Citrix SD-WAN

动态 NAT

动态 NAT 是将 SD-WAN 网络内部的一个或多个私有 IP 地址映射到 SD-WAN 网络外部的公有 IP 地址或子网的多对一映射。来自不同区域和子网通过 LAN 段中受信任(内部)IP 地址的流量通过单个公有(外部)IP 地址发送。

动态 NAT 类型

动态 NAT 执行端口地址转换 (PAT) 以及 IP 地址转换。端口号用于区分哪些流量属于哪个 IP 地址。所有内部私有 IP 地址均使用单个公有 IP 地址,但是为每个私有 IP 地址分配了不同的端口号。PAT 是一种经济高效的方式,允许多台主机使用单个公有 IP 地址连接到互联网。

  • 端口限制:端口受限 NAT 使用相同的外部端口进行与内部 IP 地址和端口对相关的所有转换。此模式通常用于允许互联网 P2P 应用程序。
  • 对称:对称 NAT 使用相同的外部端口进行与内部 IP 地址、内部端口、外部 IP 地址和外部端口元组相关的所有转换。此模式通常用于增强安全性或扩展 NAT 会话的最大数量。

入站和出站 NAT

连接的方向可以是内部到外部,也可以是外部到内部。创建 NAT 规则时,根据方向匹配类型将其应用于两个方向。

  • 出站:转换服务上接收的数据包的目标地址。对于在服务上传输的数据包,将转换源地址。本地、Internet、内部网和路由间域服务支持出站动态 NAT。对于 WAN 服务(如 Internet 和内部网服务),配置的 WAN 链路 IP 地址将动态选择为外部 IP 地址。对于本地和路由间域服务,请提供外部 IP 地址。外部区域是从所选服务派生的。出站动态 NAT 的一个典型用例是同时允许 LAN 中的多个用户使用单个公共 IP 地址安全地访问互联网。
  • 入站:转换服务上接收的数据包的源地址。转换服务上传输的数据包的目的地址。WAN 服务(如互联网和内部网)不支持入站动态 NAT。有一个显式的审计错误来指示相同的情况。仅本地和路由间域服务支持入站动态 NAT。提供要转换到的外部区域和外部 IP 地址。入站动态 NAT 的典型用例是允许外部用户访问您专用网络中托管的电子邮件或 Web 服务器。

配置动态 NAT 策略

要配置动态 NAT 策略,请在配置编辑器中导航到连接”>“防火墙”>“动态 NAT 策略”

动态 NAT 策略

  • 优先级:策略在所有已定义策略中应用的顺序。优先级较低的策略在优先级较高的策略之前应用。
  • 方向:从虚拟接口或服务的角度来看,流量的流动方向。它可以是入站流量,也可以是出站流量。
  • 类型:要执行的动态 NAT 类型、受端口限制或对称类型。
  • 服务类型:应用动态 NAT 策略的 SD-WAN 服务类型。本地和路由间域服务支持入站动态 NAT。本地、Internet、内部网和路由间域服务支持出站动态 NAT
  • 服务名:选择与服务类型相对应的已配置服务名。
  • 内部区域:数据包必须来自的内部防火墙区域匹配类型,才能允许转换。
  • 外部区域:对于入站流量,请指定数据包必须来自的外部防火墙区域匹配类型,以允许转换。
  • 内部 IP 地址:满足匹配条件时必须转换为的内部 IP 地址和前缀。输入“*”表示任何内部 IP 地址。
  • 外部 IP 地址:如果满足匹配条件,内部 IP 地址将转换为的外部 IP 地址和前缀。对于使用 Internet 和内部网服务的出站流量,已配置的 WAN 链路 IP 地址将动态选择为外部 IP 地址。
  • 允许相关:允许与流匹配规则的相关流量。例如,如果存在与该策略相关的某种类型的错误,则 ICMP 重定向与该策略匹配的特定流相关。
  • IPsec 通过:允许转换 IPsec (AH/ESP) 会话。
  • GRE/PPTP 通过:允许转换 GRE/PPTP 会话。
  • 端口奇偶校验:如果启用,NAT 连接的外部端口将保持奇偶校验(即使内部端口为偶数,如果外部端口为奇数)。
  • 绑定响应程序路由:确保响应流量通过接收到的相同服务发送,以避免非对称路由。

端口转发

具有端口转发功能的动态 NAT 允许您将特定流量转发到已定义的 IP 地址。这通常用于诸如 Web 服务器之类的主机内部。配置动态 NAT 后,您可以定义端口转发策略。配置用于 IP 地址转换的动态 NAT,并定义端口转发策略以将外部端口映射到内部端口。动态 NAT 端口转发通常用于允许远程主机连接到专用网络上的主机或服务器。有关更详细的使用案例,请参阅 Citrix SD-WAN 动态 NAT 解释

端口转发规则

  • 协议:TCP、UDP 或两者兼有。
  • 外部端口:将端口转发到内部端口的外部端口。
  • 内部 IP 地址:转发匹配数据包的内部地址。
  • 内部端口:端口将转发到的外部端口的内部端口。
  • 碎片:允许转发碎片数据包。
  • 日志间隔:记录与策略匹配的数据包数到 syslog 服务器之间的时间(秒)。
  • 日志启动:如果选中此选项,则会为新流创建一个新的日志条目。
  • 日志结束:在删除流时记录流的数据。

    注意

    默认的日志间隔值为 0 表示没有日志记录。

  • 跟踪:对匹配规则的 TCP、UDP 和 ICMP 数据包执行双向连接状态跟踪。此功能可阻止由于非对称路由或校验和失败、协议特定验证而看起来不合法的流。状态详细信息显示在监视”>“防火墙”>“连接”下
  • 无跟踪:不对匹配规则的数据包执行双向连接状态跟踪。

每个端口转发规则都有一个父 NAT 规则。外部 IP 地址取自父 NAT 规则。

自动创建的动态 NAT 策略

在以下情况下,将自动创建互联网服务的动态 NAT 策略:

  • 在不受信任的接口(WAN 链接)上配置互联网服务。
  • 在单个 WAN 链路上启用所有路由域的互联网访问。有关详细信息,请参阅 配置防火墙分段
  • 在 SD-WAN 上配置 DNS 转发器或 DNS 代理。有关更多详细信息,请参阅 域名系统

监视

要监视动态 NAT,请导航到监视”>“防火墙统计信息”>“连接”。对于连接,你可以看到 NAT 是否完成。

连接

要进一步查看内部 IP 地址到外部 IP 地址的映射,请单击“相关对象”下的“路由前 NAT”或“路由后 NAT”, 或导航到监视”>“防火墙”统计信息 > NAT 策略

以下屏幕截图显示了对称类型的动态 NAT 规则及其相应的端口转发规则的统计信息。

NAT 策略

创建端口转发规则时,也会创建相应的防火墙规则。

防火墙规则

您可以通过导航到监视”>“防火墙统计信息”>“筛选策略”查看筛选器策略统计信息**

筛选策略

日志

您可以在防火墙日志中查看与 NAT 相关的日志。要查看 NAT 的日志,请创建与 NAT 策略匹配的防火墙策略,并确保在防火墙筛选器上启用了日志记录。

日志记录选项

导航到日 志/监测 > 日志选项,选择 SDWAN_firewal.log,然后单击 查看日志

查看日志

NAT 连接详细信息将显示在日志文件中。

NAT 日志详细信息

动态 NAT