Citrix SD-WAN

NAT statique

Le NAT statique est un mappage un-à-un d’une adresse IP privée ou d’un sous-réseau à l’intérieur du réseau SD-WAN vers une adresse IP publique ou un sous-réseau en dehors du réseau SD-WAN. Configurez le NAT statique en saisissant manuellement l’adresse IP interne et l’adresse IP externe vers laquelle il doit traduire. Vous pouvez configurer NAT statique pour les services de domaine Local, Virtual Paths, Internet, Intranet et Inter-routage.

NAT entrant et sortant

La direction d’une connexion peut être de l’intérieur vers l’extérieur ou de l’extérieur vers l’intérieur. Lorsqu’une règle NAT est créée, elle est appliquée aux deux directions en fonction du type de correspondance de direction.

  • Entrant : l’adresse source est traduite pour les paquets reçus sur le service. L’adresse de destination est traduite pour les paquets transmis sur le service. Par exemple, service Internet au service LAN — Pour les paquets reçus (Internet vers LAN), l’adresse IP source est traduite. Pour les paquets transmis (LAN vers Internet), l’adresse IP de destination est traduite.
  • Sortant : l’adresse de destination est traduite pour les paquets reçus sur le service. L’adresse source est traduite pour les paquets transmis sur le service. Par exemple, le service LAN au service Internet — pour les paquets transmis (LAN à Internet), l’adresse IP source est traduite. Pour les paquets reçus (Internet vers LAN), l’adresse IP de destination est traduite.

Dérivation de zone

Les zones de pare-feu source et de destination pour le trafic entrant ou sortant ne doivent pas être identiques. Si les zones de pare-feu source et de destination sont toutes les deux identiques, NAT n’est pas effectué sur le trafic.

Pour le NAT sortant, la zone extérieure est automatiquement dérivée du service. Chaque service sur SD-WAN est associé à une zone par défaut. Par exemple, le service Internet sur un lien Internet approuvé est associé à la zone Internet de confiance. De même, pour un NAT entrant, la zone interne est dérivée du service.

Pour un service de chemin virtuel, la dérivation de la zone NAT ne se produit pas automatiquement, vous devez entrer manuellement la zone intérieure et extérieure. Le NAT est effectué sur le trafic appartenant à ces zones uniquement. Les zones ne peuvent pas être dérivées pour les chemins virtuels car il peut y avoir plusieurs zones dans les sous-réseaux de chemins virtuels.

Configurer les stratégies NAT statiques

Pour configurer les stratégies NAT statiques, dans l’Éditeur de configuration, accédez à Connexions > Pare-feu > Stratégies NAT statiques.

Configurer NAT statique

  • Priorité : Ordre dans lequel la stratégie sera appliquée dans toutes les stratégies définies. Les stratégies de priorité inférieure sont appliquées avant les stratégies de priorité supérieure.
  • Direction : Direction dans laquelle le trafic circule, du point de vue de l’interface ou du service virtuel. Il peut s’agir d’un trafic entrant ou sortant.
  • Type de service : Types de service SD-WAN sur lesquels la stratégie NAT est appliquée. Pour NAT statique, les types de service pris en charge sont les services de domaine Local, Virtual Paths, Internet, Intranet et Inter-routage
  • Nom du service : sélectionnez un nom de service configuré qui correspond au type de service.
  • Zone intérieure : Type de correspondance de zone de pare-feu intérieur à partir de laquelle le paquet doit être utilisé pour permettre la traduction.
  • Zone extérieure : Type de correspondance de zone de pare-feu extérieur à partir de laquelle le paquet doit être utilisé pour permettre la traduction.
  • Adresse IP intérieure : Adresse IP intérieure et préfixe à traduire si les critères de correspondance sont respectés.
  • Adresse IP externe : Adresse IP externe et préfixe vers lesquels l’adresse IP interne est traduite si les critères de correspondance sont respectés.
  • Route du répondeur de liaison : assure que le trafic de réponse est envoyé via le même service que celui sur lequel il est reçu, afin d’éviter le routage asymétrique.
  • ARP proxy : garantit que l’appliance répond aux demandes ARP locales pour l’adresse IP externe.

Surveillance

Pour surveiller NAT, accédez à Surveillance > Statistiques du pare-feu > Connexions. Pour une connexion, vous pouvez voir si NAT est fait ou non.

Connexions

Pour afficher plus en détail le mappage de l’adresse IP interne vers l’adresse IP externe, cliquez sur NAT post-route sous Objets associés ou accédez à Surveillance > Statistiques de pare-feu > Stratégies NAT.

Stratégies NAT

Journaux

Vous pouvez afficher les journaux liés à NAT dans les journaux de pare-feu. Pour afficher les journaux pour NAT, créez une stratégie de pare-feu qui correspond à votre stratégie NAT et assurez-vous que la journalisation est activée sur le filtre de pare-feu.

Options de journalisation

Accédez à Journalisation/Surveillance > Options du journal, sélectionnez SDWAN_firewal.log, puis cliquez sur Afficher le journal.

Afficher les journaux

Les détails de connexion NAT sont affichés dans le fichier journal.

Détails du journal NAT

NAT statique