[Dr.WoW] [No.18] Source NAT-Parte 3

7 NAT Source en Escenario Multi-Egress.

Hemos aprendido implementaciones de NAT de varios tipos y parece que hemos entendido casi a su totalidad NAT. Sin embargo, en la configuración del mundo real, todavía podemos tener desafíos. Por ejemplo, en el escenario de egreso múltiple, ¿cómo configurar la NAT Source?

En el siguiente ejemplo, el firewall tiene dos enlaces ISP a Internet. Usaremos este ejemplo para ilustrar cómo configurar la fuente NAT. Si hay más enlaces ISP disponibles, el método de configuración es similar.

Como se muestra en la Figura 1-8, una empresa ha implementado un firewall en la salida de la red como la puerta de enlace que está conectada a Internet a través de los enlaces ISP1 e ISP2 para que las PC de la red privada puedan acceder a Internet.

Figura 1-8 Fuente de red NAT en el escenario de ISP dual.

En este escenario, un desafío importante para el firewall es seleccionar un enlace ISP al reenviar el tráfico destinado desde la red privada a Internet. Si el enlace ISP óptimo para un paquete es ISP1 pero el paquete se reenvía a través de ISP2, el desvío puede aumentar la latencia y deteriorar la experiencia del usuario.

Los enlaces ISP se pueden seleccionar según las direcciones de destino. En este caso, podemos configurar dos rutas predeterminadas o específicas de igual costo. Los enlaces ISP también se pueden seleccionar en función de las direcciones de origen. En este caso, podemos configurar el enrutamiento basado en políticas. Estos se describirán en detalle en el Capítulo 10 Selección de enlaces ISP.

Para NAT, los paquetes se envían a través de ISP1 o ISP2, independientemente del método de selección de ruta. Independientemente de qué enlace ISP se use, NAT está haciendo su trabajo siempre y cuando las direcciones privadas se traduzcan en una dirección pública antes de que se envíen los paquetes.

Por lo general, agregamos las interfaces conectadas a ISP1 e ISP2 a diferentes zonas de seguridad. Luego, configuramos las políticas NAT de origen entre la zona de seguridad (generalmente la zona Trust) donde reside la red privada y las zonas de seguridad de las dos interfaces conectadas a ISP1 e ISP2, como se muestra en la Figura 1-9.

Figura 1-9 Redes NAT en el escenario de ISP dual.

El siguiente ejemplo describe cómo configurar la fuente NAT en modo NAPT. En el ejemplo, las direcciones públicas asignadas por ISP1 son 1.1.1.10 a 1.1.1.12, y las de ISP2 son 2.2.2.10 a 2.2.2.12.

Agregar interfaces a las zonas de seguridad.

[FW] firewall zone trust

[FW-zone-trust] add interface GigabitEthernet1/0/1

[FW-zone-trust] quit

[FW] firewall zone name isp1

[FW-zone-isp1] set priority 10

[FW-zone-isp1] add interface GigabitEthernet1/0/2

[FW-zone-isp1] quit

[FW] firewall zone name isp2

[FW-zone-isp2] set priority 20

[FW-zone-isp2] add interface GigabitEthernet1/0/3

[FW-zone-isp2] quit

Configurar dos grupos de direcciones NAT.

[FW] nat address-group 1 1.1.1.10 1.1.1.12

[FW] nat address-group 2 2.2.2.10 2.2.2.12

Configure dos políticas de NAT basadas en la relación interzonal.

[FW] nat-policy interzone trust isp1 outbound

[FW-nat-policy-interzone-trust-isp1-outbound] policy 1

[FW-nat-policy-interzone-trust-isp1-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-nat-policy-interzone-trust-isp1-outbound-1] action source-nat

[FW-nat-policy-interzone-trust-isp1-outbound-1] address-group 1

[FW-nat-policy-interzone-trust-isp1-outbound-1] quit

[FW-nat-policy-interzone-trust-isp1-outbound] quit

[FW] nat-policy interzone trust isp2 outbound

[FW-nat-policy-interzone-trust-isp2-outbound] policy 1

[FW-nat-policy-interzone-trust-isp2-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-nat-policy-interzone-trust-isp2-outbound-1] action source-nat

[FW-nat-policy-interzone-trust-isp2-outbound-1] address-group 2

[FW-nat-policy-interzone-trust-isp2-outbound-1] quit

[FW-nat-policy-interzone-trust-isp2-outbound] quit

Configure dos políticas de seguridad basadas en la relación entre zonas.

[FW] policy interzone trust isp1 outbound

[FW-policy-interzone-trust-isp1-outbound] policy 1

[FW-policy-interzone-trust-isp1-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-policy-interzone-trust-isp1-outbound-1] action permit

[FW-policy-interzone-trust-isp1-outbound-1] quit

[FW-policy-interzone-trust-isp1-outbound] quit

[FW] policy interzone trust isp2 outbound

[FW-policy-interzone-trust-isp2-outbound] policy 1

[FW-policy-interzone-trust-isp2-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-policy-interzone-trust-isp2-outbound-1] action permit

[FW-policy-interzone-trust-isp2-outbound-1] quit

[FW-policy-interzone-trust-isp2-outbound] quit

Por supuesto, no te olvides de las rutas de agujero negro.

[FW] ip route-static 1.1.1.10 32 NULL 0

[FW] ip route-static 1.1.1.11 32 NULL 0

[FW] ip route-static 1.1.1.12 32 NULL 0

[FW] ip route-static 2.2.2.10 32 NULL 0

[FW] ip route-static 2.2.2.11 32 NULL 0

[FW] ip route-static 2.2.2.12 32 NULL 0\

Si agregamos las interfaces conectadas a ISP1 e ISP2 a la misma zona de seguridad, por ejemplo, la zona Untrust, las políticas de NAT no pueden distinguir los dos enlaces en función de la relación entre zonas. Para ayudarlo a comprender esto, proporcionamos una secuencia de comandos de configuración, en la que las políticas 1 y 2 de NAT están configuradas en la interzona Trust-to-Untrust.

#

nat-policy interzone trust untrust outbound

 policy 1

  action source-nat

  policy source 192.168.0.0 0.0.0.255

  address-group 1

policy 2

  action source-nat

  policy source 192.168.0.0 0.0.0.255

  address-group 2

#

La política 1 tiene una prioridad más alta que la política 2. Por lo tanto, todos los paquetes destinados desde la red privada a la política 1 de Internet coinciden y se reenvían a través del ISP1. La política 2 se ignora. Por lo tanto, debemos agregar las interfaces a diferentes zonas de seguridad y configurar políticas de NAT basadas en la relación entre zonas.

8 Resumen

Hemos estudiado a fondo varias implementaciones de NAT. Ahora vamos a compararlos uno al lado del otro, como se muestra en la Tabla 1-2.

Tabla 1-2 Comparación entre las implementaciones de NAT de origen admitidas por los firewalls de Huawei.

9 lecturas adicionales

Triplet NAT tiene un nombre científico: cono completo. Según RFC3489, el cono completo es uno de los cuatro tipos de métodos de mapeo de puertos en NAT. Los otros tres son: cono restringido, cono restringido de puerto y simétrico.

Para mejorar su comprensión, compararemos el modo de cono completo con el modo simétrico. Debido a que RFC3489 ha sido obsoleto por RFC5389, el cono restringido y el cono restringido de puerto no se discuten.

El cono completo NAT se ilustra en la Figura 1-10. La dirección pública y el puerto para los hosts en la red privada son estables en un período de tiempo después de la traducción de la dirección, independientemente de las direcciones de destino. Por lo tanto, los hosts en la red privada pueden usar el mismo triplete (dirección IP de origen, puerto de origen y protocolo) para acceder a los diferentes hosts en Internet. Los hosts en Internet también pueden iniciar el acceso a los hosts en la red privada utilizando el mismo triplete.

Figura 1-10 NAT de cono completo.

El NAT simétrico se ilustra en la Figura 1-11. Las direcciones de los hosts en la red privada se traducen en función de las direcciones de destino, y las direcciones públicas y los puertos varían. Los hosts en la red privada tienen tripletas diferentes (dirección IP de origen, puerto de origen y protocolo). Por lo tanto, solo los hosts en Internet que tienen puertos específicos pueden acceder a la red privada. Es decir, debe especificar los hosts y puertos de destino. La NAT simétrica también se llama quintuplet (dirección IP de origen, dirección IP de destino, puerto de origen, puerto de destino y protocolo) NAT. NAPT también es quintuplet NAT.

Figura 1-11 NAT simétrica