Citrix SD-WAN

静的NAT

スタティック NAT は、SD-WAN ネットワーク内のプライベート IP アドレスまたはサブネットを、SD-WAN ネットワーク外のパブリック IP アドレスまたはサブネットに 1 対 1 のマッピングです。スタティック NAT を設定するには、内部 IP アドレスと変換先の外部 IP アドレスを手動で入力します。スタティック NAT は、ローカル、仮想パス、インターネット、イントラネット、およびルーティング間ドメインサービスに対して構成できます。

インバウンドおよびアウトバウンド NAT

接続の方向は、内側から外側、または外側から内側にできます。NAT ルールが作成されると、方向一致タイプに応じて両方の方向に適用されます。

  • Inbound: サービスで受信したパケットについて、送信元アドレスが変換されます。宛先アドレスは、サービス上で送信されるパケットに対して変換されます。たとえば、インターネットサービスから LAN サービスへ — 受信したパケット(インターネットから LAN へ)の場合、送信元 IP アドレスが変換されます。送信されたパケット(LANからインターネットへ)では、宛先 IP アドレスが変換されます。
  • Outbound: サービスで受信したパケットについて、宛先アドレスが変換されます。送信元アドレスは、サービス上で送信されるパケットに対して変換されます。たとえば、LAN サービスからインターネットサービスへ — 送信されたパケット(LAN からインターネット)の場合、送信元 IP アドレスが変換されます。受信パケット(インターネットから LAN へ)の場合、宛先 IP アドレスが変換されます。

ゾーン派生

インバウンドまたはアウトバウンドトラフィックの送信元および宛先ファイアウォールゾーンは、同じであってはなりません。送信元と宛先の両方のファイアウォールゾーンが同じ場合、トラフィックに対して NAT は実行されません。

発信 NAT の場合、外部ゾーンはサービスから自動的に派生します。デフォルトでは、SD-WAN 上のすべてのサービスがゾーンに関連付けられます。たとえば、信頼できるインターネットリンク上のインターネットサービスは、信頼できるインターネットゾーンに関連付けられています。同様に、着信 NAT の場合、内部ゾーンはサービスから取得されます。

仮想パスサービスの場合、NAT ゾーンの導出が自動的に行われないため、内部ゾーンと外部ゾーンを手動で入力する必要があります。NAT は、これらのゾーンに属するトラフィックに対してのみ実行されます。仮想パスのサブネット内に複数のゾーンが存在する可能性があるため、仮想パスのゾーンは派生できません。

IPv6 インターネットサービスのスタティック NAT ポリシー

Citrix SD-WAN は、リリース11.4.0以降のIPv6インターネットサービスの静的NATポリシーをサポートします。IPv6 インターネットサービスのスタティック NAT ポリシーは、内部ネットワークプレフィクスと外部ネットワークプレフィクスのマッピングを指定します。必要なスタティック NAT ポリシーの数は、内部ネットワークの数と外部ネットワーク(WAN リンク)の数によって異なります。 M 個の内部ネットワークと N 個の WAN リンクがある場合、必要なスタティック NAT ポリシーの数は M x Nです。

Citrix SD-WAN リリース11.4.0以降では、静的NATポリシーの作成中に、外部IPアドレスを手動で入力するか、 PD経由で自動学習を有効にすることができますPDによる自動学習が有効になっている場合 、Citrix SD-WAN アプライアンスは、DHCPv6プレフィックス委任を介して上流の委任ルーターから委任されたプレフィックスを受信します。Citrix SD-WAN リリース11.4.0より前は、外部IPアドレスはサービスから自動的に取得され、外部IPアドレスを手動で入力するオプションはありませんでした。アプライアンスを 11.4.0 以降のリリースにアップグレードし、IPv6 インターネットサービス用にスタティック NAT ポリシーが設定されている場合は、ポリシーを手動で更新する必要があります。

設定例

次のトポロジでは、Citrix SD-WAN アプライアンスは2つの内部ネットワークと2つのWANリンクで構成されます。

  • 内部ネットワーク 1 は、ネットワークプレフィクス FD の企業ルーティングドメインに存在します 01:0203:6561። /64
  • 内部ネットワーク 2 は、ネットワークプレフィックス FD を持つ Wi-Fi ルーティングドメインに存在します 01:0203:1265። /64
  • SD-WAN アプライアンスは、WAN リンク 1 を介して DHCPv6 プレフィクス委任、2 つの委任プレフィックス 2001:0 D 88:1261። /64 および 2001:0 D 88:1265። /64 を介してアップストリーム委任ルータから受信します。これら 2 つの委任プレフィクスは、内部ネットワークからのトラフィックが WAN リンク 1 を通過するときに、外部ネットワークプレフィクスとして使用されます。
  • WAN リンク 2 を介して、SD-WAN アプライアンスは DHCPv6 プレフィクス委任を介してアップストリーム委任ルータから、2 つの委任プレフィックス 2001: DB 8:8585። /64 および 2001: DB 8:8599። /64 を受信します。これら 2 つの委任プレフィクスは、内部ネットワークからのトラフィックが WAN リンク 2 を通過するときに、外部ネットワークプレフィクスとして使用されます。

NPT スタティックナット IPv6構成

このシナリオでは、M=2 内部ネットワークと N=2 WAN リンクがあります。したがって、IPv6 インターネットサービスの適切な展開に必要なスタティック NAT ポリシーの数は 2 x 2 = 4 です。次の 4 つのスタティック NAT ポリシーは、次のアドレス変換を指定します。

  • 内部ネットワーク 1 から WAN リンク 1 経由
  • 内部ネットワーク 1 から WAN リンク 2
  • 内部ネットワーク 2 から WAN リンク 1 経由
  • 内部ネットワーク 2 から WAN リンク 2 経由

監視

NAT を監視するには、[ 監視 ] > [ ファイアウォール統計 ] > [ 接続] に移動します。接続では、NAT が完了しているかどうかを確認できます。

Connections

任意の NAT ルールに PD 経由の自動学習が設定されているかどうかを確認するには、[ 構成] > [仮想 WAN] > [設定の表示 ] に移動し、[ 表示 ] ドロップダウンリストから [ ファイアウォール ] を選択します。[PD による自動学習 ] および [ PD プレフィックス ID ] 列に詳細が表示されます。

スタティック NAT NPT 接続

内部 IP アドレスと外部 IP アドレスのマッピングをさらに確認するには、[ 関連オブジェクト ] の [ ルート後 NAT ] をクリックするか、[ モニタリング ] > [ ファイアウォール統計 ] > [ NAT ポリシー] に移動します。

次のスクリーンショットは、IPv4 スタティック NAT ポリシーにおける内部アドレスと外部アドレスのマッピングを示しています。

NAT ポリシー

次のスクリーンショットは、IPv6 スタティック NAT ポリシーにおける内部アドレスと外部アドレスのマッピングを示しています。

IPv6 スタティック NAT ポリシー

ログ

NAT に関連するログは、ファイアウォールログで表示できます。NAT のログを表示するには、NAT ポリシーに一致するファイアウォールポリシーを作成し、ファイアウォールフィルタでロギングが有効になっていることを確認します。NAT ログには次の情報が表示されます。

  • 日付と時刻
  • ルーティングドメイン
  • IPプロトコル
  • 送信元ポート
  • 送信元 IP アドレス
  • 翻訳された IP アドレス
  • 翻訳されたポート
  • 宛先 IP アドレス
  • Destination port

ロギング・オプション

NAT ログを生成するには、[ ログ/監視 ] > [ ログオプション] に移動し、[ SDWAN_firewall.log] を選択して [ ログの表示] をクリックします。

ログを表示します

NAT 接続の詳細がログファイルに表示されます。

NAT ログの詳細

IPv6 NAT ログの詳細

静的NAT