Citrix SD-WAN

静态 NAT

静态 NAT 是 SD-WAN 网络内部的私有 IP 地址或子网到 SD-WAN 网络外部的公有 IP 地址或子网的一对一映射。通过手动输入内部 IP 地址和必须转换到的外部 IP 地址来配置静态 NAT。您可以为本地、虚拟路径、Internet、内部网和路由间域服务配置静态 NAT。

入站和出站 NAT

连接的方向可以是内部到外部,也可以是外部到内部。创建 NAT 规则时,根据方向匹配类型将其应用于两个方向。

  • 入站:转换服务上接收的数据包的源地址。转换服务上传输的数据包的目的地址。例如,互联网服务到局域网服务 — 对于接收的数据包(互联网到局域网),将转换源 IP 地址。对于传输的数据包(LAN 到互联网),将转换目的 IP 地址。
  • 出站:转换服务上接收的数据包的目标地址。对于在服务上传输的数据包,将转换源地址。例如,局域网服务到互联网服务 — 对于传输的数据包(局域网到互联网),将转换源 IP 地址。对于接收的数据包(互联网到局域网),将转换目的 IP 地址。

区域派生

入站或出站流量的源和目标防火墙区域不应相同。如果源防火墙区域和目标防火墙区域相同,则不会对流量执行 NAT。

对于出站 NAT,外部区域将自动从服务派生。默认情况下,SD-WAN 上的每个服务都与一个区域相关联。例如,受信任的互联网链接上的 Internet 服务与受信任的互联网区域相关联。同样,对于入站 NAT,内部区域是从服务派生的。

对于虚拟路径服务 NAT 区域派生不会自动发生,您必须手动输入内部和外部区域。NAT 仅对属于这些区域的流量执行。无法为虚拟路径派生区域,因为虚拟路径子网中可能有多个区域。

配置静态 NAT 策略

要配置静态 NAT 策略,请在配置编辑器中导航到连接”>“防火墙”>“静态 NAT 策略”

配置静态 NAT

  • 优先级:策略在所有已定义策略中应用的顺序。优先级较低的策略在优先级较高的策略之前应用。
  • 方向:从虚拟接口或服务的角度来看,流量的流动方向。它可以是入站流量,也可以是出站流量。
  • 服务类型:应用 NAT 策略的 SD-WAN 服务类型。对于静态 NAT,支持的服务类型包括本地、虚拟路径、Internet、Intranet 和路由间域服务
  • 服务名:选择与服务类型相对应的已配置服务名。
  • 内部区域:数据包必须来自的内部防火墙区域匹配类型,才能允许转换。
  • 外部区域:数据包必须来自以允许转换的外部防火墙区域匹配类型。
  • 内部 IP 地址:满足匹配条件时必须转换为的内部 IP 地址和前缀。
  • 外部 IP 地址:如果满足匹配条件,内部 IP 地址将转换为的外部 IP 地址和前缀。
  • 绑定响应程序路由:确保响应流量通过接收到的相同服务发送,以避免非对称路由。
  • 代理 ARP:确保设备响应外部 IP 地址的本地 ARP 请求。

监视

要监视 NAT,请导航到监视”>“防火墙统计信息”>“连接”。对于连接,你可以看到 NAT 是否完成。

连接

要进一步查看内部 IP 地址到外部 IP 地址的映射,请单击“相关对象”下的“路由后 NAT”, 或导航到监视”>“防火墙统计信息”>“NAT”政策

NAT 策略

日志

您可以在防火墙日志中查看与 NAT 相关的日志。要查看 NAT 的日志,请创建与 NAT 策略匹配的防火墙策略,并确保在防火墙筛选器上启用了日志记录。

日志记录选项

导航到日 志/监测 > 日志选项,选择 SDWAN_firewal.log,然后单击 查看日志

查看日志

NAT 连接详细信息将显示在日志文件中。

NAT 日志详细信息

静态 NAT