Citrix SD-WAN

Dynamisches NAT konfigurieren

Dynamische NAT wird verwendet, wenn der Benutzer Datenverkehr von einem LAN-Segment an das Internet an einem nicht vertrauenswürdigen Port weiterleiten möchte. In diesem Fall konfiguriert der Benutzer die NAT in ausgehender Richtung und stellt sicher, dass die entsprechenden Filterrichtlinien definiert sind, damit der Datenverkehr wieder eingeht. Standardmäßig fügt das System nach der Konfiguration des dynamischen NAT drei Filterrichtlinien hinzu.

Diese Richtlinien werden:

  • erlauben Jede IPHost-Route, Jede Zone, Jede Quelle und Ziel.

  • zulässige Übereinstimmung etablierte Regel für den umgekehrten Datenverkehr von Sitzungen, die vom internen Netzwerk initiiert werden.

  • den gesamten anderen Datenverkehr aus der Quellzone in die Zielzone (zonenspezifisch) ablegen.

Im folgenden Screenshot werden die Konfigurationsoptionen für die dynamische NAT-Konfiguration angezeigt.

lokalisierte Grafik

Konfigurationsoptionen

  • Priorität — die Reihenfolge, in der die Richtlinie innerhalb aller definierten Richtlinien angewendet wird. Richtlinien mit niedrigerer Priorität werden vor Richtlinien mit höherer Priorität angewendet.

  • Richtung — die Richtung aus der Sicht der virtuellen Schnittstelle oder des Dienstes, in der die Übersetzung ausgeführt wird.

  • Ausgehend — Die Zieladresse für ein Paket wird für Pakete übersetzt, die auf dem Dienst empfangen werden. Die Quelladresse wird für Pakete übersetzt, die auf dem Dienst übertragen werden.

Beispiel: LAN-Dienst zum Internetdienst — für ausgehende Pakete (LAN zum Internet) wird die Quell-IP-Adresse übersetzt. Bei eingehenden oder empfangenen Paketen (Internet to LAN) wird die Ziel-IP-Adresse übersetzt.

  • Eingehend - Die Quelladresse für ein Paket wird für Pakete übersetzt, die auf dem Dienst empfangen werden. Die Zieladresse wird für Pakete übersetzt, die auf dem Dienst übertragen werden.

Beispielsweise Internetdienst zu LAN-Dienst — für Pakete, die im Internetdienst empfangen werden, wird die Quell-IP-Adresse übersetzt. Bei Paketen, die über den Internetdienst übertragen werden, wird die Ziel-IP-Adresse übersetzt.

  • Typ — der Typ des dynamischen NATs, der ausgeführt werden soll.

    • Port-eingeschränkt- Port-Eingeschränkte NAT ist das, was die meisten Gateway Router für Verbraucher verwenden. Eingehende Verbindungen sind im Allgemeinen nicht zulässig, es sei denn, ein Port wird speziell an eine Insider-Adresse weitergeleitet. Ausgehende Verbindungen ermöglichen den Rückkehrverkehr von derselben Remote-IP und demselben Port (dies wird als unabhängige Endpunktzuordnung bezeichnet). Diese Anforderung beschränkt eine Port-beschränkte NAT-Firewall auf 65535 simultane Sitzungen, erleichtert jedoch eine häufig verwendete Internettechnologie, die als Lochstanzen bezeichnet wird.

    • Symmetric — Symmetric NAT wird manchmal als Enterprise-NAT bezeichnet, da es einen viel größeren NAT-Raum ermöglicht und die Sicherheit erhöht, indem Übersetzungen weniger vorhersehbar sind. Eingehende Verbindungen sind im Allgemeinen nicht zulässig, es sei denn, ein Port wird speziell an eine Insider-Adresse weitergeleitet. Ausgehende Verbindungen ermöglichen den Rückkehrverkehr von derselben Remote-IP und demselben Port. Verbindungen von derselben innerhalb von IP und Port müssen derselben externen IP und Port zugeordnet werden (dies wird als endpunktabhängige Zuordnung bezeichnet). Dieser Modus verhindert explizit Lochen.

  • Servicetyp — in Bezug auf einen SD-WAN-Dienst. Für statische NAT sind dies Lokal (zur Appliance), Intranet, Internet.

  • Dienstname — der spezifische Dienstname, der dem oben definierten Diensttyp entspricht.

  • Inside Zone — Wählen Sie die innere Zone für die Pakete, für die NAT erforderlich ist.

  • Innerhalb der IP-Adresse : Definieren Sie eine IP-Adresse oder ein Subnetz basierend auf Datenverkehr, der NAT erfordert. Dies sollte eine IP-Adresse sein, die sich in der Inside Zone befindet.

  • Zugehörige zulassen — Erlauben Sie Datenverkehr im Zusammenhang mit dem Flow, der der Regel entspricht. Beispielsweise bezieht sich die ICMP-Umleitung auf den spezifischen Fluss, der mit der Richtlinie übereinstimmte, wenn ein Fehler im Zusammenhang mit dem Flow aufgetreten ist.

  • IPSec-Passthrough — Lassen Sie IPSec-Datenverkehr unverändert passieren.

  • GRE/PPTP-Passthrough — erlauben Sie, dass GRE oder IPsec unverändert durchläuft.

  • Port-Parität - ermöglicht Parität für NAT-Verbindungen.

Dynamisches NAT konfigurieren