-
-
-
-
动态 NAT
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
动态 NAT
动态 NAT 是将 SD-WAN 网络内部的一个或多个私有 IP 地址映射到 SD-WAN 网络外部的公有 IP 地址或子网的多对一映射。来自不同区域和子网通过 LAN 段中受信任(内部)IP 地址的流量通过单个公有(外部)IP 地址发送。
动态 NAT 类型
动态 NAT 执行端口地址转换 (PAT) 以及 IP 地址转换。端口号用于区分哪些流量属于哪个 IP 地址。所有内部私有 IP 地址均使用单个公有 IP 地址,但是为每个私有 IP 地址分配了不同的端口号。PAT 是一种经济高效的方式,允许多台主机使用单个公有 IP 地址连接到互联网。
- 端口限制:端口受限 NAT 对与内部 IP 地址和端口对相关的所有转换使用同一个外部端口。此模式通常用于允许互联网 P2P 应用程序。
- 对称:对称 NAT 将同一个外部端口用于与内部 IP 地址、内部端口、外部 IP 地址和外部端口元组相关的所有转换。此模式通常用于增强安全性或扩展 NAT 会话的最大数量。
入站和出站 NAT
连接的方向可以是内部到外部,也可以是外部到内部。创建 NAT 规则时,根据方向匹配类型将其应用于两个方向。
- 出站:对于在服务上接收的数据包,将转换目标地址。对于在服务上传输的数据包,将转换源地址。本地、Internet、内部网和路由间域服务支持出站动态 NAT。对于 WAN 服务(如 Internet 和内部网服务),配置的 WAN 链路 IP 地址将动态选择为外部 IP 地址。对于本地和路由间域服务,请提供外部 IP 地址。外部区域是从所选服务派生的。出站动态 NAT 的一个典型用例是同时允许 LAN 中的多个用户使用单个公共 IP 地址安全地访问互联网。
- 入站:对于在服务上接收的数据包,将转换源地址。转换服务上传输的数据包的目的地址。WAN 服务(如互联网和内部网)不支持入站动态 NAT。有一个显式的审计错误来指示相同的情况。仅本地和路由间域服务支持入站动态 NAT。提供要转换到的外部区域和外部 IP 地址。入站动态 NAT 的典型用例是允许外部用户访问您专用网络中托管的电子邮件或 Web 服务器。
配置动态 NAT 策略
要配置动态 NAT 策略,请在配置编辑器中导航到 连接 > 防火墙 > 动态 NAT 策略。
- 优先级:在所有定义的策略中应用策略的顺序。优先级较低的策略在优先级较高的策略之前应用。
- 方向:从虚拟接口或服务的角度来看,流量的流动方向。它可以是入站流量,也可以是出站流量。
- 类型:要执行的动态 NAT 的类型、端口限制或对称。
- 服务类型: 应用动态 NAT 策略的 SD-WAN 服务类型。本地和路由间域服务支持入站动态 NAT。本地、Internet、内部网和路由间域服务支持出站动态 NAT
- 服务名称:选择与服务类型对应的已配置服务名称。
- 内部区域:数据包必须来自的内防火墙区域匹配类型才能进行转换。
- 外部区域:对于入站流量,请指定数据包必须来自的外部防火墙区域匹配类型才能进行转换。
- 内部 IP 地址:满足匹配条件时必须转换为的内部 IP 地址和前缀。输入 “*” 表示任何内部 IP 地址。
- 外部 IP 地址:如果满足匹配条件,则内部 IP 地址转换为的外部 IP 地址和前缀。对于使用 Internet 和内部网服务的出站流量,已配置的 WAN 链路 IP 地址将动态选择为外部 IP 地址。
- 允许相关:允许与规则匹配的流量相关的流量。例如,如果存在与该策略相关的某种类型的错误,则 ICMP 重定向与该策略匹配的特定流相关。
- IPSec 通过:允许翻译 IPsec (AH/ESP) 会话。
- GRE/PPTP 通过:允许翻译 GRE/PPTP 会话。
- 端口奇偶校验:如果启用,NAT 连接的外部端口将保持奇偶校验(即使内部端口是偶数,如果外部端口为奇数,则为奇数)。
- 绑定响应程序路由:确保响应流量通过接收响应流量的同一服务发送,以避免非对称路由。
端口转发
具有端口转发功能的动态 NAT 允许您将特定流量转发到已定义的 IP 地址。这通常用于诸如 Web 服务器之类的主机内部。配置动态 NAT 后,您可以定义端口转发策略。配置用于 IP 地址转换的动态 NAT,并定义端口转发策略以将外部端口映射到内部端口。动态 NAT 端口转发通常用于允许远程主机连接到专用网络上的主机或服务器。有关更详细的用例,请参阅 Citrix SD-WAN 动态 NAT 说明。
- 协议:TCP、UDP 或两者兼而有。
- 外部端口:转发到内部端口的外部端口。
- 内部 IP 地址:转发匹配数据包的内部地址。
- 内端口:外部端口将被转发到的内部端口。
- 片段:允许转发碎片数据包。
- 日志时间间隔:记录与 syslog 服务器匹配策略的数据包数之间的秒钟。默认的日志间隔值为 0 表示没有日志记录。
- 日志开始: 如果选择此选项,将为新流程创建一个新的日志条目。
- 日志结束:删除流程时记录流程的数据。
- 跟踪:对与规则匹配的 TCP、UDP 和 ICMP 数据包执行 双向连接状态跟踪。此功能可阻止由于非对称路由或校验和失败、协议特定验证而看起来不合法的流。状态详细信息显示在 监视 > 防火墙 > 连接下。
- 无跟踪:不对匹配规则的数据包执行双向连接状态跟踪。
每个端口转发规则都有一个父 NAT 规则。外部 IP 地址取自父 NAT 规则。
自动创建的动态 NAT 策略
在以下情况下,将自动创建互联网服务的动态 NAT 策略:
- 在不受信任的接口(WAN 链接)上配置互联网服务。
- 在单个 WAN 链路上启用所有路由域的互联网访问。有关更多详细信息,请参阅 配置防火墙分段。
- 在 SD-WAN 上配置 DNS 转发器或 DNS 代理。有关更多详细信息,请参阅 域名系统。
监视
要监视动态 NAT,请导航到 监 控 > 防火墙统计 > 连接。对于连接,你可以看到 NAT 是否完成。
要进一步查看内部 IP 地址到外部 IP 地址的映射,请单击 相关对象 下的 预路由 NAT或路由后NAT,或导航到监控>防火墙统计>NAT 策略。
以下屏幕截图显示了对称类型的动态 NAT 规则及其相应的端口转发规则的统计信息。
创建端口转发规则时,也会创建相应的防火墙规则。
您可以通过导航到 监视 > 防火墙统计信息 > 筛选器策略来查看筛选器策略统计信息
日志
您可以在防火墙日志中查看与 NAT 相关的日志。要查看 NAT 的日志,请创建与 NAT 策略匹配的防火墙策略,并确保在防火墙筛选器上启用了日志记录。NAT 日志包含以下信息:
- 日期和时间
- 路由域
- IP 协议
- 源端口
- 源 IP 地址
- 转换后的 IP 地址
- 转换后的端口
- 目标 IP 地址
- 目的端口
要生成 NAT 日志,请导航到日志记录/监视 > 日志选项,选择 SDWAN_firewall.log,然后单击查看日志。
NAT 连接详细信息将显示在日志文件中。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.