Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Visão geral do NAT

A tradução de endereços de rede (NAT) é um mecanismo para traduzir o endereço IP de um computador ou grupo de computadores em um único endereço público quando os pacotes são enviados para a Internet. Ao traduzir o endereço IP, apenas um endereço IP é divulgado para a rede externa. Como apenas um endereço IP é visível para o mundo exterior, o NAT oferece segurança adicional e pode ter apenas um endereço público para toda a rede, em vez de ter vários endereços IP.

Use o Feature Explorer para confirmar o suporte de plataforma e versão para recursos específicos. Plataformas adicionais podem ser suportadas.

Introdução ao NAT

A tradução de endereços de rede (NAT) é um método para modificar ou traduzir informações de endereços de rede em cabeçalhos de pacotes. Tanto os endereços de origem quanto de destino em um pacote podem ser traduzidos. O NAT pode incluir a tradução de números de porta, bem como endereços IP.

O NAT é descrito no RFC 1631 para resolver problemas de esgotamento de IP (versão 4). Desde então, o NAT tem sido considerado uma ferramenta útil para firewalls, redirecionamento de tráfego, compartilhamento de carga, migrações de rede etc.

Os seguintes tipos de NAT são suportados em dispositivos da Juniper Networks:

  • NAT estático

  • NAT de destino

  • NAT de origem

Os firewalls da Série SRX executam tanto a busca por políticas quanto a busca por serviços com base na porta de destino traduzida.

Você pode usar o NAT Wizard para realizar a configuração básica de NAT. Para realizar configurações mais avançadas, use a interface J-Web ou a CLI.

Veja também

Entendendo os conjuntos e regras de regras do NAT

O processamento de NAT se concentra na avaliação de conjuntos e regras de regras de NAT. Um conjunto de regras determina a direção geral do tráfego a ser processado. Por exemplo, um conjunto de regras pode selecionar o tráfego de uma interface específica ou para uma zona específica. Um conjunto de regras pode conter várias regras. Quando um conjunto de regras é encontrado que corresponde a tráfego específico, cada regra no conjunto de regras é avaliada para uma correspondência. Cada regra no conjunto de regras especifica ainda mais o tráfego a ser combinado e a ação a ser tomada quando o tráfego corresponde à regra.

Este tópico inclui as seguintes seções:

Conjuntos de regras de NAT

Um conjunto de regras especifica um conjunto geral de condições de correspondência para o tráfego. Para NAT estático e NAT de destino, um conjunto de regras especifica um dos seguintes:

  • Interface de origem

  • Zona de origem

  • Instância de roteamento de origem

Para conjuntos de regras de NAT de origem, você configura as condições de origem e destino:

  • Interface de origem, zona ou instância de roteamento

  • Interface de destino, zona ou instância de roteamento

É possível que um pacote corresponda a mais de um conjunto de regras; neste caso, a regra definida com a correspondência mais específica é usada. Uma correspondência de interface é considerada mais específica do que uma correspondência de zona, que é mais específica do que uma instância de roteamento. Se um pacote corresponder a um conjunto de regras de NAT de destino que especifica uma zona de origem e um conjunto de regras de NAT de destino que especifica uma interface de origem, o conjunto de regras que especifica a interface de origem é a correspondência mais específica.

A correspondência do conjunto de regras de NAT de origem é mais complexa porque você especifica as condições de origem e destino em um conjunto de regras de NAT de origem. No caso de um pacote corresponde a mais de um conjunto de regras NAT de origem, o conjunto de regras escolhido é baseado nas seguintes condições de origem/destino (por ordem de prioridade):

  1. Interface de origem/interface de destino

  2. Interface de zona de origem/destino

  3. Instância de roteamento de origem/interface de destino

  4. Interface de origem/zona de destino

  5. Zona de origem/zona de destino

  6. Instância de roteamento de origem/zona de destino

  7. Instância de roteamento de interface/destino de origem

  8. Instância de roteamento de zona de origem/destino

  9. Instância de roteamento de origem/instância de roteamento de destino

Por exemplo, você pode configurar o conjunto de regras A, que especifica uma interface de origem e uma zona de destino, e definir B de regras, que especifica uma zona de origem e uma interface de destino. Se um pacote corresponder a ambos os conjuntos de regras, o conjunto de regras B é a combinação mais específica.

Você não pode especificar as mesmas condições de origem e destino para conjuntos de regras de NAT de origem.

Regras do NAT

Uma vez que uma regra definida que corresponda ao tráfego foi encontrada, cada regra no conjunto de regras é avaliada para uma correspondência. As regras de NAT podem ser compatíveis com as seguintes informações de pacote:

  • Endereço de origem e destino

  • Porta de origem (apenas para NAT de origem e estática)

  • Porta de destino

A primeira regra do conjunto de regras que corresponde ao tráfego é usada. Se um pacote corresponde a uma regra em uma regra definida durante o estabelecimento da sessão, o tráfego é processado de acordo com a ação especificada por essa regra.

Você pode usar a regra de origem do nat de segurança do show e mostrar a regra de destino nat de segurança e os comandos de regra estática de segurança para visualizar o número de sessões para uma regra específica.

Processamento de regras

O tipo de NAT determina a ordem em que as regras de NAT são processadas. Durante o primeiro processamento de pacotes para um fluxo, as regras de NAT são aplicadas na seguinte ordem:

  1. Regras de NAT estáticas

  2. Regras de NAT de destino

  3. Busca por rotas

  4. Busca por políticas de segurança

  5. Mapeamento reverso das regras estáticas de NAT

  6. Regras de NAT de origem

A Figura 1 ilustra a ordem para o processamento de regras de NAT.

Figura 1: Processamento Flowchart showing packet processing in a network device focusing on NAT and policy checks: Static NAT, Destination NAT, Route/Zone Lookup, Reverse Static NAT, Policy Lookup, Source NAT, Permit Packet. de regras de NAT

As regras de NAT estática e NAT de destino são processadas antes da busca por políticas de rota e segurança. As regras de NAT estáticas têm precedência sobre as regras de NAT de destino. O mapeamento reverso das regras de NAT estáticas ocorre após a busca por políticas de rota e segurança e prevalece sobre as regras de NAT de origem. As regras de NAT de origem são processadas após a pesquisa da política de rota e segurança e após o mapeamento reverso das regras estáticas de NAT.

A configuração de regras e conjuntos de regras é basicamente a mesma para cada tipo de NAT — fonte, destino ou estático. No entanto, como tanto o NAT de destino quanto o estático são processados antes da busca da rota, você não pode especificar a zona de destino, interface ou instância de roteamento no conjunto de regras.

Capacidade de regra do NAT

O requisito de capacidade de regra do NAT depende do firewall da Série SRX e da versão do Junos OS.

A restrição ao número de regras por conjunto de regras é uma limitação em todo o dispositivo sobre quantas regras um dispositivo pode suportar. Essa restrição é fornecida para ajudar você a planejar e configurar melhor as regras de NAT para o dispositivo.

Para o consumo de memória, não há garantia de suporte a esses números (regra de origem ou regra máxima definida + regra ou regra de destino máximo + regra estática máxima ou definida por regra).

O requisito de capacidade de regra do NAT depende do firewall da Série SRX e da versão do Junos OS.

Use o Feature Explorer para confirmar o suporte de plataforma e versão para recursos específicos. Plataformas adicionais podem ser suportadas.

Consulte a seção informações adicionais da plataforma para obter mais informações.

Informações adicionais da plataforma

Use o Feature Explorer para confirmar o suporte de plataforma e versão para recursos específicos. Plataformas adicionais podem ser suportadas.

Tipo de regra de NAT

SRX300SRX320

SRX340SRX345

SRX1600 de SRX1500

SRX4200 SRX2300 SRX4100SRX4120

SRX5800 de SRX5400SRX5600 SRX5400SRX4600

SRX4700

Regra de NAT de origem

1024

2048

8192

20,480

30,720

51200

Regra de NAT de destino

1024

2048

8192

20,480

30,720

51200

Regra de NAT estática

1024

2048

8192

20,480

30,720

51200

Objetos

SRX2300 SRX1600, SRX4120

SRX5800 de SRX5600 SRX5400SRX4600

SRX4700

Conjunto total de regras de NAT por sistema

10,000

30,720

51200

Regras totais de NAT por conjunto de regras

10,000

30,720

51200
Número de IPs da plataforma suportados com OL
VSRX pequeno VSRX-2CPU-4G 1
SRX1600 2
SRX2300, SRX4120 16
SRX4300 16
vSRX XL VSRX-17CPU-32G 64
SRX4700 128
SRX5000 linha de dispositivos 128

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Soltar
Descrição
19.3R1
A partir do Junos OS Release 19.3R1, SRX5000 dispositivos de linha com placa SRX5K-SPC3, SRX4100, SRX4200 e instâncias de firewall virtual vSRX oferecem suporte a recursos NAT de origem, NAT de destino e NAT estático para tráfego IPv4 e IPv6 no modo PowerMode IPsec (PMI). O NAT64 não é suportado no modo PMI. No entanto, o NAT64 funciona corretamente no modo normal, quando o PMI está habilitado.