Citrix SD-WAN

静态 NAT

静态 NAT 是 SD-WAN 网络内部的私有 IP 地址或子网到 SD-WAN 网络外部的公有 IP 地址或子网的一对一映射。通过手动输入内部 IP 地址和必须转换到的外部 IP 地址来配置静态 NAT。您可以为本地、虚拟路径、Internet、内部网和路由间域服务配置静态 NAT。

入站和出站 NAT

连接的方向可以是内部到外部,也可以是外部到内部。创建 NAT 规则时,根据方向匹配类型将其应用于两个方向。

  • 入站:对于在服务上接收的数据包,将转换源地址。转换服务上传输的数据包的目的地址。例如,Internet 服务到局域网服务 — 对于接收的数据包(Internet 到局域网),将转换源 IP 地址。对于传输的数据包(LAN 到Internet ),将转换目的 IP 地址。
  • 出站:对于在服务上接收的数据包,将转换目标地址。对于在服务上传输的数据包,将转换源地址。例如,局域网服务到Internet 服务 — 对于传输的数据包(局域网到Internet ),将转换源 IP 地址。对于接收的数据包(Internet 到局域网),将转换目的 IP 地址。

区域派生

入站或出站流量的源和目标防火墙区域不应相同。如果源防火墙区域和目标防火墙区域相同,则不会对流量执行 NAT。

对于出站 NAT,外部区域将自动从服务派生。默认情况下,SD-WAN 上的每个服务都与一个区域相关联。例如,受信任的Internet 链接上的 Internet 服务与受信任的Internet 区域相关联。同样,对于入站 NAT,内部区域是从服务派生的。

对于虚拟路径服务 NAT 区域派生不会自动发生,您必须手动输入内部和外部区域。NAT 仅对属于这些区域的流量执行。无法为虚拟路径派生区域,因为虚拟路径子网中可能有多个区域。

IPv6 Internet 服务的静态 NAT 策略

Citrix SD-WAN 从 11.4.0 版开始支持 IPv6 Internet 服务的静态 NAT 策略。IPv6 Internet 服务的静态 NAT 策略指定将内部网络前缀映射到外部网络前缀。所需的静态 NAT 策略的数量取决于内部网络的数量和外部网络(WAN 链路)的数量。如果有 M 个内部网络和 N 个 WAN 链路,则所需的静态 NAT 策略数为 M x N

从 Citrix SD-WAN 11.4.0 版开始,在创建静态 NAT 策略时,您可以手动输入外部 IP 地址或 通过 PD 启用自动学习。启用 通过 PD 进行自动学习 后,Citrix SD-WAN 设备将通过 DHCPv6 前缀委派从上游委派路由器接收委派前缀。在 Citrix SD-WAN 11.4.0 版之前,外部 IP 地址是自动从服务派生的,因此无法选择手动输入外部 IP 地址。如果要将设备升级到 11.4.0 或更高版本,并且为 IPv6 Internet 服务配置了静态 NAT 策略,则必须手动更新这些策略。

配置示例

在以下拓扑中,Citrix SD-WAN 设备配置有 2 个内部网络和 2 个 WAN 链接:

  • 内部网络 1 驻留在具有网络前缀 FD01:0203:6561::/64 的企业路由域中
  • 内部网络 2 驻留在 Wi-Fi 路由域中,网络前缀为 FD01:0203:1265::/64
  • 通过 WAN Link 1,SD-WAN 设备通过 DHCPv6 前缀委派、2 个委派前缀 2001:0D88:1261::/64 和 2001:0D88:1265::/64 从上游委派路由器接收。当来自内部网络的流量通过 WAN link 1 时,这两个委派的前缀将用作外部网络前缀。
  • 通过 WAN Link 2,SD-WAN 设备通过 DHCPv6 前缀委派、2 个委派前缀 2001:DB8:8585::/64 和 2001:DB8:8599::/64 从上游委派路由器接收。当来自内部网络的流量通过 WAN link 2 时,这两个委派的前缀用作外部网络前缀。

不扩散条约静态 NAT IPv6 配置

在这种情况下,网络内有 M=2 和 N = 2 WAN 链路。因此,正确部署 IPv6 Internet 服务所需的静态 NAT 策略数为 2 x 2 = 4。这 4 个静态 NAT 策略为以下各项指定了地址转换:

  • 通过 WAN 链路 1 在网络 1 内部
  • 在网络 1 内部通过 WAN 链路 2
  • 通过 WAN 链路 1 在网络 2 内部
  • 通过 WAN 链路 2 在网络 2 内部

监视

要监控 NAT,请导航到 控 > 防火墙统计 > 连接。对于连接,您可以看到 NAT 是否完成。

连接

要检查是否为任何 NAT 规则配置了通过 PD 自动学习,请导航到 配置 > 虚拟 WAN > 查看配置 ,然后从视 下拉列表中选择 防火墙通过 PD 自动学习PD 前缀 ID 列显示详细信息。

静态 NAT NPT 连接

要进一步查看内部 IP 地址到外部 IP 地址的映射,请单击 相关对象 下的 路由后 NAT ,或导航到 监控 > 防火墙统计 > NAT 策略

以下屏幕截图显示了 IPv4 静态 NAT 策略中内部地址与外部地址的映射。

NAT 策略

以下屏幕截图显示了 IPv6 静态 NAT 策略中内部地址与外部地址的映射。

IPv6 静态 NAT 策略

日志

您可以在防火墙日志中查看与 NAT 相关的日志。要查看 NAT 的日志,请创建与 NAT 策略匹配的防火墙策略,并确保在防火墙筛选器上启用了日志记录。NAT 日志显示以下信息:

  • 日期和时间
  • 路由域
  • IP 协议
  • 源端口
  • 源 IP 地址
  • 转换后的 IP 地址
  • 转换后的端口
  • 目标 IP 地址
  • 目的端口

日志记录选项

要生成 NAT 日志,请导航到日志记录/监视 > 日志选项,选择 SDWAN_firewall.log,然后单击查看日志

查看日志

NAT 连接详细信息将显示在日志文件中。

NAT 日志详细信息

IPv6 NAT 日志详细信息

静态 NAT