Citrix SD-WAN

动态 NAT

动态 NAT 是将 SD-WAN 网络内部的一个或多个私有 IP 地址映射到 SD-WAN 网络外部的公有 IP 地址或子网的多对一映射。来自不同区域和子网通过 LAN 段中受信任(内部)IP 地址的流量通过单个公有(外部)IP 地址发送。

动态 NAT 类型

动态 NAT 执行端口地址转换 (PAT) 以及 IP 地址转换。端口号用于区分哪些流量属于哪个 IP 地址。所有内部私有 IP 地址均使用单个公有 IP 地址,但是为每个私有 IP 地址分配了不同的端口号。PAT 是一种经济高效的方式,允许多台主机使用单个公有 IP 地址连接到Internet 。

  • 端口限制:端口受限 NAT 对与内部 IP 地址和端口对相关的所有转换使用同一个外部端口。此模式通常用于允许Internet P2P 应用程序。
  • 对称:对称 NAT 将同一个外部端口用于与内部 IP 地址、内部端口、外部 IP 地址和外部端口元组相关的所有转换。此模式通常用于增强安全性或扩展 NAT 会话的最大数量。

入站和出站 NAT

连接的方向可以是内部到外部,也可以是外部到内部。创建 NAT 规则时,根据方向匹配类型将其应用于两个方向。

  • 出站:对于在服务上接收的数据包,将转换目标地址。对于在服务上传输的数据包,将转换源地址。本地、Internet、内部网和路由间域服务支持出站动态 NAT。对于 WAN 服务(如 Internet 和内部网服务),配置的 WAN 链路 IP 地址将动态选择为外部 IP 地址。对于本地和路由间域服务,请提供外部 IP 地址。外部区域是从所选服务派生的。出站动态 NAT 的一个典型用例是同时允许 LAN 中的多个用户使用单个公共 IP 地址安全地访问Internet 。
  • 入站:对于在服务上接收的数据包,将转换源地址。转换服务上传输的数据包的目的地址。WAN 服务(如Internet 和内部网)不支持入站动态 NAT。有一个显式的审计错误来指示相同的情况。仅本地和路由间域服务支持入站动态 NAT。提供要转换到的外部区域和外部 IP 地址。入站动态 NAT 的典型用例是允许外部用户访问您专用网络中托管的电子邮件或 Web 服务器。

端口转发

具有端口转发功能的动态 NAT 允许您将特定流量转发到已定义的 IP 地址。这通常用于诸如 Web 服务器之类的主机内部。配置动态 NAT 后,您可以定义端口转发策略。配置用于 IP 地址转换的动态 NAT,并定义端口转发策略以将外部端口映射到内部端口。动态 NAT 端口转发通常用于允许远程主机连接到专用网络上的主机或服务器。有关更详细的用例,请参阅 Citrix SD-WAN 动态 NAT 说明

自动创建的动态 NAT 策略

在以下情况下,将自动创建Internet 服务的动态 NAT 策略:

  • 在不受信任的接口(WAN 链接)上配置Internet 服务。
  • 使用 Citrix SD-WAN Orchestrator 服务为单个 WAN 链接上的所有路由域启用Internet 访问。有关更多详细信息,请参阅 配置防火墙分段
  • 在 SD-WAN Orchestrator 服务上配置 DNS 转发器或 DNS 代理。有关更多详细信息,请参阅 域名系统

监视

要监视动态 NAT,请导航到 控 > 防火墙统计 > 连接。对于连接,您可以看到 NAT 是否完成。

连接

要进一步查看内部 IP 地址到外部 IP 地址的映射,请单击 相关对象 下的 预路由 NAT或路由后NAT,或导航到监控>防火墙统计>NAT 策略

以下屏幕截图显示了对称类型的动态 NAT 规则及其相应的端口转发规则的统计信息。

NAT 策略

创建端口转发规则时,也会创建相应的防火墙规则。

防火墙规则

您可以通过导航到 监视 > 防火墙统计信息 > 筛选器策略来查看筛选器策略统计信息

筛选策略

日志

您可以在防火墙日志中查看与 NAT 相关的日志。要查看 NAT 的日志,请创建与 NAT 策略匹配的防火墙策略,并确保在防火墙筛选器上启用了日志记录。NAT 日志包含以下信息:

  • 日期和时间
  • 路由域
  • IP 协议
  • 源端口
  • 源 IP 地址
  • 转换后的 IP 地址
  • 转换后的端口
  • 目标 IP 地址
  • 目的端口

日志记录选项

要生成 NAT 日志,请导航到日志记录/监视 > 日志选项,选择 SDWAN_firewall.log,然后单击查看日志

查看日志

NAT 连接详细信息将显示在日志文件中。

NAT 日志详细信息

动态 NAT