De acuerdo

Seguridad y acceso a la red: configuración NAT en diferentes escenarios

Última respuesta ag. 31, 2021 16:30:40 205 3 9 0 0

Hoy compartiré con ustedes la configuración de NAT en diferentes escenarios.

 

NAT estática


 

f1


Figura 1 NAT estática

 

En la figura anterior, OR es el router de salida, que conecta la PC de la intranet e Internet. Ahora las PC de la intranet necesitan acceder a Internet, y se implementa un mapeo de IP uno a uno estático en el router OR para permitir que la PC acceda a la red externa. La dirección de red pública asignada a la intranet PC 192.168.1.1 es 200.1.1.100.

 

La configuración del router OR es la siguiente (se omite la configuración de la dirección IP de la interfaz):

[OR] interface GigabitEthernet0/0/1
[OR-GigabitEthernet0/0/1] nat static global 200.1.1.100 inside 192.168.1.1
[OR] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2


En la configuración anterior, el comando nat static global 200.1.1.100 inside 192.168.1.1 es configurar la asignación de NAT estática, asignando la dirección IP de intranet 192.168.1.1 a 200.1.1.100. De esta manera, cuando un paquete con una dirección IP de origen 192.168.1.1 está listo para ser enviado desde la interfaz GE0 / 0/1 del OR, el router convierte la dirección a 200.1.1.100. Además, cuando un paquete con una dirección IP de destino 200.1.1.100 llega a la interfaz GE0 / 0/1 del router OR, la dirección IP de destino del paquete se convertirá a 192.168.1.1.

 

No PAT basado en grupos de direcciones dinámicas


 

f2

Figura 2 No PAT basada en grupos de direcciones dinámicas

 

En la figura anterior, OR es el router de salida, que conecta la PC de la intranet e Internet. Ahora los usuarios del segmento de red 192.168.1.0/24 de la intranet necesitan acceder a Internet. El rango de direcciones de red pública aplicado por el operador para esta red es 200.1.1.100-200.1.1.116. La configuración No-PAT basada en el grupo de direcciones se completa para que los usuarios de la intranet puedan acceder a Internet.

 

La configuración del router OR es la siguiente (se omite la configuración de la dirección IP de la interfaz):

# Defina el grupo de NAT, su identificador es 1 y el rango de direcciones de red pública incluidas en él es 200.1.1.100-200.1.1.116:

[OR] nat address-group 1 200.1.1.100 200.1.1.116

  

# Defina ACL2000 usado para hacer coincidir el segmento de dirección de red interna 192.168.1.0/24 que permite NAT:

[OR] acl 2000
[OR-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255

 

#Aplique No-PAT basado en el grupo de direcciones en la interfaz conectada a la red externa y vincule el paquete emparejado por ACL2000 con el grupo de direcciones NAT 1:

[OR] interface GigabitEthernet0/0/1
[OR-GigabitEthernet0/0/1] nat outbound 2000 address-group 1 no-pat
[OR] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2

 

NAPT basado en grupos de direcciones dinámicas


 

f3


Figura 3 NAPT basado en grupos de direcciones dinámicas

 

En la figura anterior, OR es el router de salida, que conecta la PC de la intranet e Internet. Ahora los usuarios del segmento 192.168.1.0/24 de la intranet necesitan acceder a Internet. El rango de direcciones públicas de la red del operador es 200.1.1.100-200.1.1.105. La configuración de NAPT basada en el grupo de direcciones se completa, de modo que los usuarios de la intranet puedan acceder a Internet.

 

La configuración del router de salida OR es la siguiente (se omite la configuración de la dirección IP de la interfaz):

[OR] nat address-group 1 200.1.1.100 200.1.1.105
[OR] acl 2000
[OR-acl-basic-2000] rule 5 permit source 192.168.1.0 0.0.0.255
[OR] interface GigabitEthernet0/0/1
[OR-GigabitEthernet0/0/1] nat outbound 2000 address-group 1
[OR] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2

 

En la traducción de la dirección de origen, la configuración de NAPT y No-PAT es muy diferente, por lo que debe prestar especial atención. Generalmente, hay muchas formas de utilizar NAPT en el proyecto. Después de todo, de esta manera puede darse cuenta del requisito de que varias direcciones IP de red privada compartan una dirección IP de red pública.


Servidor NAT


 

f4

 Figura 4 Servidor NAT


En la figura anterior, OR es el router de salida, que conecta el servidor de intranet e Internet. Hay un servidor WEB 192.168.1.100 en la intranet, y su puerto TCP80 necesita proporcionar servicios a Internet. La dirección de red pública que la red solicita al operador es 200.1.1.30. La configuración del servidor NAT se completa en el router para que los usuarios de Internet puedan acceder a 200.1.1.30:8080 para acceder a 192.168.1.100:80.

 

La configuración del router OR es la siguiente (se omite la configuración de la dirección IP de la interfaz):

[OR] interface OR-GigabitEthernet0/0/1
[OR-GigabitEthernet0/0/1] nat server protocol tcp global 200.1.1.30 8080 inside 192.168.1.100 80
[OR] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2

 

Saludos.

 

FIN.


También te puede interesar:

Conoce la función Media Access Control Security (MACsec) utilizado en switches de Huawei.

Descripción general del protocolo VCMP utilizado en swithces de la serie S de Huawei.

Ejemplo para configurar un servidor DHCP utilizando el simulador eNSP

Compilaciones sobre mejores prácticas para la tecnologia VXLAN en switches CloudEngine de Huawei


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de router de Huawei      

Foro de seguridad de Huawei

                                                          

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

 

 


  • x
  • Opciones:

Reshi
Publicado 2021-8-31 14:10:19
Muchas gracias por compartir tus conocimientos colega.
Ver más
  • x
  • Opciones:

Guaman
Publicado 2021-8-31 15:32:57
Muchas gracias
Ver más
  • x
  • Opciones:

Gilo88
Publicado 2021-8-31 16:30:40
Gracias por compartir.
Ver más
  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.