Le regole NAT lato LAN consentono di nattare gli indirizzi IP in una subnet non annunciata in indirizzi IP in una subnet pubblicizzata. Sia a livello di profilo sia a livello di Edge, all'interno della configurazione delle impostazioni del dispositivo sono state introdotte regole NAT lato LAN per la versione 3.3.2 e, come estensione, NAT lato LAN in base all'origine e alla destinazione; per la versione 3.4 è stato introdotto lo stesso supporto dei NAT di origine e destinazione dei pacchetti.

Dalla versione 3.3.2, VMware ha introdotto un nuovo modulo NAT lato LAN per nattare le route VPN nell'Edge. I casi d'uso principali sono i seguenti:

  • IP sovrapposto per le filiali a causa di M&A
  • Nascondere l'IP privato di una filiale o di un data center per motivi di sicurezza
Nella versione 3.4 vengono introdotti ulteriori campi di configurazione per un più ampio ventaglio di casi d'uso. Di seguito è riportata una ripartizione generale del supporto del NAT lato LAN in versioni diverse:
  • NAT di origine o destinazione per tutte le subnet associate, sono supportati sia 1:1 sia molti:1 (versione 3.3.2)
  • NAT di origine in base alla subnet di destinazione o NAT di destinazione in base alla subnet di origine, sono supportati sia 1:1 che molti:1 (versione 3.4)
  • NAT di origine e NAT di destinazione 1:1 nello stesso pacchetto (versione 3.4)
Nota:
  • Il NAT lato LAN supporta il traffico tramite il tunnel VCMP. Non supporta il traffico underlay.
  • Supporto per il NAT di origine e destinazione "molti:1" e "1:1" (ad esempio /24 a /24).
  • Se sono configurate più regole, viene eseguita solo la prima regola associata.
  • Il NAT lato LAN viene eseguito prima della ricerca di route o flussi. Per associare il traffico nel profilo di business, gli utenti devono utilizzare l'IP nattato.
  • Per impostazione predefinita, l'IP nattato non viene annunciato dall'Edge. Pertanto, assicurarsi di aggiungere la route statica per l'IP nattato e annunciarla all'overlay.
  • Al momento dell'aggiornamento alla versione 3.4, le configurazioni nella versione 3.3.2 saranno trasferite senza necessità di riconfigurazione.

Procedura

Nota: se l'utente desidera configurare la regola predefinita "qualsiasi", l'indirizzo IP deve contenere tutti zeri e anche il prefisso deve essere pari a zero: 0.0.0.0/0.

Per applicare le regole NAT lato LAN a livello di profilo:
  1. Nel servizio SD-WAN del portale dell'azienda, passare a Configura (Configure) > Profili (Profiles).
  2. Selezionare il profilo appropriato facendo clic sulla casella di controllo accanto al Nome profilo (Profile Name).
  3. Se non è già stato selezionato, fare clic sul link della scheda Dispositivo (Device).
  4. Scorrere verso il basso fino a Routing e NAT.
  5. Aprire l'area Regole NAT lato LAN (LAN-Side NAT Rules).
  6. Fare clic su +AGGIUNGI (+ADD) per aggiungere un'origine o una destinazione NAT.
  7. Nell'area Regole NAT lato LAN (LAN-Side NAT Rules), completare quanto segue per la sezione di origine o destinazione NAT: (vedere la tabella seguente per una descrizione dei campi nei passaggi seguenti).
    1. Immettere un indirizzo per la casella di testo Indirizzo interno (Inside Address).
    2. Immettere un indirizzo per la casella di testo Indirizzo esterno (Outside Address).
    3. Immettere la route di origine nella casella di testo appropriata.
    4. Immettere la route di destinazione nella casella di testo appropriata.
    5. Digitare una descrizione per la regola nella casella di testo Descrizione (Description) (facoltativa).
  8. Nell'area Regole NAT lato LAN (LAN-Side NAT Rules), completare quanto segue per origine e destinazione NAT: (vedere la tabella seguente per una descrizione dei campi nei passaggi seguenti).
    1. Per il tipo Origine (Source), immettere Indirizzo interno (Inside Address) e Indirizzo esterno (Outside Address) nelle caselle di testo appropriate.
    2. Per il tipo Destinazione (Destination), immettere Indirizzo interno (Inside Address) e Indirizzo esterno (Outside Address) nelle caselle di testo appropriate.
    3. Digitare una descrizione per la regola nella casella di testo Descrizione (Description) (facoltativa).
Regola NAT lato LAN Tipo Descrizione
Menu a discesa Tipo (Type) Selezionare origine o destinazione Determinare se questa regola NAT deve essere applicata all'indirizzo IP di origine o di destinazione del traffico utente.
Casella di testo Indirizzo interno (Inside Address) Indirizzo IPv4/prefisso, il prefisso deve essere 1-32 L'indirizzo IP "interno" o "prima del NAT" (se il prefisso è 32) o la subnet (se il prefisso è inferiore a 32).
Casella di testo Indirizzo esterno (Outside Address) Indirizzo IPv4/prefisso, il prefisso deve essere 1-32 L'indirizzo IP "esterno" o "dopo il NAT" (se il prefisso è 32) o la subnet (se il prefisso è inferiore a 32).
Casella di testo Route di origine (Source Route)

- Facoltativo

- Indirizzo IPv4/prefisso

- Il prefisso deve essere 1-32

- Predefinito: qualsiasi

Per il NAT di destinazione, specificare l'IP/subnet di origine come criterio di corrispondenza. Valido solo se il tipo è "Destinazione" (Destination).
Casella di testo Route di destinazione (Destination Route)

- Facoltativo

- Indirizzo IPv4/prefisso

- Il prefisso deve essere 1-32

- Predefinito: qualsiasi

Per il NAT di origine, specificare l'IP/subnet di destinazione come criterio di corrispondenza. Valido solo se il tipo è "Origine" (Source).
Casella di testo della descrizione Testo Casella di testo personalizzata per descrivere la regola NAT.
Nota: Importante: se il prefisso interno è inferiore al prefisso esterno, supportare il NAT Molti:1 nella direzione da LAN a WAN e il NAT 1:1 nella direzione da WAN a LAN. Ad esempio, se l'indirizzo interno = 10.0.5.0/24, indirizzo esterno = 192.168.1.25/32 e tipo = origine, per le sessioni da LAN a WAN con IP di origine corrispondente a "indirizzo interno", 10.0.5.1 verrà convertito in 192.168.1.25. Per le sessioni da WAN a LAN con IP di destinazione corrispondente a "indirizzo esterno", 192.168.1.25 verrà convertito in 10.0.5.25. Allo stesso modo, se il prefisso interno è maggiore di un prefisso esterno, supportare il NAT Molti:1 nella direzione da WAN a LAN e il NAT 1:1 nella direzione da LAN a WAN. L'IP nattato non viene annunciato automaticamente, assicurarsi che sia configurata una route statica per l'IP nattato e che l'hop successivo sia l'IP dell'hop successivo della LAN per la subnet di origine.