Las reglas NAT (traducción de direcciones de red) del lado de la LAN permiten que las direcciones IP de NAT de una subred no anunciada se puedan utilizar en direcciones IP de una subred anunciada. Tanto para el nivel de perfil como el nivel de Edge, dentro de la configuración de ajustes del dispositivo, se introdujeron reglas NAT del lado de la LAN para la versión 3.3.2 y como una extensión, se introdujo compatibilidad con NAT del lado de la LAN basada en origen y destino, mismo origen de paquete y NAT de destino para la versión 3.4.
A partir de la versión 3.3.2, VMware introdujo un nuevo módulo NAT del lado de la LAN en las rutas de VPN NAT en la instancia de Edge. Los casos prácticos principales son los siguientes:
- IP superpuesta de sucursal debido a fusiones y adquisiciones
- Ocultar la dirección IP privada de una derivación o un centro de datos por motivos de seguridad
En la versión 3.4, se introducen campos de configuración adicionales para abordar casos prácticos adicionales. A continuación se muestra un desglose de nivel general de la compatibilidad de NAT del lado de la LAN en diferentes versiones:
- NAT de origen o destino para todas las subredes coincidentes, son compatibles tanto las instancias 1:1 como las de tipo "Muchos:1" (versión 3.3.2)
- NAT de origen basada en subred de destino o NAT de destino basada en subred de origen, son compatibles tanto las instancias 1:1 como las de tipo "Muchos:1" (versión 3.4)
- NAT de origen y NAT de destino 1:1 en el mismo paquete (versión 3.4)
Nota:
- La NAT del lado de la LAN admite el tráfico a través de túnel VCMP. No admite el tráfico subyacente.
- Compatibilidad con NAT de origen y destino 1:1 y de tipo "Muchos:1" (por ejemplo, /24 a /24).
- Si se configuran varias reglas, solo se ejecutará la primera regla coincidente.
- La NAT en el lado de la LAN se lleva a cabo antes de la búsqueda de enrutamiento o flujo. Para hacer coincidir el tráfico en el perfil empresarial, los usuarios deben utilizar la IP con NAT.
- De forma predeterminada, la IP con NAT no se anuncia desde la instancia de Edge. Por lo tanto, asegúrese de agregar la ruta estática para la IP con NAT y anunciarla a la superposición.
- Las configuraciones de la versión 3.3.2 se transferirán, no es necesario volver a configurarlas durante la actualización a la versión 3.4.
Procedimiento
Nota: Si el usuario desea configurar la regla predeterminada, la dirección IP debe ser cero y el prefijo debe ser también cero: 0.0.0.0/0.
Para aplicar reglas NAT del lado de la LAN en el nivel de perfil:
- En el servicio SD-WAN del portal de empresas, vaya a Configurar (Configure) > Perfiles (Profiles).
- Seleccione el perfil adecuado; para ello, haga clic en la casilla de verificación situada junto al nombre del perfil.
- Si aún no está seleccionado, haga clic en el vínculo de la pestaña Dispositivo (Device).
- Desplácese hacia abajo hasta Enrutamiento y NAT (Routing & NAT).
- Abra el área Reglas NAT del lado de la LAN (LAN-Side NAT Rules).
- Haga clic en +AGREGAR (+ADD) para agregar un origen o destino de NAT.
- En el área Reglas NAT del lado de la LAN (LAN-Side NAT Rules), complete lo siguiente para la sección de origen o destino de NAT: (consulte la siguiente tabla para obtener una descripción de los campos en los pasos siguientes).
- Introduzca una dirección para el cuadro de texto Dirección interna (Inside Address).
- Introduzca una dirección para el cuadro de texto Dirección externa (Outside Address).
- Introduzca la ruta de origen en el cuadro de texto apropiado.
- Introduzca la ruta de destino en el cuadro de texto apropiado.
- Escriba una descripción para la regla en el cuadro de texto Descripción (Description) (opcional).
- En el área Reglas NAT del lado de la LAN (LAN-Side NAT Rules), complete lo siguiente para el origen y destino de NAT: (consulte la siguiente tabla para obtener una descripción de los campos en los pasos siguientes).
- Para el tipo de Origen (Source), introduzca la Dirección interna (Inside Address) y la Dirección externa (Outside Address) en los cuadros de texto correspondientes.
- Para el tipo de Destino (Destination), introduzca la Dirección interna (Inside Address) y la Dirección externa (Outside Address) en los cuadros de texto correspondientes.
- Escriba una descripción para la regla en el cuadro de texto Descripción (Description) (opcional).
| Regla NAT del lado de la LAN | Tipo | Descripción |
|---|---|---|
| Menú desplegable Tipo (Type) | Seleccionar Origen (Source) o Destino (Destination) | Determine si esta regla NAT debe aplicarse en la dirección IP de origen o destino del tráfico de usuario. |
| Cuadro de texto Dirección interna (Inside Address) | Dirección/Prefijo IPv4, el prefijo debe ser 1-32 | La dirección IP "interna" o "antes de NAT" (si el prefijo es 32) o la subred (si el prefijo es inferior a 32). |
| Cuadro de texto Dirección externa (Outside Address) | Dirección/Prefijo IPv4, el prefijo debe ser 1-32 | La dirección IP "externa" o "después de NAT" (si el prefijo es 32) o la subred (si el prefijo es inferior a 32). |
| Cuadro de texto Ruta de origen (Source Route) | - Opcional - Dirección/Prefijo IPv4 - El prefijo debe ser 1-32 - Valor predeterminado: cualquiera |
Para la NAT de destino, especifique la dirección IP o la subred de origen como criterios de coincidencia. Solo es válido si el tipo es "Destino" (Destination). |
| Cuadro de texto Ruta de destino (Destination Route) | - Opcional - Dirección/Prefijo IPv4 - El prefijo debe ser 1-32 - Valor predeterminado: cualquiera |
Para la NAT de destino, especifique la dirección IP o la subred de destino como criterios de coincidencia. Solo es válido si el tipo es "Origen" (Source). |
| Cuadro de texto Descripción (Description) | Texto | Cuadro de texto personalizado para describir la regla NAT. |
Nota:
Importante: Si el prefijo interior es menor que el prefijo exterior, admite NAT de tipo "Muchos:1" en la dirección LAN a WAN y NAT 1:1 en la dirección WAN a LAN. Por ejemplo, si la dirección interna es 10.0.5.0/24, la dirección externa es 192.168.1.25/32 y el tipo es Origen (Source), para las sesiones de LAN a WAN con una IP de origen que coincida con la "Dirección interna" (Inside Address), 10.0.5.1 se traducirá a 192.168.1.25. Para las sesiones de WAN a LAN con una IP de destino que coincida con la "Dirección externa" (External Address), 192.168.1.25 se traducirá a 10.0.5.25. De forma similar, si el prefijo interno es mayor que el prefijo externo, admite NAT de tipo "Muchos:1" en la dirección de WAN a LAN y NAT 1:1 en la dirección LAN a WAN. La IP con NAT aplicada no se anuncia automáticamente, asegúrese de que se configure una ruta estática para la IP con NAT aplicada y que el próximo salto sea la IP de próximo salto de LAN de la subred de origen.
