Citrix SD-WAN

NAT dinámico

NAT dinámico es una asignación de varios a uno de una dirección IP privada o subredes dentro de la red SD-WAN a una dirección IP pública o subred fuera de la red SD-WAN. El tráfico de diferentes zonas y subredes a través de direcciones IP de confianza (internas) en el segmento LAN se envía a través de una única dirección IP pública (externa).

Tipos de NAT dinámicos

NAT dinámico realiza la traducción de direcciones de puerto (PAT) junto con la traducción de direcciones IP. Los números de puerto se utilizan para distinguir qué tráfico pertenece a qué dirección IP. Se utiliza una sola dirección IP pública para todas las direcciones IP privadas internas, pero se asigna un número de puerto diferente a cada dirección IP privada. PAT es una forma rentable de permitir que varios hosts se conecten a Internet mediante una única dirección IP pública.

  • Puerto restringido: Puerto Restringido NAT utiliza el mismo puerto externo para todas las traducciones relacionadas con un par de direcciones IP internas y puertos. Este modo se utiliza normalmente para permitir aplicaciones P2P de Internet.
  • Simétrico: NAT simétrico utiliza el mismo puerto externo para todas las traducciones relacionadas con una tupla Dirección IP interna, Puerto interior, Dirección IP exterior y Puerto exterior. Este modo se utiliza normalmente para mejorar la seguridad o ampliar el número máximo de sesiones NAT.

NAT entrante y saliente

La dirección de una conexión puede ser de interior a exterior o de exterior a interior. Cuando se crea una regla NAT, se aplica a ambas direcciones según el tipo de coincidencia de dirección.

  • Saliente: La dirección de destino se traduce para los paquetes recibidos en el servicio. La dirección de origen se traduce para los paquetes transmitidos en el servicio. La NAT dinámica saliente se admite en los servicios de dominio local, de Internet, de Intranet y de redirección interredirección. Para los servicios WAN como los servicios de Internet e Intranet, la dirección IP del vínculo WAN configurada se elige dinámicamente como la dirección IP externa. Para los servicios de dominio local e interredirección, proporcione una dirección IP externa. La zona Exterior se deriva del servicio seleccionado. Un caso de uso típico de NAT dinámico saliente es permitir simultáneamente que varios usuarios de su LAN accedan de forma segura a Internet mediante una única dirección IP pública.
  • Entrante: la dirección de origen se traduce para los paquetes recibidos en el servicio. La dirección de destino se traduce para los paquetes transmitidos en el servicio. La NAT dinámica entrante no se admite en servicios WAN como Internet e Intranet. Hay un error de auditoría explícito que indica lo mismo. La NAT dinámica entrante solo se admite en los servicios de dominio local e interredirección. Proporcione una zona externa y una dirección IP externa a la que se va a traducir. Un caso de uso típico de NAT dinámico entrante es permitir que los usuarios externos accedan al correo electrónico o a los servidores web alojados en su red privada.

Reenvío de puertos

NAT dinámico con reenvío de puertos le permite enviar tráfico específico a una dirección IP definida. Esto se usa normalmente para hosts internos como servidores web. Una vez configurada la NAT dinámica, puede definir las directivas de reenvío de puertos. Configure NAT dinámico para la traducción de direcciones IP y defina la directiva de reenvío de puertos para asignar un puerto externo a un puerto interno. El reenvío dinámico de puertos NAT se suele utilizar para permitir que los hosts remotos se conecten a un host o servidor de la red privada. Para obtener un caso de uso más detallado, consulte la explicación de Citrix SD-WAN Dynamic NAT.

Directivas NAT dinámicas creadas automáticamente

Las directivas NAT dinámicas para el servicio de Internet se crean automáticamente en los siguientes casos:

  • Configuración del servicio de Internet en una interfaz que no es de confianza (enlace WAN).
  • Habilitar el acceso a Internet para todos los dominios de redirección en un solo enlace WAN mediante Citrix SD-WAN Orchestrator Service. Para obtener más información, consulte Configurar la segmentación del firewall.
  • Configuración de reenviadores DNS o proxy DNS en SD-WAN Orchestrator Service. Para obtener más información, consulte Sistema de nombres de dominio.

Supervisión

Para supervisar NAT dinámico, vaya a Supervisión > Estadísticas del firewall > Conexiones. Para una conexión, puede ver si NAT está hecho o no.

Conexiones

Para ver más a fondo la asignación de direcciones IP internas a direcciones IP externas, haga clic en NAT previo a la redirección o NAT posterior a la redirección en Objetos relacionados o vaya a Supervisión > Estadísticas del firewall > Directivas NAT.

La siguiente captura de pantalla muestra las estadísticas de la regla NAT dinámica de tipo simétrico y su regla de reenvío de puertos correspondiente.

Directivas de NAT

Cuando se crea una regla de reenvío de puertos, también se crea una regla de firewall correspondiente.

Reglas de firewall

Para ver las estadísticas de directivas de filtro, vaya a Supervisión > Estadísticas del firewall > Directivas de filtro.

Directiva de filtrado

Registros

Puede ver los registros relacionados con NAT en los registros del firewall. Para ver los registros de NAT, cree una directiva de firewall que coincida con la directiva NAT y asegúrese de que el registro está habilitado en el filtro del firewall. Los registros de NAT contienen la siguiente información:

  • Fecha y hora
  • Dominio de redirección
  • Protocolo IP
  • Puerto de origen
  • Dirección IP de origen
  • Dirección IP traducida
  • Puerto traducido
  • Dirección IP de destino
  • Puerto de destino

Opciones de registro

Para generar registros NAT, vaya a Registros/Supervisión > Opciones de registro, seleccione SDWAN_firewall.log y haga clic en Ver registro.

Ver registros

Los detalles de conexión NAT se muestran en el archivo de registro.

Detalles del registro de NAT

NAT dinámico