-
-
-
动态 NAT
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
动态 NAT
动态 NAT 是将 SD-WAN 网络内部的一个或多个私有 IP 地址映射到 SD-WAN 网络外部的公有 IP 地址或子网的多对一映射。来自不同区域和子网通过 LAN 段中受信任(内部)IP 地址的流量通过单个公有(外部)IP 地址发送。
动态 NAT 类型
动态 NAT 执行端口地址转换 (PAT) 以及 IP 地址转换。端口号用于区分哪些流量属于哪个 IP 地址。所有内部私有 IP 地址均使用单个公有 IP 地址,但是为每个私有 IP 地址分配了不同的端口号。PAT 是一种经济高效的方式,允许多台主机使用单个公有 IP 地址连接到Internet 。
- 端口限制:端口受限 NAT 对与内部 IP 地址和端口对相关的所有转换使用同一个外部端口。此模式通常用于允许Internet P2P 应用程序。
- 对称:对称 NAT 将同一个外部端口用于与内部 IP 地址、内部端口、外部 IP 地址和外部端口元组相关的所有转换。此模式通常用于增强安全性或扩展 NAT 会话的最大数量。
入站和出站 NAT
连接的方向可以是内部到外部,也可以是外部到内部。创建 NAT 规则时,根据方向匹配类型将其应用于两个方向。
- 出站:对于在服务上接收的数据包,将转换目标地址。对于在服务上传输的数据包,将转换源地址。本地、Internet、内部网和路由间域服务支持出站动态 NAT。对于 WAN 服务(如 Internet 和内部网服务),配置的 WAN 链路 IP 地址将动态选择为外部 IP 地址。对于本地和路由间域服务,请提供外部 IP 地址。外部区域是从所选服务派生的。出站动态 NAT 的一个典型用例是同时允许 LAN 中的多个用户使用单个公共 IP 地址安全地访问Internet 。
- 入站:对于在服务上接收的数据包,将转换源地址。转换服务上传输的数据包的目的地址。WAN 服务(如Internet 和内部网)不支持入站动态 NAT。有一个显式的审计错误来指示相同的情况。仅本地和路由间域服务支持入站动态 NAT。提供要转换到的外部区域和外部 IP 地址。入站动态 NAT 的典型用例是允许外部用户访问您专用网络中托管的电子邮件或 Web 服务器。
端口转发
具有端口转发功能的动态 NAT 允许您将特定流量转发到已定义的 IP 地址。这通常用于诸如 Web 服务器之类的主机内部。配置动态 NAT 后,您可以定义端口转发策略。配置用于 IP 地址转换的动态 NAT,并定义端口转发策略以将外部端口映射到内部端口。动态 NAT 端口转发通常用于允许远程主机连接到专用网络上的主机或服务器。有关更详细的用例,请参阅 Citrix SD-WAN 动态 NAT 说明。
自动创建的动态 NAT 策略
在以下情况下,将自动创建Internet 服务的动态 NAT 策略:
- 在不受信任的接口(WAN 链接)上配置Internet 服务。
- 使用 Citrix SD-WAN Orchestrator 服务为单个 WAN 链接上的所有路由域启用Internet 访问。有关更多详细信息,请参阅 配置防火墙分段。
- 在 SD-WAN Orchestrator 服务上配置 DNS 转发器或 DNS 代理。有关更多详细信息,请参阅 域名系统。
监视
要监视动态 NAT,请导航到 监 控 > 防火墙统计 > 连接。对于连接,您可以看到 NAT 是否完成。
要进一步查看内部 IP 地址到外部 IP 地址的映射,请单击 相关对象 下的 预路由 NAT或路由后NAT,或导航到监控>防火墙统计>NAT 策略。
以下屏幕截图显示了对称类型的动态 NAT 规则及其相应的端口转发规则的统计信息。
创建端口转发规则时,也会创建相应的防火墙规则。
您可以通过导航到 监视 > 防火墙统计信息 > 筛选器策略来查看筛选器策略统计信息
日志
您可以在防火墙日志中查看与 NAT 相关的日志。要查看 NAT 的日志,请创建与 NAT 策略匹配的防火墙策略,并确保在防火墙筛选器上启用了日志记录。NAT 日志包含以下信息:
- 日期和时间
- 路由域
- IP 协议
- 源端口
- 源 IP 地址
- 转换后的 IP 地址
- 转换后的端口
- 目标 IP 地址
- 目的端口
要生成 NAT 日志,请导航到日志记录/监视 > 日志选项,选择 SDWAN_firewall.log,然后单击查看日志。
NAT 连接详细信息将显示在日志文件中。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.