Le regole NAT lato LAN consentono di nattare gli indirizzi IP in una subnet non annunciata in indirizzi IP in una subnet pubblicizzata. Sia a livello di profilo sia a livello di Edge, all'interno della configurazione delle impostazioni del dispositivo sono state introdotte regole NAT lato LAN per la versione 3.3.2 e, come estensione, NAT lato LAN in base all'origine e alla destinazione; per la versione 3.4 è stato introdotto lo stesso supporto dei NAT di origine e destinazione dei pacchetti.

Dalla versione 3.3.2, VMware ha introdotto un nuovo modulo NAT lato LAN per nattare le route VPN nell'Edge. I casi d'uso principali sono i seguenti:

  • IP sovrapposto per le filiali a causa di M&A
  • Nascondere l'IP privato di una filiale o di un data center per motivi di sicurezza
Nella versione 3.4 vengono introdotti ulteriori campi di configurazione per un più ampio ventaglio di casi d'uso. Di seguito è riportata una ripartizione generale del supporto del NAT lato LAN in versioni diverse:
  • NAT di origine o destinazione per tutte le subnet associate, sono supportati sia 1:1 sia molti:1 (versione 3.3.2)
  • NAT di origine in base alla subnet di destinazione o NAT di destinazione in base alla subnet di origine, sono supportati sia 1:1 che molti:1 (versione 3.4)
  • NAT di origine e NAT di destinazione 1:1 nello stesso pacchetto (versione 3.4)
Nota:
  • Il NAT lato LAN supporta il traffico tramite il tunnel VCMP. Non supporta il traffico underlay.
  • Supporto per il NAT di origine e destinazione "molti:1" e "1:1" (ad esempio /24 a /24).
  • Se sono configurate più regole, viene eseguita solo la prima regola associata.
  • Il NAT lato LAN viene eseguito prima della ricerca di route o flussi. Per associare il traffico nel profilo di business, gli utenti devono utilizzare l'IP nattato.
  • Per impostazione predefinita, l'IP nattato non viene annunciato dall'Edge. Pertanto, assicurarsi di aggiungere la route statica per l'IP nattato e annunciarla all'overlay.
  • Al momento dell'aggiornamento alla versione 3.4, le configurazioni nella versione 3.3.2 saranno trasferite senza necessità di riconfigurazione.

NAT lato LAN (versione 3.3.2)

Caso d'uso numero uno: "NAT di origine molti:1"

In questo scenario, una terza parte ha assegnato più subnet non sovrapposte al sito di un cliente. Il server nel data center del cliente riconosce il traffico proveniente da questa terza parte mediante un singolo indirizzo IP in un determinato sito.

Configurazione necessaria per il caso d'uso numero uno per la versione 3.3.2: Nuova regola: NAT lato LAN 192.168.1.0/24 -> 172.16.24.4/32

Come mostrato nell'immagine seguente, poiché la regola NAT è un singolo IP, il traffico TCP e UDP sarà nattato. In questo esempio, quindi, 192.168.1.50 diventa 172.16.24.4 con una porta di origine provvisoria per il traffico TCP/UDP, il traffico ICMP diventa 172.16.24.4 con un ID ICMP personalizzato per la ricerca inversa e tutto il resto del traffico sarà interrotto.

Caso d'uso numero due: "NAT di origine 1:1"

In questo scenario, la subnet LAN è 192.168.1.0/24. Tuttavia, si tratta di una subnet sovrapposta con altri siti. Una subnet univoca di dimensioni uguali, 172.16.24.0/24 è stata assegnata all'uso per la comunicazione VPN in questo sito. Il traffico dal PC deve essere nattato sull'Edge prima della ricerca delle route, altrimenti la route di origine corrisponderà all'indirizzo 192.168.1.0/24 che non viene annunciato da questo Edge e il traffico sarà interrotto.

Configurazione necessaria per il caso d'uso numero due: Nuova regola: NAT lato LAN 192.168.1.0/24-> 172.16.24.0/24

Poiché le dimensioni delle subnet corrispondono, tutti i bit corrispondenti alla subnet mask saranno nattati. Pertanto, nell'immagine seguente, 192.168.1.50 diventa 172.16.24.50.

NAT lato LAN in base all'origine o alla destinazione (versione 3.4)

La versione 3.4 introduce il NAT lato LAN in base al supporto di origine/destinazione come parte di una singola regola, nella quale è possibile abilitare NAT solo per un sottoinsieme di traffico in base alle subnet di origine o destinazione. Vedere i seguenti casi d'uso per questo miglioramento di seguito.

Caso d'uso numero uno: "Eseguire SNAT o DNAT con origine o destinazione come criterio di corrispondenza"

Nell'esempio illustrato nell'immagine in basso, il ramo deve nattare l'IP di origine 10.4.1.1 IP in 10.200.1.245 solo per il traffico destinato a 100.1.1.0/24. Allo stesso modo, nel data center, l'IP di destinazione 100.1.1.9 IP deve essere nattato in 10.1.10.9 solo se il traffico viene ricevuto dall'origine 10.200.1.0/24.

Vedere l'immagine seguente (area delle regole NAT lato LAN per il ramo).

Vedere l'immagine seguente (area delle regole NAT lato LAN per l'hub).

Caso d'uso numero due: nattare sia l'IP di origine sia di quello di destinazione nel pacchetto

Si consideri lo scenario seguente. In questo esempio, a ogni sito nella rete viene assegnata la stessa subnet in modo che la LAN della filiale sia identica in ogni sito. "PC1" e "PC2" hanno lo stesso indirizzo IP ed entrambi devono comunicare con un server dietro l'hub. Per poter utilizzare indirizzi IP sovrapposti, è necessario eseguire il NAT di origine sul traffico, ad esempio in Edge 1, i PC (192.168.1.0/24) devono essere nattati in 192.168.10.0/24, in Edge2, i PC (192.168.1.0/24) devono essere nattati in 192.168.20.0/24.

Inoltre, per motivi di sicurezza, il server dietro l'hub con IP reale "172.16.0.1" deve essere presentato ai PC come "192.168.100.1" e questo IP non deve essere distribuito su SD-WAN tra l'hub e l'Edge; sono necessarie regole di combinazione origine + destinazione nello stesso Edge.

Nota: Le regole NAT lato LAN possono essere configurate a livello di profilo o a livello di Edge. Per la configurazione a livello di Edge, verificare di avere selezionato la casella di controllo Abilita sostituzione Edge (Enable Edge Override).

Caso d'uso numero tre: NAT di destinazione molti-a-molti per una subnet NSD

Come illustrato nell'immagine seguente, la LAN dell'Edge è 10.4.1.0/24 e la subnet del sito NVS è 192.168.1.0/24. La regola DNAT lato LAN è stata configurata per includere da 172.13.1.0/24 a 192.168.1.0/24. Il gateway esegue il push della route del data center della subnet NVS (192.168.1.0/24) verso l'Edge, che è stato configurato in VMware Classic Orchestrator. Di conseguenza, quando il traffico dal client LAN (10.4.1.25) viene convertito in 172.13.1.2, 172.13.1.2 verrà convertito in 192.168.1.2, in base alla regola DNAT. Dall'Edge al gateway, dai suoi VCMP e GW a NSD tramite il tunnel IPSec come di consueto. Se il client NVS avvia il traffico verso 10.4.1.25, l'IP di origine: 192.168.1.2 verrà convertito in 172.13.1.2 in base alla regola DNAT.
Nota: Per il traffico inverso, il caso d'uso funziona come SNAT.

Procedura di configurazione

Nota: se l'utente desidera configurare la regola predefinita "qualsiasi", l'indirizzo IP deve contenere tutti zeri e anche il prefisso deve essere pari a zero: 0.0.0.0/0.

Per applicare le regole NAT lato LAN:
  1. Nel riquadro di spostamento, passare a Configura (Configure) > Edge (Edges).
  2. Nella schermata della scheda Impostazioni dispositivo (Device Settings), scorrere verso il basso fino all'area Regole NAT lato LAN (LAN-Side NAT Rules).
  3. Nell'area Regole NAT lato LAN (LAN-Side NAT Rules), completare quanto segue per la sezione di origine o destinazione NAT: (vedere la tabella seguente per una descrizione dei campi nei passaggi seguenti).
    1. Immettere un indirizzo per la casella di testo Indirizzo interno (Inside Address).
    2. Immettere un indirizzo per la casella di testo Indirizzo esterno (Outside Address).
    3. Immettere la route di origine nella casella di testo appropriata.
    4. Immettere la route di destinazione nella casella di testo appropriata.
    5. Digitare una descrizione per la regola nella casella di testo Descrizione (Description) (facoltativa).
  4. Nell'area Regole NAT lato LAN (LAN-Side NAT Rules), completare quanto segue per origine e destinazione NAT: (vedere la tabella seguente per una descrizione dei campi nei passaggi seguenti).
    1. Per il tipo Origine (Source), immettere Indirizzo interno (Inside Address) e Indirizzo esterno (Outside Address) nelle caselle di testo appropriate.
    2. Per il tipo Destinazione (Destination), immettere Indirizzo interno (Inside Address) e Indirizzo esterno (Outside Address) nelle caselle di testo appropriate.
    3. Digitare una descrizione per la regola nella casella di testo Descrizione (Description) (facoltativa).
Regola NAT lato LAN Tipo Descrizione
Menu a discesa Tipo (Type) Selezionare origine o destinazione Determinare se questa regola NAT deve essere applicata all'indirizzo IP di origine o di destinazione del traffico utente.
Casella di testo Indirizzo interno (Inside Address) Indirizzo IPv4/prefisso, il prefisso deve essere 1-32 L'indirizzo IP "interno" o "prima del NAT" (se il prefisso è 32) o la subnet (se il prefisso è inferiore a 32).
Casella di testo Indirizzo esterno (Outside Address) Indirizzo IPv4/prefisso, il prefisso deve essere 1-32 L'indirizzo IP "esterno" o "dopo il NAT" (se il prefisso è 32) o la subnet (se il prefisso è inferiore a 32).
Casella di testo Route di origine (Source Route)

- Facoltativo

- Indirizzo IPv4/prefisso

- Il prefisso deve essere 1-32

- Predefinito: qualsiasi

 Per il NAT di destinazione, specificare l'IP/subnet di origine come criterio di corrispondenza. Valido solo se il tipo è "Destinazione" (Destination).
Casella di testo Route di destinazione (Destination Route)

- Facoltativo

- Indirizzo IPv4/prefisso

- Il prefisso deve essere 1-32

- Predefinito: qualsiasi

 Per il NAT di origine, specificare l'IP/subnet di destinazione come criterio di corrispondenza. Valido solo se il tipo è "Origine" (Source).
Casella di testo della descrizione Testo Casella di testo personalizzata per descrivere la regola NAT.

Nota: Importante: se il prefisso interno è inferiore al prefisso esterno, supportare il NAT Molti:1 nella direzione da LAN a WAN e il NAT 1:1 nella direzione da WAN a LAN. Ad esempio, se l'indirizzo interno = 10.0.5.0/24, indirizzo esterno = 192.168.1.25/32 e tipo = origine, per le sessioni da LAN a WAN con IP di origine corrispondente a "indirizzo interno", 10.0.5.1 verrà convertito in 192.168.1.25. Per le sessioni da WAN a LAN con IP di destinazione corrispondente a "indirizzo esterno", 192.168.1.25 verrà convertito in 10.0.5.25. Allo stesso modo, se il prefisso interno è maggiore di un prefisso esterno, supportare il NAT Molti:1 nella direzione da WAN a LAN e il NAT 1:1 nella direzione da LAN a WAN. L'IP nattato non viene annunciato automaticamente, assicurarsi che sia configurata una route statica per l'IP nattato e che l'hop successivo sia l'IP dell'hop successivo della LAN per la subnet di origine.

"Cheat Sheet" del NAT lato LAN

Caso d'uso 1:
  • Direzione del traffico: LAN-> WAN
  • Che cosa è necessario convertire: indirizzo di origine dei pacchetti
  • Mappatura di configurazione:
    • Tipo di NAT = "Origine"
    • IP orig = "Indirizzo interno"
    • IP NAT = "Indirizzo esterno"
Tipo di NAT Interno Esterno Tipo Comportamento LAN-> WAN
Origine (Source) A.0/24 B.0/24 1:1 A.1 viene convertito in B.1, A.2 in B.2, ecc.
Origine (Source) A.0/24 B.1/32 Molti:1 A.1 e A.2 vengono convertiti in B.1
Origine (Source) A.1/32 B.0/24 1:1 A.1 viene convertito in B.1, gli altri B.X non sono utilizzati
Caso d'uso 2:
  • Direzione del traffico: WAN-> LAN
  • Che cosa è necessario convertire: indirizzo di destinazione dei pacchetti
  • Mappatura di configurazione:
    • Tipo di NAT = "Origine"
    • IP orig = "Indirizzo esterno"
    • IP NAT = "indirizzo interno"
Tipo di NAT Interno Esterno Tipo Comportamento WAN-> LAN
Origine A.0/24​ B.0/24​ 1:1 B.1 viene convertito in A.1, B.2 in A.2, ecc.
Origine A.0/24​ B.1/32​​ Molti:1 B.1 viene convertito in A.1
Origine A.1/32​ B.0/24​ 1:molti B.1 e B.2 vengono convertiti in A.1
Caso d'uso 3:
  • Direzione del traffico: LAN-> WAN
  • Che cosa è necessario convertire: indirizzo di destinazione dei pacchetti
  • Mappatura di configurazione:
    • Tipo di NAT = "Destinazione"
    • IP orig = "Indirizzo interno"
    • IP NAT = "Indirizzo esterno"
Tipo di NAT Interno Esterno Tipo Comportamento LAN-> WAN
Destinazione (Destination) A.0/24 B.0/24​ 1:1 A.1 viene convertito in B.1, A.1 in B.2, ecc.
Destinazione (Destination) A.0/24​ B.1/32​ Molti:1 A.1 e A.2 vengono convertiti in B.1
Destinazione (Destination) A.1/32​ B.0/24​ 1:molti A.1 viene convertito in B.1
Caso d'uso 4:
  • Direzione del traffico: WAN-> LAN
  • Che cosa è necessario convertire: indirizzo di origine dei pacchetti
  • Mappatura di configurazione:
    • Tipo di NAT = "Destinazione"
    • IP orig = "Indirizzo esterno"
    • IP NAT = "indirizzo interno"
    Tipo di NAT Interno Esterno Tipo Comportamento WAN-> LAN
    Destinazione A.0/24 B.0/24​ 1:1 B.1 viene convertito in A.1, B.2 in A.2, ecc.
    Destinazione (Destination) A.0/24 B.1/32​ Molti:1 B.1 viene convertito in A.1
    Destinazione A.1/32 B.0/24​ 1:Molti B.1 e B.2 vengono convertiti in A.1