Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de NAT

La traducción de direcciones de red (NAT) es un mecanismo para traducir la dirección IP de un equipo o grupo de equipos en una única dirección pública cuando los paquetes se envían a Internet. Al traducir la dirección IP, solo se publica una dirección IP a la red externa. Dado que solo una dirección IP es visible para el mundo exterior, NAT proporciona seguridad adicional y puede tener solo una dirección pública para toda la red en lugar de tener varias direcciones IP.

Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas. Es posible que se admitan plataformas adicionales .

Introducción a NAT

La traducción de direcciones de red (NAT) es un método para modificar o traducir la información de direcciones de red en encabezados de paquete. Es posible que se traduzca una o ambas direcciones de origen y destino de un paquete. NAT puede incluir la traducción de números de puerto, así como direcciones IP.

NAT se describe en RFC 1631 para resolver problemas de agotamiento de direcciones IP (versión 4). Desde entonces, se ha descubierto que NAT es una herramienta útil para firewalls, redireccionamiento de tráfico, uso compartido de carga, migraciones de red, etc.

Los siguientes tipos de NAT son compatibles con los dispositivos de Juniper Networks:

  • NAT estática

  • TDR de destino

  • TDR de origen

Los firewalls de la serie SRX realizan búsquedas de políticas y de servicio basadas en el puerto de destino traducido.

Puede utilizar el Asistente para NAT para realizar la configuración básica de NAT. Para realizar una configuración más avanzada, utilice la interfaz J-Web o la CLI.

Ver también

Descripción de los conjuntos de reglas y reglas NAT

El procesamiento de NAT se centra en la evaluación de conjuntos de reglas y reglas NAT. Un conjunto de reglas determina la dirección general del tráfico que se va a procesar. Por ejemplo, un conjunto de reglas puede seleccionar tráfico desde una interfaz determinada o hacia una zona específica. Un conjunto de reglas puede contener varias reglas. Una vez que se encuentra un conjunto de reglas que coincide con un tráfico específico, cada regla del conjunto de reglas se evalúa para una coincidencia. Cada regla del conjunto de reglas especifica además el tráfico que se debe emparejar y la acción que se debe realizar cuando el tráfico coincide con la regla.

En este tema se incluyen las siguientes secciones:

Conjuntos de reglas NAT

Un conjunto de reglas especifica un conjunto general de condiciones coincidentes para el tráfico. Para NAT estática y NAT de destino, un conjunto de reglas especifica una de las siguientes opciones:

  • Interfaz de origen

  • Zona de origen

  • Instancia de enrutamiento de origen

Para los conjuntos de reglas NAT de origen, puede configurar las condiciones de origen y destino:

  • Interfaz de origen, zona o instancia de enrutamiento

  • Interfaz de destino, zona o instancia de enrutamiento

Es posible que un paquete coincida con más de un conjunto de reglas; En este caso, se utiliza el conjunto de reglas con la coincidencia más específica. Una coincidencia de interfaz se considera más específica que una coincidencia de zona, que es más específica que una coincidencia de instancia de enrutamiento. Si un paquete coincide con un conjunto de reglas NAT de destino que especifica una zona de origen y un conjunto de reglas NAT de destino que especifica una interfaz de origen, el conjunto de reglas que especifica la interfaz de origen es la coincidencia más específica.

La coincidencia del conjunto de reglas NAT de origen es más compleja porque se especifican condiciones de origen y destino en un conjunto de reglas NAT de origen. En el caso de que un paquete coincida con más de un conjunto de reglas NAT de origen, el conjunto de reglas elegido se basa en las siguientes condiciones de origen/destino (en orden de prioridad):

  1. Interfaz de origen/interfaz de destino

  2. Zona de origen/interfaz de destino

  3. Instancia de enrutamiento de origen/interfaz de destino

  4. Interfaz de origen/zona de destino

  5. Zona de origen/zona de destino

  6. Instancia de enrutamiento de origen/zona de destino

  7. Interfaz de origen/instancia de enrutamiento de destino

  8. Instancia de enrutamiento de zona de origen/destino

  9. Instancia de enrutamiento de origen/instancia de enrutamiento de destino

Por ejemplo, puede configurar el conjunto de reglas A, que especifica una interfaz de origen y una zona de destino, y el conjunto de reglas B, que especifica una zona de origen y una interfaz de destino. Si un paquete coincide con ambos conjuntos de reglas, el conjunto de reglas B es la coincidencia más específica.

No puede especificar las mismas condiciones de origen y destino para los conjuntos de reglas NAT de origen.

Reglas NAT

Una vez que se ha encontrado un conjunto de reglas que coincide con el tráfico, cada regla del conjunto de reglas se evalúa para una coincidencia. Las reglas NAT pueden coincidir en la siguiente información del paquete:

  • Dirección de origen y destino

  • Puerto de origen (solo para NAT estática y de origen)

  • Puerto de destino

Se usa la primera regla del conjunto de reglas que coincida con el tráfico. Si un paquete coincide con una regla de un conjunto de reglas durante el establecimiento de la sesión, el tráfico se procesa de acuerdo con la acción especificada por esa regla.

Puede usar la regla show security nat source rule y show security nat destination rule y los comandos show security nat static rule para ver el número de sesiones de una regla específica.

Procesamiento de reglas

El tipo NAT determina el orden en que se procesan las reglas NAT. Durante el primer procesamiento de paquetes para un flujo, las reglas NAT se aplican en el siguiente orden:

  1. Reglas NAT estáticas

  2. Reglas de NAT de destino

  3. Búsqueda de rutas

  4. Búsqueda de políticas de seguridad

  5. Mapeo inverso de reglas NAT estáticas

  6. Reglas NAT de origen

La figura 1 ilustra el orden para el procesamiento de reglas NAT.

Figura 1: Procesamiento de Flowchart showing packet processing in a network device focusing on NAT and policy checks: Static NAT, Destination NAT, Route/Zone Lookup, Reverse Static NAT, Policy Lookup, Source NAT, Permit Packet. reglas NAT

Las reglas NAT estáticas y NAT de destino se procesan antes de la búsqueda de rutas y políticas de seguridad. Las reglas NAT estáticas tienen prioridad sobre las reglas NAT de destino. La asignación inversa de reglas NAT estáticas tiene lugar después de la búsqueda de la ruta y la política de seguridad, y tiene prioridad sobre las reglas NAT de origen. Las reglas NAT de origen se procesan después de la búsqueda de políticas de seguridad y ruta, y después de la asignación inversa de reglas NAT estáticas.

La configuración de reglas y conjuntos de reglas es básicamente la misma para cada tipo de NAT: origen, destino o estática. Pero dado que tanto la NAT de destino como la estática se procesan antes de la búsqueda de ruta, no puede especificar la zona de destino, la interfaz o la instancia de enrutamiento en el conjunto de reglas.

Capacidad de la regla NAT

El requisito de capacidad de la regla NAT depende del firewall de la serie SRX y de la versión de Junos OS.

La restricción en el número de reglas por conjunto de reglas es una limitación de todo el dispositivo sobre cuántas reglas puede admitir un dispositivo. Esta restricción se proporciona para ayudarle a planificar y configurar mejor las reglas NAT para el dispositivo.

Para el consumo de memoria, no hay garantía de admitir estos números (regla de origen máxima o conjunto de reglas + regla de destino máximo o conjunto de reglas + regla estática máxima o conjunto de reglas).

El requisito de capacidad de la regla NAT depende del firewall de la serie SRX y de la versión de Junos OS.

Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas. Es posible que se admitan plataformas adicionales.

Consulte la sección Información adicional de la plataforma para obtener más información.

Información adicional de la plataforma

Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas. Es posible que se admitan plataformas adicionales.

Tipo de regla NAT

SRX300SRX320

SRX340SRX345

SRX1500 SRX1600

SRX2300, SRX4120SRX4100SRX4200

SRX4600 SRX5400SRX5600SRX5800

SRX4700

Regla NAT de origen

1024

2048

8192

20,480

30,720

51200

Regla NAT de destino

1024

2048

8192

20,480

30,720

51200

Regla NAT estática

1024

2048

8192

20,480

30,720

51200

Objetos

SRX1600 SRX2300, SRX4120

SRX4600 SRX5400SRX5600SRX5800

SRX4700

Total de conjuntos de reglas NAT por sistema

10,000

30,720

51200

Total de reglas NAT por conjunto de reglas

10,000

30,720

51200
Plataforma Número de direcciones IP admitidas con OL
vSRX pequeño VSRX-2CPU-4G 1
SRX1600 2
SRX2300, SRX4120 16
SRX4300 16
vSRX XL VSRX-17CPU-32G 64
SRX4700 128
SRX5000 línea de dispositivos 128

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
19.3R1
A partir de Junos OS versión 19.3R1, los dispositivos de línea SRX5000 con tarjeta SRX5K-SPC3, SRX4100, SRX4200 e instancias de firewall virtual vSRX admiten funciones NAT como NAT de origen, NAT de destino y NAT estática para tráfico IPv4 e IPv6 en modo PowerMode IPsec (PMI). NAT64 no se admite en modo PMI. Sin embargo, NAT64 funciona correctamente en modo normal, cuando PMI está habilitado.