[No.18] Source NAT-parte 1

Pubilicado 2019-1-11 17:46:25 47 0 0 0

1 Fuente de mecanismo NAT

 

Cuando se inventó Internet, nadie pensó que podría crecer tan rápido como para ser generalizado en nuestras vidas en tan solo 20 años. Por lo tanto, están surgiendo los problemas que no se consideraron durante la invención de Internet. Por ejemplo, las direcciones IPv4 son agotadoras. Mientras buscan alternativas, las personas también están utilizando tecnologías que pueden aliviar el agotamiento de las direcciones IPv4, y la tecnología más común es la traducción de direcciones de red (NAT). Una gran cantidad de implementaciones de NAT están ahí fuera. El más común es la fuente NAT.

 

El NAT de origen traduce las direcciones IP de origen privado en direcciones IP de origen público. Con NAT de origen, los usuarios en una intranet pueden acceder a Internet desde sus direcciones privadas para usar las direcciones IP públicas de manera más eficiente.

 

El proceso de la fuente NAT se muestra en la Figura 1-1. Al recibir los paquetes destinados desde la red privada a Internet, el firewall traduce las direcciones de origen privadas en direcciones públicas. Al recibir los paquetes devueltos, el firewall traduce las direcciones de destino públicas a direcciones de destino privadas. Todo el proceso de NAT es transparente para los usuarios de la red privada y los hosts en Internet.

 

Figura 1-1 Proceso de NAT de origen

074141jtn7yztvnavvwaxn.png

Antes de pasar a características similares y diferentes de las implementaciones de NAT, introduzcamos el concepto de agrupación de direcciones NAT. El grupo de direcciones NAT es un grupo o contenedor donde colocamos las direcciones IP. Durante la traducción de la dirección, el firewall traduce la dirección privada a una dirección pública seleccionada del grupo. La dirección pública se selecciona al azar y no tiene nada que ver con el tiempo de configuración o el valor de las direcciones IP.

 

El siguiente comando se usa para configurar un grupo de direcciones NAT en la serie USG2000 / 5000. El grupo de direcciones NAT tiene cuatro direcciones IP públicas. Usaremos el USG2000 / 5000 como ejemplo en la configuración del conjunto de direcciones NAT a partir de entonces a menos que se especifique lo contrario.

 

[FW] grupo de direcciones nat 202.1.1.2 202.1.1.5

 

Un conjunto de direcciones NAT configurado puede ser referenciado por las políticas de NAT. En la serie de firewall USG2000 / 5000, las políticas de NAT son similares a las políticas de seguridad. Todos contienen condiciones y acciones. La diferencia es que la acción en una política NAT es fuente NAT o no-NAT. Si la acción es NAT de origen, se debe hacer referencia a un grupo de direcciones NAT, como se muestra en la Figura 1-2. Usaremos el USG2000 / 5000 como ejemplo en la configuración de la política de NAT a partir de entonces, a menos que se especifique lo contrario.

 

Figura 1-2 política de NAT


074155e5590qw0w6wipqqw.png

Si un paquete coincide con una política de NAT, la política de NAT se implementa y las políticas de NAT restantes se ignoran. Si un paquete no coincide con una política de NAT, el paquete se compara con la siguiente política de NAT.

 

La configuración de múltiples políticas de NAT proporciona flexibilidad. Por ejemplo, el grupo de usuarios 1 (192.168.0.2-192.168.0.5) y el grupo de usuarios 2 (192.168.0.6-192.168.0.10) pueden usar diferentes direcciones IP públicas para acceder a Internet. Esto no se puede hacer si colocamos las dos direcciones IP públicas en el mismo grupo de direcciones NAT porque las direcciones IP públicas se seleccionan al azar.

 

En su lugar, podemos colocar las dos direcciones IP en diferentes grupos de direcciones NAT y configurar dos políticas NAT. Una política de NAT permite que el grupo de usuarios 1 use el grupo de direcciones de NAT 1, y la otra permite que el grupo de usuarios 2 use el grupo de direcciones de NAT 2. Luego, los dos grupos de usuarios pueden usar diferentes direcciones IP públicas para acceder a Internet.

 

La Tabla 1-1 enumera las implementaciones NAT de origen compatible con los cortafuegos de Huawei.

 

Tabla 1-1 Implementaciones de NAT de origen compatibles con los firewalls de Huawei

Source NAT    Implementation

Description

Application    Scenario

NAT No-PAT

Only IP addresses are translated, and ports are   not translated.

The number of available public IP addresses is   almost the same as the private network users who need Internet access.

NAPT

Both addresses and ports are translated.

The number of private network users is larger   than that of available public addresses.

Egress interface address mode (also called   easy-IP)

Both IP addresses and ports are translated, but   the public address can only be the IP address of the egress interface.

Only one public IP address is available, and the   public IP address is dynamically obtained on the egress interface.

Smart NAT

One address in an address pool is reserved for   NAPT, and other addresses in the address pool are used for NAT No-PAT.

Usually, each private network user can have a   public IP address in the address pool, but occasionally, public addresses are   not sufficient and NAPT must be implemented so that multiple users can share   the same public IP address.

Triplet NAT

The mappings between private IP address/port and   public IP address/port are fixed instead of being random.

Users on the Internet initiate access to users on   the private network. This is the case in P2P service.

 

Cada una de las implementaciones de NAT tiene sus propios méritos y deméritos. Vamos a adentrarnos más en ellos.

 

2 NAT No-PAT

 

"No-PAT" significa que las direcciones de puerto no se traducen y las direcciones públicas no pueden ser compartidas por más de un usuario de dirección de red privada. Por lo tanto, NAT No-PAT es una traducción de dirección uno a uno. La Figura 1-3 muestra un ejemplo de configuración NAT No-PAT. En este ejemplo, el servidor de seguridad y el servidor web son accesibles entre sí.

 

Figura 1-3 Redes NAT No-PAT

074218tk28hptmuxx4lggl.png

El proceso de configuración detallado es el siguiente:

 

1. Configure un grupo de direcciones NAT y una política de NAT.

 

Configurar un grupo de direcciones NAT.

[FW] nat address-group 1 202.1.1.2 202.1.1.3     //Add two public IP addresses to the address pool.

Configure a NAT policy.

[FW] nat-policy interzone trust untrust outbound

[FW-nat-policy-interzone-trust-untrust-outbound] policy 1

[FW-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255      //Specify the match condition.

[FW-nat-policy-interzone-trust-untrust-outbound-1] action source-nat  //Specify the action (source NAT).

[FW-nat-policy-interzone-trust-untrust-outbound-1] address-group 1 no-pat  //Reference the NAT address pool and specify No-PAT as the NAT method.

[FW-nat-policy-interzone-trust-untrust-outbound-1] quit

[FW-nat-policy-interzone-trust-untrust-outbound] quit

 

Tenga en cuenta que las políticas de seguridad y las rutas de agujero negro deben configurarse una vez completada la configuración de NAT.

 

2. Configure una política de seguridad.

 

Las políticas de seguridad y las políticas de NAT son similares, tal como lo sugieren sus nombres. Sin embargo, tienen diferentes funciones. Las políticas de seguridad determinan si los paquetes pueden pasar a través del firewall, mientras que las políticas de NAT determinan cómo traducir las direcciones IP en los paquetes. NAT se realiza sólo para los paquetes permitidos. Las políticas de seguridad se procesan antes que las políticas de NAT. Por lo tanto, si configura una política de seguridad para una dirección de origen, la dirección de origen debe ser la dirección privada.

 

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 1

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-1] action permit

[FW-policy-interzone-trust-untrust-outbound-1] quit

[FW-policy-interzone-trust-untrust-outbound] quit

 

3. Configurar rutas de agujero negro.

 

Una ruta de agujero negro es una ruta que no va a ninguna parte y se usa para eliminar paquetes que coinciden con la ruta. Para evitar los bucles de enrutamiento, las rutas de agujero negro deben configurarse en el firewall para las direcciones en el grupo de direcciones públicas. Las rutas de agujero negro se configuran de la siguiente manera. La razón por la que necesitamos configurar rutas de agujero negro se tratará más adelante.

 

[FW] ip route-static 202.1.1.2 32 NULL 0

[FW] ip route-static 202.1.1.3 32 NULL 0

 

Una vez completadas las configuraciones anteriores, los usuarios de la red privada pueden acceder al servidor web. Si muestra las sesiones en el firewall, puede ver la siguiente información:

 

[FW] display firewall session table

 Current Total Sessions : 1

  http  VPN:public --> public 192.168.0.2:2050[202.1.1.2:2050]-->210.1.1.2:80

  http  VPN:public --> public 192.168.0.3:2050[202.1.1.3:2050]-->210.1.1.2:80

 

En la tabla de sesiones, podemos ver que las dos direcciones IP privadas se han traducido a diferentes direcciones IP públicas entre corchetes, pero el puerto no está traducido.

 

¿Recuerda que hemos mencionado la tabla "mapa del servidor" en el Capítulo 2 Políticas de seguridad? NAT No-PAT genera dos entradas de mapa de servidor, una en la dirección hacia adelante y la otra en la dirección de retorno.

 

[FW] display firewall server-map

 server-map item(s)

 ------------------------------------------------------------------------------

 No-Pat192.168.0.2[202.1.1.2] -> any, Zone: ---

   Protocol: any(Appro: ---), Left-Time: 00:11:59, Addr-Pool: 1

   VPN: public -> public

 

 No-Pat Reverse, any -> 202.1.1.2[192.168.0.2], Zone: untrust

   Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---

   VPN: public -> public

 

No-Pat192.168.0.3[202.1.1.3] -> any, Zone: ---

   Protocol: any(Appro: ---), Left-Time: 00:11:59, Addr-Pool: 1

   VPN: public -> public

 

 No-Pat Reverse, any -> 202.1.1.3[192.168.0.3], Zone: untrust

   Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---

   VPN: public -> public

 

La entrada del mapa del servidor en la dirección de avance permite una traducción rápida de la dirección cuando un usuario de la red privada accede a Internet, porque en NAT No-PAT, cada dirección privada se traduce exclusivamente a una dirección IP pública y la traducción se realiza cuando los paquetes coinciden la entrada del servidor-mapa. De manera similar, cuando los paquetes destinados desde Internet a la red privada coinciden con la entrada del mapa del servidor en la dirección de retorno, se realiza la traducción de la dirección. Tenga en cuenta que los paquetes que coincidan con las entradas del mapa del servidor deben compararse con las políticas de seguridad. Solo los paquetes permitidos por las políticas de seguridad pueden pasar a través del firewall.

 

Otros usuarios de la red privada no pueden acceder al servidor web, porque solo hay dos direcciones IP públicas disponibles en el conjunto de direcciones y se han utilizado ambas direcciones IP públicas. Otros usuarios deben esperar hasta que se liberen las direcciones públicas. Como podemos ver, solo un usuario de la red privada puede usar una dirección IP pública en NAT No-PAT. Esta implementación no conserva direcciones públicas. La siguiente implementación de NAT, NAPT, puede conservar las direcciones IP públicas.

 

3 NAPT

La dirección de red y la traducción de puertos (NAPT), a veces también conocida como traducción de direcciones de puerto (PAT), significa que tanto la dirección de red como el puerto están traducidos. NAPT es la implementación de traducción de direcciones más utilizada. NAPT permite que una gran cantidad de usuarios de redes privadas compartan una pequeña cantidad de direcciones IP públicas para acceder a Internet.

 

La diferencia entre la configuración NAPT y NAT No-PAT es: en la configuración NAPT, la palabra clave "no-pat" no se especifica cuando se hace referencia a un grupo de direcciones NAT en una política NAT. La siguiente configuración de NAPT todavía se basa en la Figura 4-3.

 

1. Configure un grupo de direcciones NAT.

[FW] nat address-group 1 202.1.1.2 202.1.1.3

2. Configure una política de NAT.

[FW] nat-policy interzone trust untrust outbound

[FW-nat-policy-interzone-trust-untrust-outbound] policy 1

[FW-nat-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-nat-policy-interzone-trust-untrust-outbound-1] action source-nat

[FW-nat-policy-interzone-trust-untrust-outbound-1] address-group 1   //Reference the NAT address pool

[FW-nat-policy-interzone-trust-untrust-outbound-1] quit

[FW-nat-policy-interzone-trust-untrust-outbound] quit

3. Configure una política de seguridad.

[FW] policy interzone trust untrust outbound

[FW-policy-interzone-trust-untrust-outbound] policy 1

[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.0 0.0.0.255

[FW-policy-interzone-trust-untrust-outbound-1] action permit

[FW-policy-interzone-trust-untrust-outbound-1] quit

[FW-policy-interzone-trust-untrust-outbound] quit

4. Configurar rutas blackhole.

[FW] ip route-static 202.1.1.2 32 NULL 0

[FW] ip route-static 202.1.1.3 32 NULL 0

 

Una vez completadas las configuraciones anteriores, los usuarios de la red privada pueden acceder al servidor web. Si muestra las sesiones en el firewall, puede ver la siguiente información:

 

[FW] display firewall session table

 Current Total Sessions : 2

  http  VPN:public --> public 192.168.0.2:2053[202.1.1.2:2048]-->210.1.1.2:80

  http  VPN:public --> public 192.168.0.3:2053[202.1.1.3:2048]-->210.1.1.2:80

 

En la tabla de sesiones, podemos ver que las dos direcciones IP privadas se han traducido a diferentes direcciones IP públicas y el puerto también se ha traducido.

 

Otros usuarios en la red privada también pueden acceder al servidor web. Si muestra las sesiones en el firewall, puede ver la siguiente información:

 

FW] display firewall session table

 Current Total Sessions : 3

  http  VPN:public --> public 192.168.0.2:2053[202.1.1.2:2048]-->210.1.1.2:80

  http  VPN:public --> public 192.168.0.3:2053[202.1.1.3:2048]-->210.1.1.2:80

  http  VPN:public --> public 192.168.0.4:2051[202.1.1.2:2049]-->210.1.1.2:80

 

Desde la tabla de sesión, podemos ver que dos usuarios en la red privada comparten la misma dirección IP pública, pero los puertos de los usuarios son diferentes. Los dos usuarios que comparten la misma dirección IP pública se distinguen por los puertos. Por lo tanto, no debe preocuparse por el conflicto de direcciones IP.

 

Tenga en cuenta que en NAPT, no se generará ninguna entrada de mapa de servidor. Esto es diferente que en NAT No-PAT.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba