Traducción de direcciones de red
La traducción de direcciones de red (NAT) del dispositivo SD-WAN realiza la conservación de direcciones IP para preservar el número limitado de direcciones IP registradas. Traduce las direcciones privadas de la red interna a una dirección pública legal y conecta su red SD-WAN privada con la Internet pública. La dirección IP pública se utiliza para la comunicación a través de Internet. NAT también garantiza una seguridad adicional mediante la publicidad de una sola dirección para toda la red a Internet, ocultando toda la red interna.
Puede configurar los siguientes tipos de NAT:
- NAT de origen dinámico
- NAT estático
- NAT de destino
Nota
La capacidad de NAT solo se puede configurar al nivel de sitio. No hay configuración global (plantillas) para NAT.
Para configurar NAT para un sitio mediante el servicio Citrix SD-WAN Orchestrator, desde el nivel del sitio, vaya a Configuración > Configuración > Configuración avanzada > NAT.
NAT entrante y saliente
La dirección de una conexión puede ser de interior a exterior o de exterior a interior. Cuando se crea una regla NAT, puede definir la dirección mediante la casilla de verificación Al recibir. Cuando se selecciona la casilla de verificación, la dirección se configura como Entrante y, cuando la casilla de verificación está desactivada, la dirección se configura como Salida.
- Entrante: La dirección de origen se traduce para los paquetes recibidos en el servicio. La dirección de destino se traduce para los paquetes transmitidos en el servicio. Por ejemplo, servicio de Internet a servicio LAN: Para los paquetes recibidos (de Internet a LAN), la dirección IP de origen se traduce. Para los paquetes transmitidos (LAN a Internet), la dirección IP de destino se traduce.
- Saliente: La dirección de destino se traduce para los paquetes recibidos en el servicio. La dirección de origen se traduce para los paquetes transmitidos en el servicio. Por ejemplo, servicio LAN a servicio de Internet — para paquetes transmitidos (LAN a Internet) la dirección IP de origen se traduce. Para los paquetes recibidos (de Internet a LAN) se traduce la dirección IP de destino.
Derivación de Zona
Las zonas de firewall de origen y destino para el tráfico entrante y saliente no deben ser las mismas. Si las zonas de firewall de origen y destino son las mismas, NAT no se realiza en el tráfico.
Para NAT saliente, la zona exterior se deriva automáticamente del servicio. Todos los servicios de SD-WAN están asociados a una zona de forma predeterminada. Por ejemplo, el servicio de Internet en un vínculo de Internet de confianza está asociado a la zona de Internet de confianza. Del mismo modo, para un NAT entrante, la zona interior se deriva del servicio.
Para un servicio de ruta virtual, la derivación de zona NAT no ocurre automáticamente, debe introducir manualmente la zona interior y externa. NAT se realiza únicamente en el tráfico que pertenece a estas zonas. No se pueden derivar zonas para rutas virtuales porque puede haber varias zonas dentro de las subredes de rutas virtuales.
NAT de origen dinámico
LaNAT de origen dinámico es una asignación de varias direcciones IP privadas o subredes dentro de la red SD-WAN a una dirección IP pública o subred fuera de la red SD-WAN. Permite que varios hosts traduzcan sus direcciones IP de origen a la misma dirección IP pública con diferentes números de puerto. NAT con restricción de puerto utiliza el mismo puerto externo para todas las traducciones relacionadas con una dirección IP interna y un par de puertos. El tráfico de diferentes zonas y subredes a través de direcciones IP de confianza (internas) en el segmento LAN se envía a través de una única dirección IP pública (externa).
Nota
Las traducciones de NAT dinámicas permiten todo el tráfico recíproco de una sesión iniciada desde la red interna. Para filtrar estas conexiones, agregue directivas de filtro para el tráfico saliente.
Traducción de direcciones de puertos
NAT dinámico realiza la traducción de direcciones de puerto (PAT) junto con la traducción de direcciones IP. Los números de puerto se utilizan para distinguir qué tráfico pertenece a qué dirección IP. Se utiliza una sola dirección IP pública para todas las direcciones IP privadas internas, pero se asigna un número de puerto diferente a cada dirección IP privada. PAT es una forma rentable de permitir que varios hosts se conecten a Internet mediante una única dirección IP pública.
La casilla de verificación Simétrica define la configuración de PAT. Al configurar las reglas de NAT, si se selecciona la casilla de verificación, se configura la NAT simétrica y, cuando se desactiva, la NAT restringida de puertos se configura en el back-end.
- Puerto restringido: Puerto Restringido NAT utiliza el mismo puerto externo para todas las traducciones relacionadas con un par de direcciones IP internas y puertos. Este modo se utiliza normalmente para permitir aplicaciones P2P de Internet.
- Simétrico: NAT simétrico utiliza el mismo puerto externo para todas las traducciones relacionadas con una tupla Dirección IP interna, Puerto interior, Dirección IP exterior y Puerto exterior. Este modo se utiliza normalmente para mejorar la seguridad o ampliar el número máximo de sesiones NAT.
Reenvío de puertos
La NAT dinámica con reenvío de puertos permite que el tráfico de una red externa acceda a hosts y puertos específicos de la red interna sin que la sesión se inicie desde dentro. Esto se usa normalmente para hosts internos como servidores web.
Una vez configurada la NAT dinámica, puede definir las directivas de reenvío de puertos. Configure NAT dinámico para la traducción de direcciones IP y defina la directiva de reenvío de puertos para asignar un puerto externo a un puerto interno. El reenvío dinámico de puertos NAT se suele utilizar para permitir que los hosts remotos se conecten a un host o servidor de la red privada.
Configurar NAT de origen dinámico
Para configurar la NAT dinámica para un sitio mediante el servicio Citrix SD-WAN Orchestrator, desde el nivel del sitio, vaya a Configuración > Configuración > Configuración avanzada > NAT > NAT de origen dinámico. Haga clic en + Fuente dinámica NAT.
- Tipo: Los tipos de servicio de SD-WAN a los que se aplica la directiva de NAT. Para la NAT estática, los tipos de servicio admitidos son los servicios locales, de rutas virtuales, de Internet, de intranet y de dominio de enrutamiento intermedio.
- Dominio de enrutamiento: Seleccione el dominio de enrutamiento al que se aplica la traducción seleccionada.
- Tipo de dirección IP: Seleccione el tipo de dirección IPv4 o IPv6 según sus preferencias.
- Servicio de destino: Proporcione un nombre para el servicio que corresponda al tipo de servicio.
- Zona interior: El tipo de coincidencia de la zona del firewall interior del que debe ser el paquete para permitir la traducción.
- IP/prefijo interno: La dirección IP interna y el prefijo a los que se debe traducir si se cumplen los criterios de coincidencia.
- IP externa: La dirección IP externa y el prefijo a los que se traduce la dirección IP interna si se cumplen los criterios de coincidencia. Para el tráfico saliente que utiliza servicios de Internet e Intranet, la dirección IP del vínculo WAN configurada se elige dinámicamente como la dirección IP externa.
- Paridad de puertos: Si está habilitado, los puertos externos para las conexiones NAT mantienen la paridad (incluso si el puerto interior es par, impar si el puerto exterior es impar).
- Enlazar ruta de respondedor: Garantiza que el tráfico de respuesta se envíe a través del mismo servicio en el que se recibe, para evitar la redirección asimétrica.
- Permitir relacionado: P ermite que el tráfico relacionado con el flujo coincida con la regla. Por ejemplo, la redirección ICMP relacionada con el flujo específico que coincide con la directiva, si hubo algún tipo de error relacionado con el flujo.
- Acceso directo a IPSec: Permite traducir una sesión de IPSec (AH/ESP).
- Acceso directo deGRE/PPTP: garantiza que el tráfico de respuesta se envíe a travésdel mismo servicio en el que se recibe, para evitar el enrutamiento asimétrico.
- Al recibir: Cuando se selecciona esta casilla de verificación, se configura la NAT de entrada. Cuando se desactiva, se configura la NAT de salida.
- Simétrico: Cuando se selecciona esta casilla, se configura la NAT simétrica. Cuando está desactivada, se configura la NAT restringida de puertos
Reglas de reenvío de puertos:
- Dominio de enrutamiento: Seleccione el dominio de enrutamiento al que se aplica la traducción seleccionada.
- Protocolo: TCP, UDP o ambos.
- Puerto exterior: El puerto exterior que es el puerto de reenvío hacia el puerto interior.
- IP interna: La dirección interna para reenviar los paquetes coincidentes.
- Puerto interior: El puerto interior al que se reenviará el puerto exterior.
Cada regla de reenvío de puertos tiene una regla NAT principal. La dirección IP externa se toma de la regla NAT principal.
Nota
La interfaz de usuario del servicio Citrix SD-WAN Orchestrator muestra las reglas NAT creadas automáticamente cuando se cumplen las siguientes condiciones:
El servicio de Internet está activado en el sitio.
La regla NAT de fuente dinámica de Internet de salida IPv4 no está configurada en el sitio.
Al menos 1 enlace WAN está en una interfaz que no es de confianza o Internet está habilitada en todos los dominios de enrutamiento.
NAT de origen estático
NAT estático es una asignación uno a uno de una dirección IP privada o subred dentro de la red SD-WAN a una dirección IP pública o subred fuera de la red SD-WAN. Configure NAT estático introduciendo manualmente la dirección IP interna y la dirección IP externa a la que debe traducir. Puede configurar NAT estático para los servicios de dominio local, rutas virtuales, Internet, Intranet y interredirección.
Configurar NAT de origen estático
Para configurar la NAT estática para un sitio mediante el servicio Citrix SD-WAN Orchestrator, desde el nivel del sitio, vaya a Configuración > Configuración > Configuración avanzada > NAT > NAT de fuente estática. Haga clic en + Fuente estática NAT.
- Tipo: Los tipos de servicio de SD-WAN a los que se aplica la directiva de NAT. Para NAT estático, los tipos de servicio admitidos son Local, Rutas virtuales, Internet, Intranet y servicios de dominio de interredirección
- Servicio de destino: Proporcione un nombre para el servicio que corresponda al tipo de servicio.
- Zona interior: El tipo de coincidencia de la zona del firewall interior del que debe ser el paquete para permitir la traducción.
- Zona exterior: Tipo de coincidencia de zona de firewall exterior del que debe ser el paquete para permitir la traducción.
- Tipo de dirección IP: Seleccione el tipo de dirección IPv4 o IPv6 según sus preferencias.
- Dominio de enrutamiento: Seleccione el dominio de enrutamiento al que se aplica la traducción seleccionada.
- IP/prefijo interno: La dirección IP interna y el prefijo a los que se debe traducir si se cumplen los criterios de coincidencia.
- IP/prefijo externo: La dirección IP externa y el prefijo al que se traduce la dirección IP interna si se cumplen los criterios de coincidencia.
- Enlazar ruta de respondedor: Garantiza que el tráfico de respuesta se envíe a través del mismo servicio en el que se recibe, para evitar la redirección asimétrica.
- ARP proxy: garantiza que el dispositivo responda a las solicitudes ARP locales para la dirección IP externa.
- NDP proxy: garantiza que el dispositivo responda a las solicitudes de NDP locales para la dirección IP externa.
- Al recibir: Cuando se selecciona esta casilla de verificación, se configura la NAT de entrada. Cuando se desactiva, se configura la NAT de salida.
- Aprendizaje automático mediante PD: Esta casilla de verificación solo se activa cuando se selecciona IPv6 como tipo de dirección IP. Cuando se selecciona, Citrix SD-WAN solicita un prefijo al enrutador de delegación ascendente y el enrutador de delegación responde con un prefijo a Citrix SD-WAN.
Directivas NAT estáticas para el servicio de Internet IPv6
Citrix SD-WAN admite directivas NAT estáticas para el servicio de Internet IPv6 a partir de la versión 11.4.0. Una directiva de NAT estática para el servicio de Internet IPv6 especifica la asignación de un prefijo de red interna a un prefijo de red externa. El número de directivas NAT estáticas necesarias depende del número de redes internas y del número de redes externas (enlaces WAN). Si hay un número M de redes internas y un número N de enlaces WAN, el número de directivas NAT estáticas necesarias es M x N.
A partir de la versión 11.4.0 de Citrix SD-WAN, al crear una directiva de NAT estática, puede introducir la dirección IP externa manualmente o habilitar el aprendizaje automático mediante PD. Cuando se habilita el aprendizaje automático mediante PD, el dispositivo SD-WAN recibe prefijos delegados del enrutador de delegación ascendente a través de la delegación de prefijos de DHCPv6. Antes de la versión 11.4.0 de Citrix SD-WAN, la dirección IP externa se derivaba del servicio automáticamente y no existía la opción de introducir manualmente la dirección IP externa. Si va a actualizar un dispositivo a la versión 11.4.0 o posterior y tiene directivas NAT estáticas configuradas para el servicio de Internet IPv6, debe actualizar manualmente las directivas.
Ejemplo de configuración
En la siguiente topología, el dispositivo Citrix SD-WAN está configurado con 2 redes internas y 2 enlaces WAN:
- Dentro de la red 1 reside en el dominio de redirección CORPORATE con el prefijo de red FD 01:0203:6561።/64
- La red interna 2 reside en el dominio de redirección Wi-Fi con el prefijo de red FD 01:0203:1265።/64
- A través del enlace WAN 1, el dispositivo SD-WAN recibe del enrutador de delegación ascendente a través de la delegación de prefijos DHCPv6, 2 prefijos delegados 2001:0D88:1261::/64 y 2001:0D88:1265::/64. Estos dos prefijos delegados se utilizan como prefijos de red externa cuando el tráfico de las redes internas transita por el enlace WAN 1.
- A través del enlace WAN 2, el dispositivo SD-WAN recibe del enrutador de delegación ascendente a través de la delegación de prefijos DHCPv6, 2 prefijos delegados 2001:DB8:8585::/64 y 2001:DB8:8599::/64. Estos dos prefijos delegados se utilizan como prefijos de red externa cuando el tráfico de las redes internas transita por el enlace WAN 2.
En este caso, hay M=2 dentro de las redes y vínculos WAN N=2. Por lo tanto, la cantidad de directivas de NAT estáticas necesarias para la implementación adecuada del servicio de Internet IPv6 es 2 x 2 = 4. Estas cuatro directivas NAT estáticas especifican la traducción de direcciones para:
- Red interna 1 a través del enlace WAN 1
- Red interna 1 a través del enlace WAN 2
- Red interna 2 a través del enlace WAN 1
- Red interna 2 a través del enlace WAN 2
Para configurar estas directivas de NAT estáticas, desde el nivel del sitio, vaya a Configuración > Configuración > Configuración avanzada > NAT > NAT de origen estático. Haga clic en + Fuente estática NAT.
Al crear directivas de NAT, asegúrese de seleccionar el tipo como Internet y el tipo de dirección IP como IPv6. Seleccione el enlace WAN y, en el campo IP interior/prefijo, introduzca el prefijo de la red interna (solo se permiten los prefijos /64). En el campo IP/prefijo externo, puede introducir manualmente el prefijo de la red externa o seleccionar la casilla de verificación Aprendizaje automático mediante PD.
A continuación se muestra un ejemplo en el que la dirección IP externa se introduce manualmente en la directiva NAT estática.
Si selecciona la casilla de verificación Aprendizaje automático mediante PD, asegúrese de que el router ascendente admita la delegación de prefijos de DHCPv6. Citrix SD-WAN solicita un prefijo del enrutador delegador ascendente y el enrutador delegador responde con un prefijo a Citrix SD-WAN. Citrix SD-WAN utiliza este prefijo delegado para traducir la dirección IP interna a la dirección IP externa.
A continuación se muestra un ejemplo en el que la función Aprendizaje automático mediante PD está habilitada, de modo que el prefijo de red externa se obtiene mediante la delegación de prefijos DHCPv6.
NAT de destino
Las directivas de NAT de destino permiten la configuración de directivas de traducción de direcciones de red entre subredes o hosts individuales.
Nota
- Si bien las traducciones entrantes y salientes se pueden configurar simultáneamente para un servicio, solo se utilizará la primera que coincida. Se pueden realizar varias traducciones si existe una regla en el Servicio en el que se recibe un paquete y en el Servicio se envía un paquete.
- Las traducciones de NAT de destino solo se aplican al tráfico procedente del servicio local.
Para configurar estas directivas de NAT de destino, desde el nivel de sitio, vaya a Configuración > Configuración > Configuración avanzada > NAT > NAT de destino. Haga clic en + Destination NAT
- Tipo: Los tipos de servicio de SD-WAN a los que se aplica la directiva de NAT. Para NAT estático, los tipos de servicio admitidos son Local, Rutas virtuales, Internet, Intranet y servicios de dominio de interredirección
- Nombre del servicio: Proporcione un nombre para el servicio que corresponda al tipo de servicio.
- Tipo de IP: Seleccione el tipo de dirección IPv4 o IPv6 según sus preferencias.
- Puerto interior: El puerto interior al que se reenviará el puerto exterior.
- IP externa: La dirección IP externa y el prefijo a los que se traduce la dirección IP interna si se cumplen los criterios de coincidencia. Para el tráfico saliente que utiliza servicios de Internet e Intranet, la dirección IP del vínculo WAN configurada se elige dinámicamente como la dirección IP externa.
- Puerto exterior: El puerto exterior que es el puerto de reenvío hacia el puerto interior.
- Dominio de enrutamiento: Seleccione el dominio de enrutamiento al que se aplica la traducción seleccionada.
- Al recibir: Cuando se selecciona esta casilla de verificación, se configura la NAT de entrada. Cuando se desactiva, se configura la NAT de salida.