NAT dynamique
Le NAT dynamique est un mappage plusieurs-à-un d’une adresse IP privée ou de sous-réseaux à l’intérieur du réseau SD-WAN vers une adresse IP publique ou un sous-réseau en dehors du réseau SD-WAN. Le trafic provenant de différentes zones et sous-réseaux sur des adresses IP de confiance (internes) dans le segment LAN est envoyé sur une seule adresse IP publique (externe).
Types NAT dynamiques
Dynamic NAT effectue la traduction d’adresses de port (PAT) ainsi que la traduction d’adresses IP. Les numéros de port sont utilisés pour distinguer quel trafic appartient à quelle adresse IP. Une seule adresse IP publique est utilisée pour toutes les adresses IP privées internes, mais un numéro de port différent est attribué à chaque adresse IP privée. PAT est un moyen économique d’autoriser plusieurs hôtes à se connecter à Internet à l’aide d’une seule adresse IP publique.
- Port Restreint : Port Restreint NAT utilise le même port externe pour toutes les traductions liées à une paire d’adresses IP internes et de ports. Ce mode est généralement utilisé pour autoriser les applications P2P Internet.
- Symétrique : le NAT symétrique utilise le même port externe pour toutes les traductions liées à une adresse IP intérieure, un port intérieur, une adresse IP extérieure et un tuple de port externe. Ce mode est généralement utilisé pour améliorer la sécurité ou augmenter le nombre maximal de sessions NAT.
NAT entrant et sortant
La direction d’une connexion peut être de l’intérieur vers l’extérieur ou de l’extérieur vers l’intérieur. Lorsqu’une règle NAT est créée, elle est appliquée aux deux directions en fonction du type de correspondance de direction.
- Sortant : l’adresse de destination est traduite pour les paquets reçus sur le service. L’adresse source est traduite pour les paquets transmis sur le service. Le NAT dynamique sortant est pris en charge sur les services de domaine Local, Internet, Intranet et Inter-routage. Pour les services WAN tels que les services Internet et Intranet, l’adresse IP de liaison WAN configurée est choisie dynamiquement comme adresse IP externe. Pour les services de domaine Local et Inter-routage, fournissez une adresse IP externe. La zone extérieure est dérivée du service sélectionné. Un cas d’utilisation typique de NAT dynamique sortant consiste à permettre simultanément à plusieurs utilisateurs de votre réseau local d’accéder en toute sécurité à Internet à l’aide d’une seule adresse IP publique.
- Entrant : l’adresse source est traduite pour les paquets reçus sur le service. L’adresse de destination est traduite pour les paquets transmis sur le service. Le NAT dynamique entrant n’est pas pris en charge sur les services WAN tels qu’Internet et Intranet. Il y a une erreur d’audit explicite pour indiquer la même chose. Le NAT dynamique entrant est pris en charge uniquement sur les services de domaine Local et Inter-routage. Indiquez une zone extérieure et une adresse IP externe à traduire. Un cas d’utilisation typique du NAT dynamique entrant consiste à autoriser les utilisateurs externes à accéder à des serveurs de messagerie ou Web hébergés dans votre réseau privé.
Transfert de port
NAT dynamique avec transfert de port vous permet de transférer le trafic spécifique vers une adresse IP définie. Ceci est généralement utilisé pour les hôtes internes tels que les serveurs Web. Une fois le NAT dynamique configuré, vous pouvez définir les stratégies de transfert de port. Configurez NAT dynamique pour la traduction d’adresses IP et définissez la stratégie de transfert de port pour mapper un port externe à un port intérieur. Le transfert de port NAT dynamique est généralement utilisé pour permettre aux hôtes distants de se connecter à un hôte ou à un serveur sur votre réseau privé. Pour un cas d’utilisation plus détaillé, reportez-vous à la section Citrix SD-WAN Dynamic NAT expliquée.
Stratégies NAT dynamiques créées automatiquement
Les stratégies NAT dynamiques pour le service Internet sont créées automatiquement dans les cas suivants :
- Configuration du service Internet sur une interface non approuvée (lien WAN).
- Activation de l’accès à Internet pour tous les domaines de routage sur une seule liaison WAN à l’aide du service Citrix SD-WAN Orchestrator. Pour plus de détails, consultez la section Configurer la segmentation du pare-feu.
- Configuration des redirecteurs DNS ou du proxy DNS sur le service SD-WAN Orchestrator. Pour plus de détails, consultez la section Système de noms de domaine.
Surveillance
Pour surveiller le NAT dynamique, accédez à Surveillance > Statistiques du pare-feu > Connexions. Pour une connexion, vous pouvez voir si NAT est fait ou non.
Pour afficher plus en détail le mappage de l’adresse IP interne vers l’adresse IP externe, cliquez sur NAT pré-itinéraireou NAT post-routesousObjets associésou accédez àSurveillance>Statistiques de pare-feu>Stratégies NAT.
La capture d’écran suivante montre les statistiques de la règle NAT dynamique de type symétrique et de sa règle de transfert de port correspondante.
Lorsqu’une règle de transfert de port est créée, une règle de pare-feu correspondante est également créée.
Vous pouvez afficher les statistiques de stratégie de filtrage en accédant à Surveillance > Statistiques du pare-feu > Stratégies de filtrage.
Journaux
Vous pouvez afficher les journaux liés à NAT dans les journaux de pare-feu. Pour afficher les journaux pour NAT, créez une stratégie de pare-feu qui correspond à votre stratégie NAT et assurez-vous que la journalisation est activée sur le filtre de pare-feu. Les journaux NAT contiennent les informations suivantes :
- Date et heure
- Domaine de routage
- Protocole IP
- Port source
- Adresse IP source
- Adresse IP traduite
- Port traduit
- Adresse IP de destination
- Port de destination
Pour générer des journaux NAT, accédez à Logging/Monitoring > Log Options, sélectionnez SDWAN_firewall.log, puis cliquez sur View Log.
Les détails de connexion NAT sont affichés dans le fichier journal.