-
-
-
-
静态 NAT
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
静态 NAT
静态 NAT 是 SD-WAN 网络内部的私有 IP 地址或子网到 SD-WAN 网络外部的公有 IP 地址或子网的一对一映射。通过手动输入内部 IP 地址和必须转换到的外部 IP 地址来配置静态 NAT。您可以为本地、虚拟路径、Internet、内部网和路由间域服务配置静态 NAT。
入站和出站 NAT
连接的方向可以是内部到外部,也可以是外部到内部。创建 NAT 规则时,根据方向匹配类型将其应用于两个方向。
- 入站:对于在服务上接收的数据包,将转换源地址。转换服务上传输的数据包的目的地址。例如,互联网服务到局域网服务 — 对于接收的数据包(互联网到局域网),将转换源 IP 地址。对于传输的数据包(LAN 到互联网),将转换目的 IP 地址。
- 出站:对于在服务上接收的数据包,将转换目标地址。对于在服务上传输的数据包,将转换源地址。例如,局域网服务到互联网服务 — 对于传输的数据包(局域网到互联网),将转换源 IP 地址。对于接收的数据包(互联网到局域网),将转换目的 IP 地址。
区域派生
入站或出站流量的源和目标防火墙区域不应相同。如果源防火墙区域和目标防火墙区域相同,则不会对流量执行 NAT。
对于出站 NAT,外部区域将自动从服务派生。默认情况下,SD-WAN 上的每个服务都与一个区域相关联。例如,受信任的互联网链接上的 Internet 服务与受信任的互联网区域相关联。同样,对于入站 NAT,内部区域是从服务派生的。
对于虚拟路径服务 NAT 区域派生不会自动发生,您必须手动输入内部和外部区域。NAT 仅对属于这些区域的流量执行。无法为虚拟路径派生区域,因为虚拟路径子网中可能有多个区域。
配置静态 NAT 策略
要配置静态 NAT 策略,请在配置编辑器中导航到 连接 > 防火墙 > 静态 NAT 策略。
- 优先级:在所有定义的策略中应用策略的顺序。优先级较低的策略在优先级较高的策略之前应用。
- 方向:从虚拟接口或服务的角度来看,流量的流动方向。它可以是入站流量,也可以是出站流量。
- 服务类型: 应用 NAT 策略的 SD-WAN 服务类型。对于静态 NAT,支持的服务类型包括本地、虚拟路径、Internet、Intranet 和路由间域服务
- 服务名称: 选择与服务类型相对应的已配置服务名称。
- 内部区域:数据包必须来自的内防火墙区域匹配类型才能进行转换。
- 外部区域:数据包必须来自的外部防火墙区域匹配类型才能进行转换。
- 内部 IP 地址:满足匹配条件时必须转换为的内部 IP 地址和前缀。
- 外部 IP 地址:如果满足匹配条件,则内部 IP 地址转换为的外部 IP 地址和前缀。
- 绑定响应方路由: 确保响应流量通过接收响应流量的同一服务发送,以避免非对称路由。
- 代理 ARP:确保设备响应外部 IP 地址的本地 ARP 请求。
IPv6 互联网服务的静态 NAT 策略
Citrix SD-WAN 从 11.4.0 版开始支持 IPv6 互联网服务的静态 NAT 策略。IPv6 Internet 服务的静态 NAT 策略指定将内部网络前缀映射到外部网络前缀。所需的静态 NAT 策略的数量取决于内部网络的数量和外部网络(WAN 链路)的数量。如果有 M 个内部网络和 N 个 WAN 链路,则所需的静态 NAT 策略数为 M x N。
从 Citrix SD-WAN 11.4.0 版开始,在创建静态 NAT 策略时,您可以手动输入外部 IP 地址或 通过 PD 启用自动学习。启用 通过 PD 进行自动学习 后,Citrix SD-WAN 设备将通过 DHCPv6 前缀委派从上游委派路由器接收委派前缀。在 Citrix SD-WAN 11.4.0 版之前,外部 IP 地址是自动从服务派生的,因此无法选择手动输入外部 IP 地址。如果要将设备升级到 11.4.0 或更高版本,并且为 IPv6 Internet 服务配置了静态 NAT 策略,则必须手动更新这些策略。
配置示例
在以下拓扑中,Citrix SD-WAN 设备配置有 2 个内部网络和 2 个 WAN 链接:
- 内部网络 1 驻留在具有网络前缀 FD 01:0203:6561። /64 的企业路由域中
- 内部网络 2 驻留在 Wi-Fi 路由域中,网络前缀为 FD 01:0203:1265። /64
- 通过 WAN Link 1,SD-WAN 设备通过 DHCPv6 前缀委派、2 个委派前缀 2001:0 D 88:1261። /64 和 2001:0 D 88:1265። /64 从上游委派路由器接收。当来自内部网络的流量通过 WAN link 1 时,这两个委派的前缀将用作外部网络前缀。
- 通过 WAN Link 2,SD-WAN 设备通过 DHCPv6 前缀委派、2 个委派前缀 2001:DB 8:8585። /64 和 2001:DB 8:8599። /64 从上游委派路由器接收。当来自内部网络的流量通过 WAN link 2 时,这两个委派的前缀用作外部网络前缀。
在这种情况下,网络内有 M=2 和 N = 2 WAN 链路。因此,正确部署 IPv6 互联网服务所需的静态 NAT 策略数为 2 x 2 = 4。这 4 个静态 NAT 策略为以下各项指定了地址转换:
- 通过 WAN 链路 1 在网络 1 内部
- 在网络 1 内部通过 WAN 链路 2
- 通过 WAN 链路 1 在网络 2 内部
- 通过 WAN 链路 2 在网络 2 内部
要配置这些静态 NAT 策略,请在配置编辑器中导航到 连接 > 防火墙 > 静态 NAT 策略。
创建 NAT 策略时,请确保选择 服务类型 作为 互联网 ,将 IP 地址 类型选择为 IPv6。选择 WAN 链接,然后在 内部 IP 地址 字段中输入内部网络前缀(仅允许使用 /64 前缀)。在 外部 IP 地址 字段中,您可以手动输入外部网络前缀或选中 通过 PD 自动学习 复选框。
以下是在静态 NAT 策略中手动输入外部 IP 地址的示例。
如果选中 通过 PD 自动学习 复选框,请确保上游路由器支持 DHCPv6 前缀委派。Citrix SD-WAN 向上游委派路由器请求前缀,委派路由器会向 Citrix SD-WAN 使用前缀进行响应。Citrix SD-WAN 使用此委派前缀将内部 IP 地址转换为外部 IP 地址。
以下是启用 了通过 PD 自动学习 的示例,以便通过 DHCPv6 前缀委派获取外部网络前缀。
监视
要监控 NAT,请导航到 监 控 > 防火墙统计 > 连接。对于连接,你可以看到 NAT 是否完成。
要检查是否为任何 NAT 规则配置了通过 PD 自动学习,请导航到 配置 > 虚拟 WAN > 查看配置 ,然后从视 图 下拉列表中选择 防火墙 。通过 PD 自动学习 和 PD 前缀 ID 列显示详细信息。
要进一步查看内部 IP 地址到外部 IP 地址的映射,请单击 相关对象 下的 路由后 NAT ,或导航到 监控 > 防火墙统计 > NAT 策略。
以下屏幕截图显示了 IPv4 静态 NAT 策略中内部地址与外部地址的映射。
以下屏幕截图显示了 IPv6 静态 NAT 策略中内部地址与外部地址的映射。
日志
您可以在防火墙日志中查看与 NAT 相关的日志。要查看 NAT 的日志,请创建与 NAT 策略匹配的防火墙策略,并确保在防火墙筛选器上启用了日志记录。NAT 日志显示以下信息:
- 日期和时间
- 路由域
- IP 协议
- 源端口
- 源 IP 地址
- 转换后的 IP 地址
- 转换后的端口
- 目标 IP 地址
- 目的端口
要生成 NAT 日志,请导航到日志记录/监视 > 日志选项,选择 SDWAN_firewall.log,然后单击查看日志。
NAT 连接详细信息将显示在日志文件中。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.