Conociendo las modalidades de NAT en el origen en los firewalls de Huawei segunda parte Destacado

84 0 3 0

Aquí estamos de nueva cuenta para revisar este interesante tema de NAT en el origen, en esta publicación seguimos revisando las diferentes modalidades que tienen para implementar esta tecnología.


NAPT

NAPT traduce tanto las direcciones IP como los puertos para permitir que varias direcciones privadas compartan una o varias direcciones públicas. NAPT se aplica a escenarios con algunas direcciones públicas pero muchos usuarios privados que necesitan acceder a Internet. La figura 1 muestra este mecanismo.


Figura 1. Mecanismo de NAPT


153252me0ehjk3pdzfnhb0.png?image.png


FW muestra el proceso NAPT cuando el host accede al servidor web.

1. Después de que el host envíe un paquete al FW, el FW encuentra que el paquete necesita viajar desde la zona segura o trust a la zona insegura o untrust y que el paquete coincide con una política de seguridad. El FW también encuentra que el paquete coincide con una política de NAT específica, de modo que se debe realizar la traducción de la dirección de NAT.


2. El FW reemplaza la dirección IP de origen original del paquete con una dirección IP pública seleccionada del grupo de direcciones NAT en función del resultado de hashing de la dirección IP de origen, reemplaza el puerto de origen con un nuevo puerto y luego envía el paquete a Internet. Al mismo tiempo, el firewall agrega una entrada a la tabla de sesión.


3. El servidor web envía un paquete de respuesta destinado al host. El FW recibe la respuesta y busca en la tabla de sesión la entrada creada en 2. El FW traduce la dirección de destino del paquete en la dirección IP del host y el número de puerto de destino en el número de puerto privado según la entrada. El FW luego reenvía el paquete al host a través de la intranet.


Como se traducen tanto las direcciones como los puertos, varios usuarios privados pueden compartir una dirección pública para acceder a Internet. El FW puede distinguir a los usuarios en función de los puertos, por lo que más usuarios pueden acceder a Internet al mismo tiempo. Tenga en cuenta que NAPT no genera entradas de mapa de servidor. Esto es diferente de NAT No-PAT.


SMART NAT

Smart NAT es complementario a No-PAT. Smart NAT es un modo en el que se reserva una dirección IP para NAPT en modo No-PAT.


Smart NAT se aplica a los escenarios en los que cada usuario de una red privada generalmente puede tener una dirección IP pública en el grupo de direcciones, pero en ocasiones las direcciones públicas son insuficientes

.

En el modo No-PAT, se realiza la traducción de direcciones uno a uno. A medida que aumenta el número de usuarios de la intranet, es posible que el número de direcciones en el grupo de direcciones ya no cumpla con los requisitos de acceso a Internet de los usuarios. Como resultado, ciertos usuarios no pueden acceder a Internet. En este caso, las direcciones IP reservadas se pueden usar para NAPT para que los usuarios puedan acceder a Internet. La figura 2 muestra su mecanismo.


Figura 2. Mecanismo de Smart NAT


153401vg9bmtk0btrdfrvn.png?image.png


Cuando varios hosts en la intranet acceden simultáneamente al servidor, el proceso es el siguiente:

1. Después de recibir un paquete de la intranet, el FW primero verifica la dirección IP de destino, identificando que el paquete está destinado a la zona insegura o untrust desde la zona segura o trust. Si el paquete está permitido por una política de seguridad interzonal, el FW busca una política de NAT coincidente y luego descubre que se requiere la traducción de la dirección.


2. Si el grupo de direcciones NAT tiene direcciones públicas disponibles, el FW reemplaza la dirección IP de origen del paquete con dicha dirección IP pública y luego reenvía el paquete al servidor. Al mismo tiempo, el FW agrega una entrada en la tabla de sesión.


. Si el grupo de direcciones NAT no tiene direcciones públicas disponibles, el FW reemplaza la dirección IP de origen del paquete con la dirección NAPT reservada, reemplaza el puerto de origen con un nuevo puerto y luego reenvía el paquete a Internet. Al mismo tiempo, el FW agrega una entrada a la tabla de sesión.


En este modo, el FW utiliza preferentemente el modo No-PAT. Una vez que se agotan las direcciones públicas disponibles para No-PAT, la dirección IP reservada se utiliza para NAPT para las conexiones de usuario posteriores.


De momento haremos una pausa aquí con respecto a este interesante tema y en las próximas publicaciones seguiremos explicando esta tecnología.


FIN


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba