Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

NAT-Richtlinien – Übersicht

Network Address Translation (NAT) ist eine Form der Netzwerkmassierung, bei der Sie Geräte oder Standorte zwischen Zonen oder Schnittstellen ausblenden können. Eine vertrauenswürdige Zone ist ein Segment eines Netzwerks, auf dem Sicherheitsmaßnahmen angewendet werden. Sie wird in der Regel dem internen LAN zugewiesen. Ein Beispiel für eine nicht vertrauenswürdige Zone ist das Internet. NAT ändert die IP-Adressen der Pakete, die zwischen der vertrauenswürdigen und nicht vertrauenswürdigen Zone bewegt werden.

Wenn ein Paket ein NAT-Gerät verlässt (bei der Übertragung vom internen LAN zum externen WAN), führt das Gerät eine Übersetzung der IP-Adresse des Pakets durch, indem es es mit einer IP-Adresse umschreibt, die für die externe Verwendung angegeben wurde. Nach der Übersetzung scheint das Paket vom Gateway und nicht vom ursprünglichen Gerät innerhalb des Netzwerks stammen. Bei diesem Prozess werden Ihre internen IP-Adressen vor den anderen Netzwerken verborgen und Ihr Netzwerk geschützt.

Durch die Verwendung von NAT können Sie auch mehr interne IP-Adressen verwenden. Da diese IP-Adressen ausgeblendet sind, besteht kein Konfliktrisiko mit einer IP-Adresse aus einem anderen Netzwerk. Dies hilft Ihnen, IP-Adressen zu erhalten.

CSO unterstützt drei Arten von NAT:

  • Quell-NAT: Übersetzt die Quell-IP-Adresse eines Pakets, das eine Trust Zone verlässt (ausgehender Datenverkehr). Es übersetzt den Datenverkehr, der vom Gerät in der Vertrauenszone stammt. Die Quell-IP-Adresse des Datenverkehrs (bei der es sich um eine private IP-Adresse handelt) wird in eine öffentliche IP-Adresse übersetzt, auf die von dem in der NAT-Regel angegebenen Zielgerät zugegriffen werden kann. Die Ziel-IP-Adresse wird nicht übersetzt.

    Die folgenden Anwendungsfälle zeigen die Unterstützung für Quell-NAT-Übersetzung zwischen IPv6- und IPv4-Adressdomänen:

    • Übersetzung von einem IPv6-Subnetz in ein anderes IPv6-Subnetz ohne Network Address Port Translation (NAPT), auch bekannt als Port Address Translation (PAT).

    • Übersetzung von IPv4-Adressen in IPv6-Präfixe zusammen mit IPv4-Adressübersetzung.

    • Übersetzung von IPv6-Hosts auf IPv6-Hosts mit oder ohne NAPT.

    • Übersetzung von IPv6-Hosts auf IPv4-Hosts mit oder ohne NAPT.

    • Übersetzung von IPv4-Hosts auf IPv6-Hosts mit oder ohne NAPT.

  • Ziel-NAT: Übersetzt die Ziel-IP-Adresse eines Pakets. Mithilfe von Ziel-NAT kann ein externes Gerät Pakete an ein verstecktes internes Gerät senden. Nehmen wir als Beispiel den Fall eines Webservers hinter einem NAT-Gerät. Der Datenverkehr an die WAN-gerichtete öffentliche IP-Adresse (die Ziel-IP-Adresse) wird in die private IP-Adresse des internen Webservers übersetzt.

    Die folgenden Anwendungsfälle zeigen die Unterstützung für Ziel-NAT-Übersetzung zwischen IPv6- und IPv4-Adressdomänen:

    • Zuordnung eines IPv6-Subnetzes zu einem anderen IPv6-Subnetz

    • Zuordnung zwischen einem IPv6-Host und einem anderen IPv6-Host

    • Zuordnung eines IPv6-Hosts (und optionaler Portnummer) zu einem anderen speziellen IPv6-Host (und optionaler Portnummer)

    • Zuordnung eines IPv6-Hosts (und optionaler Portnummer) zu einem anderen speziellen IPv4-Host (und optionaler Portnummer)

    • Zuordnung eines IPv4-Hosts (und optionaler Portnummer) zu einem anderen speziellen IPv6-Host (und optionaler Portnummer)

  • Statische NAT: Übersetzt immer eine private IP-Adresse in dieselbe öffentliche IP-Adresse. Es übersetzt Datenverkehr von beiden Seiten des Netzwerks (sowohl Quelle als auch Ziel). Beispielsweise kann ein Webserver mit einer privaten IP-Adresse mithilfe einer statischen One-to-One-Adressübersetzung auf das Internet zugreifen. In diesem Fall wird der ausgehende Datenverkehr vom Webserver einer Quell-NAT-Übersetzung unterzogen, und der eingehende Datenverkehr an den Webserver wird der Ziel-NAT-Übersetzung unterzogen.

    Die folgenden Anwendungsfälle zeigen die Unterstützung für statische NAT-Übersetzungen zwischen IPv6- und IPv4-Adressdomänen:

    • Zuordnung eines IPv6-Subnetzes zu einem anderen IPv6-Subnetz.

    • Zuordnung zwischen einem IPv6-Host und einem anderen IPv6-Host.

    • Zuordnung zwischen IPv4-Adresse a.b.c.d und IPv6-Adresse Prefix::a.b.c.d.

    • Zuordnung zwischen IPv4-Hosts und IPv6-Hosts.

    • Zuordnung zwischen IPv6-Hosts und IPv4-Hosts.

CSO unterstützt auch persistente NAT, bei denen Adressübersetzungen nach dem Ende einer Sitzung für eine konfigurierbare Zeit in der Datenbank verwaltet werden.

Tabelle 1 zeigt die persistente NAT-Unterstützung für verschiedene Quell-NAT- und Ziel-NAT-Adressen.

Tabelle 1: Unterstützung für persistente NAT

Quell-NAT-Adresse

Übersetzte Adresse

Ziel-NAT

Adresse

Persistente NAT

IPv4

IPv6

IPv4

Nein

IPv4

IPv6

IPv6

Nein

IPv6

IPv4

IPv4

Ja

IPv6

IPv6

IPv6

Nein

Tabelle 2 und Tabelle 3 zeigen die übersetzte Adresspoolauswahl für Quell-NAT-, Ziel-NAT- und statische NAT-Adressen.

Tabelle 2: Übersetzte Adresspoolauswahl für Quell-NAT

Quell-NAT-Adresse

Zieladresse

Pool-Adresse

IPv4

IPv4

IPv4

IPv4

IPv6 – Subnetz muss größer als 96 sein

IPv6

IPv6

IPv4

IPv4

IPv6

IPv6

IPv6
Tabelle 3: Übersetzte Adresspoolauswahl für Ziel-NAT und statische NAT

Quell-NAT-Adresse

Zieladresse

Pool-Adresse

IPv4

IPv4

IPv4 oder IPv6

IPv4

IPv6 – Subnetz muss größer als 96 sein

IPv4 oder IPv6

IPv6

IPv4

IPv4

IPv6

IPv6

IPv4 oder IPv6
Hinweis:

  • Für Quell-NAT ist das Proxy Neighbor Discovery Protocol (NDP) für NAT-Pool-Adressen verfügbar. Für Ziel-NAT und statische NAT ist die Proxy-NDP für Ziel-NAT-Adressen verfügbar.

  • Ein NAT-Pool kann ein einzelnes IPv6-Subnetz oder mehrere IPv6-Hosts haben.

  • Sie können den Überlaufpool nicht konfigurieren, wenn der Adresstyp IPv6 ist.

  • NAT-Pools erlauben Adresseinträge nur eines Versionstyps: IPv4 oder IPv6.

Ähnliche Dokumentation