Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral do NAT

A tradução de endereços de rede (NAT) é um mecanismo para traduzir o endereço IP de um computador ou grupo de computadores em um único endereço público quando os pacotes são enviados para a internet. Ao traduzir o endereço IP, apenas um endereço IP é divulgado para a rede externa. Como apenas um endereço IP é visível para o mundo exterior, o NAT oferece segurança adicional e pode ter apenas um endereço público para toda a rede, em vez de ter vários endereços IP.

Introdução ao NAT

A tradução de endereços de rede (NAT) é um método para modificar ou traduzir informações de endereços de rede em cabeçalhos de pacotes. Tanto os endereços de origem quanto de destino em um pacote podem ser traduzidos. O NAT pode incluir a tradução de números de porta, bem como endereços IP.

O NAT é descrito no RFC 1631 para resolver problemas de esgotamento de IP (versão 4). Desde então, o NAT tem sido considerado uma ferramenta útil para firewalls, redirecionamento de tráfego, compartilhamento de carga, migrações de rede etc.

Os seguintes tipos de NAT são suportados em dispositivos da Juniper Networks:

  • NAT estático

  • NAT de destino

  • NAT de origem

Nota:

Os firewalls da Série SRX executam tanto a busca por políticas quanto a busca por serviços com base na porta de destino traduzida.

Você pode usar o NAT Wizard para realizar a configuração básica de NAT. Para realizar configurações mais avançadas, use a interface J-Web ou a CLI.

A partir do Junos OS Release 19.3R1, SRX5000 dispositivos de linha com placa SRX5K-SPC3, SRX4100, SRX4200 e instâncias de firewall virtual vSRX oferecem suporte a recursos NAT de origem, NAT de destino e NAT estático para tráfego IPv4 e IPv6 no modo PowerMode IPsec (PMI). O NAT64 não é suportado no modo PMI. No entanto, o NAT64 funciona corretamente no modo normal, quando o PMI está habilitado.

Entendendo os conjuntos e regras de regras do NAT

O processamento de NAT se concentra na avaliação de conjuntos e regras de regras de NAT. Um conjunto de regras determina a direção geral do tráfego a ser processado. Por exemplo, um conjunto de regras pode selecionar o tráfego de uma interface específica ou para uma zona específica. Um conjunto de regras pode conter várias regras. Quando um conjunto de regras é encontrado que corresponde a tráfego específico, cada regra no conjunto de regras é avaliada para uma correspondência. Cada regra no conjunto de regras especifica ainda mais o tráfego a ser combinado e a ação a ser tomada quando o tráfego corresponde à regra.

Este tópico inclui as seguintes seções:

Conjuntos de regras de NAT

Um conjunto de regras especifica um conjunto geral de condições de correspondência para o tráfego. Para NAT estático e NAT de destino, um conjunto de regras especifica um dos seguintes:

  • Interface de origem

  • Zona de origem

  • Instância de roteamento de origem

Para conjuntos de regras de NAT de origem, você configura as condições de origem e destino:

  • Interface de origem, zona ou instância de roteamento

  • Interface de destino, zona ou instância de roteamento

É possível que um pacote corresponda a mais de um conjunto de regras; neste caso, a regra definida com a correspondência mais específica é usada. Uma correspondência de interface é considerada mais específica do que uma correspondência de zona, que é mais específica do que uma instância de roteamento. Se um pacote corresponder a um conjunto de regras de NAT de destino que especifica uma zona de origem e um conjunto de regras de NAT de destino que especifica uma interface de origem, o conjunto de regras que especifica a interface de origem é a correspondência mais específica.

A correspondência do conjunto de regras de NAT de origem é mais complexa porque você especifica as condições de origem e destino em um conjunto de regras de NAT de origem. No caso de um pacote corresponde a mais de um conjunto de regras NAT de origem, o conjunto de regras escolhido é baseado nas seguintes condições de origem/destino (por ordem de prioridade):

  1. Interface de origem/interface de destino

  2. Interface de zona de origem/destino

  3. Instância de roteamento de origem/interface de destino

  4. Interface de origem/zona de destino

  5. Zona de origem/zona de destino

  6. Instância de roteamento de origem/zona de destino

  7. Instância de roteamento de interface/destino de origem

  8. Instância de roteamento de zona de origem/destino

  9. Instância de roteamento de origem/instância de roteamento de destino

Por exemplo, você pode configurar o conjunto de regras A, que especifica uma interface de origem e uma zona de destino, e definir B de regras, que especifica uma zona de origem e uma interface de destino. Se um pacote corresponder a ambos os conjuntos de regras, o conjunto de regras B é a combinação mais específica.

Nota:

Você não pode especificar as mesmas condições de origem e destino para conjuntos de regras de NAT de origem.

Regras do NAT

Uma vez que uma regra definida que corresponda ao tráfego foi encontrada, cada regra no conjunto de regras é avaliada para uma correspondência. As regras de NAT podem ser compatíveis com as seguintes informações de pacote:

  • Endereço de origem e destino

  • Porta de origem (apenas para NAT de origem e estática)

  • Porta de destino

A primeira regra do conjunto de regras que corresponde ao tráfego é usada. Se um pacote corresponde a uma regra em uma regra definida durante o estabelecimento da sessão, o tráfego é processado de acordo com a ação especificada por essa regra.

Você pode usar a regra de origem do nat de segurança do show e mostrar a regra de destino nat de segurança e os comandos de regra estática de segurança para visualizar o número de sessões para uma regra específica.

Processamento de regras

O tipo de NAT determina a ordem em que as regras de NAT são processadas. Durante o primeiro processamento de pacotes para um fluxo, as regras de NAT são aplicadas na seguinte ordem:

  1. Regras de NAT estáticas

  2. Regras de NAT de destino

  3. Busca por rotas

  4. Busca por políticas de segurança

  5. Mapeamento reverso das regras estáticas de NAT

  6. Regras de NAT de origem

A Figura 1 ilustra a ordem para o processamento de regras de NAT.

Figura 1: Processamento NAT Rule Processing de regras de NAT

As regras de NAT estática e NAT de destino são processadas antes da busca por políticas de rota e segurança. As regras de NAT estáticas têm precedência sobre as regras de NAT de destino. O mapeamento reverso das regras de NAT estáticas ocorre após a busca por políticas de rota e segurança e prevalece sobre as regras de NAT de origem. As regras de NAT de origem são processadas após a pesquisa da política de rota e segurança e após o mapeamento reverso das regras estáticas de NAT.

A configuração de regras e conjuntos de regras é basicamente a mesma para cada tipo de NAT — fonte, destino ou estático. No entanto, como tanto o NAT de destino quanto o estático são processados antes da busca da rota, você não pode especificar a zona de destino, interface ou instância de roteamento no conjunto de regras.

Capacidade de regra do NAT

A Tabela 1 fornece os requisitos de capacidade de regra de NAT por dispositivo. O suporte da plataforma depende da versão do Junos OS em sua instalação.

Tabela 1: Número de regras sobre firewall da Série SRX

Tipo de regra de NAT

SRX100

SRX300SRX320

SRX340SRX345

SRX1500

SRX1600

SRX2300

SRX4200 de SRX4100

SRX4600

SRX5800 de SRX5600 SRX5400

Regra de NAT de origem

1024

1024

2048

8192

8192

10,000

20,480

51,200

30,720

Regra de NAT de destino

1024

1024

2048

8192

8192

10,000

20,480

51,200

30,720

Regra de NAT estática

1024

1024

2048

8192

8192

10,000

20,480

51,200

30,720

A restrição ao número de regras por conjunto de regras é uma limitação em todo o dispositivo sobre quantas regras um dispositivo pode suportar. Essa restrição é fornecida para ajudar você a planejar e configurar melhor as regras de NAT para o dispositivo.

Para o consumo de memória, não há garantia de dar suporte a esses números (regra de origem ou regra máxima definida + regra ou regra de destino máximo + regra estática máxima ou definida por regras) ao mesmo tempo para dispositivos SRX3400, SRX3600, SRX5400, SRX5600 e SRX5800.

A Tabela 2 fornece o número máximo recomendado de regras e conjuntos de regras para dispositivos de SRX3400, SRX3600, SRX5400, SRX5600 e SRX5800. O suporte da plataforma depende da versão do Junos OS em sua instalação.

Tabela 2: Número de regras e conjuntos de regras

Objetos

SRX1600

SRX2300

SRX3600 SRX3400

SRX4600

SRX5800 SRX5600SRX5400

Conjunto total de regras de NAT por sistema

8192

10,000

20,480

51,200

30,720

Regras totais de NAT por conjunto de regras

8192

10,000

20,480

51,200

30,720