オンプレミス向けCitrix SD-WAN Orchestrator 14.3

ネットワークアドレス変換

SD-WAN アプライアンスのネットワークアドレス変換 (NAT) は、限られた数の登録済み IP アドレスを保持するために IP アドレス保存を実行します。内部ネットワークのプライベートアドレスを合法的なパブリックアドレスに変換し、プライベートSD-WANネットワークをパブリックインターネットに接続します。パブリック IP アドレスは、インターネットを介した通信に使用されます。また、NAT は、ネットワーク全体のアドレスを 1 つだけインターネットにアドバタイズし、内部ネットワーク全体を隠すことで、セキュリティを強化します。

次のタイプの NAT を設定できます。

  • ダイナミックソース NAT
  • 静的NAT
  • 宛先 NAT

注:

NAT 機能はサイトレベルでのみ設定できます。NAT のグローバル構成(テンプレート)はありません。

Citrix SD-WAN Orchestrator サービスを使用してサイトの NAT を構成するには、サイトレベルで [ 構成] > [詳細設定] > [NAT] に移動します。

NAT ナビゲーションの設定

インバウンドおよびアウトバウンド NAT

接続の方向は、内側から外側、または外側から内側にできます。NAT ルールを作成したら、 受信時チェックボックスを使用して方向を定義できます 。このチェックボックスがオンになっている場合、方向は [ インバウンド ] に設定され、チェックボックスをオフにすると、方向は [ アウトバウンド] に設定されます。

  • Inbound: サービスで受信したパケットについて、送信元アドレスが変換されます。宛先アドレスは、サービス上で送信されるパケットに対して変換されます。たとえば、インターネットサービスから LAN サービスへ — 受信したパケット(インターネットから LAN へ)の場合、送信元 IP アドレスが変換されます。送信されたパケット(LANからインターネットへ)では、宛先 IP アドレスが変換されます。
  • Outbound: サービスで受信したパケットについて、宛先アドレスが変換されます。送信元アドレスは、サービス上で送信されるパケットに対して変換されます。たとえば、LAN サービスからインターネットサービスへ — 送信されたパケット(LAN からインターネット)の場合、送信元 IP アドレスが変換されます。受信パケット(インターネットから LAN へ)の場合、宛先 IP アドレスが変換されます。

ゾーン派生

インバウンドまたはアウトバウンドトラフィックの送信元と宛先のファイアウォールゾーンは同じであってはなりません。送信元と宛先の両方のファイアウォールゾーンが同じ場合、トラフィックに対して NAT は実行されません。

発信 NAT の場合、外部ゾーンはサービスから自動的に派生します。デフォルトでは、SD-WAN 上のすべてのサービスがゾーンに関連付けられます。たとえば、信頼できるインターネットリンク上のインターネットサービスは、信頼できるインターネットゾーンに関連付けられています。同様に、着信 NAT の場合、内部ゾーンはサービスから取得されます。

仮想パスサービスの場合、NAT ゾーンの導出が自動的に行われないため、内部ゾーンと外部ゾーンを手動で入力する必要があります。NAT は、これらのゾーンに属するトラフィックに対してのみ実行されます。仮想パスのサブネット内に複数のゾーンが存在する可能性があるため、仮想パスのゾーンは派生できません。

ダイナミックソース NAT

ダイナミックソース NAT は、SD-WAN ネットワーク内のプライベート IP アドレスまたはサブネットを SD-WAN ネットワーク外のパブリック IP アドレスまたはサブネットに多対1でマッピングすることです。これにより、複数のホストの送信元 IP アドレスを、異なるポート番号の同じパブリック IP アドレスに変換できます。ポート制限 NAT は、内部 IP アドレスとポートのペアに関連するすべての変換に同じ外部ポートを使用します。LAN セグメント内の信頼できる (内部) IP アドレス経由の異なるゾーンおよびサブネットからのトラフィックは、単一のパブリック (外部) IP アドレス経由で送信されます。

(注

)ダイナミック NAT 変換では、内部ネットワークから開始されたセッションのすべての相互トラフィックが許可されます。これらの接続をフィルタリングするには、アウトバウンドトラフィックのフィルターポリシーを追加します。

ポートアドレス変換

ダイナミック NAT は、IP アドレス変換とともにポートアドレス変換(PAT)を行います。ポート番号は、どのトラフィックがどの IP アドレスに属しているかを識別するために使用されます。すべての内部プライベート IP アドレスに 1 つのパブリック IP アドレスが使用されますが、各プライベート IP アドレスには異なるポート番号が割り当てられます。PAT は、1 つのパブリック IP アドレスを使用して複数のホストがインターネットに接続できるようにする費用対効果の高い方法です。

Symmetric チェックボックスは PAT 構成を定義します。NAT ルールの設定時に、このチェックボックスがオンになっている場合は Symmetric NAT が設定され、オフにすると、バックエンドで Port Restricted NAT が設定されます。

  • ポート制限:ポート制限 NAT は、内部 IP アドレスとポートのペアに関連するすべての変換に同じ外部ポートを使用します。このモードは、通常、インターネット P2P アプリケーションを許可するために使用されます。
  • 対称:対称 NAT は、内部 IP アドレス、内部ポート、外部 IP アドレス、および外部ポートタプルに関連するすべての変換に同じ外部ポートを使用します。通常、このモードは、セキュリティを強化したり、NAT セッションの最大数を拡張するために使用されます。

ポートフォワーディング

ポート転送機能を備えたダイナミック NAT により、外部ネットワークからのトラフィックは、セッションを内部から開始しなくても、内部ネットワーク上の特定のホストやポートにアクセスできます。これは、通常、Web サーバなどの内部ホストで使用されます。

ダイナミック NAT を設定したら、ポートフォワーディングポリシーを定義できます。IP アドレス変換用のダイナミック NAT を設定し、外部ポートを内部ポートにマッピングするポートフォワーディングポリシーを定義します。ダイナミック NAT ポートフォワーディングは、通常、リモートホストがプライベートネットワーク上のホストまたはサーバーに接続できるようにするために使用されます。

ダイナミックソース NAT の設定

Citrix SD-WAN Orchestrator サービスを使用してサイトのダイナミック NAT を設定するには、サイトレベルで [ 構成] > [詳細設定] > [NAT] > [ダイナミックソース NAT ] タブに移動します。[ + ダイナミックソース NAT] をクリックします。

  • タイプ:NAT ポリシーが適用される SD-WAN サービスタイプ。スタティック NAT でサポートされるサービスタイプは、ローカルサービス、仮想パス、インターネット、イントラネット、インタールーティングドメインサービスです。
  • ルーティングドメイン:選択した変換を適用するルーティングドメインを選択します。
  • IPアドレスタイプ:好みに応じて、IPv4またはIPv6のアドレスタイプを選択します。
  • 宛先サービス:サービスタイプに対応するサービスの名前を入力します。
  • Inside Zone: 変換を許可するために、パケットの送信元となる必要がある内部ファイアウォールゾーンのマッチタイプ。
  • Inside IP/Prefix: 一致基準が満たされた場合に変換する必要がある内部 IP アドレスとプレフィックス。
  • 外部 IP: 一致基準が満たされた場合に内部 IP アドレスが変換される外部 IP アドレスとプレフィックス。インターネットサービスおよびイントラネットサービスを使用する発信トラフィックでは、構成された WAN リンク IP アドレスが外部 IP アドレスとして動的に選択されます。
  • ポートパリティ:有効の場合、NAT 接続の外部ポートはパリティを維持します(内部ポートが偶数であっても、外部ポートが奇数の場合は奇数)。
  • レスポンダールートのバインド:非対称ルーティングを回避するために、レスポンストラフィックが受信時と同じサービスを介して送信されるようにします。
  • 関連を許可:ルールに一致するフローに関連するトラフィックを許可します。たとえば、ポリシーに一致する特定のフローに関連する ICMP リダイレクション(フローに関連する何らかのタイプのエラーがある場合)。
  • IPsec パススルー:IPsec (AH/ESP) セッションの変換を許可します。
  • GRE/PPTP パススルー:非対称ルーティングを回避するために、応答トラフィックが受信時と同じサービスを介して送信されるようにします
  • 受信時:このチェックボックスがオンになっている場合、インバウンド NAT が設定されます。クリアすると、アウトバウンド NAT が設定されます。
  • 対称:このチェックボックスを選択すると、対称 NAT が設定されます。クリアすると、ポート制限付き NAT が設定されます。

ポート転送ルール:

  • ルーティングドメイン:選択した変換を適用するルーティングドメインを選択します。
  • プロトコル: TCP、UDP、またはその両方。
  • 外部ポート:内部ポートにポート転送される外部ポート。
  • Inside IP: 一致するパケットを転送する内部アドレス。
  • 内部ポート:外部ポートが転送される内部ポート。

すべてのポートフォワーディングルールには、親 NAT ルールがあります。外部 IP アドレスは、親 NAT ルールから取得されます。

Citrix SD-WAN Orchestrator サービス UI には、次の条件が満たされると、自動作成された NAT ルールが表示されます。

  • サイトではインターネットサービスが有効になっています。

  • IPv4 アウトバウンドインターネットダイナミックソース NAT ルールがサイトで構成されていません。

  • 少なくとも 1 つの WAN リンクが信頼できないインターフェイス上にあるか、すべてのルーティングドメインでインターネットが有効になっています。

ダイナミックソース NAT の詳細

スタティックソース NAT

スタティック NAT は、SD-WAN ネットワーク内のプライベート IP アドレスまたはサブネットを、SD-WAN ネットワーク外のパブリック IP アドレスまたはサブネットに 1 対 1 のマッピングです。スタティック NAT を設定するには、内部 IP アドレスと変換先の外部 IP アドレスを手動で入力します。スタティック NAT は、ローカル、仮想パス、インターネット、イントラネット、およびルーティング間ドメインサービスに対して構成できます。

スタティックソース NAT の設定

Citrix SD-WAN Orchestrator サービスを使用してサイトの静的 NAT を構成するには、サイトレベルから [ 構成] > [詳細設定] > [NAT] > [静的ソース NAT ] タブに移動します。[ + スタティックソース NAT] をクリックします。

  • タイプ:NAT ポリシーが適用される SD-WAN サービスタイプ。スタティック NAT の場合、サポートされるサービスの種類は、ローカル、仮想パス、インターネット、イントラネット、およびインタールーティングドメインサービスです。
  • 宛先サービス:サービスタイプに対応するサービスの名前を入力します。
  • Inside Zone: 変換を許可するために、パケットの送信元となる必要がある内部ファイアウォールゾーンのマッチタイプ。
  • Outside Zone: 変換を許可するために、パケットの送信元となる必要がある外部ファイアウォールゾーンのマッチタイプ。
  • IPアドレスタイプ:好みに応じて、IPv4またはIPv6のアドレスタイプを選択します。
  • ルーティングドメイン:選択した変換を適用するルーティングドメインを選択します。
  • Inside IP/Prefix: 一致基準が満たされた場合に変換する必要がある内部 IP アドレスとプレフィックス。
  • 外部 IP/プレフィックス:一致基準が満たされた場合に内部 IP アドレスが変換される外部 IP アドレスとプレフィックス。
  • レスポンダールートのバインド:非対称ルーティングを回避するために、レスポンストラフィックが受信時と同じサービスを介して送信されるようにします。
  • プロキシ ARP: アプライアンスが外部 IP アドレスに対するローカル ARP 要求に応答することを保証します。
  • プロキシ NDP: アプライアンスが外部 IP アドレスに対するローカル NDP 要求に応答することを確認します。
  • 受信時:このチェックボックスがオンになっている場合、インバウンド NAT が設定されます。クリアすると、アウトバウンド NAT が設定されます。
  • PD経由での自動学習:このチェックボックスは、 IPアドレスタイプとしてIPv6を選択した場合にのみ有効になります。選択すると、Citrix SD-WANはアップストリームの委任ルーターにプレフィックスを要求し、委任ルーターはCitrix SD-WANにプレフィックスで応答します。

スタティックソース NAT の詳細

IPv6 インターネットサービスのスタティック NAT ポリシー

Citrix SD-WANは、リリース11.4.0以降、IPv6インターネットサービスの静的NATポリシーをサポートしています。IPv6 インターネットサービスのスタティック NAT ポリシーは、内部ネットワークプレフィックスから外部ネットワークプレフィックスへのマッピングを指定します。必要なスタティック NAT ポリシーの数は、内部ネットワークの数と外部ネットワーク(WAN リンク)の数によって異なります。 M 個の内部ネットワークと N 個の WAN リンクがある場合、必要なスタティック NAT ポリシーの数は M x Nです。

Citrix SD-WANリリース11.4.0以降では、静的NATポリシーを作成するときに、外部IPアドレスを手動で入力するか、 PD経由の自動学習を有効にすることができますAuto Learn via PD が有効になっている場合、SD-WAN アプライアンスは DHCPv6 プレフィックス委任を通じて、アップストリームの委任ルーターから委任されたプレフィックスを受信します。Citrix SD-WAN リリース11.4.0より前は、外部IPアドレスはサービスから自動的に取得され、外部IPアドレスを手動で入力するオプションはありませんでした。アプライアンスを 11.4.0 以降のリリースにアップグレードし、IPv6 インターネットサービス用にスタティック NAT ポリシーが設定されている場合は、ポリシーを手動で更新する必要があります。

設定例

次のトポロジでは、Citrix SD-WAN アプライアンスは2つの内部ネットワークと2つのWANリンクで構成されます。

  • 内部ネットワーク 1 は、ネットワークプレフィクス FD の企業ルーティングドメインに存在します 01:0203:6561። /64
  • 内部ネットワーク 2 は、ネットワークプレフィックス FD を持つ Wi-Fi ルーティングドメインに存在します 01:0203:1265። /64
  • SD-WAN アプライアンスは、WAN リンク 1 を介して DHCPv6 プレフィクス委任、2 つの委任プレフィックス 2001:0 D 88:1261። /64 および 2001:0 D 88:1265። /64 を介してアップストリーム委任ルータから受信します。これら 2 つの委任プレフィクスは、内部ネットワークからのトラフィックが WAN リンク 1 を通過するときに、外部ネットワークプレフィクスとして使用されます。
  • WAN リンク 2 を介して、SD-WAN アプライアンスは DHCPv6 プレフィクス委任を介してアップストリーム委任ルータから、2 つの委任プレフィックス 2001: DB 8:8585። /64 および 2001: DB 8:8599። /64 を受信します。これら 2 つの委任プレフィクスは、内部ネットワークからのトラフィックが WAN リンク 2 を通過するときに、外部ネットワークプレフィクスとして使用されます。

スタティックソース NAT NPT

このシナリオでは、M=2 内部ネットワークと N=2 WAN リンクがあります。したがって、IPv6 インターネットサービスを適切に導入するために必要なスタティック NAT ポリシーの数は 2 x 2 = 4 です。次の 4 つのスタティック NAT ポリシーは、次のアドレス変換を指定します。

  • 内部ネットワーク 1 から WAN リンク 1 経由
  • 内部ネットワーク 1 から WAN リンク 2
  • 内部ネットワーク 2 から WAN リンク 1 経由
  • 内部ネットワーク 2 から WAN リンク 2 経由

これらのスタティック NAT ポリシーを設定するには、サイトレベルで [設定] > [ 詳細設定] > [NAT] > [スタティックソース NAT] に移動します。[ + スタティックソース NAT] をクリックします。

NAT ポリシーを作成するときは、必ず [ タイプ ] に [ インターネット ]、[ IP アドレスタイプ ] を [ IPv6] として選択してください。WAN リンクを選択し、 Inside IP/Prefix フィールドに内部ネットワークプレフィックスを入力します(/64 プレフィックスのみ使用できます)。「 外部IP/プレフィックス 」フィールドには、外部ネットワークプレフィックスを手動で入力するか、「 PD経由での自動学習 」チェックボックスを選択することができます。

次に、外部 IP アドレスがスタティック NAT ポリシーに手動で入力される例を示します。

スタティックソース NAT NPT 手動設定

Auto Learn via PD チェックボックスをオンにする場合は、アップストリームルータが DHCPv6 プレフィックス委任をサポートしていることを確認してください。Citrix SD-WAN はアップストリーム委任ルーターからプレフィックスを要求し、委任ルーターはCitrix SD-WAN にプレフィックスで応答します。Citrix SD-WAN は、この委任プレフィックスを使用して、内部IPアドレスを外部IPアドレスに変換します。

次に、 PD経由の自動学習が有効になっている例を示します 。これにより、DHCPv6 プレフィクス委任によって外部ネットワークプレフィクスが取得されます。

PD によるスタティックソース NAT NPT 自動学習

宛先 NAT

宛先 NAT ポリシーにより、個々のホストまたはサブネット間のネットワークアドレス変換ポリシーを設定できます。

  • サービスではインバウンド翻訳とアウトバウンド翻訳の両方を同時に設定できますが、最初に一致した翻訳のみが使用されます。パケットを受信するサービスとパケットが送信されるサービスにルールが存在する場合、複数の変換が行われる可能性があります。
  • 宛先 NAT 変換は、ローカルサービスから発信されるトラフィックにのみ適用されます。

これらの宛先 NAT ポリシーを設定するには、サイトレベルで [ 構成] > [詳細設定] > [NAT] > [宛先 NAT] に移動します。 + 送信先 NATをクリックします。

  • タイプ:NAT ポリシーが適用される SD-WAN サービスタイプ。スタティック NAT の場合、サポートされるサービスの種類は、ローカル、仮想パス、インターネット、イントラネット、およびインタールーティングドメインサービスです。
  • サービス名:サービスタイプに対応するサービスの名前を入力します。
  • IPタイプ:好みに応じて、IPv4またはIPv6のアドレスタイプを選択します。
  • 内部ポート:外部ポートが転送される内部ポート。
  • 外部 IP: 一致基準が満たされた場合に内部 IP アドレスが変換される外部 IP アドレスとプレフィックス。インターネットサービスおよびイントラネットサービスを使用する発信トラフィックでは、構成された WAN リンク IP アドレスが外部 IP アドレスとして動的に選択されます。
  • 外部ポート:内部ポートにポート転送される外部ポート。
  • ルーティングドメイン:選択した変換を適用するルーティングドメインを選択します。
  • 受信時:このチェックボックスがオンになっている場合、インバウンド NAT が設定されます。クリアすると、アウトバウンド NAT が設定されます。

宛先 NAT の詳細

ネットワークアドレス変換