterém můžete povolit NAT pouze pro podmnožinu provozu založenou na podsítích zdroje nebo cíle. Níže naleznete příklady použití tohoto vylepšení.

Příklad použití číslo 1: „Provedení SNAT nebo DNAT se zdrojem nebo cílem jako kritériem shody“

V níže uvedeném příkladu by větev měla přeložit IP adresu zdroje 10.4.1.1 na 10.200.1.245 pouze v případě provozu do cíle 100.1.1.0/24.Podobně by v DC měla být IP adresa cíle 100.1.1.9 přeložena na 10.1.10.9, pouze pokud je přenos přijímán ze zdroje 10.200.1.0/24.

Viz obrázek níže (oblast Pravidla NAT na straně LAN (LAN-side NAT Rules) pro větev).

Viz obrázek níže (oblast Pravidla NAT na straně LAN (LAN-side NAT Rules) pro hub).

Příklad použití číslo 2: Pro překlad IP adres zdroje i cíle v paketu

Zvažte níže uvedený scénář. V tomto příkladu má každá lokalita v síti přiřazenou stejnou podsíť, takže LAN větve je ve všech lokalitách stejná. „PC1“ a „PC2“ mají stejnou IP adresu a oba potřebují komunikovat se serverem za hubem. Abychom mohli používat překrývající se IP adresy, musíme přeložit provoz zdroje. Např. v Edge 1 je třeba PC (192.168.1.0/24) přeložit na 192.168.10.0/24, v Edge 2 je třeba PC (192.168.1.0/24) přeložit na 192.168.20.0/24.

Také z bezpečnostních důvodů by měl být server za hubem se skutečnou IP adresou „172.16.0.1“ prezentován PC jako „192.168.100.1“ a tato IP adresa by neměla být distribuována do SD-WAN mezi hubem a Edge. Je vyžadována kombinace pravidel pro zdroj a cíl na tomtéž Edge.

Poznámka: Pravidla překladu síťových adres na straně LAN lze konfigurovat na úrovni profilu i na úrovni Edge. Chcete-li provést konfiguraci na úrovni Edge, ujistěte se, že je zaškrtnuto pole Povolit potlačení Edge (Enable Edge Override).

Postup konfigurace

Poznámka: Pokud chce uživatel nakonfigurovat výchozí pravidlo, musí „kdokoli“ zadat IP adresu tvořenou nulami a nulová musí být i předpona: 0.0.0.0/0.

Uplatnění pravidel překladu síťových adres na straně LAN:
  1. V navigačním panelu přejděte do nabídky Konfigurovat (Configure) > Edge.
  2. Na obrazovce karty Nastavení zařízení (Device Settings) sjeďte dolů do oblasti Pravidla NAT na straně místní sítě LAN (LAN-Side NAT Rules).
  3. V oblasti Pravidla NAT na straně místní sítě LAN (LAN-Side NAT Rules) proveďte v části NAT zdroj nebo cíl (NAT Source or Destination) následující kroky (viz popis polí v níže uvedených krocích v tabulce níže).
    1. Zadejte adresu do textového pole Vnitřní adresa (Inside Address).
    2. Zadejte adresu do textového pole Vnější adresa (Outside Address).
    3. Do příslušného textového pole zadejte směr zdroje (Source Route).
    4. Do příslušného textového pole zadejte směr cíle (Destination Route).
    5. Do textového pole Popis (Description) zadejte popis pravidla (nepovinné).
  4. V oblasti Pravidla NAT na straně místní sítě LAN (LAN-Side NAT Rules) proveďte v části NAT zdroje a cíle (NAT Source and Destination) následující kroky (viz popis polí v níže uvedených krocích v tabulce níže).
    1. Pro typ zdroje (Source) zadejte do příslušných textových polí Vnitřní adresu (Inside Address) a Vnější adresu (Outside Address).
    2. Pro typ Cíle (Destination) zadejte do příslušných textových polí Vnitřní adresu (Inside Address) a Vnější adresu (Outside Address).
    3. Do textového pole Popis (Description) zadejte popis pravidla (nepovinné).
Pravidlo překladu síťových adres (NAT) na straně LAN Typ (Type) Popis (Description)
Rozevírací nabídka Typ (Type) Vyberte zdroj nebo cíl. Určete, zda má být toto pravidlo NAT aplikováno na IP adresu zdroje nebo cíle uživatelského provozu.
Textové pole Vnitřní adresa (Inside Address) Adresa/předpona IPv4, předpona musí být 1–32 „Vnitřní“ IP adresa nebo IP adresa „před překladem“ (pokud je předpona 32) nebo podsíť (pokud je předpona nižší než 32).
Textové pole Vnější adresa (Outside Address) Adresa/předpona IPv4, předpona musí být 1–32 „Vnější“ IP adresa nebo IP adresa „po překladu“ (pokud je předpona 32) nebo podsíť (pokud je předpona nižší než 32).
Textové pole Směr zdroje (Source Route)

– Volitelné

– Adresa/předpona IPv4

– Předpona musí být 1–32

– Výchozí: jakákoli (any)

 Pro NAT cíle zadejte jako kritérium shody IP adresu / podsíť zdroje.Platí, pouze pokud je typem „Cíl (Destination)“.
Textové pole Směr cíle (Destination Route)

– Volitelné

– Adresa/předpona IPv4

– Předpona musí být 1–32

– Výchozí: jakákoli (any)

 Pro NAT zdroje zadejte jako kritérium shody IP adresu / podsíť cíle.Platí, pouze pokud je typem „Zdroj (Source)“.
Textové pole Popis (Description) Text Vlastní textové pole pro popis pravidla NAT.

Poznámka: Důležité: Pokud je předpona vnitřní (Inside) menší než předpona vnější (Outside), podporuje NAT mnoho:1 ve směru LAN na WAN a NAT 1:1 ve směru WAN na LAN. Pokud je například vnitřní adresa (Inside Address) = 10.0.5.0/24, vnější adresa (Outside Address) = 192.168.1.25/32 a typ (Type) = zdroj (Source), pro relace z LAN do WAN s IP adresou zdroje odpovídající „vnitřní adrese“ bude 10.0.5.1 přeložena na 192.168.1.25. U relací z WAN do LAN s IP adresou cíle odpovídající „vnější adrese“ bude 192.168.1.25 přeložena na 10.0.5.25. Podobně, pokud je vnitřní předpona větší než vnější předpona, podporuje NAT mnoho:1 ve směru WAN na LAN a NAT 1:1 NAT ve směru LAN na WAN. Přeložená IP adresa není automaticky oznamována. Ujistěte se, že je nakonfigurovaný statický směr pro přeloženou IP adresu. Dalším mezikrokem musí být IP adresa dalšího mezikroku LAN podsítě zdroje.

Pomocný list NAT na straně LAN

Příklad použití 1:
  • Směr provozu: LAN -> WAN
  • Co je třeba přeložit: zdrojová adresa paketu
  • Konfigurace mapování:
    • Typ NAT = „Zdroj (Source)“
    • Původní IP adresa = „Vnitřní adresa (Inside Address)“
    • IP adresa NAT = „Vnější adresa (Outside Address)“
Typ NAT Vnitřní Vnější (Outside) Typ (Type) Chování LAN -> WAN
Zdroj (Source) A.0/24 B.0/24 1:1 A.1 se překládá na B.1, A.2 na B.2 atd.
Zdroj (Source) A.0/24 B.1/32 Mnoho:1 A.1 a A.2 se překládá na B.1.
Zdroj (Source) A.1/32 B.0/24 1:1 A.1 se překládá na B.1, ostatní B.X se nepoužijí.
Příklad použití 2:
  • Směr provozu: WAN -> LAN
  • Co je třeba přeložit: cílová adresa paketu
  • Konfigurace mapování:
    • Typ NAT = „Zdroj (Source)“
    • Původní IP adresa = „Vnější adresa (Outside Address)“
    • IP adresa NAT = „Vnitřní adresa (Inside Address)“
Typ NAT Vnitřní Vnější (Outside) Typ Chování WAN -> LAN
Zdroj A.0/24​ B.0/24​ 1:1 B.1 se překládá na A.1, B.2 na A.2 atd.
Zdroj A.0/24​ B.1/32 Mnoho:1 B.1 se překládá na A.1.
Zdroj A.1/32​ B.0/24​ 1:mnoho B.1 a B.2 se překládá na A.1.
Příklad použití 3:
  • Směr provozu: LAN -> WAN
  • Co je třeba přeložit: cílová adresa paketu
  • Konfigurace mapování:
    • Typ NAT = „Cíl (Destination)“
    • Původní IP adresa = „Vnitřní adresa (Inside Address)“
    • IP adresa NAT = „Vnější adresa (Outside Address)“
Typ NAT Vnitřní (Inside) Vnější (Outside) Typ (Type) Chování LAN -> WAN
Cíl A.0/24 B.0/24​ 1:1 A.1 se překládá na B.1, A.1 na B.2 atd.
Cíl A.0/24​ B.1/32​ Mnoho:1 A.1 a A.2 se překládá na B.1.
Cíl A.1/32​ B.0/24​ 1:mnoho A.1 se překládá na B.1.
Příklad použití 4:
  • Směr provozu: WAN -> LAN
  • Co je třeba přeložit: zdrojová adresa paketu
  • Konfigurace mapování:
    • Typ NAT = „Cíl (Destination)“
    • Původní IP adresa = „Vnější adresa (Outside Address)“
    • IP adresa NAT = „Vnitřní adresa (Inside Address)“
    Typ NAT Vnitřní Vnější (Outside) Typ Chování WAN -> LAN
    Cíl A.0/24 B.0/24​ 1:1 B.1 se překládá na A.1, B.2 na A.2 atd.
    Cíl A.0/24 B.1/32​ Mnoho:1 B.1 se překládá na A.1.
    Cíl A.1/32 B.0/24​ 1:mnoho B.1 a B.2 se překládá na A.1.