Citrix SD-WAN

动态 NAT

动态 NAT 是将 SD-WAN 网络内部的一个或多个私有 IP 地址映射到 SD-WAN 网络外部的公有 IP 地址或子网的多对一映射。来自不同区域和子网通过 LAN 段中受信任(内部)IP 地址的流量通过单个公有(外部)IP 地址发送。

动态 NAT 类型

动态 NAT 执行端口地址转换 (PAT) 以及 IP 地址转换。端口号用于区分哪些流量属于哪个 IP 地址。所有内部私有 IP 地址均使用单个公有 IP 地址,但是为每个私有 IP 地址分配了不同的端口号。PAT 是一种经济高效的方式,允许多台主机使用单个公有 IP 地址连接到互联网。

  • 端口限制:端口受限 NAT 对与内部 IP 地址和端口对相关的所有转换使用同一个外部端口。此模式通常用于允许互联网 P2P 应用程序。
  • 对称:对称 NAT 将同一个外部端口用于与内部 IP 地址、内部端口、外部 IP 地址和外部端口元组相关的所有转换。此模式通常用于增强安全性或扩展 NAT 会话的最大数量。

入站和出站 NAT

连接的方向可以是内部到外部,也可以是外部到内部。创建 NAT 规则时,根据方向匹配类型将其应用于两个方向。

  • 出站:对于在服务上接收的数据包,将转换目标地址。对于在服务上传输的数据包,将转换源地址。本地、Internet、内部网和路由间域服务支持出站动态 NAT。对于 WAN 服务(如 Internet 和内部网服务),配置的 WAN 链路 IP 地址将动态选择为外部 IP 地址。对于本地和路由间域服务,请提供外部 IP 地址。外部区域是从所选服务派生的。出站动态 NAT 的一个典型用例是同时允许 LAN 中的多个用户使用单个公共 IP 地址安全地访问互联网。
  • 入站:对于在服务上接收的数据包,将转换源地址。转换服务上传输的数据包的目的地址。WAN 服务(如互联网和内部网)不支持入站动态 NAT。有一个显式的审计错误来指示相同的情况。仅本地和路由间域服务支持入站动态 NAT。提供要转换到的外部区域和外部 IP 地址。入站动态 NAT 的典型用例是允许外部用户访问您专用网络中托管的电子邮件或 Web 服务器。

配置动态 NAT 策略

要配置动态 NAT 策略,请在配置编辑器中导航到 连接 > 防火墙 > 动态 NAT 策略

动态 NAT 策略

  • 优先级:在所有定义的策略中应用策略的顺序。优先级较低的策略在优先级较高的策略之前应用。
  • 方向:从虚拟接口或服务的角度来看,流量的流动方向。它可以是入站流量,也可以是出站流量。
  • 类型:要执行的动态 NAT 的类型、端口限制或对称。
  • 服务类型: 应用动态 NAT 策略的 SD-WAN 服务类型。本地和路由间域服务支持入站动态 NAT。本地、Internet、内部网和路由间域服务支持出站动态 NAT
  • 服务名称:选择与服务类型对应的已配置服务名称。
  • 内部区域:数据包必须来自的内防火墙区域匹配类型才能进行转换。
  • 外部区域:对于入站流量,请指定数据包必须来自的外部防火墙区域匹配类型才能进行转换。
  • 内部 IP 地址:满足匹配条件时必须转换为的内部 IP 地址和前缀。输入 “*” 表示任何内部 IP 地址。
  • 外部 IP 地址:如果满足匹配条件,则内部 IP 地址转换为的外部 IP 地址和前缀。对于使用 Internet 和内部网服务的出站流量,已配置的 WAN 链路 IP 地址将动态选择为外部 IP 地址。
  • 允许相关:允许与规则匹配的流量相关的流量。例如,如果存在与该策略相关的某种类型的错误,则 ICMP 重定向与该策略匹配的特定流相关。
  • IPSec 通过:允许翻译 IPsec (AH/ESP) 会话。
  • GRE/PPTP 通过:允许翻译 GRE/PPTP 会话。
  • 端口奇偶校验:如果启用,NAT 连接的外部端口将保持奇偶校验(即使内部端口是偶数,如果外部端口为奇数,则为奇数)。
  • 绑定响应程序路由:确保响应流量通过接收响应流量的同一服务发送,以避免非对称路由。

端口转发

具有端口转发功能的动态 NAT 允许您将特定流量转发到已定义的 IP 地址。这通常用于诸如 Web 服务器之类的主机内部。配置动态 NAT 后,您可以定义端口转发策略。配置用于 IP 地址转换的动态 NAT,并定义端口转发策略以将外部端口映射到内部端口。动态 NAT 端口转发通常用于允许远程主机连接到专用网络上的主机或服务器。有关更详细的用例,请参阅 Citrix SD-WAN 动态 NAT 说明

端口转发规则

  • 协议:TCP、UDP 或两者兼而有。
  • 外部端口:转发到内部端口的外部端口。
  • 内部 IP 地址:转发匹配数据包的内部地址。
  • 内端口:外部端口将被转发到的内部端口。
  • 片段:允许转发碎片数据包。
  • 日志时间间隔:记录与 syslog 服务器匹配策略的数据包数之间的秒钟。默认的日志间隔值为 0 表示没有日志记录。
  • 日志开始: 如果选择此选项,将为新流程创建一个新的日志条目。
  • 日志结束:删除流程时记录流程的数据。
  • :对与规则匹配的 TCP、UDP 和 ICMP 数据包执行 双向连接状态跟踪。此功能可阻止由于非对称路由或校验和失败、协议特定验证而看起来不合法的流。状态详细信息显示在 监视 > 防火墙 > 连接下。
  • 无跟踪:不对匹配规则的数据包执行双向连接状态跟踪。

每个端口转发规则都有一个父 NAT 规则。外部 IP 地址取自父 NAT 规则。

自动创建的动态 NAT 策略

在以下情况下,将自动创建互联网服务的动态 NAT 策略:

  • 在不受信任的接口(WAN 链接)上配置互联网服务。
  • 在单个 WAN 链路上启用所有路由域的互联网访问。有关更多详细信息,请参阅 配置防火墙分段
  • 在 SD-WAN 上配置 DNS 转发器或 DNS 代理。有关更多详细信息,请参阅 域名系统

监视

要监视动态 NAT,请导航到 控 > 防火墙统计 > 连接。对于连接,你可以看到 NAT 是否完成。

连接

要进一步查看内部 IP 地址到外部 IP 地址的映射,请单击 相关对象 下的 预路由 NAT或路由后NAT,或导航到监控>防火墙统计>NAT 策略

以下屏幕截图显示了对称类型的动态 NAT 规则及其相应的端口转发规则的统计信息。

NAT 策略

创建端口转发规则时,也会创建相应的防火墙规则。

防火墙规则

您可以通过导航到 监视 > 防火墙统计信息 > 筛选器策略来查看筛选器策略统计信息

筛选策略

日志

您可以在防火墙日志中查看与 NAT 相关的日志。要查看 NAT 的日志,请创建与 NAT 策略匹配的防火墙策略,并确保在防火墙筛选器上启用了日志记录。NAT 日志包含以下信息:

  • 日期和时间
  • 路由域
  • IP 协议
  • 源端口
  • 源 IP 地址
  • 转换后的 IP 地址
  • 转换后的端口
  • 目标 IP 地址
  • 目的端口

日志记录选项

要生成 NAT 日志,请导航到日志记录/监视 > 日志选项,选择 SDWAN_firewall.log,然后单击查看日志

查看日志

NAT 连接详细信息将显示在日志文件中。

NAT 日志详细信息

动态 NAT