Pravidla překladu síťových adres (NAT) na straně LAN vám umožňují překlad IP adres v neoznamované podsíti na IP adresy ve oznamované podsíti. Na úrovni profilu i Edge byla v rámci konfigurace nastavení zařízení pro verzi 3.3.2 zavedena pravidla NAT na straně LAN a jako rozšíření pro verzi 3.4 podpora NAT na straně LAN založeného na zdroji a cíli, stejném zdroji paketů a NAT cíle.

Od verze 3.3.2 VMware zavádí nový modul NAT na straně LAN pro směru VPN NAT Edge. Příklady primárního použití jsou tyto:

  • Překrývající se IP adresy větve z důvodu M&A
  • Skrytí privátní IP adresy větve nebo datového centra z bezpečnostních důvodů
Ve verzi 3.4 jsou pro další případy použití doplněna další konfigurační pole. Níže je uvedeno podrobné rozdělení podpory NAT na straně LAN v různých verzích:
  • NAT zdroje nebo cíle pro všechny odpovídající podsítě, jak 1:1, tak mnoho:1 (verze 3.3.2)
  • Je podporován NAT zdroje na základě podsítě cíle nebo NAT cíle založený na podsíti zdroje, jak 1:1, tak mnoho:1 (verze 3.4).
  • NAT zdroje a NAT 1:1 cíle ve stejném paketu (verze 3.4)
Poznámka:
  • NAT na straně sítě LAN podporuje přenos dat přes tunel VCMP. Nepodporuje underlay provoz.
  • Podpora NAT „mnoho:1“ a „1:1“ (např. /24 na /24) zdroje a cíle.
  • Pokud je nakonfigurováno více pravidel, provede se pouze první odpovídající pravidlo.
  • NAT na straně LAN se provádí před vyhledáváním smyčky směru nebo toku. Aby bylo možné spárovat provoz v podnikovém profilu, uživatelé musí používat přeloženou IP adresu.
  • Ve výchozím nastavení nejsou přeložené IP adresy z Edge oznamovány. Proto nezapomeňte přidat statický směr pro přeloženou IP adresu a oznamovat v překrytí.
  • Konfigurace z verze 3.3.2 budou přeneseny, po přechodu na verzi 3.4 není nutné provádět novou konfiguraci.

NAT na straně LAN (verze 3.3.2)

Příklad použití číslo 1: „Překlad zdroje mnoho:1“

V tomto scénáři třetí strana přiřadila lokalitě zákazníka více nepřekrývajících se podsítí. Server v datovém centru zákazníka rozpozná provoz od této třetí strany podle jedné IP adresy v kterékoli lokalitě.

Konfigurace vyžadovaná pro příklad použití číslo 1 pro verzi 3.3.2: Nové pravidlo: NAT na straně LAN 192.168.1.0/24 -> 172.16.24.4/32

Jak můžete vidět na následujícím obrázku, protože pravidlo NAT představuje jednu IP adresu, bude přenos TCP a UDP upraven pomocí NAT. Proto se v tomto příkladu ze 192.168.1.50 stává 172.16.24.4 s dočasným zdrojovým portem pro provoz TCP/UDP, provoz ICMP se stane 172.16.24.4 s vlastním ID ICMP pro reverzní vyhledávání a veškerý ostatní provoz bude vyřazen.

Příklad použití číslo 2: „Překlad zdroje 1:1“

V tomto scénáři je podsíť LAN 192.168.1.0/24. Jedná se však o překrývající se podsíť s jinými lokalitami. Za tímto účelem byla pro komunikaci VPN v této lokalitě přidělena jedinečná podsíť stejné velikosti 172.16.24.0/24. Provoz z počítače musí být na zařízení Edge před vyhledáním směru upraven pomocí NAT, jinak bude zdrojový směr odpovídat adrese 192.168.1.0/24, která není z tohoto zařízení Edge oznamována a provoz bude přerušen.

Konfigurace vyžadovaná pro příklad použití číslo 2: Nové pravidlo: NAT na straně LAN 192.168.1.0/24 -> 172.16.24.0/24

Jelikož se podsítě shodují z hlediska velikosti, všechny bity, které se shodují s maskou podsítě, budou upraveny pomocí NAT. Na následujícím obrázku se tedy ze 192.168.1.50 stává 172.16.24.50.

NAT na straně LAN na základě zdroje nebo cíle (verze 3.4)

Verze 3.4 zavádí NAT na straně LAN založený na podpoře zdroje/cíle jako součást jediného pravidla, ve kterém můžete povolit NAT pouze pro podmnožinu provozu založenou na podsítích zdroje nebo cíle. Níže naleznete příklady použití tohoto vylepšení.

Příklad použití číslo 1: „Provedení SNAT nebo DNAT se zdrojem nebo cílem jako kritériem shody“

V níže uvedeném příkladu by větev měla přeložit IP adresu zdroje 10.4.1.1 na 10.200.1.245 pouze v případě provozu do cíle 100.1.1.0/24.Podobně by v DC měla být IP adresa cíle 100.1.1.9 přeložena na 10.1.10.9, pouze pokud je přenos přijímán ze zdroje 10.200.1.0/24.

Viz obrázek níže (oblast Pravidla NAT na straně LAN (LAN-side NAT Rules) pro větev).

Viz obrázek níže (oblast Pravidla NAT na straně LAN (LAN-side NAT Rules) pro hub).

Příklad použití číslo 2: Pro překlad IP adres zdroje i cíle v paketu

Zvažte níže uvedený scénář. V tomto příkladu má každá lokalita v síti přiřazenou stejnou podsíť, takže LAN větve je ve všech lokalitách stejná. „PC1“ a „PC2“ mají stejnou IP adresu a oba potřebují komunikovat se serverem za hubem. Abychom mohli používat překrývající se IP adresy, potřebujeme získat provoz NAT, např. v Edge 1 by počítače (192.168.1.0/24) měly být upraveny pomocí NAT na 192.168.10.0/24, v Edge 2 by počítače (192.168.1.0/24) měly být upraveny pomocí NAT na 192.168.20.0/24.

Také z bezpečnostních důvodů by měl být server za hubem se skutečnou IP adresou „172.16.0.1“ prezentován PC jako „192.168.100.1“ a tato IP adresa by neměla být distribuována do SD-WAN mezi hubem a Edge. Je vyžadována kombinace pravidel pro zdroj a cíl na tomtéž Edge.

Poznámka: Pravidla překladu síťových adres na straně LAN lze konfigurovat na úrovni profilu i na úrovni Edge. Chcete-li provést konfiguraci na úrovni Edge, ujistěte se, že je zaškrtnuto pole Povolit potlačení Edge (Enable Edge Override).

Příklad použití číslo tři: NAT cíle Many-to-Many pro podsíť NSD

Jak je znázorněno na tomto obrázku níže, LAN zařízení Edge je 10.4.1.0/24 a podsíť lokality NVS je 192.168.1.0/24. Pravidlo DNAT na straně LAN bylo nakonfigurováno tak, aby zahrnovalo 172.13.1.0/24 na 192.168.1.0/24. Brána předává trasu datového centra podsítě NVS (192.168.1.0/24) do zařízení Edge, které bylo nakonfigurováno v systému VMware Classic Orchestrator. Když je proto provoz z klienta LAN (10.4.1.25) spuštěn na 172.13.1.2, 172.13.1.2 bude převeden na 192.168.1.2 podle pravidla DNAT. Z Edge na bránu – VCMP a GW na NSD prostřednictvím tunelu IPSEC běžným způsobem. Pokud klient NVS iniciuje provoz na verzi 10.4.1.25, bude zdrojová IP adresa: 192.168.1.2 přeložena na 172.13.1.2 podle pravidla DNAT.
Poznámka: U zpětného provozu funguje případ použití jako SNAT.

Postup konfigurace

Poznámka: Pokud uživatelé chtějí nakonfigurovat výchozí pravidlo jako „libovolné“, musí zadat IP adresu, která obsahuje samé nuly, a předpona také musí být nulová: 0.0.0.0/0.

Uplatnění pravidel překladu síťových adres na straně LAN:
  1. V navigačním panelu přejděte do nabídky Konfigurovat (Configure) > Edge.
  2. Na obrazovce karty Nastavení zařízení (Device Settings) sjeďte dolů do oblasti Pravidla NAT na straně místní sítě LAN (LAN-Side NAT Rules).
  3. V oblasti Pravidla NAT na straně místní sítě LAN (LAN-Side NAT Rules) proveďte v části NAT zdroj nebo cíl (NAT Source or Destination) následující kroky (viz popis polí v níže uvedených krocích v tabulce níže).
    1. Zadejte adresu do textového pole Vnitřní adresa (Inside Address).
    2. Zadejte adresu do textového pole Vnější adresa (Outside Address).
    3. Do příslušného textového pole zadejte směr zdroje (Source Route).
    4. Do příslušného textového pole zadejte směr cíle (Destination Route).
    5. Do textového pole Popis (Description) zadejte popis pravidla (nepovinné).
  4. V oblasti Pravidla NAT na straně místní sítě LAN (LAN-Side NAT Rules) proveďte v části NAT zdroje a cíle (NAT Source and Destination) následující kroky (viz popis polí v níže uvedených krocích v tabulce níže).
    1. Pro typ zdroje (Source) zadejte do příslušných textových polí Vnitřní adresu (Inside Address) a Vnější adresu (Outside Address).
    2. Pro typ Cíle (Destination) zadejte do příslušných textových polí Vnitřní adresu (Inside Address) a Vnější adresu (Outside Address).
    3. Do textového pole Popis (Description) zadejte popis pravidla (nepovinné).
Pravidlo překladu síťových adres (NAT) na straně LAN Typ (Type) Popis (Description)
Rozevírací nabídka Typ (Type) Vyberte zdroj nebo cíl. Určete, zda má být toto pravidlo NAT aplikováno na IP adresu zdroje nebo cíle uživatelského provozu.
Textové pole Vnitřní adresa (Inside Address) Adresa/předpona IPv4, předpona musí být 1–32 „Vnitřní“ IP adresa nebo IP adresa „před překladem“ (pokud je předpona 32) nebo podsíť (pokud je předpona nižší než 32).
Textové pole Vnější adresa (Outside Address) Adresa/předpona IPv4, předpona musí být 1–32 „Vnější“ IP adresa nebo IP adresa „po překladu“ (pokud je předpona 32) nebo podsíť (pokud je předpona nižší než 32).
Textové pole Směr zdroje (Source Route)

– Volitelné

– Adresa/předpona IPv4

– Předpona musí být 1–32

– Výchozí: jakákoli (any)

 Pro NAT cíle zadejte jako kritérium shody IP adresu / podsíť zdroje.Platí, pouze pokud je typem „Cíl (Destination)“.
Textové pole Směr cíle (Destination Route)

– Volitelné

– Adresa/předpona IPv4

– Předpona musí být 1–32

– Výchozí: jakákoli (any)

 Pro NAT zdroje zadejte jako kritérium shody IP adresu / podsíť cíle.Platí, pouze pokud je typem „Zdroj (Source)“.
Textové pole Popis (Description) Text Vlastní textové pole pro popis pravidla NAT.

Poznámka: Důležité: Pokud je předpona vnitřní (Inside) menší než předpona vnější (Outside), podporuje NAT mnoho:1 ve směru LAN na WAN a NAT 1:1 ve směru WAN na LAN. Pokud je například vnitřní adresa (Inside Address) = 10.0.5.0/24, vnější adresa (Outside Address) = 192.168.1.25/32 a typ (Type) = zdroj (Source), pro relace z LAN do WAN s IP adresou zdroje odpovídající „vnitřní adrese“ bude 10.0.5.1 přeložena na 192.168.1.25. U relací z WAN do LAN s IP adresou cíle odpovídající „vnější adrese“ bude 192.168.1.25 přeložena na 10.0.5.25. Podobně, pokud je vnitřní předpona větší než vnější předpona, podporuje NAT mnoho:1 ve směru WAN na LAN a NAT 1:1 NAT ve směru LAN na WAN. IP adresa upravená pomocí NAT není automaticky oznamována; ujistěte se, že bude nakonfigurován statický směr pro IP adresu upravenou pomocí NAT a dalším skokem by měla být IP adresa dalšího skoku LAN zdrojové podsítě.

Pomocný list NAT na straně LAN

Příklad použití 1:
  • Směr provozu: LAN -> WAN
  • Co je třeba přeložit: zdrojová adresa paketu
  • Konfigurace mapování:
    • Typ NAT = „Zdroj (Source)“
    • Původní IP adresa = „Vnitřní adresa (Inside Address)“
    • IP adresa NAT = „Vnější adresa (Outside Address)“
Typ NAT Vnitřní Vnější (Outside) Typ (Type) Chování LAN -> WAN
Zdroj (Source) A.0/24 B.0/24 1:1 A.1 se překládá na B.1, A.2 na B.2 atd.
Zdroj (Source) A.0/24 B.1/32 Mnoho:1 A.1 a A.2 se překládá na B.1.
Zdroj (Source) A.1/32 B.0/24 1:1 A.1 se překládá na B.1, ostatní B.X se nepoužijí.
Příklad použití 2:
  • Směr provozu: WAN -> LAN
  • Co je třeba přeložit: cílová adresa paketu
  • Konfigurace mapování:
    • Typ NAT = „Zdroj (Source)“
    • Původní IP adresa = „Vnější adresa (Outside Address)“
    • IP adresa NAT = „Vnitřní adresa (Inside Address)“
Typ NAT Vnitřní Vnější (Outside) Typ Chování WAN -> LAN
Zdroj A.0/24​ B.0/24​ 1:1 B.1 se překládá na A.1, B.2 na A.2 atd.
Zdroj A.0/24​ B.1/32 Mnoho:1 B.1 se překládá na A.1.
Zdroj A.1/32​ B.0/24​ 1:mnoho B.1 a B.2 se překládá na A.1.
Příklad použití 3:
  • Směr provozu: LAN -> WAN
  • Co je třeba přeložit: cílová adresa paketu
  • Konfigurace mapování:
    • Typ NAT = „Cíl (Destination)“
    • Původní IP adresa = „Vnitřní adresa (Inside Address)“
    • IP adresa NAT = „Vnější adresa (Outside Address)“
Typ NAT Vnitřní (Inside) Vnější (Outside) Typ (Type) Chování LAN -> WAN
Cíl A.0/24 B.0/24​ 1:1 A.1 se překládá na B.1, A.1 na B.2 atd.
Cíl A.0/24​ B.1/32​ Mnoho:1 A.1 a A.2 se překládá na B.1.
Cíl A.1/32​ B.0/24​ 1:mnoho A.1 se překládá na B.1.
Příklad použití 4:
  • Směr provozu: WAN -> LAN
  • Co je třeba přeložit: zdrojová adresa paketu
  • Konfigurace mapování:
    • Typ NAT = „Cíl (Destination)“
    • Původní IP adresa = „Vnější adresa (Outside Address)“
    • IP adresa NAT = „Vnitřní adresa (Inside Address)“
    Typ NAT Vnitřní Vnější (Outside) Typ Chování WAN -> LAN
    Cíl A.0/24 B.0/24​ 1:1 B.1 se překládá na A.1, B.2 na A.2 atd.
    Cíl A.0/24 B.1/32​ Mnoho:1 B.1 se překládá na A.1.
    Cíl A.1/32 B.0/24​ 1:mnoho B.1 a B.2 se překládá na A.1.