适用于本地 Citrix SD-WAN Orchestrator 14.3

网络地址转换

SD-WAN 设备上的网络地址转换 (NAT) 执行 IP 地址保存,以保留有限数量的注册 IP 地址。它将内部网络中的私有地址转换为合法的公共地址,并将您的私有 SD-WAN 网络与公共互联网连接起来。公有 IP 地址用于通过互联网进行通信。NAT 还通过将整个网络的一个地址广告到Internet ,隐藏整个内部网络,从而确保额外的安全性。

您可以配置以下类型的 NAT:

  • 动态源 NAT
  • 静态 NAT
  • 目标 NAT

注意:

只能在站点级别配置 NAT 功能。NAT 没有全局配置(模板)。

要使用 Citrix SD-WAN Orchestrator 服务为站点配置 NAT,请从站点级别导航到 配置 > 高级设置 > NAT

配置 NAT 导航

入站和出站 NAT

连接的方向可以是内部到外部,也可以是外部到内部。创建 NAT 规则后,可以使用 “ 接收 时” 复选框定义方向。选中该复选框后,方向配置为 入站 ,清除该复选框后,方向配置为 出站

  • 入站:对于在服务上接收的数据包,将转换源地址。转换服务上传输的数据包的目的地址。例如,Internet 服务到局域网服务 — 对于接收的数据包(Internet 到局域网),将转换源 IP 地址。对于传输的数据包(LAN 到Internet ),将转换目的 IP 地址。
  • 出站:对于在服务上接收的数据包,将转换目标地址。对于在服务上传输的数据包,将转换源地址。例如,局域网服务到Internet 服务 — 对于传输的数据包(局域网到Internet ),将转换源 IP 地址。对于接收的数据包(Internet 到局域网),将转换目的 IP 地址。

区域派生

入站或出站流量的源防火墙区域和目标防火墙区域不得相同。如果源防火墙区域和目标防火墙区域相同,则不会对流量执行 NAT。

对于出站 NAT,外部区域将自动从服务派生。默认情况下,SD-WAN 上的每个服务都与一个区域相关联。例如,受信任的Internet 链接上的 Internet 服务与受信任的Internet 区域相关联。同样,对于入站 NAT,内部区域是从服务派生的。

对于虚拟路径服务 NAT 区域派生不会自动发生,您必须手动输入内部和外部区域。NAT 仅对属于这些区域的流量执行。无法为虚拟路径派生区域,因为虚拟路径子网中可能有多个区域。

动态源 NAT

动态源 NAT 是 SD-WAN 网络内部的私有 IP 地址或子网与 SD-WAN 网络之外的公有 IP 地址或子网的多对一映射。它允许多台主机的源 IP 地址转换为具有不同端口号的同一个公用 IP 地址。受端口限制的 NAT 使用相同的外部端口进行与内部 IP 地址和端口对相关的所有转换。来自不同区域和子网通过 LAN 段中受信任(内部)IP 地址的流量通过单个公有(外部)IP 地址发送。

注意:

动态 NAT 转换允许从内部网络发起的会话的所有互惠流量。要筛选这些连接,请为出站流量添加筛选策略。

端口地址转换

动态 NAT 执行端口地址转换 (PAT) 以及 IP 地址转换。端口号用于区分哪些流量属于哪个 IP 地址。所有内部私有 IP 地址均使用单个公有 IP 地址,但是为每个私有 IP 地址分配了不同的端口号。PAT 是一种经济高效的方式,允许多台主机使用单个公有 IP 地址连接到Internet 。

复选框定义了 PAT 配置。配置 NAT 规则时,如果选中该复选框,则配置 Symmetric NAT,清除后,将在后端配置端口限制 NAT。

  • 端口限制:端口受限 NAT 对与内部 IP 地址和端口对相关的所有转换使用同一个外部端口。此模式通常用于允许Internet P2P 应用程序。
  • 对称:对称 NAT 将同一个外部端口用于与内部 IP 地址、内部端口、外部 IP 地址和外部端口元组相关的所有转换。此模式通常用于增强安全性或扩展 NAT 会话的最大数量。

端口转发

带有端口转发功能的动态 NAT 允许来自外部网络的流量访问内部网络上的特定主机和端口,而无需从内部启动会话。这通常用于诸如 Web 服务器之类的主机内部。

配置动态 NAT 后,您可以定义端口转发策略。配置用于 IP 地址转换的动态 NAT,并定义端口转发策略以将外部端口映射到内部端口。动态 NAT 端口转发通常用于允许远程主机连接到专用网络上的主机或服务器。

配置动态源 NAT

要使用 Citrix SD-WAN Orchestrator 服务为站点配置动态 NAT,请从站点级别导航到 配置 > 高级设置 > NAT > 动态源 NAT 选项卡。单击 + 动态源 NAT

  • 类型:应用 NAT 策略的 SD-WAN 服务类型。对于静态 NAT,支持的服务类型为本地、虚拟路径、Internet、Intranet 和路由间域服务。
  • 路由域:选择所选转换适用的路由域。
  • IP 地址类型:根据您的喜好选择 IPv4 或 IPv6 地址类型。
  • 目标服务:提供与服务类型对应的服务名称。
  • 内部区域:数据包必须来自的内防火墙区域匹配类型才能进行转换。
  • 内部 IP/前缀:满足匹配标准时必须转换为的内部 IP 地址和前缀。
  • 外部 IP:满足匹配标准时内部 IP 地址转换为的外部 IP 地址和前缀。对于使用 Internet 和内部网服务的出站流量,已配置的 WAN 链路 IP 地址将动态选择为外部 IP 地址。
  • 端口奇偶校验:如果启用,NAT 连接的外部端口将保持奇偶校验(即使内部端口是偶数,如果外部端口为奇数,则为奇数)。
  • 绑定响应器路由:确保通过与接收响应流量相同的服务发送响应流量,以避免非对称路由。
  • 允许相关: 允许与匹配规则的流量相关的流量。例如,如果存在与该策略相关的某种类型的错误,则 ICMP 重定向与该策略匹配的特定流相关。
  • IPsec 直通:允许转换 IPsec (AH/ESP) 会话。
  • GRE/PPTP 直通:确保响应流量通过与接收流量相同的服务发送,以避免非对称路由。
  • 接收时:选中此复选框后,将配置入站 NAT。清除后,将配置出站 NAT。
  • 对称:选中此复选框后,将配置对称 NAT。清除后,配置受端口限制的 NAT。

端口转发规则:

  • 路由域:选择所选转换适用的路由域。
  • 协议:TCP、UDP 或两者兼而有。
  • 外部端口:转发到内部端口的外部端口。
  • 内部 IP:用于转发匹配数据包的内部地址。
  • 内端口:外部端口将被转发到的内部端口。

每个端口转发规则都有一个父 NAT 规则。外部 IP 地址取自父 NAT 规则。

注意

满足以下条件时,Citrix SD-WAN Orchestrator 服务用户界面会显示自动创建的 NAT 规则:

  • 该站点已启用互联网服务。

  • 站点上未配置 IPv4 出站互联网动态源 NAT 规则。

  • 至少 1 个 WAN 链路位于不可信接口上,或者在所有路由域上启用了 Internet。

动态源 NAT 详细信息

静态源 NAT

静态 NAT 是 SD-WAN 网络内部的私有 IP 地址或子网到 SD-WAN 网络外部的公有 IP 地址或子网的一对一映射。通过手动输入内部 IP 地址和必须转换到的外部 IP 地址来配置静态 NAT。您可以为本地、虚拟路径、Internet、内部网和路由间域服务配置静态 NAT。

配置静态源 NAT

要使用 Citrix SD-WAN Orchestrator 服务为站点配置静态 NAT,请从站点级别导航到 配置 > 高级设置 > NAT > 静态源 NAT 选项卡。单击 + 静态源 NAT

  • 类型:应用 NAT 策略的 SD-WAN 服务类型。对于静态 NAT,支持的服务类型包括本地、虚拟路径、Internet、Intranet 和路由间域服务
  • 目标服务:提供与服务类型对应的服务名称。
  • 内部区域:数据包必须来自的内防火墙区域匹配类型才能进行转换。
  • 外部区域:数据包必须来自的外部防火墙区域匹配类型才能进行转换。
  • IP 地址类型:根据您的喜好选择 IPv4 或 IPv6 地址类型。
  • 路由域:选择所选转换适用的路由域。
  • 内部 IP/前缀:满足匹配标准时必须转换为的内部 IP 地址和前缀。
  • 外部 IP/前缀:满足匹配条件时内部 IP 地址转换为的外部 IP 地址和前缀。
  • 绑定响应器路由:确保通过与接收响应流量相同的服务发送响应流量,以避免非对称路由。
  • 代理 ARP:确保设备响应外部 IP 地址的本地 ARP 请求。
  • 代理 NDP: 确保设备响应本地 NDP 对外部 IP 地址的请求。
  • 接收时:选中此复选框后,将配置入站 NAT。清除后,将配置出站 NAT。
  • 通过 PD 自动学习:只有在选择 IPv6 作为 IP 地址类型时,此复选框才会启用。选中后,Citrix SD-WAN 会从上游委托路由器请求前缀,委托路由器会向 Citrix SD-WAN 发送前缀进行响应。

静态源 NAT 详细信息

IPv6 Internet 服务的静态 NAT 策略

从版本 11.4.0 起,Citrix SD-WAN 支持 IPv6 互联网服务的静态 NAT 策略。IPv6 Internet 服务的静态 NAT 策略指定将内部网络前缀映射到外部网络前缀。所需的静态 NAT 策略的数量取决于内部网络的数量和外部网络(WAN 链路)的数量。如果有 M 个内部网络和 N 个 WAN 链路,则所需的静态 NAT 策略数为 M x N

从 Citrix SD-WAN 版本 11.4.0 起,在创建静态 NAT 策略时,您可以手动输入外部 IP 地址,也可以 通过 PD 启用 Auto Learn。启用 Auto Learn via PD 后,SD-WAN 设备通过 DHCPv6 前缀委派接收来自上游委派路由器的委托前缀。在 Citrix SD-WAN 11.4.0 版之前,外部 IP 地址是自动从服务派生的,因此无法选择手动输入外部 IP 地址。如果要将设备升级到 11.4.0 或更高版本,并且为 IPv6 Internet 服务配置了静态 NAT 策略,则必须手动更新这些策略。

配置示例

在以下拓扑中,Citrix SD-WAN 设备配置有 2 个内部网络和 2 个 WAN 链接:

  • 内部网络 1 驻留在具有网络前缀 FD01:0203:6561::/64 的企业路由域中
  • 内部网络 2 驻留在 Wi-Fi 路由域中,网络前缀为 FD01:0203:1265::/64
  • 通过 WAN Link 1,SD-WAN 设备通过 DHCPv6 前缀委派、2 个委派前缀 2001:0D88:1261::/64 和 2001:0D88:1265::/64 从上游委派路由器接收。当来自内部网络的流量通过 WAN link 1 时,这两个委派的前缀将用作外部网络前缀。
  • 通过 WAN Link 2,SD-WAN 设备通过 DHCPv6 前缀委派、2 个委派前缀 2001:DB8:8585::/64 和 2001:DB8:8599::/64 从上游委派路由器接收。当来自内部网络的流量通过 WAN link 2 时,这两个委派的前缀用作外部网络前缀。

静态源 NAT NPT

在这种情况下,网络内有 M=2 和 N = 2 WAN 链路。因此,正确部署 IPv6 互联网服务所需的静态 NAT 策略的数量为 2 x 2 = 4。这 4 个静态 NAT 策略为以下各项指定了地址转换:

  • 通过 WAN 链路 1 在网络 1 内部
  • 在网络 1 内部通过 WAN 链路 2
  • 通过 WAN 链路 1 在网络 2 内部
  • 通过 WAN 链路 2 在网络 2 内部

要配置这些静态 NAT 策略,请从站点级别导航到 配置 > 高级设置 > NAT > 静态源 NAT。单击 + 静态源 NAT

创建 NAT 策略时,请确保将 “ 类型 ” 选为 Internet将 IP 地址类型 选为 IPv6。选择 WAN 链接,然后在 Inside IP/Prefix 字段中输入内部网络前缀(仅允许使用 /64 前缀)。在 Outside IP/Prefix 字段中,您可以手动输入外部网络前缀或选中 “ 通过 PD 自动学习 ” 复选框。

以下是在静态 NAT 策略中手动输入外部 IP 地址的示例。

静态源 NAT NPT 手动配置

如果选中 “ 通过 PD 自动学习 ” 复选框,请确保上游路由器支持 DHCPv6 前缀委派。Citrix SD-WAN 向上游委派路由器请求前缀,委派路由器会向 Citrix SD-WAN 使用前缀进行响应。Citrix SD-WAN 使用此委派前缀将内部 IP 地址转换为外部 IP 地址。

以下是启用 了通过 PD 自动学习 的示例,以便通过 DHCPv6 前缀委派获取外部网络前缀。

静态源 NAT NPT 通过 PD 自动学习

目标 NAT

目标 NAT 策略允许在单个主机或子网之间配置网络地址转换策略。

注意

  • 虽然可以同时为服务配置入站和出站转换,但只会使用第一个匹配的翻译。如果在接收数据包的服务上存在规则,而发送数据包的服务上存在规则,则可能会发生多次转换。
  • 目标 NAT 转换仅适用于源自本地服务的流量。

要配置这些目标 NAT 策略,请从站点级别导航到 配置 > 高级设置 > NAT > 目标 NAT。单击 + 目标 NAT

  • 类型:应用 NAT 策略的 SD-WAN 服务类型。对于静态 NAT,支持的服务类型包括本地、虚拟路径、Internet、Intranet 和路由间域服务
  • 服务名称:提供与服务类型对应的服务名称。
  • IP 类型:根据您的喜好选择 IPv4 或 IPv6 地址类型。
  • 内端口:外部端口将被转发到的内部端口。
  • 外部 IP:满足匹配标准时内部 IP 地址转换为的外部 IP 地址和前缀。对于使用 Internet 和内部网服务的出站流量,已配置的 WAN 链路 IP 地址将动态选择为外部 IP 地址。
  • 外部端口:转发到内部端口的外部端口。
  • 路由域:选择所选转换适用的路由域。
  • 接收时:选中此复选框后,将配置入站 NAT。清除后,将配置出站 NAT。

目的地 NAT 详细信息

网络地址转换