LAN 端 NAT 規則可讓您透過 NAT 將未通告子網路中的 IP 位址對應至已通告子網路中的 IP 位址。3.3.2 版在裝置設定組態內導入了 LAN 端 NAT 規則,同時適用於設定檔和 Edge 層級,而 3.4 版則以延伸的形式導入了基於來源和目的地的 LAN 端 NAT,支援相同封包的來源和目的地 NAT。
在 3.3.2 版中,VMware 針對 Edge 上的 NAT VPN 路由導入了新的 LAN 端 NAT 模組。主要使用案例如下所示:
- 分支因 M&A 而出現重疊的 IP
- 基於安全考量而隱藏分支或資料中心的私人 IP
在 3.4 版中,已導入其他的組態欄位以因應其他使用案例。以下將針對不同版本對於 LAN 端 NAT 的支援進行高階解析:
- 支援將來源或目的地 NAT 用於所有相符的子網路,包括 1:1 和多對一 ( 3.3.2 版)
- 支援基於目的地子網路的來源 NAT,或基於來源子網路的目的地 NAT,包括 1:1 和多對一 (3.4 版)
- 相同封包的來源 NAT 和目的地 1:1 NAT (3.4 版)
備註:
- LAN 端 NAT 支援透過 VCMP 通道的流量。它不支援底層流量。
- 支援「多對一」和「1:1」(例如 /24 對 /24) 的來源和目的地 NAT。
- 如果設定了多個規則,則僅會執行第一個相符的規則。
- LAN 端 NAT 會在路由或流量查閱之前執行。若要符合商務設定檔中的流量,使用者必須使用經過 NAT 處理的 IP。
- 依預設不會從 Edge 通告經過 NAT 處理的 IP。因此,請務必為經過 NAT 處理的 IP 新增靜態路由,並通告至覆疊。
- 3.3.2 中的組態將延續使用,而無需在 3.4 升級後重新設定。
程序
附註:使用者若想要設定預設規則「任何」,則必須指定全部皆須為零的 IP 位址,且首碼也必須為零:0.0.0.0/0。
若要在設定檔層級套用 LAN 端 NAT 規則,請執行下列動作:
- 在企業入口網站的 SD-WAN 服務中,移至設定 (Configure) > 設定檔 (Profiles)。
- 按一下設定檔名稱 (Name) 旁的核取方塊,以選取適當的設定檔。
- 如果尚未選取,請按一下裝置 (Device) 索引標籤連結。
- 向下捲動到路由和 NAT (Routing & NAT)。
- 開啟 LAN 端 NAT 規則 (LAN-Side NAT Rules) 區域。
- 按一下 +新增 (+ADD),以新增 NAT 來源或目的地。
- 在 LAN 端 NAT 規則 (LAN-Side NAT Rules) 區域中,完成下列對 NAT 來源或目的地區段的操作:(請參閱下表,以取得下列步驟中各欄位的說明)。
- 在內部位址 (Inside Address) 文字方塊中,輸入位址。
- 在外部位址 (Outside Address) 文字方塊中,輸入位址。
- 在適當的文字方塊中輸入來源路由。
- 在適當的文字方塊中輸入目的地路由。
- 在說明 (Description) 文字方塊中,輸入規則的說明 (選用)。
- 在 LAN 端 NAT 規則 (LAN-Side NAT Rules) 區域中,完成下列對 NAT 來源和目的地的操作:(請參閱下表,以取得下列步驟中各欄位的說明)。
- 針對來源 (Sources) 類型,在適當的文字方塊中輸入內部位址 (Inside Address) 和外部位址 (Outside Address)。
- 針對目的地 (Destination) 類型,在適當的文字方塊中輸入內部位址 (Inside Address) 和外部位址 (Outside Address)。
- 在說明 (Description) 文字方塊中輸入規則的說明 (選用)。
LAN 端 NAT 規則 | 類型 | 說明 |
---|---|---|
[類型 (Type)] 下拉式功能表 | 選取來源 (Source) 或目的地 (Destination) | 決定此 NAT 規則應套用於使用者流量的來源還是目的地 IP 位址上。 |
[內部位址 (Inside Address)] 文字方塊 | IPv4 位址/首碼,首碼必須是 1-32 | 「內部」或「NAT 處理前」的 IP 位址 (如果首碼為 32) 或子網路 (如果首碼小於 32)。 |
[外部位址 (Outside Address)] 文字方塊 | IPv4 位址/首碼,首碼必須是 1-32 | 「外部」或「NAT 處理後」的 IP 位址 (如果首碼為 32) 或子網路 (如果首碼小於 32)。 |
[來源路由 (Source Route)] 文字方塊 | - 選用 - IPv4 位址/首碼 - 首碼必須是 1-32 - 預設值:任何 |
針對目的地 NAT,將來源 IP/子網路指定為比對準則。只有在類型為 [目的地 (Destination)] 時才有效。 |
[目的地路由 (Destination Route)] 文字方塊 | - 選用 - IPv4 位址/首碼 - 首碼必須是 1-32 - 預設值:任何 |
針對來源 NAT,將目的地 IP/子網路指定為比對準則。只有在類型為「來源」時才有效。 |
[說明 (Description)] 文字方塊 | 文字 | 用來說明 NAT 規則的自訂文字方塊。 |
備註:
重要:如果內部首碼小於外部首碼,則支援 LAN 到 WAN 方向的多對一 NAT,以及 WAN 到 LAN 方向的 1:1 NAT。例如,如果內部位址 = 10.0.5.0/24,而外部位址 = 192.168.1.25/32,且類型 = 來源,則對於從 LAN 到 WAN,且來源 IP 符合「內部位址」的工作階段而言,10.0.5.1 將會轉譯為 192.168.1.25。對於從 WAN 到 LAN,且目的地 IP 符合「外部位址」的工作階段而言,192.168.1.25 將會轉譯為 10.0.5.25。同樣地,如果內部首碼大於外部首碼,則支援 WAN 到 LAN 方向的多對一 NAT,以及 LAN 到 WAN 方向的 1:1 NAT。經過 NAT 處理的 IP 不會自動通告,請務必為經過 NAT 處理的 IP 設定靜態路由,且下一個躍點應為來源子網路的 LAN 下一個躍點 IP。