Les règles NAT côté LAN permettent de connecter des adresses IP en NAT dans un sous-réseau non annoncé à des adresses IP dans un sous-réseau annoncé. Aux niveaux du profil et du dispositif Edge, dans la configuration des paramètres du périphérique, les règles NAT côté LAN ont été introduites pour la version 3.3.2 et en tant qu'extension, la prise en charge de la NAT côté LAN basée sur la source et la destination et de la NAT source et de destination sur le même paquet a été introduite pour la version 3.4.
À partir de la version 3.3.2, VMware a introduit un nouveau module NAT côté LAN pour les routes de VPN NAT sur le dispositif Edge. Les cas d'utilisation principaux sont les suivants :
- Chevauchement d'adresses IP du site distant en raison des fusions et des acquisitions (M&A)
- Masquage de l'adresse IP privée d'un site distant ou d'un centre de données pour des raisons de sécurité
Dans la version 3.4, des champs de configuration supplémentaires sont introduits pour le traitement des cas d'utilisation supplémentaires. Vous trouverez ci-après une répartition générale de la prise en charge de la NAT côté LAN dans différentes versions :
- NAT source ou de destination pour tous les sous-réseaux correspondants. Les relations 1:1 et Plusieurs :1 sont prises en charge (version 3.3.2)
- NAT source basée sur le sous-réseau de destination ou NAT de destination basée sur le sous-réseau source. Les relations 1:1 et Plusieurs :1 sont prises en charge (version 3.4)
- NAT source et NAT de destination 1:1 sur le même paquet (version 3.4)
Note :
- NAT côté LAN prend en charge le trafic sur le tunnel VCMP. Il ne prend pas en charge le trafic de sous-couche.
- Prise en charge de la NAT source et de destination « Plusieurs:1 » et NAT source et de destination « 1:1 » (par exemple, /24 à /24).
- Si vous configurez plusieurs règles, seule la première règle correspondante est exécutée.
- La NAT côté LAN est effectuée avant la recherche de route ou de flux. Pour faire correspondre le trafic dans le profil d'entreprise, les utilisateurs doivent utiliser l'adresse IP avec NAT.
- Par défaut, les adresses IP avec NAT ne sont pas annoncées à partir du dispositif Edge. Par conséquent, veillez à ajouter la route statique de l'adresse IP avec NAT et à l'annoncer à la superposition.
- Les configurations dans 3.3.2 seront transférées. La reconfiguration est inutile lors de la mise à niveau vers la version 3.4.
Procédure
Remarque : si les utilisateurs souhaitent configurer la règle par défaut, « indifférent » (any), ils doivent spécifier que l'adresse IP est uniquement composée de zéros et que le préfixe doit être également zéro : 0.0.0.0/0.
Pour appliquer des règles NAT côté LAN au niveau du profil :
- Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Profils (Profiles).
- Sélectionnez le profil approprié en cochant la case en regard du Nom (Name) du profil.
- Si ce n'est pas déjà fait, cliquez sur le lien de l'ongletPériphérique (Device).
- Faites défiler l'écran vers le bas jusqu'à Routage et NAT (Routing & NAT).
- Ouvrez la zone Règles NAT côté LAN (LAN-Side NAT Rules).
- Cliquez sur + AJOUTER (ADD) pour ajouter une source ou une destination NAT.
- Dans la zone Règles NAT côté LAN (LAN-Side NAT Rules), effectuez les opérations suivantes dans la section Source ou destination NAT : (pour obtenir une description des champs dans les étapes ci-dessous, reportez-vous au tableau ci-dessous).
- Entrez une adresse dans la zone de texte Adresse interne (Inside Address).
- Entrez une adresse dans la zone de texte Adresse externe (Outside Address).
- Entrez la route source dans la zone de texte appropriée.
- Entrez la route de destination dans la zone de texte appropriée.
- Entrez une description de la règle dans la zone de texte Description (facultatif).
- Dans la zone Règles NAT côté LAN (LAN-Side NAT Rules), renseignez les éléments suivants pour la source ou la destination NAT : (pour obtenir une description des champs dans les étapes ci-dessous, reportez-vous au tableau ci-dessous).
- Dans le type Source, entrez l'Adresse interne (Inside Address) et l'Adresse externe (Outside Address) dans les zones de texte appropriées.
- Dans le type Destination, entrez l'Adresse interne (Inside Address) et l'Adresse externe (Outside Address) dans les zones de texte appropriées.
- Entrez une description de la règle dans la zone de texte Description (facultatif).
| Règle NAT côté LAN | Type | Description |
|---|---|---|
| Menu déroulant Type | Sélectionner Source ou Destination | Déterminez si cette règle NAT doit être appliquée sur l'adresse IP source ou de destination du trafic utilisateur. |
| Zone de texte Adresse interne (Inside Address) | Adresse IPv4/préfixe, le préfixe doit être compris entre 1 et 32 | L'adresse IP « interne » ou « avant NAT » (si le préfixe est 32) ou le sous-réseau (si le préfixe est inférieur à 32). |
| Zone de texte Adresse externe (Outside Address) | Adresse IPv4/préfixe, le préfixe doit être compris entre 1 et 32 | L'adresse IP « externe » ou « après NAT » (si le préfixe est 32) ou le sous-réseau (si le préfixe est inférieur à 32). |
| Zone de texte Route source (Source Route) | - Facultatif - Adresse IPv4/préfixe - Le préfixe doit être compris entre 1 et 32 - Par défaut : n'importe lequel |
Pour la NAT de destination, spécifiez l'adresse IP source/le sous-réseau comme critères de correspondance. Uniquement valide si le type est « Destination ». |
| Zone de texte Route de destination (Destination Route) | - Facultatif - Adresse IPv4/préfixe - Le préfixe doit être compris entre 1 et 32 - Par défaut : n'importe lequel |
Pour la NAT source, spécifiez l'adresse IP de destination/le sous-réseau comme critères de correspondance.Uniquement valide si le type est « Source ». |
| Zone de texte Description | Texte | Zone de texte personnalisée permettant de décrire la règle NAT. |
Note :
Important : si le préfixe interne est inférieur au préfixe externe, prend en charge la NAT Plusieurs:1 dans la direction LAN vers WAN et la NAT 1:1 dans la direction WAN vers LAN. Par exemple, si l'adresse interne = 10.0.5.0/24, l'adresse externe = 192.168.1.25/32 et le type = source, pour les sessions de LAN vers WAN avec l'adresse IP source correspondant à l'« adresse interne », 10.0.5.1 est traduite en 192.168.1.25. Pour les sessions de WAN vers LAN avec l'adresse IP de destination correspondant à l'« adresse externe », 192.168.1.25 est traduite en 10.0.5.25. De même, si le préfixe interne est supérieur au préfixe externe, prend en charge la NAT Plusieurs:1 dans la direction WAN vers LAN et la NAT 1:1 dans la direction LAN vers LAN. L'adresse IP avec NAT n'est pas automatiquement annoncée. Veillez à configurer une route statique pour cette adresse IP avec NAT. Le next-hop doit être l'adresse IP du next-hop du LAN du sous-réseau source.
