Citrix SD-WAN

ダイナミック NAT

ダイナミック NAT は、SD-WAN ネットワーク内のプライベート IP アドレスまたはサブネットを、SD-WAN ネットワーク外のパブリック IP アドレスまたはサブネットに多対 1 のマッピングです。LAN セグメント内の信頼できる (内部) IP アドレス経由の異なるゾーンおよびサブネットからのトラフィックは、単一のパブリック (外部) IP アドレス経由で送信されます。

ダイナミック NAT タイプ

ダイナミック NAT は、IP アドレス変換とともにポートアドレス変換(PAT)を行います。ポート番号は、どのトラフィックがどの IP アドレスに属しているかを識別するために使用されます。すべての内部プライベート IP アドレスに 1 つのパブリック IP アドレスが使用されますが、各プライベート IP アドレスには異なるポート番号が割り当てられます。PAT は、1 つのパブリック IP アドレスを使用して複数のホストがインターネットに接続できるようにする費用対効果の高い方法です。

  • ポート制限:ポート制限 NAT は、内部 IP アドレスとポートのペアに関連するすべての変換に同じ外部ポートを使用します。このモードは、通常、インターネット P2P アプリケーションを許可するために使用されます。
  • 対称:対称 NAT は、内部 IP アドレス、内部ポート、外部 IP アドレス、および外部ポートタプルに関連するすべての変換に同じ外部ポートを使用します。通常、このモードは、セキュリティを強化したり、NAT セッションの最大数を拡張するために使用されます。

インバウンドおよびアウトバウンド NAT

接続の方向は、内側から外側、または外側から内側にできます。NAT ルールが作成されると、方向一致タイプに応じて両方の方向に適用されます。

  • Outbound: サービスで受信したパケットについて、宛先アドレスが変換されます。送信元アドレスは、サービス上で送信されるパケットに対して変換されます。発信ダイナミック NAT は、ローカル、インターネット、イントラネット、およびルーティング間ドメインサービスでサポートされます。インターネットサービスやイントラネットサービスなどの WAN サービスの場合、構成された WAN リンク IP アドレスが外部 IP アドレスとして動的に選択されます。ローカルおよびインタールーティングドメインサービスの場合は、外部 IP アドレスを指定します。Outside ゾーンは、選択したサービスから取得されます。アウトバウンドダイナミック NAT の一般的な使用例は、LAN 内の複数のユーザーが、単一のパブリック IP アドレスを使用してインターネットに安全にアクセスできるようにすることです。
  • Inbound: サービスで受信したパケットについて、送信元アドレスが変換されます。宛先アドレスは、サービス上で送信されるパケットに対して変換されます。インバウンドダイナミック NAT は、インターネットやイントラネットなどの WAN サービスではサポートされません。同じことを示す明示的な監査エラーがあります。インバウンドダイナミック NAT は、ローカルおよびインタールーティングドメインサービスでのみサポートされます。変換先の外部ゾーンと外部 IP アドレスを指定します。インバウンドダイナミック NAT の一般的な使用例は、外部ユーザーがプライベートネットワークでホストされている電子メールまたはウェブサーバーにアクセスできるようにすることです。

ポートフォワーディング

ポートフォワーディングを使用したダイナミック NAT では、特定のトラフィックを定義済みの IP アドレスにポート転送できます。これは、通常、Web サーバなどの内部ホストで使用されます。ダイナミック NAT を設定したら、ポートフォワーディングポリシーを定義できます。IP アドレス変換用のダイナミック NAT を設定し、外部ポートを内部ポートにマッピングするポートフォワーディングポリシーを定義します。ダイナミック NAT ポートフォワーディングは、通常、リモートホストがプライベートネットワーク上のホストまたはサーバーに接続できるようにするために使用されます。より詳細なユースケースについては、「 Citrix SD-WAN ダイナミックNAT」の説明を参照してください

自動作成されたダイナミック NAT ポリシー

インターネットサービスのダイナミック NAT ポリシーは、次の場合に自動的に作成されます。

  • 信頼できないインターフェイス(WAN リンク)でのインターネットサービスの設定
  • Citrix SD-WAN Orchestrator サービスを使用して、単一の WAN リンク上のすべてのルーティングドメインのインターネットアクセスを有効にします。詳細については、「 ファイアウォールのセグメンテーションを構成する」を参照してください。
  • SD-WAN Orchestrator サービスで DNS フォワーダーまたは DNS プロキシを構成します。詳細については、「 ドメインネームシステム」を参照してください。

監視

ダイナミック NAT を監視するには、[ 監視 ] > [ ファイアウォール統計 ] > [ 接続] に移動します。接続では、NAT が完了しているかどうかを確認できます。

Connections

内部 IP アドレスと外部 IP アドレスのマッピングをさらに確認するには、[ 関連オブジェクト ][ ルーティング前 NAT ] または [ ポストルート NAT ] をクリックするか、[ モニタリング ] > [ ファイアウォール統計 ] > [ NAT ポリシー] に移動します。

次のスクリーンショットは、タイプシンメトリックダイナミック NAT 規則とそれに対応するポート転送規則の統計を示しています。

NAT ポリシー

ポート転送規則が作成されると、対応するファイアウォール規則も作成されます。

ファイアウォール規則

[ 監視 ] > [ ファイアウォール統計] > [フィルタポリシー] に移動すると、 フィルタポリシーの統計を表示できます。

フィルタポリシー

ログ

NAT に関連するログは、ファイアウォールログで表示できます。NAT のログを表示するには、NAT ポリシーに一致するファイアウォールポリシーを作成し、ファイアウォールフィルタでロギングが有効になっていることを確認します。NAT ログには次の情報が含まれます。

  • 日付と時刻
  • ルーティングドメイン
  • IPプロトコル
  • 送信元ポート
  • 送信元 IP アドレス
  • 翻訳された IP アドレス
  • 翻訳されたポート
  • 宛先 IP アドレス
  • Destination port

ロギング・オプション

NAT ログを生成するには、[ ログ/監視 ] > [ ログオプション] に移動し、[ SDWAN_firewall.log] を選択して [ ログの表示] をクリックします。

ログを表示します

NAT 接続の詳細がログファイルに表示されます。

NAT ログの詳細

ダイナミック NAT