Citrix SD-WAN

配置动态 NAT

当用户想要将流量从 LAN 段转发到不受信任端口上的 Internet 时,使用动态 NAT。在这种情况下,用户将在出站方向配置 NAT,并确保定义了相应的筛选器策略以允许流量返回。默认情况下,一旦配置了动态 NAT,系统将添加三个筛选器策略。

这些政策将:

  • 允许任何 IPhost 路由, 任何区域, 任何来源和目的地.

  • 允许 匹配已建立的规则,用于从内部网络启动的会话的反向流量。

  • 将源区域的所有其他流量放置到目标区域(特定于区域)。

以下屏幕截图显示了动态 NAT 配置的配置选项。

本地化后的图片

配置选项

  • 优先级 — 策略将在所有定义策略中应用的顺序。优先级较低的策略在优先级较高的策略之前应用。

  • 方向 — 从虚拟界面或服务角度进行翻译的方向。

  • 出站 — 数据包的目标地址将被转换为服务上接收的数据包。源地址将被转换为在服务上载输的数据包。

例如,LAN 服务到互联网服务 — 对于数据包出站,(LAN 到互联网) 的源 IP 地址被翻译。对于入站或接收的数据包(Internet 到 LAN),目标 IP 地址被转换。

  • 入站 -数据包的源地址将被转换为服务上接收的数据包。目标地址将被转换为在服务上载输的数据包。

例如,互联网服务到局域网服务 — 对于收到的数据包在互联网服务的源 IP 地址被翻译。对于在 Internet 服务上载输的数据包,将转换目标 IP 地址。

  • 类型 — 要执行的动态 NAT 类型。

    • 端口限制-端口限制 NAT 是大多数消费级 Gateway 路由器使用的。通常不允许入站连接,除非端口专门转发到内部地址。出站连接允许来自同一远程 IP 和端口的返回流量(称为与端点无关的映射)。此要求将受端口限制的 NAT 防火墙限制为 65535 个同时会话,但促进了常用的互联网技术(称为孔冲孔)。

    • 对称 — 对称 NAT 有时被称为企业 NAT,因为它允许更大的 NAT 空间,并通过减少翻译的可预测性来提高安全性。通常不允许入站连接,除非端口专门转发到内部地址。出站连接允许来自同一远程 IP 和端口的返回流量。来自相同内部 IP 和端口的连接需要映射到相同的外部 IP 和端口(这称为与端点相关的映射)。此模式显式防止孔冲孔。

  • 服务类型 — 参考 SD-WAN 服务。对于静态 NAT,这些包括本地(到设备)、Intranet、Internet。

  • 服务名称 — 与上述定义的服务类型相对应的特定服务名称。

  • 内部区域 — 为需要 NAT 的数据包选择内部区域。

  • 内部 IP 地址 -基于需要 NAT 的流量定义 IP 主机地址或子网。这应该是驻留在内部区域中的 IP 地址。

  • 允许相关 — 允许与与规则匹配的流相关的流量。例如,如果存在与该策略相关的某种类型的错误,则 ICMP 重定向与该策略匹配的特定流相关。

  • IPsec 直通 — 允许 IPsec 流量通过不变。

  • GRE/PPTP 直通 — 允许 GRE 或 IPsec 通过不变。

  • 端口奇偶校验 -允许 NAT 连接奇偶校验。

配置动态 NAT