As regras NAT do lado da LAN permitem-lhe obter endereços IP NAT numa sub-rede não anunciada para endereços IP numa sub-rede anunciada. Para os níveis de perfil e Edge, dentro da configuração de definições do dispositivo, foram introduzidas regras NAT do lado da LAN para a versão 3.3.2 e, como uma extensão, foram introduzidos o NAT do lado da LAN com base na origem e destino e o NAT de origem e destino do mesmo pacote para a versão 3.4.

A partir da versão 3.3.2, o VMware introduziu um novo módulo NAT do lado da LAN para os caminhos VPN NAT no Edge. Os casos de utilização principal são os seguintes:

  • Ramo sobreposto ao IP devido a M&A
  • Ocultar o IP privado de um ramo ou centro de dados por razões de segurança
Na versão 3.4, são introduzidos campos de configuração adicionais para abordar casos adicionais de utilização. Abaixo, segue uma descriminação de alto nível do NAT do lado da LAN em diferentes versões:
  • NAT de origem ou destino para todas as sub-redes correspondentes, são suportadas tanto 1:1 como Muitas:1 (versão 3.3.2)
  • NAT de origem com base na sub-rede de destino ou NAT de destino com base na sub-rede de origem, são suportadas tanto 1:1 como Muitos:1 (versão 3.4)
  • NAT de origem e NAT 1:1 de destino no mesmo pacote (versão 3.4)
Nota:
  • O NAT do lado da LAN suporta o tráfego sobre o túnel VCMP. Não suporta o tráfego de underlay.
  • Suporte para NAT de origem e destino “Muitos:1” e “1:1” (por exemplo/ /24 a /24).
  • Se forem configuradas várias regras, será executada apenas a primeira regra de correspondência.
  • O NAT do lado da LAN é feito antes da procura de caminho ou fluxo. Para corresponder ao tráfego no perfil empresarial, os utilizadores devem utilizar o IP que realiza o NAT.
  • Por predefinição, o IP “NATeado” não é anunciado no Edge. Por isso, certifique-se de que adiciona o caminho estático para o IP “NATeado” e anuncie ao overlay.
  • As configurações da versão 3.3.2 serão transferidas, não será necessário reconfigurar após a atualização para a versão 3.4.

Procedimento

Nota: se os utilizadores quiserem configurar a regra predefinida, “qualquer” (any), deverão especificar que o endereço IP deve ser tudo zeros e o prefixo também deve ser zero: 0.0.0.0/0.

Para aplicar as regras NAT do lado de LAN ao nível do perfil:
  1. No serviço SD-WAN do portal da empresa, aceda a Configurar (Configure) > Perfis (Profiles).
  2. Selecione o perfil apropriado clicando na caixa de verificação junto ao Nome (Name) do perfil.
  3. Se ainda não estiver selecionado, clique na ligação do separador Dispositivo (Device).
  4. Desloque-se para baixo para Routing e NAT (Routing & NAT).
  5. Abra a área Regras NAT do lado da LAN (LAN-Side NAT Rules).
  6. Clique em +ADICIONAR (+ADD) para adicionar uma origem ou destino NAT.
  7. Na área Regras NAT do lado de LAN (LAN-Side NAT Rules), complete o seguinte para a secção de origem ou destino NAT: (consulte o quadro abaixo para obter uma descrição dos campos nos passos abaixo).
    1. Introduza um endereço para a caixa de texto Endereço interno (Inside Address).
    2. Introduza um endereço para a caixa de texto Endereço externo (Outside Address).
    3. Introduza o caminho de origem na caixa de texto apropriada.
    4. Introduza o caminho de destino na caixa de texto apropriada.
    5. Digite uma descrição para a regra na caixa de texto Descrição (Description) (opcional).
  8. Na área Regras NAT do lado de LAN (LAN-side NAT Rules), complete o seguinte para origem e destino NAT: (consulte o quadro abaixo para uma descrição dos campos nos passos abaixo).
    1. Para o tipo de Origem (Source), introduza o Endereço interno (Inside Address) e o Endereço externo (Outside Address) nas caixas de texto apropriadas.
    2. Para o tipo de Destino (Destination), introduza o Endereço interno (Inside Address) e o Endereço externo (Outside Address) nas caixas de texto apropriadas.
    3. Digite uma descrição para a regra na caixa de texto Descrição (Description) (opcional).
Regras NAT do lado da LAN Tipo Descrição
Menu pendente de tipo (Type) Selecione Origem (Source) ou Destino (Destination) Determine se esta regra NAT deve ser aplicada no endereço IP de origem ou destino do tráfego do utilizador.
Caixa de texto Endereço interno (Inside Address) Endereço/prefixo IPv4, o Prefixo deve ser 1-32 O endereço IP “interno” ou “antes do NAT” (se o prefixo for 32) ou sub-rede (se o prefixo for inferior a 32).
Caixa de texto Endereço externo (Outside Address) Endereço/prefixo IPv4, o Prefixo deve ser 1-32 O endereço IP “externo” ou “depois do NAT” (se o prefixo for 32) ou sub-rede (se o prefixo for inferior a 32).
Caixa de texto Caminho de origem (Source Route)

- Opcional (Optional)

- Endereço/prefixo IPv4 (IPv4 address/prefix)

- O prefixo deve ser 1-32 (Prefix must be 1-32)

- Predefinição: qualquer (any)

 Para o NAT de destino, especifique o IP/sub-rede de origem como critérios de correspondência.Só será válido se o tipo for “Destino” (Destination).
Caixa de texto Caminho de destino (Destnination Route)

- Opcional (Optional)

- Endereço/prefixo IPv4 (IPv4 address/prefix)

- O prefixo deve ser 1-32 (Prefix must be 1-32)

- Predefinição: qualquer (any)

 Para o NAT de origem, especifique o IP/sub-rede de destino como critérios de correspondência.Só será válido se o tipo for “Origem” (Source).
Caixa de texto Descrição (Description) Texto Caixa de texto personalizada para descrever a regra NAT.
Nota: Importante: se o prefixo interno for inferior ao prefixo externo, suporte NAT Muitos:1 na direção LAN para WAN e NAT 1:1 na direção WAN para LAN. Por exemplo, se o endereço interno = 10.0.5.0/24, endereço externo = 192.168.1.25/32 e tipo = origem, para sessões de LAN para WAN com o IP de origem correspondente ao “endereço interno”, 10.0.5.1 será traduzido para 192.168.1.25. Para sessões de WAN para LAN com IP de destino correspondente ao “endereço externo”, 192.168.1.25 será traduzido para 10.0.5.25. Da mesma forma, se o prefixo interno for maior do que o prefixo externo, suporte NAT Muitos:1 na direção WAN para LAN e NAT 1:1 na direção LAN para WAN. O IP NAT não é automaticamente anunciado. Certifique-se de que um caminho estático para o IP NAT é configurado e o próximo hop é o IP de próximo hop LAN da sub-rede de origem.