NAT visão geral
Network Address Translation (NAT) é um mecanismo para traduzir o endereço IP de um computador ou grupo de computadores em um único endereço público quando os pacotes são enviados para a Internet. Com a tradução do endereço IP, apenas um endereço IP é divulgado para a rede externa. Como apenas um endereço IP é visível para o mundo externo, a NAT fornece segurança adicional e pode ter apenas um endereço público para toda a rede, em vez de ter vários endereços IP.
Introdução à NAT
Network Address Translation (NAT) é um método para modificar ou traduzir informações de endereço de rede nos headers de pacotes. Endereços de origem e destino em um pacote podem ser traduzidos. NAT pode incluir a tradução de números de porta e endereços IP.
NAT é descrito em RFC 1631 para resolver problemas de depleção de IP (versão 4). Desde então, NAT é uma ferramenta útil para firewalls, redirecionamento de tráfego, compartilhamento de carga, migrações de rede e assim por diante.
Os seguintes tipos de NAT são suportados em Juniper Networks dispositivos:
Estática NAT
Destino NAT
Fonte NAT
Os dispositivos da Série SRX realizam a busca de políticas e a busca de serviços com base na porta de destino traduzida.
Você pode usar o NAT Assistente para realizar a configuração NAT básica. Para realizar uma configuração mais avançada, use a interface J-Web ou a CLI.
A partir do Junos OS Release 19.3R1, dispositivos da série SRX5000 com placa SRX5K-SPC3, SRX4100, SRX4200 e instâncias vSRX têm suporte para recursos de NAT, como fonte NAT, destino NAT e NAT estática para tráfego IPv4 e IPv6 no modo PowerMode IPsec (PMI). O NAT64 não é suportado no modo PMI. Entretanto, o NAT64 funciona corretamente no modo normal, quando o PMI está ativado.
Veja também
Compreender NAT regras e conjuntos de regras
NAT de processamento na avaliação de NAT regras e regras. Um conjunto de regras determina a direção geral do tráfego a ser processado. Por exemplo, um conjunto de regras pode selecionar o tráfego de uma interface específica ou até uma zona específica. Um conjunto de regras pode conter várias regras. Uma vez que um conjunto de regras é encontrado que combina com tráfego específico, cada regra do conjunto de regras é avaliada para uma combinação. Cada regra da regra definida especifica ainda mais o tráfego a ser definido e a ação a ser tomada quando o tráfego bate com a regra.
Este tópico inclui as seguintes seções:
NAT regras
Um conjunto de regras especifica um conjunto geral de condições de correspondência para tráfego. Para a NAT estática e NAT destino, um conjunto de regras especifica uma das seguintes:
interface de origem
Zona de origem
Instância de roteamento de origem
Para conjuntos de NAT de origem, você configura as condições de origem e destino:
Interface de origem, zona ou instância de roteamento
Interface de destino, zona ou instância de roteamento
É possível que um pacote seja igual a mais de um conjunto de regras; neste caso, a regra definida com a combinação mais específica é usada. Uma combinação de interface é considerada mais específica do que uma combinação de zona, mais específica do que uma combinação de instâncias de roteamento. Se um pacote corresponder a um conjunto de NAT de destino que especifica uma zona de origem e um conjunto de regras de NAT de destino que especifica uma interface de origem, o conjunto de regras que especifica a interface de origem é a combinação mais específica.
A correspondência NAT de regras de origem é mais complexa, porque você especifica as condições de origem e destino em um conjunto de regras de NAT origem. No caso de um pacote atender a mais de uma das NAT de origem, o conjunto de regras selecionado é baseado nas seguintes condições de origem/destino (na ordem de prioridade):
Interface de origem/interface de destino
Interface de zona de origem/destino
Interface de destino/instância de roteamento de origem
Interface de origem/zona de destino
Zona de origem/zona de destino
Instância de roteamento de origem/zona de destino
Interface de origem/instância de roteamento de destino
Instância de roteamento de zona de origem/destino
Instância de roteamento de origem/instância de roteamento de destino
Por exemplo, você pode configurar o conjunto de regras A, que especifica uma interface de origem e uma zona de destino, e o conjunto de regras B, que especifica uma zona de origem e uma interface de destino. Se um pacote corresponder a ambos os conjuntos de regras, o conjunto de regras B será a combinação mais específica.
Você não pode especificar as mesmas condições de origem e destino dos conjuntos NAT de origem.
NAT regras
Uma vez encontrada uma regra que combina com o tráfego, cada regra do conjunto de regras é avaliada para obter uma combinação. NAT regras podem combinar com as seguintes informações de pacote:
Endereço de origem e destino
Porta de origem (apenas para fontes e NAT estática)
Porta de destino
A primeira regra do conjunto de regras que combina com o tráfego é usada. Se um pacote bate com uma regra definida durante o estabelecimento da sessão, o tráfego é processado de acordo com a ação especificada por essa regra.
Você pode usar a regra de origem show security nat e mostrar a regra de destino security nat e os comandos show security nat static rule para exibir o número de sessões para uma regra específica.
Processamento de regras
O NAT define a ordem na qual NAT regras são processadas. Durante o primeiro processamento de pacotes para um fluxo, NAT regras são aplicadas na seguinte ordem:
Regras NAT estáticas
Regras NAT destino
Olhada na rota
Olhar para a política de segurança
Mapeamento reverso de regras NAT estáticas
Regras NAT código fonte
A Figura 1 ilustra a ordem para NAT processamento de regras.
As NAT estáticas e NAT de destino são processadas antes da busca de políticas de rota e segurança. As NAT estáticas têm precedência sobre as regras NAT destino. O mapeamento reverso das NAT estáticas ocorre após a análise de políticas de roteamento e segurança e tem precedência sobre as regras de NAT origem. As NAT de origem são processadas após a análise de políticas de roteamento e segurança e após o mapeamento reverso das NAT estáticas.
A configuração de regras e conjuntos de regras é basicamente a mesma para cada tipo de NAT— origem, destino ou estática. Mas, como o destino e NAT estáticos são processados antes da busca da rota, você não pode especificar a instância da zona de destino, da interface ou do roteamento no conjunto de regras.
NAT de regras
A Tabela 1 fornece os requisitos NAT de capacidade das regras por dispositivo. O suporte à plataforma depende da versão do Junos OS em sua instalação.
NAT tipo de regra |
SRX100 |
SRX300 SRX320 |
SRX340 SRX345 |
SRX1500 |
SRX4100 SRX4200 |
SRX4600 |
SRX5400 SRX5600 SRX5800
|
|
|---|---|---|---|---|---|---|---|---|
Regra NAT fonte |
1024 |
1024 |
2048 |
8192 |
20,480 |
51,200 |
30,720 |
|
Regra NAT destino |
1024 |
1024 |
2048 |
8192 |
20,480 |
51,200 |
30,720 |
|
Regra NAT estática |
1024 |
1024 |
2048 |
8192 |
20,480 |
51,200 |
30,720 |
|
A restrição ao número de regras por conjunto de regras é uma limitação ampla para quantas regras um dispositivo pode suportar. Essa restrição é fornecida para ajudar você a planejar e configurar NAT regras básicas para o dispositivo.
Para o consumo de memória, não existe garantia de suporte a esses números (regra de origem ou conjunto de regras de origem máxima + regra de destino ou conjunto de regras + regra estática máxima ou conjunto de regras) ao mesmo tempo para dispositivos SRX3400, SRX3600, SRX5400, SRX5600 e SRX5800.
A Tabela 2 fornece o número máximo de regras e conjuntos de regras recomendados para SRX3400, SRX3600, SRX5400, SRX5600 e SRX5800 dispositivos. O suporte à plataforma depende da versão do Junos OS em sua instalação.
Objetos |
SRX3400 SRX3600 |
SRX4600 |
SRX5400 SRX5600 SRX5800 |
|---|---|---|---|
Conjuntos NAT regras totais por sistema |
20,480 |
51,200 |
30,720 |
Total NAT regras por conjunto de regras |
20,480 |
51,200 |
30,720 |