Statische NAT
Statische NAT ist eine 1:1 -Zuordnung einer privaten IP-Adresse oder eines Subnetzes innerhalb des SD-WAN-Netzwerks zu einer öffentlichen IP-Adresse oder Subnetz außerhalb des SD-WAN-Netzwerks. Konfigurieren Sie Static NAT, indem Sie manuell die innere IP-Adresse und die externe IP-Adresse eingeben, in die sie übersetzt werden muss. Sie können statische NAT für die lokalen, virtuellen Pfade, Internet, Intranet und Inter-Routing-Domänendienste konfigurieren.
Eingehende und ausgehende NAT
Die Richtung für eine Verbindung kann entweder von innen nach außen oder von außen nach innen sein. Wenn eine NAT-Regel erstellt wird, wird sie je nach Richtungsübereinstimmungstyp auf beide Richtungen angewendet.
- Inbound: Die Quelladresse wird für Pakete übersetzt, die für den Dienst empfangen wurden. Die Zieladresse wird für Pakete übersetzt, die über den Dienst übertragen werden. Beispiel: Internetdienst-zu-LAN-Dienst — Für empfangene Pakete (Internet zu LAN) wird die Quell-IP-Adresse übersetzt. Bei übertragenen Paketen (LAN to Internet) wird die Ziel-IP-Adresse übersetzt.
- Ausgehend: Die Zieladresse wird für Pakete übersetzt, die für den Dienst empfangen wurden. Die Quelladresse wird für Pakete übersetzt, die über den Dienst übertragen werden. Beispielsweise LAN-Dienst zum Internetdienst — für übertragene Pakete (LAN zu Internet) wird die Quell-IP-Adresse übersetzt. Bei empfangenen Paketen (Internet to LAN) wird die Ziel-IP-Adresse übersetzt.
Zonenableitung
Die Quell- und Ziel-Firewallzonen für den eingehenden oder ausgehenden Datenverkehr sollten nicht identisch sein. Wenn sowohl die Quell- als auch die Ziel-Firewallzonen identisch sind, wird NAT nicht für den Datenverkehr ausgeführt.
Für ausgehende NAT wird die externe Zone automatisch vom Dienst abgeleitet. Jeder Dienst auf SD-WAN ist standardmäßig einer Zone zugeordnet. Beispielsweise ist der Internetdienst auf einer vertrauenswürdigen Internetverbindung mit der vertrauenswürdigen Internetzone verknüpft. Ebenso wird für einen eingehenden NAT die innere Zone vom Dienst abgeleitet.
Für einen Virtual Path Service NAT Zonenableitung nicht automatisch erfolgt, müssen Sie manuell die innere und äußere Zone eingeben. NAT wird nur für den Verkehr durchgeführt, der zu diesen Zonen gehört. Zonen können nicht für virtuelle Pfade abgeleitet werden, da sich innerhalb der virtuellen Pfadsubnetze möglicherweise mehrere Zonen befinden.
Statische NAT-Richtlinien für den IPv6-Internetdienst
Citrix SD-WAN unterstützt ab Version 11.4.0 statische NAT-Richtlinien für den IPv6-Internetdienst. Eine statische NAT-Richtlinie für den IPv6-Internetdienst legt die Zuordnung eines internen Netzwerkpräfixes zu einem externen Netzwerkpräfix fest. Die Anzahl der erforderlichen statischen NAT-Richtlinien hängt von der Anzahl der internen Netzwerke und der Anzahl der externen Netzwerke (WAN-Verbindungen) ab. Wenn es eine M-Anzahl von internen Netzwerken und eine Anzahl von N WAN-Verbindungen gibt, beträgt die Anzahl der erforderlichen statischen NAT-Richtlinien M x N.
Ab Citrix SD-WAN Version 11.4.0 können Sie beim Erstellen einer statischen NAT-Richtlinie entweder die externe IP-Adresse manuell eingeben oder Autolearn über PDaktivieren. Wenn Autolearn via PD aktiviert ist, erhält die Citrix SD-WAN Appliance delegierte Präfixe vom Upstream-Delegierungsrouter über die DHCPv6-Präfix-Delegierung. Vor Citrix SD-WAN Version 11.4.0 wurde die externe IP-Adresse automatisch vom Dienst abgeleitet und es gab keine Möglichkeit, die externe IP-Adresse manuell einzugeben. Wenn Sie eine Appliance auf 11.4.0 oder eine höhere Version aktualisieren und statische NAT-Richtlinien für den IPv6-Internetdienst konfiguriert haben, müssen Sie die Richtlinien manuell aktualisieren.
Beispiel für eine Konfiguration
In der folgenden Topologie ist die Citrix SD-WAN-Appliance mit 2 internen Netzwerken und 2 WAN-Verbindungen konfiguriert:
- Innerhalb von Netzwerk 1 befindet sich in der Routing-Domäne CORPORATE mit dem Netzwerkpräfix FD01:0203:6561::/64
- Innerhalb von Netzwerk 2 befindet sich in der Wi-Fi-Routing-Domäne mit dem Netzwerkpräfix FD01:0203:1265::/64
- Über WAN Link 1 empfängt die SD-WAN-Appliance vom Upstream-Delegierungsrouter über DHCPv6-Präfix-Delegation 2 delegierte Präfixe 2001:0D88:1261::/64 und 2001:0D88:1265::/64. Diese 2 delegierten Präfixe werden als externe Netzwerkpräfixe verwendet, wenn der Verkehr von den inneren Netzwerken die WAN-Verbindung 1 überträgt.
- Über WAN Link 2 empfängt die SD-WAN-Appliance vom Upstream-Delegierungsrouter über die DHCPv6-Präfix-Delegation 2 delegierte Präfixe 2001:DB8:8585::/64 und 2001:DB8:8599::/64. Diese 2 delegierten Präfixe werden als externe Netzwerkpräfixe verwendet, wenn der Verkehr von den inneren Netzwerken die WAN-Verbindung 2 überträgt.
In diesem Szenario gibt es M=2 innerhalb von Netzwerken und N=2 WAN-Verbindungen. Daher beträgt die Anzahl der statischen NAT-Richtlinien, die für die ordnungsgemäße Bereitstellung des IPv6-Internetdienstes erforderlich sind, 2 x 2 = 4. Diese 4 statischen NAT-Richtlinien spezifizieren die Adressübersetzung für:
- Innerhalb von Netzwerk 1 über WAN-Verbindung 1
- Innerhalb von Netzwerk 1 über WAN-Verbindung 2
- Innerhalb von Netzwerk 2 über WAN-Verbindung 1
- Innerhalb von Netzwerk 2 über WAN-Link 2
Überwachen
Um NAT zu überwachen, navigieren Sie zu Monitoring > Firewall-Statistiken > Verbindungen. Für eine Verbindung können Sie sehen, ob NAT fertig ist oder nicht.
Um zu überprüfen, ob Auto-Learn via PD für eine NAT-Regel konfiguriert ist, navigieren Sie zu Konfiguration > Virtuelles WAN > Konfiguration anzeigen und wählen Sie Firewall aus der Dropdownliste Ansicht. Automatisches Lernen über PD - und PD-Präfix-ID-Spalten zeigen die Details an.
Um die innere IP-Adresse zur externen IP-Adresszuordnung zu sehen, klicken Sie unter Zugehörige Objekte auf NAT nach dem Routing oder navigieren Sie zu Monitoring > Firewall-Statistiken > NAT-Richtlinien.
Der folgende Screenshot zeigt die Zuordnung von Innenadresse zu einer externen Adresse in einer statischen IPv4-NAT-Richtlinie.
Der folgende Screenshot zeigt die Zuordnung von Innenadresse zu einer externen Adresse in einer statischen IPv6-NAT-Richtlinie.
Protokolle
Sie können Protokolle im Zusammenhang mit NAT in Firewall-Protokollen anzeigen. Um Protokolle für NAT anzuzeigen, erstellen Sie eine Firewallrichtlinie, die Ihrer NAT-Richtlinie entspricht, und stellen Sie sicher, dass die Protokollierung auf dem Firewallfilter aktiviert ist. NAT-Protokolle enthalten die folgenden Informationen:
- Datum und Uhrzeit
- Routing-Domäne
- IP-Protokoll
- Quell-Port
- Quell-IP-Adresse
- Übersetzte IP-Adresse
- Übersetzter Port
- Ziel-IP-Adresse
- Destination port
Um NAT-Protokolle zu generieren, navigieren Sie zu Logging/Monitoring > Log Options, wählen Sie SDWAN_firewall.logaus und klicken Sie auf View Log.
Die NAT-Verbindungsdetails werden in der Protokolldatei angezeigt.