Citrix SD-WAN

静态 NAT

静态 NAT 是 SD-WAN 网络内部的私有 IP 地址或子网到 SD-WAN 网络外部的公有 IP 地址或子网的一对一映射。通过手动输入内部 IP 地址和必须转换到的外部 IP 地址来配置静态 NAT。您可以为本地、虚拟路径、Internet、内部网和路由间域服务配置静态 NAT。

入站和出站 NAT

连接的方向可以是内部到外部,也可以是外部到内部。创建 NAT 规则时,根据方向匹配类型将其应用于两个方向。

  • 入站:对于在服务上接收的数据包,将转换源地址。转换服务上传输的数据包的目的地址。例如,互联网服务到局域网服务 — 对于接收的数据包(互联网到局域网),将转换源 IP 地址。对于传输的数据包(LAN 到互联网),将转换目的 IP 地址。
  • 出站:对于在服务上接收的数据包,将转换目标地址。对于在服务上传输的数据包,将转换源地址。例如,局域网服务到互联网服务 — 对于传输的数据包(局域网到互联网),将转换源 IP 地址。对于接收的数据包(互联网到局域网),将转换目的 IP 地址。

区域派生

入站或出站流量的源和目标防火墙区域不应相同。如果源防火墙区域和目标防火墙区域相同,则不会对流量执行 NAT。

对于出站 NAT,外部区域将自动从服务派生。默认情况下,SD-WAN 上的每个服务都与一个区域相关联。例如,受信任的互联网链接上的 Internet 服务与受信任的互联网区域相关联。同样,对于入站 NAT,内部区域是从服务派生的。

对于虚拟路径服务 NAT 区域派生不会自动发生,您必须手动输入内部和外部区域。NAT 仅对属于这些区域的流量执行。无法为虚拟路径派生区域,因为虚拟路径子网中可能有多个区域。

配置静态 NAT 策略

要配置静态 NAT 策略,请在配置编辑器中导航到 连接 > 防火墙 > 静态 NAT 策略

配置静态 NAT

  • 优先级:在所有定义的策略中应用策略的顺序。优先级较低的策略在优先级较高的策略之前应用。
  • 方向:从虚拟接口或服务的角度来看,流量的流动方向。它可以是入站流量,也可以是出站流量。
  • 服务类型: 应用 NAT 策略的 SD-WAN 服务类型。对于静态 NAT,支持的服务类型包括本地、虚拟路径、Internet、Intranet 和路由间域服务
  • 服务名称: 选择与服务类型相对应的已配置服务名称。
  • 内部区域:数据包必须来自的内防火墙区域匹配类型才能进行转换。
  • 外部区域:数据包必须来自的外部防火墙区域匹配类型才能进行转换。
  • 内部 IP 地址:满足匹配条件时必须转换为的内部 IP 地址和前缀。
  • 外部 IP 地址:如果满足匹配条件,则内部 IP 地址转换为的外部 IP 地址和前缀。
  • 绑定响应方路由: 确保响应流量通过接收响应流量的同一服务发送,以避免非对称路由。
  • 代理 ARP:确保设备响应外部 IP 地址的本地 ARP 请求。

IPv6 互联网服务的静态 NAT 策略

Citrix SD-WAN 从 11.4.0 版开始支持 IPv6 互联网服务的静态 NAT 策略。IPv6 Internet 服务的静态 NAT 策略指定将内部网络前缀映射到外部网络前缀。所需的静态 NAT 策略的数量取决于内部网络的数量和外部网络(WAN 链路)的数量。如果有 M 个内部网络和 N 个 WAN 链路,则所需的静态 NAT 策略数为 M x N

从 Citrix SD-WAN 11.4.0 版开始,在创建静态 NAT 策略时,您可以手动输入外部 IP 地址或 通过 PD 启用自动学习。启用 通过 PD 进行自动学习 后,Citrix SD-WAN 设备将通过 DHCPv6 前缀委派从上游委派路由器接收委派前缀。在 Citrix SD-WAN 11.4.0 版之前,外部 IP 地址是自动从服务派生的,因此无法选择手动输入外部 IP 地址。如果要将设备升级到 11.4.0 或更高版本,并且为 IPv6 Internet 服务配置了静态 NAT 策略,则必须手动更新这些策略。

配置示例

在以下拓扑中,Citrix SD-WAN 设备配置有 2 个内部网络和 2 个 WAN 链接:

  • 内部网络 1 驻留在具有网络前缀 FD 01:0203:6561። /64 的企业路由域中
  • 内部网络 2 驻留在 Wi-Fi 路由域中,网络前缀为 FD 01:0203:1265። /64
  • 通过 WAN Link 1,SD-WAN 设备通过 DHCPv6 前缀委派、2 个委派前缀 2001:0 D 88:1261። /64 和 2001:0 D 88:1265። /64 从上游委派路由器接收。当来自内部网络的流量通过 WAN link 1 时,这两个委派的前缀将用作外部网络前缀。
  • 通过 WAN Link 2,SD-WAN 设备通过 DHCPv6 前缀委派、2 个委派前缀 2001:DB 8:8585። /64 和 2001:DB 8:8599። /64 从上游委派路由器接收。当来自内部网络的流量通过 WAN link 2 时,这两个委派的前缀用作外部网络前缀。

不扩散条约静态 NAT IPv6 配置

在这种情况下,网络内有 M=2 和 N = 2 WAN 链路。因此,正确部署 IPv6 互联网服务所需的静态 NAT 策略数为 2 x 2 = 4。这 4 个静态 NAT 策略为以下各项指定了地址转换:

  • 通过 WAN 链路 1 在网络 1 内部
  • 在网络 1 内部通过 WAN 链路 2
  • 通过 WAN 链路 1 在网络 2 内部
  • 通过 WAN 链路 2 在网络 2 内部

要配置这些静态 NAT 策略,请在配置编辑器中导航到 连接 > 防火墙 > 静态 NAT 策略

创建了四个静态 NAT 策略

创建 NAT 策略时,请确保选择 服务类型 作为 互联网 ,将 IP 地址 类型选择为 IPv6。选择 WAN 链接,然后在 内部 IP 地址 字段中输入内部网络前缀(仅允许使用 /64 前缀)。在 外部 IP 地址 字段中,您可以手动输入外部网络前缀或选中 通过 PD 自动学习 复选框。

以下是在静态 NAT 策略中手动输入外部 IP 地址的示例。

静态 NAT 策略手动配置

如果选中 通过 PD 自动学习 复选框,请确保上游路由器支持 DHCPv6 前缀委派。Citrix SD-WAN 向上游委派路由器请求前缀,委派路由器会向 Citrix SD-WAN 使用前缀进行响应。Citrix SD-WAN 使用此委派前缀将内部 IP 地址转换为外部 IP 地址。

以下是启用 了通过 PD 自动学习 的示例,以便通过 DHCPv6 前缀委派获取外部网络前缀。

静态 NAT 策略自动学习配置

监视

要监控 NAT,请导航到 控 > 防火墙统计 > 连接。对于连接,你可以看到 NAT 是否完成。

连接

要检查是否为任何 NAT 规则配置了通过 PD 自动学习,请导航到 配置 > 虚拟 WAN > 查看配置 ,然后从视 下拉列表中选择 防火墙通过 PD 自动学习PD 前缀 ID 列显示详细信息。

静态 NAT NPT 连接

要进一步查看内部 IP 地址到外部 IP 地址的映射,请单击 相关对象 下的 路由后 NAT ,或导航到 监控 > 防火墙统计 > NAT 策略

以下屏幕截图显示了 IPv4 静态 NAT 策略中内部地址与外部地址的映射。

NAT 策略

以下屏幕截图显示了 IPv6 静态 NAT 策略中内部地址与外部地址的映射。

IPv6 静态 NAT 策略

日志

您可以在防火墙日志中查看与 NAT 相关的日志。要查看 NAT 的日志,请创建与 NAT 策略匹配的防火墙策略,并确保在防火墙筛选器上启用了日志记录。NAT 日志显示以下信息:

  • 日期和时间
  • 路由域
  • IP 协议
  • 源端口
  • 源 IP 地址
  • 转换后的 IP 地址
  • 转换后的端口
  • 目标 IP 地址
  • 目的端口

日志记录选项

要生成 NAT 日志,请导航到日志记录/监视 > 日志选项,选择 SDWAN_firewall.log,然后单击查看日志

查看日志

NAT 连接详细信息将显示在日志文件中。

NAT 日志详细信息

IPv6 NAT 日志详细信息

静态 NAT