Οι κανόνες NAT στην πλευρά του LAN σάς επιτρέπουν να μεταφέρετε διευθύνσεις IP NAT σε μη κοινοποιημένο υποδίκτυο σε διευθύνσεις IP σε κοινοποιημένο υποδίκτυο. Τόσο για το επίπεδο προφίλ όσο και για το επίπεδο Edge, στη διαμόρφωση των ρυθμίσεων συσκευής, οι κανόνες NAT στην πλευρά του LAN παρουσιάστηκαν για την έκδοση 3.3.2 και ως επέκταση, και η υποστήριξη για NAT στην πλευρά του LAN με βάση την προέλευση και τον προορισμό, για ίδια προέλευση πακέτου και για NAT προορισμού παρουσιάστηκε για την έκδοση 3.4.

Από την έκδοση 3.3.2, η VMware παρουσίασε μια νέα λειτουργική μονάδα NAT στην πλευρά του LAN στις δρομολογήσεις VPN NAT στο Edge. Οι κύριες υποθέσεις χρήσης είναι οι εξής:

  • Επικαλυπτόμενη IP διακλάδωσης λόγω M&A
  • Απόκρυψη της ιδιωτικής IP μιας διακλάδωσης ή ενός κέντρου δεδομένων για λόγους ασφαλείας
Στην έκδοση 3.4, παρουσιάζονται πρόσθετα πεδία διαμόρφωσης για την αντιμετώπιση πρόσθετων υποθέσεων χρήσης. Ακολουθεί μια ανάλυση υψηλού επιπέδου της υποστήριξης NAT στην πλευρά του LAN σε διάφορες εκδόσεις:
  • NAT προέλευσης ή προορισμού για όλα τα υποδίκτυα που ταιριάζουν, υποστηρίζονται τόσο το «1:1» όσο και το «Πολλά:1» (έκδοση 3.3.2)
  • NAT προέλευσης με βάση το υποδίκτυο προορισμού ή το NAT προορισμού με βάση το υποδίκτυο προέλευσης, υποστηρίζονται τόσο το «1:1» όσο και το «Πολλά:1» (έκδοση 3.4)
  • NAT προέλευσης και NAT προορισμού «1:1» στο ίδιο πακέτο (έκδοση 3.4)
Σημείωση:
  • Το NAT στην πλευρά του LAN υποστηρίζει την κυκλοφορία μέσω της διοχέτευσης VCMP. Δεν υποστηρίζει την κυκλοφορία υποστρώματος.
  • Υποστήριξη για NAT προέλευσης και προορισμού «Πολλά:1» και «1:1» (π.χ. /24 έως /24).
  • Εάν έχουν ρυθμιστεί πολλοί κανόνες, εκτελείται μόνο ο πρώτος κανόνας που ταιριάζει.
  • Το NAT στην πλευρά του LAN ολοκληρώνεται πριν από την εμφάνιση δρομολόγησης ή ροής. Για να αντιστοιχίσουν οι χρήστες την κυκλοφορία στο εταιρικό προφίλ, πρέπει να χρησιμοποιούν τη διεύθυνση IP NAT.
  • Από προεπιλογή, η IP μέσω NAT δεν κοινοποιείται από το Edge. Επομένως, βεβαιωθείτε ότι έχετε προσθέσει τη στατική δρομολόγηση για την IP μέσω NAT και κοινοποιήστε στην επικάλυψη.
  • Οι διαμορφώσεις της έκδοσης 3.3.2 θα μεταφερθούν, δεν χρειάζεται να γίνει νέα διαμόρφωση μετά την αναβάθμιση 3.4.

NAT στην πλευρά του LAN (έκδοση 3.3.2)

Πρώτη υπόθεση χρήσης: «NAT προέλευσης Πολλά:1»

Σε αυτό το σενάριο, ένα τρίτο μέρος έχει αντιστοιχίσει πολλά μη επικαλυπτόμενα υποδίκτυα στην τοποθεσία ενός πελάτη. Ο διακομιστής στο κέντρο δεδομένων του πελάτη αναγνωρίζει την κυκλοφορία από αυτό το τρίτο μέρος από μία μόνο διεύθυνση IP σε κάθε δεδομένη τοποθεσία.

Η διαμόρφωση που απαιτείται για την πρώτη υπόθεση χρήσης για την έκδοση 3.3.2: Νέος κανόνας: NAT στην πλευρά του LAN 192.168.1.0/24 -> 172.16.24.4/32

Όπως φαίνεται στην παρακάτω εικόνα, επειδή ο κανόνας NAT είναι μια ενιαία κυκλοφορία IP, TCP και UDP, θα είναι μέσω NAT. Επομένως, σε αυτό το παράδειγμα, το 192.168.1.50 γίνεται 172.16.24.4 με μια προσωρινή θύρα προέλευσης για κυκλοφορία TCP/UDP, η κυκλοφορία ICMP γίνεται 172.16.24.4 με ένα προσαρμοσμένο αναγνωριστικό ICMP για αντίστροφη αναζήτηση και όλη η άλλη κυκλοφορία απορρίπτεται.

Δεύτερη υπόθεση χρήσης: «NAT προέλευσης 1:1»

Σε αυτό το σενάριο, το υποδίκτυο LAN είναι 192.168.1.0/24. Ωστόσο, αυτό το υποδίκτυο είναι επικαλυπτόμενο με άλλες τοποθεσίες. Ένα μοναδικό υποδίκτυο ίσου μεγέθους, 172.16.24.0/24, έχει αντιστοιχιστεί για χρήση στην επικοινωνία VPN σε αυτήν την τοποθεσία. Η κυκλοφορία από τον υπολογιστή πρέπει να γίνει μέσω NAT στο Edge πριν από την αναζήτηση δρομολόγησης, διαφορετικά η δρομολόγηση προέλευσης θα ταιριάζει με το 192.168.1.0/24 που δεν κοινοποιείται από αυτό το Edge και η κυκλοφορία θα απορριφθεί.

Η διαμόρφωση που απαιτείται για τη δεύτερη υπόθεση χρήσης: Νέος κανόνας: NAT στην πλευρά του LAN 192.168.1.0/24 -> 172.16.24.0/24

Επειδή το μέγεθος των υποδικτύων ταιριάζει, όλα τα bit που ταιριάζουν με τη μάσκα υποδικτύου θα είναι μέσω NAT. Ως εκ τούτου, στην παρακάτω εικόνα, το 192.168.1.50 γίνεται 172.16.24.50.

NAT στην πλευρά του LAN με βάση την προέλευση ή τον προορισμό (έκδοση 3.4)

Η έκδοση 3.4 παρουσιάζει την υποστήριξη NAT στην πλευρά του LAN με βάση την προέλευση/τον προορισμό ως μέρος ενός κανόνα, στον οποίο μπορείτε να ενεργοποιήσετε το NAT μόνο για ένα υποσύνολο κυκλοφορίας με βάση τα υποδίκτυα προέλευσης ή προορισμού. Δείτε τις ακόλουθες υποθέσεις χρήσης για αυτήν τη βελτίωση παρακάτω.

Πρώτη υπόθεση χρήσης: «Εκτέλεση SNAT ή DNAT με την προέλευση ή τον προορισμό ως κριτήριο αντιστοίχισης»

Στο παρακάτω παράδειγμα απεικόνισης, η διακλάδωση θα πρέπει να μεταφράσει τη διεύθυνση δικτύου (NAT) της IP προέλευσης 10.4.1.1 σε 10.200.1.245 μόνο για την κυκλοφορία που προορίζεται για το 100.1.1.0/24. Ομοίως, στο DC, η διεύθυνση IP προορισμού 100.1.1.9 θα πρέπει μεταφραστεί (NAT) σε 10.1.10.9 μόνο εάν η κυκλοφορία παραλαμβάνεται από την προέλευση 10.200.1.0/24.

Ανατρέξτε στην παρακάτω εικόνα (περιοχή κανόνων NAT στην πλευρά του LAN για τη διακλάδωση).

Ανατρέξτε στην παρακάτω εικόνα (περιοχή κανόνων NAT στην πλευρά του LAN για τον διανομέα).

Δεύτερη υπόθεση χρήσης: Μετάφραση διεύθυνσης δικτύου (NAT) τόσο της IP προέλευσης όσο και της IP προορισμού

Εξετάστε το παρακάτω σενάριο. Σε αυτό το παράδειγμα, σε κάθε τοποθεσία του δικτύου αντιστοιχίζεται το ίδιο υποδίκτυο, έτσι ώστε το LAN διακλάδωσης να είναι πανομοιότυπο σε κάθε τοποθεσία. Οι υπολογιστές «PC1» και «PC2» έχουν την ίδια διεύθυνση IP και πρέπει να επικοινωνούν και οι δύο με έναν διακομιστή πίσω από τον διανομέα. Πρέπει να γίνει μετάφραση της διεύθυνσης δικτύου (NAT) προέλευσης της κυκλοφορίας ώστε να χρησιμοποιούνται επικαλυπτόμενες διευθύνσεις IP, π.χ. στο Edge 1, στους υπολογιστές (192.168.1.0/24) θα πρέπει να γίνει μετάφραση της διεύθυνσης δικτύου (NAT) σε 192.168.10.0/24, στο Edge2, στους υπολογιστές (192.168.1.0/24) θα πρέπει να γίνει μετάφραση της διεύθυνσης δικτύου (NAT) σε 192.168.20.0/24.

Επίσης, για λόγους ασφαλείας, ο διακομιστής πίσω από τον διανομέα με πραγματική IP «172.16.0.1» θα πρέπει να παρουσιάζεται στους υπολογιστές ως «192.168.100.1» και αυτή η IP δεν πρέπει να διανέμεται στο SD-WAN μεταξύ του διανομέα και του Edge, απαιτούνται κανόνες συνδυασμού προέλευσης + προορισμού στο ίδιο Edge.

Σημείωση: Οι παράμετροι των κανόνων NAT στην πλευρά του LAN μπορούν να ρυθμιστούν σε επίπεδο προφίλ ή σε επίπεδο Edge. Για να διαμορφώσετε σε επίπεδο Edge, βεβαιωθείτε ότι είναι επιλεγμένο το πλαίσιο ελέγχου Ενεργοποίηση παράκαμψης Edge (Enable Edge Override).

Τρίτη υπόθεση χρήσης: NAT προορισμού Πολλά σε πολλά για ένα υποδίκτυο NSD (Use Case Number Three: Many-to-Many Destination NAT for a NSD Subnet)

Όπως φαίνεται στην παρακάτω εικόνα, το LAN Edge είναι 10.4.1.0/24 και το υποδίκτυο τοποθεσίας NVS είναι 192.168.1.0/24. Ο κανόνας DNAT στην πλευρά του LAN διαμορφώθηκε για μετατροπή του 172.13.1.0/24 σε 192.168.1.0/24. Η πύλη προωθεί τη δρομολόγηση του κέντρου δεδομένων του υποδικτύου NVS (192.168.1.0/24) στο Edge, το οποίο διαμορφώθηκε στο κλασικό περιβάλλον εργασίας χρήστη του VMware Orchestrator. Επομένως, όταν η κυκλοφορία από τον υπολογιστή-πελάτη LAN (10.4.1.25) ξεκινά σε 172.13.1.2, το 172.13.1.2 θα μετατραπεί σε 192.168.1.2, σύμφωνα με τον κανόνα DNAT. Από το Edge προς την πύλη, το VCMP και το GW του προς το NSD γίνεται μέσω διοχέτευσης IPSEC ως συνήθως. Εάν το πρόγραμμα-πελάτης NVS ξεκινήσει κυκλοφορία στο 10.4.1.25, η διεύθυνση IP προέλευσης: 192.168.1.2 θα μεταφραστεί σε 172.13.1.2 σύμφωνα με τον κανόνα DNAT.
Σημείωση: Για την αντίστροφη κυκλοφορία, η υπόθεση χρήσης λειτουργεί ως SNAT.

Διαδικασία διαμόρφωσης

Σημείωση: Εάν οι χρήστες θέλουν να διαμορφώσουν τον προεπιλεγμένο κανόνα, «οποιαδήποτε», πρέπει να καθορίσουν τη διεύθυνση IP ώστε να είναι όλα μηδενικά και το πρόθημα πρέπει να είναι επίσης μηδέν: 0.0.0.0/0.

Για την εφαρμογή κανόνων NAT στην πλευρά του LAN:
  1. Από τον πίνακα πλοήγησης, μεταβείτε στις επιλογές Διαμόρφωση > Edge (Configure > Edges).
  2. Στην οθόνη της καρτέλας Ρυθμίσεις συσκευής (Device Settings), μετακινηθείτε με κύλιση προς τα κάτω στην περιοχή Κανόνες NAT στην πλευρά του LAN (LAN-Side NAT Rules).
  3. Στην περιοχή Κανόνες NAT στην πλευρά του LAN (LAN-Side NAT Rules), συμπληρώστε τα εξής για την ενότητα «Προέλευση ή Προορισμός NAT» (NAT Source or Destination): (Ανατρέξτε στον παρακάτω πίνακα για μια περιγραφή των πεδίων, στα παρακάτω βήματα).
    1. Εισαγάγετε μια διεύθυνση για το πλαίσιο κειμένου Εσωτερική διεύθυνση (Inside Address).
    2. Εισαγάγετε μια διεύθυνση για το πλαίσιο κειμένου Εξωτερική διεύθυνση (Outside Address).
    3. Εισαγάγετε τη «Δρομολόγηση προέλευσης» (Source Route) στο κατάλληλο πλαίσιο κειμένου.
    4. Εισαγάγετε τη «Δρομολόγηση προορισμού» (Destination Route) στο κατάλληλο πλαίσιο κειμένου.
    5. Πληκτρολογήστε μια περιγραφή για τον κανόνα στο πλαίσιο κειμένου Περιγραφή (Description) (προαιρετικό).
  4. Στην περιοχή Κανόνες NAT στην πλευρά του LAN (LAN-Side NAT Rules), συμπληρώστε τα εξής για την ενότητα «Προέλευση και Προορισμός NAT» (NAT Source and Destination): (Ανατρέξτε στον παρακάτω πίνακα για μια περιγραφή των πεδίων, στα παρακάτω βήματα).
    1. Για τον τύπο Προέλευση (Source), εισαγάγετε την Εσωτερική διεύθυνση (Inside address) και την Εξωτερική διεύθυνση (Outside Address) στα κατάλληλα πλαίσια κειμένου.
    2. Για τον τύπο Προορισμός (Destination), εισαγάγετε την Εσωτερική διεύθυνση (Inside address) και την Εξωτερική διεύθυνση (Outside Address) στα κατάλληλα πλαίσια κειμένου.
    3. Πληκτρολογήστε μια περιγραφή για τον κανόνα στο πλαίσιο κειμένου Περιγραφή (Description) (προαιρετικό).
Κανόνας NAT στην πλευρά του LAN Τύπος (Type) Περιγραφή
Αναπτυσσόμενο μενού «Τύπος» (Type) Επιλέξτε «Προέλευση» (Source) ή «Προορισμός» (Destination) Καθορίστε εάν αυτός ο κανόνας NAT θα πρέπει να εφαρμοστεί στη διεύθυνση IP προέλευσης ή προορισμού της κυκλοφορίας του χρήστη.
Πλαίσιο κειμένου «Εσωτερική διεύθυνση» (Inside Address) Διεύθυνση/πρόθημα IPv4, το πρόθημα πρέπει να είναι 1-32 Η «εσωτερική» διεύθυνση IP ή διεύθυνση IP «πριν από το NAT» (εάν το πρόθημα είναι 32) ή το υποδίκτυο (εάν το πρόθημα είναι μικρότερο από 32).
Πλαίσιο κειμένου «Εξωτερική διεύθυνση» (Outside Address) Διεύθυνση/πρόθημα IPv4, το πρόθημα πρέπει να είναι 1-32 Η «εξωτερική» διεύθυνση IP ή διεύθυνση IP «μετά το NAT» (εάν το πρόθημα είναι 32) ή το υποδίκτυο (εάν το πρόθημα είναι μικρότερο από 32).
Πλαίσιο κειμένου «Δρομολόγηση προέλευσης» (Source Route)

- Προαιρετικά (Optional)

- Διεύθυνση/πρόθημα IPv4

- Το πρόθημα πρέπει να είναι 1-32

- Προεπιλογή: οποιαδήποτε (any)

 Για το NAT προορισμού, καθορίστε IP προέλευσης/υποδίκτυο ως κριτήρια αντιστοίχισης. Ισχύει μόνο αν ο τύπος είναι «Προορισμός» (Destination).
Πλαίσιο κειμένου «Δρομολόγηση προορισμού» (Destination Route)

- Προαιρετικά (Optional)

- Διεύθυνση/πρόθημα IPv4

- Το πρόθημα πρέπει να είναι 1-32

- Προεπιλογή: οποιαδήποτε (any)

 Για το NAT προέλευσης, καθορίστε IP προορισμού/υποδίκτυο ως κριτήρια αντιστοίχισης.Ισχύει μόνο αν ο τύπος είναι «Προέλευση» (Source).
Πλαίσιο κειμένου «Περιγραφή» (Description) Κείμενο Προσαρμοσμένο πλαίσιο κειμένου για την περιγραφή του κανόνα NAT.

Σημείωση: Σημαντικό: Εάν το εσωτερικό πρόθημα είναι μικρότερο από το εξωτερικό πρόθημα, υποστηρίξτε NAT «Πολλά:1» στην κατεύθυνση LAN σε WAN και NAT «1:1» στην κατεύθυνση WAN σε LAN. Για παράδειγμα, εάν η εσωτερική διεύθυνση = 10.0.5.0/24, η εξωτερική διεύθυνση = 192.168.1.25/32 και ο τύπος = προέλευση, για περιόδους λειτουργίας από LAN σε WAN με IP προέλευσης που ταιριάζει με την «Εσωτερική διεύθυνση», το 10.0.5.1 θα μεταφραστεί σε 192.168.1.25. Για περιόδους λειτουργίας από WAN σε LAN με IP προορισμού που ταιριάζει με την «Εξωτερική διεύθυνση», το 192.168.1.25 θα μεταφραστεί σε 10.0.5.25. Ομοίως, εάν το εσωτερικό πρόθημα είναι μεγαλύτερο από το εξωτερικό πρόθημα, υποστηρίξτε NAT «Πολλά:1» στην κατεύθυνση WAN σε LAN και NAT «1:1» στην κατεύθυνση LAN σε WAN. Η IP μέσω NAT δεν κοινοποιείται αυτόματα, φροντίστε να ρυθμιστεί μια στατική δρομολόγηση για την IP μέσω NAT και η επόμενη μεταπήδηση να είναι η επόμενη IP μεταπήδησης LAN του υποδικτύου προέλευσης.

Σημειώσεις για το NAT στην πλευρά του LAN

Υπόθεση χρήσης 1:
  • Κατεύθυνση κυκλοφορίας: LAN->WAN
  • Τι πρέπει να μεταφραστεί: διεύθυνση προέλευσης πακέτου
  • Αντιστοίχιση διαμόρφωσης:
    • Τύπος NAT = «Προέλευση»
    • Αρχική IP = «Εσωτερική διεύθυνση»
    • IP μέσω NAT = «Εξωτερική διεύθυνση»
Τύπος NAT Εσωτερική Εξωτερικό (Outside) Τύπος (Type) Συμπεριφορά LAN->WAN
Προέλευση (Source) A.0/24 B.0/24 1:1 Το A.1 μεταφράζεται σε B.1, το A.2 σε B.2, κ.λπ.
Προέλευση (Source) A.0/24 B.1/32 Πολλά:1 Τα A.1 και A.2 μεταφράζονται σε B.1
Προέλευση (Source) A.1/32 B.0/24 1:1 Το A.1 μεταφράζεται σε B.1, τα άλλα B.X δεν χρησιμοποιούνται
Υπόθεση χρήσης 2:
  • Κατεύθυνση κυκλοφορίας: WAN -> LAN
  • Τι πρέπει να μεταφραστεί: διεύθυνση προορισμού πακέτου
  • Αντιστοίχιση διαμόρφωσης:
    • Τύπος NAT = «Προέλευση»
    • Αρχική IP = «Εξωτερική διεύθυνση»
    • Διεύθυνση IP = «Εσωτερική διεύθυνση»
Τύπος NAT Εσωτερική Εξωτερικό (Outside) Τύπος Συμπεριφορά WAN->LAN
Προέλευση A.0/24​ B.0/24​ 1:1​ Το B.1 μεταφράζεται σε A.1, το B.2 σε A.2, κ.λπ.
Προέλευση A.0/24​ B.1/32​​ Πολλά:1 Το B.1 μεταφράζεται σε A.1
Προέλευση A.1/32​ B.0/24​ 1:Πολλά Τα B.1 και B.2 μεταφράζονται σε A.1
Υπόθεση χρήσης 3:
  • Κατεύθυνση κυκλοφορίας: LAN->WAN
  • Τι πρέπει να μεταφραστεί: διεύθυνση προορισμού πακέτου
  • Αντιστοίχιση διαμόρφωσης:
    • Τύπος NAT = «Προορισμός»
    • Αρχική IP = «Εσωτερική διεύθυνση»
    • IP μέσω NAT = «Εξωτερική διεύθυνση»
Τύπος NAT Εσωτερικό (Inside) Εξωτερικό (Outside) Τύπος (Type) Συμπεριφορά LAN->WAN
Προορισμός (Destination) A.0/24 B.0/24​ 1:1​ Το A.1 μεταφράζεται σε B.1, το A.1 σε B.2, κ.λπ.
Προορισμός (Destination) A.0/24​ B.1/32​ Πολλά:1 Τα A.1 και A.2 μεταφράζονται σε B.1
Προορισμός (Destination) A.1/32​ B.0/24​ 1:Πολλά Το A.1 μεταφράζεται σε B.1
Υπόθεση χρήσης 4:
  • Κατεύθυνση κυκλοφορίας: WAN->LAN
  • Τι πρέπει να μεταφραστεί: διεύθυνση προέλευσης πακέτου
  • Αντιστοίχιση διαμόρφωσης:
    • Τύπος NAT = «Προορισμός»
    • Αρχική IP = «Εξωτερική διεύθυνση»
    • Διεύθυνση IP = «Εσωτερική διεύθυνση»
    Τύπος NAT Εσωτερική Εξωτερικό (Outside) Τύπος Συμπεριφορά WAN->LAN
    Προορισμός A.0/24 B.0/24​ 1:1​ Το B.1 μεταφράζεται σε A.1, το B.2 σε A.2, κ.λπ.
    Προορισμός (Destination) A.0/24 B.1/32​ Πολλά:1 Το B.1 μεταφράζεται σε A.1
    Προορισμός A.1/32 B.0/24​ 1:Πολλά Τα B.1 και B.2 μεταφράζονται σε A.1