Mithilfe LAN-seitiger NAT-Regeln (Network Address Translation, Netzwerkadressübersetzung) können Sie IP-Adressen in einem nicht angekündigten Subnetz in IP-Adressen in einem angekündigten Subnetz übersetzen. Für die Profil- und Edge-Ebene wurden innerhalb der Konfiguration der Geräteeinstellungen LAN-seitige NAT-Regeln in Version 3.3.2 eingeführt. Als Erweiterung wurde in Version 3.4 LAN-seitige NAT basierend auf Quelle und Ziel sowie Unterstützung für Quell- und Ziel-NAT desselben Pakets eingeführt.
Ab Version 3.3.2 wurde in VMware ein neues LAN-seitiges NAT-Modul für NAT-VPN-Routen auf dem Edge eingeführt. Die Hauptanwendungsfälle lauten wie folgt:
- Branch-überlappende IP aufgrund von M&A (Merger and Acquisitions)
- Ausblenden der privaten IP eines Branch oder Datencenters aus Sicherheitsgründen
In Version 3.4 werden zusätzliche Konfigurationsfelder für weitere Anwendungsfälle eingeführt. Im Folgenden finden Sie eine allgemeine Übersicht hinsichtlich der Unterstützung LAN-seitiger NAT in verschiedenen Versionen:
- Quell- oder Ziel-NAT für alle übereinstimmenden Subnetze, sowohl 1:1 als auch Viele:1 werden unterstützt (Version 3.3.2)
- Quell-NAT basierend auf Zielsubnetz oder Ziel-NAT basierend auf Quellsubnetz, sowohl 1:1 als auch Viele:1 werden unterstützt (Version 3.4)
- Quell-NAT und 1:1-Ziel-NAT im selben Paket (Version 3.4)
Hinweis:
- LAN-seitiges NAT unterstützt Datenverkehr über den VCMP-Tunnel. Underlay-Datenverkehr wird nicht unterstützt.
- Unterstützung für Quell- und Ziel-NAT vom Typ „Viele:1“ und „1:1“ (z. B. /24 zu /24).
- Wenn mehrere Regeln konfiguriert sind, wird nur die erste übereinstimmende Regel ausgeführt.
- LAN-seitige NAT wird vor der Routen- oder Flow-Suche durchgeführt. Um Datenverkehr im Unternehmensprofil abzugleichen, müssen Benutzer die per NAT umgesetzte IP verwenden.
- Standardmäßig werden per NAT umgesetzte IPs nicht über den Edge annonciert. Stellen Sie deshalb sicher, dass Sie die statische Route für die per NAT umgesetzte IP hinzufügen und beim Overlay zu annoncieren.
- Konfigurationen in Version 3.3.2 werden übernommen. Beim Upgrade auf Version 3.4 muss keine Neukonfiguration durchgeführt werden.
Vorgehensweise
Hinweis: Wenn die Benutzer die Standardregel „Beliebig“ (Any) definieren möchten, müssen die IP-Adresse und das Präfix aus Nullen bestehen: 0.0.0.0/0.
So wenden Sie LAN-seitige NAT-Regeln auf Profilebene an:
- Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu Konfigurieren (Configure) > Profile (Profile).
- Wählen Sie das entsprechende Profil aus, indem Sie auf das Kontrollkästchen neben Name des Profils klicken.
- Klicken Sie gegebenenfalls auf den Link der Registerkarte Gerät (Device).
- Führen Sie einen Bildlauf nach unten zu Routing und NAT (Routing & NAT) durch.
- Öffnen Sie den Bereich LAN-seitige NAT-Regeln (LAN-Side NAT Rules).
- Klicken Sie auf +HINZUFÜGEN (+ADD), um eine NAT-Quelle oder ein NAT-Ziel hinzuzufügen.
- Geben Sie im Bereich LAN-seitige NAT-Regeln (LAN-Side NAT Rules) im Abschnitt „NAT-Quelle oder -Ziel (NAT Source or Destination)“ Folgendes ein: (Eine Beschreibung der Felder in den folgenden Schritten finden Sie in nachstehender Tabelle.)
- Geben Sie eine Adresse im Textfeld Innere Adresse (Inside Address) ein.
- Geben Sie eine Adresse im Textfeld Äußere Adresse (Outside Address) ein.
- Geben Sie die Quellroute im entsprechenden Textfeld ein.
- Geben Sie die Zielroute im entsprechenden Textfeld ein.
- Geben Sie eine Beschreibung für die Regel im Textfeld Beschreibung (Description) ein (optional).
- Geben Sie im Bereich LAN-seitige NAT-Regeln (LAN-Side NAT Rules) Folgendes für die NAT-Quelle und das NAT-Ziel ein: (Eine Beschreibung der Felder in den folgenden Schritten finden Sie in nachstehender Tabelle.)
- Geben Sie für den Typ Quelle (Source) die Innere Adresse (Inside Address) und die Äußere Adresse (Outside Address) in den entsprechenden Textfeldern ein.
- Geben Sie für den Typ Ziel (Destination) die Innere Adresse (Inside Address) und die Äußere Adresse (Outside Address) in den entsprechenden Textfeldern ein.
- Geben Sie eine Beschreibung für die Regel im Textfeld Beschreibung (Description) ein (optional).
| LAN-seitige NAT-Regel | Typ (Type) | Beschreibung |
|---|---|---|
| Dropdown-Menü „Typ (Type)“ | Entweder „Quelle (Source)“ oder „Ziel (Destination)“ auswählen | Geben Sie an, ob diese NAT-Regel auf die Quell- oder Ziel-IP-Adresse des Benutzerdatenverkehrs angewendet werden soll. |
| Textfeld „Innere Adresse (Inside Address)“ | IPv4-Adresse/Präfix, Präfix muss zwischen 1 und 32 liegen. | Die „innere“ oder „Vor NAT“-IP-Adresse (bei einem Präfix von 32) oder das Subnetz (bei einem Präfix kleiner als 32). |
| Textfeld „Äußere Adresse (Outside Address)“ | IPv4-Adresse/Präfix, Präfix muss zwischen 1 und 32 liegen. | Die „äußere“ oder „Nach NAT“-IP-Adresse (bei einem Präfix von 32) oder das Subnetz (bei einem Präfix kleiner als 32). |
| Textfeld „Quellroute (Source Route)“ | - Optional - IPv4-Adresse/Präfix - Präfix muss zwischen 1 und 32 liegen - Standard: beliebig |
Geben Sie Quell-IP/Subnetz als Übereinstimmungskriterien für die Ziel-NAT an. Nur gültig, wenn der Typ „Ziel (Destination)“ lautet. |
| Textfeld „Zielroute (Destination Route)“ | - Optional - IPv4-Adresse/Präfix - Präfix muss zwischen 1 und 32 liegen - Standard: beliebig |
Geben Sie Ziel-IP/Subnetz als Übereinstimmungskriterien für die Quell-NAT an.Nur gültig, wenn der Typ „Quelle (Source)“ lautet. |
| Textfeld „Beschreibung (Description)“ | Text | Benutzerdefiniertes Textfeld zur Beschreibung der NAT-Regel. |
Hinweis:
Wichtig: Wenn das innere Präfix kleiner ist als das äußere Präfix, unterstützen Sie Viele:1-NAT in der LAN-zu-WAN-Richtung und 1:1-NAT in der WAN-zu-LAN-Richtung. Beispiel: Wenn 10.0.5.0/24 der inneren Adresse und 192.168.1.25/32 der äußeren Adresse entspricht und „Quelle “ als Typ fungiert, wird für Sitzungen von LAN zu WAN mit der Quell-IP, die der inneren Adresse entspricht, 10.0.5.1 in 192.168.1.25 übersetzt. Für Sitzungen von WAN zu LAN mit der Ziel-IP, die der äußeren Adresse entspricht, wird 192.168.1.25 in 10.0.5.25 übersetzt. Wenn das innere Präfix größer ist als das äußere Präfix, unterstützen Sie gleichfalls Viele:1-NAT in der WAN-zu-LAN-Richtung und 1:1-NAT in der LAN-zu-WAN-Richtung. Die über NAT umgesetzte IP wird nicht automatisch annonciert. Stellen Sie sicher, dass eine statische Route für die über NAT umgesetzte IP konfiguriert wird und der nächste Hop als LAN-IP des Quellsubnetzes fungiert.
