Conociendo la modalidades de NAT en el origen en los firewalls de Huawei Destacado

81 0 3 0

¿Quién no ha tenido la necesidad de navegar en internet desde la oficina y simplemente no puedes? Bueno, esta situación tiene arreglo utilizando las tecnologías disponibles para accesar a internet sin poner en riesgo tu red de datos. Una de estas tecnologías es NAT en el origen y en los siguientes párrafos lo conocerás.

 

La modalidad de NAT en el origen traduce las direcciones de origen de los paquetes.


NAT en el origen traduce las direcciones IP privadas en direcciones IP públicas para que los usuarios de una intranet puedan usar direcciones IP públicas para acceder a Internet. La figura 1 muestra el proceso de traducción.


Figura 1. Mecanismo de NAT en el origen


145937ufy4x3xhg2tq2bxf.png?image.png


El FW muestra el proceso NAT en el origen cuando el host accede al servidor web.

1. Después de recibir los paquetes destinados de la red privada a Internet, el FW traduce las direcciones de origen privadas en direcciones de origen públicas.


2. Después de recibir los paquetes devueltos, el FW traduce las direcciones de destino públicas a direcciones de destino privadas.


En función de la acción de traducción desde el origen de los paquetes y si en esa traducción se modifica el puerto o no, el NAT en el origen tiene las siguientes opciones:


● Traducción de dirección de origen sin traducción de puerto (NAT No-PAT)


● Traducción de dirección de origen con traducción de puerto (NAPT, Smart NAT, Easy IP y Triple NAT)


NAT No-PAT

NAT No-Pat traduce solo las direcciones IP y asigna una dirección privada solo a una sola dirección pública. Este modo se aplica a situaciones en las que cada usuario de una red privada puede tener una dirección IP pública en el grupo de direcciones. La figura 2 muestra su mecanismo.

 

Figura 2. Mecanismo de NAT No-PAT


150021txolf27mo0lwg6ww.png?image.png


El FW muestra el proceso NAT No-PAT cuando el host accede al servidor web.


1. Después de que el host envíe un paquete al FW, el FW encuentra que el paquete necesita viajar desde la zona segura o trust  a la zona insegura o untrust y que el paquete coincide con una política de seguridad. El FW también encuentra que el paquete coincide con una política de NAT específica, de modo que se debe realizar la traducción de la dirección de NAT.


2. El FW reemplaza la dirección IP de origen del paquete con una dirección IP pública elegida del grupo de direcciones NAT y luego reenvía el paquete a la interfaz WAN. Al mismo tiempo, el FW agrega una entrada a las tablas de sesión y mapa del servidor.


3. El servidor web envía un paquete de respuesta destinado al host. El FW recibe la respuesta y busca en la tabla de sesión la entrada creada en 2. Luego, el FW traduce la dirección de destino en el paquete a la dirección IP del host según la entrada y reenvía el paquete al host a través de la intranet.


De esta manera, la traducción uno a uno se implementa en las direcciones IP privadas y públicas. Si se asignan todas las direcciones en el grupo de direcciones, no se puede realizar NAT para los hosts de la intranet restantes hasta que el grupo de direcciones tenga direcciones disponibles.


El FW genera una tabla de mapas de servidor que almacena las asignaciones entre las direcciones IP privadas del host y las direcciones IP públicas.


Las entradas de mapas de servidores de reenvío permiten una traducción rápida de direcciones cuando un usuario de una red privada accede a Internet, lo que mejora la eficiencia de procesamiento del FW.


Las entradas de retorno del mapa del servidor permiten la traducción de direcciones cuando un usuario de Internet accede de manera proactiva a un usuario de una red privada.


NAT No-Pat cae en:


Local No-PAT

La tabla de mapa del servidor generada por el NO-PAT local contiene parámetros de zona de seguridad. Solo los servidores en esta zona de seguridad pueden acceder al host de la intranet.


No-PAT global

La tabla de mapa del servidor generada por el NO-PAT global no contiene parámetros de zona de seguridad. Los servidores en todas las zonas de seguridad pueden acceder al host de la intranet.

 

De momento haremos una pausa aquí con respecto a este interesante tema y en las próximas publicaciones seguiremos explicando este tema.


FIN


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba