Übersetzung von Netzwerkadressen
Network Address Translation (NAT) auf der SD-WAN-Appliance führt eine IP-Adresserhaltung durch, um die begrenzte Anzahl registrierter IP-Adressen beizubehalten. Es übersetzt die privaten Adressen im internen Netzwerk in eine legale öffentliche Adresse und verbindet Ihr privates SD-WAN-Netzwerk mit dem öffentlichen Internet. Die öffentliche IP-Adresse wird für die Kommunikation über das Internet verwendet. NAT sorgt auch für zusätzliche Sicherheit, indem nur eine Adresse für das gesamte Netzwerk im Internet Werbung gemacht wird und das gesamte interne Netzwerk versteckt.
Sie können die folgenden NAT-Typen konfigurieren:
- Dynamisches Quell-NA
- Statische NAT
- Ziel-NAT
Hinweis:
Die NAT-Funktion kann nur auf Standortebene konfiguriert werden. Es gibt keine globale Konfiguration (Vorlagen) für NAT.
Um NAT für einen Standort mithilfe des Citrix SD-WAN Orchestrator Service zu konfigurieren, navigieren Sie auf Standortebene zu Konfiguration > Erweiterte Einstellungen > NAT.
Eingehende und ausgehende NAT
Die Richtung für eine Verbindung kann entweder von innen nach außen oder von außen nach innen sein. Wenn eine NAT-Regel erstellt wird, können Sie die Richtung mithilfe des Kontrollkästchens Bei Empfang definieren. Wenn das Kontrollkästchen aktiviert ist, wird die Richtung als Eingehend konfiguriert, und wenn das Kontrollkästchen deaktiviert ist, wird die Richtung als Ausgehendkonfiguriert.
- Inbound: Die Quelladresse wird für Pakete übersetzt, die für den Dienst empfangen wurden. Die Zieladresse wird für Pakete übersetzt, die über den Dienst übertragen werden. Beispiel: Internetdienst-zu-LAN-Dienst — Für empfangene Pakete (Internet zu LAN) wird die Quell-IP-Adresse übersetzt. Bei übertragenen Paketen (LAN to Internet) wird die Ziel-IP-Adresse übersetzt.
- Ausgehend: Die Zieladresse wird für Pakete übersetzt, die für den Dienst empfangen wurden. Die Quelladresse wird für Pakete übersetzt, die über den Dienst übertragen werden. Beispielsweise LAN-Dienst zum Internetdienst — für übertragene Pakete (LAN zu Internet) wird die Quell-IP-Adresse übersetzt. Bei empfangenen Paketen (Internet to LAN) wird die Ziel-IP-Adresse übersetzt.
Zonenableitung
Die Quell- und Ziel-Firewallzonen für den eingehenden oder ausgehenden Datenverkehr dürfen nicht identisch sein. Wenn sowohl die Quell- als auch die Ziel-Firewallzonen identisch sind, wird NAT nicht für den Datenverkehr ausgeführt.
Für ausgehende NAT wird die externe Zone automatisch vom Dienst abgeleitet. Jeder Dienst auf SD-WAN ist standardmäßig einer Zone zugeordnet. Beispielsweise ist der Internetdienst auf einer vertrauenswürdigen Internetverbindung mit der vertrauenswürdigen Internetzone verknüpft. Ebenso wird für einen eingehenden NAT die innere Zone vom Dienst abgeleitet.
Für einen Virtual Path Service NAT Zonenableitung nicht automatisch erfolgt, müssen Sie manuell die innere und äußere Zone eingeben. NAT wird nur für den Verkehr durchgeführt, der zu diesen Zonen gehört. Zonen können nicht für virtuelle Pfade abgeleitet werden, da sich innerhalb der virtuellen Pfadsubnetze möglicherweise mehrere Zonen befinden.
Dynamisches Quell-NA
Dynamic Source NAT ist eine Viele-zu-Eins-Zuordnung einer privaten IP-Adresse oder Subnetze innerhalb des SD-WAN-Netzwerks zu einer öffentlichen IP-Adresse oder einem Subnetz außerhalb des SD-WAN-Netzwerks. Es ermöglicht mehreren Hosts, ihre Quell-IP-Adressen in dieselbe öffentliche IP-Adresse mit unterschiedlichen Portnummern übersetzen zu lassen. Port Restricted NAT verwendet denselben externen Port für alle Übersetzungen, die sich auf eine interne IP-Adresse und ein Portpaar beziehen. Der Datenverkehr aus verschiedenen Zonen und Subnetzen über vertrauenswürdige (innerhalb) IP-Adressen im LAN-Segment wird über eine einzelne öffentliche (externe) IP-Adresse gesendet.
Hinweis:
Dynamische NAT-Übersetzungen erlauben den gesamten wechselseitigen Datenverkehr für eine vom internen Netzwerk initiierte Sitzung. Um diese Verbindungen zu filtern, fügen Sie Filterrichtlinien für den ausgehenden Datenverkehr hinzu.
Übersetzung der Port-Adresse
Dynamic NAT führt Port Address Translation (PAT) zusammen mit der IP-Adressenübersetzung durch. Portnummern werden verwendet, um zu unterscheiden, welcher Datenverkehr zu welcher IP-Adresse gehört. Eine einzelne öffentliche IP-Adresse wird für alle internen privaten IP-Adressen verwendet, jeder privaten IP-Adresse wird jedoch eine andere Portnummer zugewiesen. PAT ist eine kostengünstige Möglichkeit, mehrere Hosts die Verbindung mit dem Internet über eine einzelne öffentliche IP-Adresse zu ermöglichen.
Das Kontrollkästchen Symmetrisch definiert die PAT-Konfiguration. Wenn beim Konfigurieren von NAT-Regeln das Kontrollkästchen aktiviert ist, wird symmetrische NAT konfiguriert, und wenn diese Option deaktiviert ist, wird Port Restricted NAT im Back-End konfiguriert.
- Port restricted: Port Restricted NAT verwendet denselben externen Port für alle Übersetzungen, die sich auf eine Inside IP Address und Port-Paar beziehen. Dieser Modus wird normalerweise verwendet, um Internet-P2P-Anwendungen zuzulassen.
- Symmetrisch: Symmetric NAT verwendet denselben externen Port für alle Übersetzungen, die sich auf eine Innen-IP-Adresse, einen Innenanschluss, eine externe IP-Adresse und ein Outside Port Tupel beziehen. Dieser Modus wird normalerweise verwendet, um die Sicherheit zu erhöhen oder die maximale Anzahl von NAT-Sitzungen zu erweitern.
Port-Weiterleitung
Dynamische NAT mit Portweiterleitung ermöglicht dem Datenverkehr von einem externen Netzwerk den Zugriff auf bestimmte Hosts und Ports im internen Netzwerk, ohne dass die Sitzung von innen initiiert wird. Dies wird normalerweise für Hosts wie Webserver verwendet.
Sobald der dynamische NAT konfiguriert ist, können Sie die Portweiterleitungsrichtlinien definieren. Konfigurieren Sie dynamische NAT für die IP-Adressenübersetzung und definieren Sie die Portweiterleitungsrichtlinie, um einen externen Port einem internen Port zuzuordnen. Dynamische NAT-Portweiterleitung wird normalerweise verwendet, um Remotehosts die Verbindung zu einem Host oder Server in Ihrem privaten Netzwerk zu ermöglichen.
Dynamic Source NAT konfigurieren
Um dynamische NAT für einen Standort mithilfe des Citrix SD-WAN Orchestrator Service zu konfigurieren, navigieren Sie auf Standortebene zur Registerkarte Konfiguration > Erweiterte Einstellungen > NAT > Dynamische Quell-NAT . Klicken Sie + Dynamic Source NAT.
- Typ: Die SD-WAN-Diensttypen, auf die die NAT-Richtlinie angewendet wird. Für statische NAT werden lokale, virtuelle Pfade, Internet, Intranet und Routingübergreifende Domänendienste unterstützt.
- Routingdomäne: Wählen Sie die Routingdomäne aus, für die die ausgewählte Übersetzung gilt.
- IP-Adresstyp: Wählen Sie den IPv4- oder IPv6-Adresstyp basierend auf Ihren Präferenzen aus.
- Zieldienst: Geben Sie einen Namen für den Dienst an, der dem Diensttyp entspricht.
- Inside Zone: Der Match-Typ der Inside Firewall Zone, aus dem das Paket stammen muss, um die Übersetzung zu ermöglichen.
- Innere IP/Präfix: Die interne IP-Adresse und das Präfix, in die übersetzt werden muss, wenn die Übereinstimmungskriterien erfüllt sind.
- Externe IP: Die externe IP-Adresse und das Präfix, in das die interne IP-Adresse übersetzt wird, wenn die Übereinstimmungskriterien erfüllt sind. Für ausgehenden Datenverkehr mit Internet- und Intranetdiensten wird die konfigurierte WAN-Link-IP-Adresse dynamisch als externe IP-Adresse gewählt.
- Portparität: Wenn diese Option aktiviert ist, behalten externe Ports für NAT-Verbindungen die Parität bei (auch wenn der innere Port gerade ist, ungerade, wenn der externe Port ungerade ist).
- Responder-Route binden: Stellt sicher, dass der Antwortdatenverkehr über denselben Dienst gesendet wird, auf dem er empfangen wurde, um ein asymmetrisches Routing zu vermeiden.
- Related zulassen: Datenverkehr im Zusammenhang mit dem Flow zulassen, der der Regel entspricht. Beispielsweise bezieht sich die ICMP-Umleitung auf den spezifischen Fluss, der mit der Richtlinie übereinstimmte, wenn ein Fehler im Zusammenhang mit dem Flow aufgetreten ist.
- IPSec-Passthrough: Ermöglicht die Übersetzung einer IPSec-Sitzung (AH/ESP).
- GRE/PPTP-Passthrough: Stellt sicher, dass der Antwortdatenverkehr über denselben Dienst gesendet wird, auf dem er empfangen wird, um asymmetrisches Routing zu vermeiden.
- Bei Empfang: Wenn dieses Kontrollkästchen aktiviert ist, wird eingehender NAT konfiguriert. Wenn diese Option deaktiviert ist, ist Outbound NAT konfiguriert.
- Symmetrisch: Wenn dieses Kontrollkästchen aktiviert ist, wird die symmetrische NAT konfiguriert. Wenn diese Option deaktiviert ist, ist NAT mit Portbeschränkung
Regeln für Portweiterleitung:
- Routingdomäne: Wählen Sie die Routingdomäne aus, für die die ausgewählte Übersetzung gilt.
- Protokoll: TCP, UDP oder beides.
- Externer Port: Der externe Port, der an den internen Port weitergeleitet wird.
- Interne IP: Die interne Adresse zum Weiterleiten übereinstimmender Pakete.
- Interner Port: Der interne Port, an den der externe Port weitergeleitet wird.
Jede Portweiterleitungsregel hat eine übergeordnete NAT-Regel. Die externe IP-Adresse wird der übergeordneten NAT-Regel entnommen.
Hinweis
Die Benutzeroberfläche des Citrix SD-WAN Orchestrator Service zeigt automatisch erstellte NAT-Regeln an, wenn die folgenden Bedingungen erfüllt sind:
Der Internetdienst ist auf der Site aktiviert.
Die dynamische IPv4-Quell-NAT-Regel für ausgehenden Internet ist am Standort nicht konfiguriert.
Mindestens eine WAN-Verbindung befindet sich auf einer nicht vertrauenswürdigen Schnittstelle, oder das Internet ist auf allen Routingdomänen aktiviert.
Statische Quelle NAT
Statische NAT ist eine 1:1 -Zuordnung einer privaten IP-Adresse oder eines Subnetzes innerhalb des SD-WAN-Netzwerks zu einer öffentlichen IP-Adresse oder Subnetz außerhalb des SD-WAN-Netzwerks. Konfigurieren Sie Static NAT, indem Sie manuell die innere IP-Adresse und die externe IP-Adresse eingeben, in die sie übersetzt werden muss. Sie können statische NAT für die lokalen, virtuellen Pfade, Internet, Intranet und Inter-Routing-Domänendienste konfigurieren.
Statische Quell-NAT
Um statische NAT für einen Standort mithilfe des Citrix SD-WAN Orchestrator Service zu konfigurieren, navigieren Sie auf Standortebene zur Registerkarte Konfiguration > Erweiterte Einstellungen > NAT > Statische Quell-NAT . Klicken Sie auf + Static Source NAT
- Typ: Die SD-WAN-Diensttypen, auf die die NAT-Richtlinie angewendet wird. Für statische NAT werden lokale, virtuelle Pfade, Internet-, Intranet- und Routingdomänendienste unterstützt.
- Zieldienst: Geben Sie einen Namen für den Dienst an, der dem Diensttyp entspricht.
- Inside Zone: Der Match-Typ der Inside Firewall Zone, aus dem das Paket stammen muss, um die Übersetzung zu ermöglichen.
- Outside Zone: Der Match-Typ der externen Firewall-Zone, aus dem das Paket stammen muss, um die Übersetzung zu ermöglichen.
- IP-Adresstyp: Wählen Sie den IPv4- oder IPv6-Adresstyp basierend auf Ihren Präferenzen aus.
- Routingdomäne: Wählen Sie die Routingdomäne aus, für die die ausgewählte Übersetzung gilt.
- Innere IP/Präfix: Die interne IP-Adresse und das Präfix, in die übersetzt werden muss, wenn die Übereinstimmungskriterien erfüllt sind.
- Externe IP/Präfix: Die externe IP-Adresse und das Präfix, in das die interne IP-Adresse übersetzt wird, wenn die Übereinstimmungskriterien erfüllt sind.
- Responder-Route binden: Stellt sicher, dass der Antwortdatenverkehr über denselben Dienst gesendet wird, auf dem er empfangen wurde, um ein asymmetrisches Routing zu vermeiden.
- Proxy-ARP: Stellt sicher, dass die Appliance auf lokale ARP-Anfragen nach der externen IP-Adresse reagiert.
- Proxy-NDP: Stellt sicher, dass die Appliance auf lokale NDP-Anforderungen für die externe IP-Adresse reagiert.
- Bei Empfang: Wenn dieses Kontrollkästchen aktiviert ist, wird eingehender NAT konfiguriert. Wenn diese Option deaktiviert ist, ist Outbound NAT konfiguriert.
- Automatisches Lernen über PD: Dieses Kontrollkästchen wird nur aktiviert, wenn Sie IPv6 als IP-Adresstypauswählen. Wenn diese Option ausgewählt ist, fordert Citrix SD-WAN ein Präfix vom vorgeschalteten delegierenden Router an, und der delegierende Router antwortet mit einem Präfix an Citrix SD-WAN.
Statische NAT-Richtlinien für den IPv6-Internetdienst
Citrix SD-WAN unterstützt statische NAT-Richtlinien für den IPv6-Internetdienst ab Version 11.4.0. Eine statische NAT-Richtlinie für den IPv6-Internetdienst legt die Zuordnung eines internen Netzwerkpräfixes zu einem externen Netzwerkpräfix fest. Die Anzahl der erforderlichen statischen NAT-Richtlinien hängt von der Anzahl der internen Netzwerke und der Anzahl der externen Netzwerke (WAN-Verbindungen) ab. Wenn es eine M-Anzahl von internen Netzwerken und eine Anzahl von N WAN-Verbindungen gibt, beträgt die Anzahl der erforderlichen statischen NAT-Richtlinien M x N.
Ab Citrix SD-WAN Version 11.4.0 können Sie beim Erstellen einer statischen NAT-Richtlinie entweder die externe IP-Adresse manuell eingeben oder Auto Learn via PDaktivieren. Wenn Auto Learn via PD aktiviert ist, empfängt die SD-WAN-Appliance delegierte Präfixe vom vorgeschalteten delegierenden Router über die DHCPv6-Präfixdelegierung. Vor Citrix SD-WAN Version 11.4.0 wurde die externe IP-Adresse automatisch vom Dienst abgeleitet und es gab keine Möglichkeit, die externe IP-Adresse manuell einzugeben. Wenn Sie eine Appliance auf 11.4.0 oder eine höhere Version aktualisieren und statische NAT-Richtlinien für den IPv6-Internetdienst konfiguriert haben, müssen Sie die Richtlinien manuell aktualisieren.
Beispiel für eine Konfiguration
In der folgenden Topologie ist die Citrix SD-WAN-Appliance mit 2 internen Netzwerken und 2 WAN-Verbindungen konfiguriert:
- Innerhalb von Netzwerk 1 befindet sich in der Routing-Domäne CORPORATE mit dem Netzwerkpräfix FD01:0203:6561::/64
- Innerhalb von Netzwerk 2 befindet sich in der Wi-Fi-Routing-Domäne mit dem Netzwerkpräfix FD01:0203:1265::/64
- Über WAN Link 1 empfängt die SD-WAN-Appliance vom Upstream-Delegierungsrouter über DHCPv6-Präfix-Delegation 2 delegierte Präfixe 2001:0D88:1261::/64 und 2001:0D88:1265::/64. Diese 2 delegierten Präfixe werden als externe Netzwerkpräfixe verwendet, wenn der Verkehr von den inneren Netzwerken die WAN-Verbindung 1 überträgt.
- Über WAN Link 2 empfängt die SD-WAN-Appliance vom Upstream-Delegierungsrouter über die DHCPv6-Präfix-Delegation 2 delegierte Präfixe 2001:DB8:8585::/64 und 2001:DB8:8599::/64. Diese 2 delegierten Präfixe werden als externe Netzwerkpräfixe verwendet, wenn der Verkehr von den inneren Netzwerken die WAN-Verbindung 2 überträgt.
In diesem Szenario gibt es M=2 innerhalb von Netzwerken und N=2 WAN-Verbindungen. Daher beträgt die Anzahl der statischen NAT-Richtlinien, die für eine ordnungsgemäße Bereitstellung des IPv6-Internetdienstes erforderlich sind, 2 x 2 = 4. Diese 4 statischen NAT-Richtlinien spezifizieren die Adressübersetzung für:
- Innerhalb von Netzwerk 1 über WAN-Verbindung 1
- Innerhalb von Netzwerk 1 über WAN-Verbindung 2
- Innerhalb von Netzwerk 2 über WAN-Verbindung 1
- Innerhalb von Netzwerk 2 über WAN-Link 2
Um diese statischen NAT-Richtlinien zu konfigurieren, navigieren Sie auf Standortebene zu Konfiguration > Erweiterte Einstellungen > NAT > Statische Quell-NAT. Klicken Sie auf + Static Source NAT
Stellen Sie beim Erstellen von NAT-Richtlinien sicher, dass Sie den Typ als Internet und den IP-Adresstyp als IPv6auswählen. Wählen Sie die WAN-Verbindung aus und geben Sie im Feld Interne IP/Präfix das interne Netzwerkpräfix ein (nur /64-Präfixe sind zulässig). Im Feld Externe IP/Präfix können Sie entweder das externe Netzwerkpräfix manuell eingeben oder das Kontrollkästchen Auto Learn via PD aktivieren.
Das Folgende ist ein Beispiel, bei dem die externe IP-Adresse manuell in die statische NAT-Richtlinie eingegeben wird.
Wenn Sie das Kontrollkästchen Automatisches Lernen über PD aktivieren, stellen Sie sicher, dass der Upstream-Router die DHCPv6-Präfixdelegierung unterstützt. Citrix SD-WAN fordert ein Präfix vom Delegierungsrouter der Originalautoren an, und der delegierende Router antwortet mit einem Präfix an Citrix SD-WAN. Citrix SD-WAN verwendet dieses delegierte Präfix, um die innere IP-Adresse in die externe IP-Adresse zu übersetzen.
Das Folgende ist ein Beispiel, bei dem Auto Learn via PD aktiviert ist, sodass das externe Netzwerkpräfix durch DHCPv6-Präfix-Delegation abgerufen wird.
Ziel-NAT
Ziel-NAT-Richtlinien ermöglichen die Konfiguration von Richtlinien für die Netzwerkadressübersetzung zwischen einzelnen Hosts oder Subnetzen.
Hinweis
- Während sowohl eingehende als auch ausgehende Übersetzungen gleichzeitig für einen Dienst konfiguriert werden können, wird nur die erste, die übereinstimmt, verwendet. Mehrere Übersetzungen können auftreten, wenn eine Regel für den Dienst existiert, auf der ein Paket empfangen wird und der Dienst, an den ein Paket gesendet wird.
- Ziel-NAT-Übersetzungen gelten nur für Datenverkehr, der vom lokalen Dienst stammt.
Um diese Ziel-NAT-Richtlinien zu konfigurieren, navigieren Sie auf Standortebene zu Konfiguration > Erweiterte Einstellungen > NAT > Ziel-NAT. Klicken Sie auf + Ziel NAT.
- Typ: Die SD-WAN-Diensttypen, auf die die NAT-Richtlinie angewendet wird. Für statische NAT werden lokale, virtuelle Pfade, Internet-, Intranet- und Routingdomänendienste unterstützt.
- Dienstname: Geben Sie einen Namen für den Dienst an, der dem Diensttyp entspricht.
- IP-Typ: Wählen Sie den IPv4- oder IPv6-Adresstyp basierend auf Ihren Präferenzen aus.
- Interner Port: Der interne Port, an den der externe Port weitergeleitet wird.
- Externe IP: Die externe IP-Adresse und das Präfix, in das die interne IP-Adresse übersetzt wird, wenn die Übereinstimmungskriterien erfüllt sind. Für ausgehenden Datenverkehr mit Internet- und Intranetdiensten wird die konfigurierte WAN-Link-IP-Adresse dynamisch als externe IP-Adresse gewählt.
- Externer Port: Der externe Port, der an den internen Port weitergeleitet wird.
- Routingdomäne: Wählen Sie die Routingdomäne aus, für die die ausgewählte Übersetzung gilt.
- Bei Empfang: Wenn dieses Kontrollkästchen aktiviert ist, wird eingehender NAT konfiguriert. Wenn diese Option deaktiviert ist, ist Outbound NAT konfiguriert.