Citrix SD-WAN

Statische NAT

Statische NAT ist eine 1:1 -Zuordnung einer privaten IP-Adresse oder eines Subnetzes innerhalb des SD-WAN-Netzwerks zu einer öffentlichen IP-Adresse oder Subnetz außerhalb des SD-WAN-Netzwerks. Konfigurieren Sie Static NAT, indem Sie manuell die innere IP-Adresse und die externe IP-Adresse eingeben, in die sie übersetzt werden muss. Sie können statische NAT für die lokalen, virtuellen Pfade, Internet, Intranet und Inter-Routing-Domänendienste konfigurieren.

Eingehende und ausgehende NAT

Die Richtung für eine Verbindung kann entweder von innen nach außen oder von außen nach innen sein. Wenn eine NAT-Regel erstellt wird, wird sie je nach Richtungsübereinstimmungstyp auf beide Richtungen angewendet.

  • Eingehend: Die Quelladresse wird für Pakete übersetzt, die im Dienst empfangen werden. Die Zieladresse wird für Pakete übersetzt, die über den Dienst übertragen werden. Beispiel: Internetdienst-zu-LAN-Dienst — Für empfangene Pakete (Internet zu LAN) wird die Quell-IP-Adresse übersetzt. Bei übertragenen Paketen (LAN to Internet) wird die Ziel-IP-Adresse übersetzt.
  • Ausgehend: Die Zieladresse wird für Pakete übersetzt, die im Dienst empfangen wurden. Die Quelladresse wird für Pakete übersetzt, die über den Dienst übertragen werden. Beispielsweise LAN-Dienst zum Internetdienst — für übertragene Pakete (LAN zu Internet) wird die Quell-IP-Adresse übersetzt. Bei empfangenen Paketen (Internet to LAN) wird die Ziel-IP-Adresse übersetzt.

Zonenableitung

Die Quell- und Ziel-Firewallzonen für den eingehenden oder ausgehenden Datenverkehr sollten nicht identisch sein. Wenn sowohl die Quell- als auch die Ziel-Firewallzonen identisch sind, wird NAT nicht für den Datenverkehr ausgeführt.

Für ausgehende NAT wird die externe Zone automatisch vom Dienst abgeleitet. Jeder Dienst auf SD-WAN ist standardmäßig einer Zone zugeordnet. Beispielsweise ist der Internetdienst auf einer vertrauenswürdigen Internetverbindung mit der vertrauenswürdigen Internetzone verknüpft. Ebenso wird für einen eingehenden NAT die innere Zone vom Dienst abgeleitet.

Für einen Virtual Path Service NAT Zonenableitung nicht automatisch erfolgt, müssen Sie manuell die innere und äußere Zone eingeben. NAT wird nur für den Verkehr durchgeführt, der zu diesen Zonen gehört. Zonen können nicht für virtuelle Pfade abgeleitet werden, da sich innerhalb der virtuellen Pfadsubnetze möglicherweise mehrere Zonen befinden.

Konfigurieren statischer NAT-Richtlinien

Um statische NAT-Richtlinien zu konfigurieren, navigieren Sie im Konfigurationseditor zu Verbindungen > Firewall > Statische NAT-Richtlinien.

Statische NAT konfigurieren

  • Priorität: Die Reihenfolge, in der die Richtlinie innerhalb aller definierten Richtlinien angewendet wird. Richtlinien mit niedrigerer Priorität werden vor Richtlinien mit höherer Priorität angewendet.
  • Richtung: Die Richtung, in die der Datenverkehr fließt, aus der Perspektive der virtuellen Schnittstelle oder des Dienstes. Es kann sich entweder um eingehender oder ausgehender Datenverkehr handeln.
  • Diensttyp: Die SD-WAN-Diensttypen, auf die die NAT-Richtlinie angewendet wird. Für statische NAT werden lokale, virtuelle Pfade, Internet-, Intranet- und Routingdomänendienste unterstützt.
  • Dienstname: Wählen Sie einen konfigurierten Dienstnamen aus, der dem Diensttyp entspricht.
  • Inside Zone: Der Übereinstimmungstyp der Inside Firewall Zone, aus dem das Paket stammen muss, um die Übersetzung zu ermöglichen.
  • Externe Zone: Der Übereinstimmungstyp der externen Firewallzone, von dem das Paket sein muss, um die Übersetzung zu ermöglichen.
  • Inside IP Address: Die innere IP-Adresse und das Präfix, in das übersetzt werden muss, wenn die Übereinstimmungskriterien erfüllt sind.
  • Externe IP-Adresse: Die externe IP-Adresse und das Präfix, in das die innere IP-Adresse übersetzt wird, wenn die Übereinstimmungskriterien erfüllt sind.
  • Binden Responder-Route: Stellt sicher, dass der Antwortverkehr über denselben Dienst gesendet wird, auf dem er empfangen wird, um asymmetrisches Routing zu vermeiden.
  • Proxy ARP: Stellt sicher, dass die Appliance auf lokale ARP-Anforderungen für die externe IP-Adresse antwortet.

Überwachen

Um NAT zu überwachen, navigieren Sie zu Überwachung > Firewall-Statistiken > Verbindungen. Für eine Verbindung können Sie sehen, ob NAT fertig ist oder nicht.

Verbindungen

Um die Zuordnung von IP-Adressen zu externen IP-Adressen weiter anzuzeigen, klicken SieunterZugehörige Objekte auf NAT nach der Route oder navigieren Sie zu Überwachung > Firewall-Statistiken > NAT -Richtlinien.

NAT-Richtlinien

Protokolle

Sie können Protokolle im Zusammenhang mit NAT in Firewall-Protokollen anzeigen. Um Protokolle für NAT anzuzeigen, erstellen Sie eine Firewallrichtlinie, die Ihrer NAT-Richtlinie entspricht, und stellen Sie sicher, dass die Protokollierung auf dem Firewallfilter aktiviert ist.

Protokollierungsoptionen

Navigieren Sie zu Protokollierungs/Überwachung > Protokolloptionen, wählen Sie SDWAN_firewal.log aus, und klicken Sie auf Protokoll anzeigen.

Protokolle anzeigen

Die NAT-Verbindungsdetails werden in der Protokolldatei angezeigt.

NAT-Protokolldetails

Statische NAT