Le regole NAT lato LAN consentono di nattare gli indirizzi IP in una subnet non annunciata in indirizzi IP in una subnet pubblicizzata. Sia a livello di profilo sia a livello di Edge, all'interno della configurazione delle impostazioni del dispositivo sono state introdotte regole NAT lato LAN per la versione 3.3.2 e, come estensione, NAT lato LAN in base all'origine e alla destinazione; per la versione 3.4 è stato introdotto lo stesso supporto dei NAT di origine e destinazione dei pacchetti.
Dalla versione 3.3.2, VMware ha introdotto un nuovo modulo NAT lato LAN per nattare le route VPN nell'Edge. I casi d'uso principali sono i seguenti:
- IP sovrapposto per le filiali a causa di M&A
- Nascondere l'IP privato di una filiale o di un data center per motivi di sicurezza
Nella versione 3.4 vengono introdotti ulteriori campi di configurazione per un più ampio ventaglio di casi d'uso. Di seguito è riportata una ripartizione generale del supporto del NAT lato LAN in versioni diverse:
- NAT di origine o destinazione per tutte le subnet associate, sono supportati sia 1:1 sia molti:1 (versione 3.3.2)
- NAT di origine in base alla subnet di destinazione o NAT di destinazione in base alla subnet di origine, sono supportati sia 1:1 che molti:1 (versione 3.4)
- NAT di origine e NAT di destinazione 1:1 nello stesso pacchetto (versione 3.4)
Nota:
- Il NAT lato LAN supporta il traffico tramite il tunnel VCMP. Non supporta il traffico underlay.
- Supporto per il NAT di origine e destinazione "molti:1" e "1:1" (ad esempio /24 a /24).
- Se sono configurate più regole, viene eseguita solo la prima regola associata.
- Il NAT lato LAN viene eseguito prima della ricerca di route o flussi. Per associare il traffico nel profilo di business, gli utenti devono utilizzare l'IP nattato.
- Per impostazione predefinita, l'IP nattato non viene annunciato dall'Edge. Pertanto, assicurarsi di aggiungere la route statica per l'IP nattato e annunciarla all'overlay.
- Al momento dell'aggiornamento alla versione 3.4, le configurazioni nella versione 3.3.2 saranno trasferite senza necessità di riconfigurazione.
Procedura
Nota: se l'utente desidera configurare la regola predefinita "qualsiasi", l'indirizzo IP deve contenere tutti zeri e anche il prefisso deve essere pari a zero: 0.0.0.0/0.
Per applicare le regole NAT lato LAN a livello di profilo:
- Nel servizio SD-WAN del portale dell'azienda, passare a Configura (Configure) > Profili (Profiles).
- Selezionare il profilo appropriato facendo clic sulla casella di controllo accanto al Nome profilo (Profile Name).
- Se non è già stato selezionato, fare clic sul link della scheda Dispositivo (Device).
- Scorrere verso il basso fino a Routing e NAT.
- Aprire l'area Regole NAT lato LAN (LAN-Side NAT Rules).
- Fare clic su +AGGIUNGI (+ADD) per aggiungere un'origine o una destinazione NAT.
- Nell'area Regole NAT lato LAN (LAN-Side NAT Rules), completare quanto segue per la sezione di origine o destinazione NAT: (vedere la tabella seguente per una descrizione dei campi nei passaggi seguenti).
- Immettere un indirizzo per la casella di testo Indirizzo interno (Inside Address).
- Immettere un indirizzo per la casella di testo Indirizzo esterno (Outside Address).
- Immettere la route di origine nella casella di testo appropriata.
- Immettere la route di destinazione nella casella di testo appropriata.
- Digitare una descrizione per la regola nella casella di testo Descrizione (Description) (facoltativa).
- Nell'area Regole NAT lato LAN (LAN-Side NAT Rules), completare quanto segue per origine e destinazione NAT: (vedere la tabella seguente per una descrizione dei campi nei passaggi seguenti).
- Per il tipo Origine (Source), immettere Indirizzo interno (Inside Address) e Indirizzo esterno (Outside Address) nelle caselle di testo appropriate.
- Per il tipo Destinazione (Destination), immettere Indirizzo interno (Inside Address) e Indirizzo esterno (Outside Address) nelle caselle di testo appropriate.
- Digitare una descrizione per la regola nella casella di testo Descrizione (Description) (facoltativa).
| Regola NAT lato LAN | Tipo | Descrizione |
|---|---|---|
| Menu a discesa Tipo (Type) | Selezionare origine o destinazione | Determinare se questa regola NAT deve essere applicata all'indirizzo IP di origine o di destinazione del traffico utente. |
| Casella di testo Indirizzo interno (Inside Address) | Indirizzo IPv4/prefisso, il prefisso deve essere 1-32 | L'indirizzo IP "interno" o "prima del NAT" (se il prefisso è 32) o la subnet (se il prefisso è inferiore a 32). |
| Casella di testo Indirizzo esterno (Outside Address) | Indirizzo IPv4/prefisso, il prefisso deve essere 1-32 | L'indirizzo IP "esterno" o "dopo il NAT" (se il prefisso è 32) o la subnet (se il prefisso è inferiore a 32). |
| Casella di testo Route di origine (Source Route) | - Facoltativo - Indirizzo IPv4/prefisso - Il prefisso deve essere 1-32 - Predefinito: qualsiasi |
Per il NAT di destinazione, specificare l'IP/subnet di origine come criterio di corrispondenza. Valido solo se il tipo è "Destinazione" (Destination). |
| Casella di testo Route di destinazione (Destination Route) | - Facoltativo - Indirizzo IPv4/prefisso - Il prefisso deve essere 1-32 - Predefinito: qualsiasi |
Per il NAT di origine, specificare l'IP/subnet di destinazione come criterio di corrispondenza. Valido solo se il tipo è "Origine" (Source). |
| Casella di testo della descrizione | Testo | Casella di testo personalizzata per descrivere la regola NAT. |
Nota:
Importante: se il prefisso interno è inferiore al prefisso esterno, supportare il NAT Molti:1 nella direzione da LAN a WAN e il NAT 1:1 nella direzione da WAN a LAN. Ad esempio, se l'indirizzo interno = 10.0.5.0/24, indirizzo esterno = 192.168.1.25/32 e tipo = origine, per le sessioni da LAN a WAN con IP di origine corrispondente a "indirizzo interno", 10.0.5.1 verrà convertito in 192.168.1.25. Per le sessioni da WAN a LAN con IP di destinazione corrispondente a "indirizzo esterno", 192.168.1.25 verrà convertito in 10.0.5.25. Allo stesso modo, se il prefisso interno è maggiore di un prefisso esterno, supportare il NAT Molti:1 nella direzione da WAN a LAN e il NAT 1:1 nella direzione da LAN a WAN. L'IP nattato non viene annunciato automaticamente, assicurarsi che sia configurata una route statica per l'IP nattato e che l'hop successivo sia l'IP dell'hop successivo della LAN per la subnet di origine.
