Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Visão geral do NAT

Network Address Translation (NAT) é um mecanismo para converter o endereço IP de um computador ou grupo de computadores em um único endereço público quando os pacotes são enviados para a Internet. Ao traduzir o endereço IP, apenas um endereço IP é divulgado para a rede externa. Como apenas um endereço IP é visível para o mundo externo, o NAT fornece segurança adicional e pode ter apenas um endereço público para toda a rede, em vez de ter vários endereços IP.

Use o Explorador de Recursos para confirmar o suporte à plataforma e à versão para recursos específicos. Plataformas adicionais podem ser suportadas.

Introdução ao NAT

Network Address Translation (NAT) é um método para modificar ou traduzir informações de endereços de rede em cabeçalhos de pacotes. Um ou ambos os endereços de origem e destino em um pacote podem ser traduzidos. O NAT pode incluir a tradução de números de porta, bem como endereços IP.

O NAT é descrito no RFC 1631 para resolver problemas de esgotamento de endereço IP (versão 4). Desde então, o NAT foi considerado uma ferramenta útil para firewalls, redirecionamento de tráfego, compartilhamento de carga, migrações de rede e assim por diante.

Os seguintes tipos de NAT são suportados em dispositivos da Juniper Networks:

  • NAT estático

  • NAT de destino

  • Fonte: NAT

Os firewalls da Série SRX realizam a busca de políticas e de serviços com base na porta de destino convertida.

Você pode usar o Assistente de NAT para executar a configuração básica do NAT. Para executar uma configuração mais avançada, use a interface J-Web ou a CLI.

Veja também

Entender os conjuntos de regras e regras do NAT

O processamento do NAT se concentra na avaliação de conjuntos de regras e regras do NAT. Um conjunto de regras determina a direção geral do tráfego a ser processado. Por exemplo, um conjunto de regras pode selecionar o tráfego de uma interface específica ou para uma zona específica. Um conjunto de regras pode conter várias regras. Quando é encontrado um conjunto de regras que corresponde a um tráfego específico, cada regra no conjunto de regras é avaliada para uma correspondência. Cada regra no conjunto de regras especifica ainda mais o tráfego a ser correspondido e a ação a ser executada quando o tráfego corresponder à regra.

Este tópico inclui as seguintes seções:

Conjuntos de regras de NAT

Um conjunto de regras especifica um conjunto geral de condições correspondentes para o tráfego. Para NAT estático e NAT de destino, um conjunto de regras especifica um dos seguintes:

  • Interface de origem

  • Zona de origem

  • Instância de roteamento de origem

Para conjuntos de regras NAT de origem, você configura as condições de origem e destino:

  • Interface de origem, zona ou instância de roteamento

  • Interface de destino, zona ou instância de roteamento

É possível que um pacote corresponda a mais de um conjunto de regras; Nesse caso, o conjunto de regras com a correspondência mais específica é usado. Uma correspondência de interface é considerada mais específica do que uma correspondência de zona, que é mais específica do que uma correspondência de instância de roteamento. Se um pacote corresponder a um conjunto de regras NAT de destino que especifica uma zona de origem e a um conjunto de regras NAT de destino que especifica uma interface de origem, o conjunto de regras que especifica a interface de origem será a correspondência mais específica.

A correspondência do conjunto de regras NAT de origem é mais complexa porque você especifica as condições de origem e destino em um conjunto de regras NAT de origem. No caso em que um pacote corresponde a mais de um conjunto de regras NAT de origem, o conjunto de regras escolhido é baseado nas seguintes condições de origem/destino (em ordem de prioridade):

  1. Interface de origem/interface de destino

  2. Interface de origem/destino

  3. Interface de origem/destino de roteamento de origem

  4. Interface de origem/zona de destino

  5. Zona de origem/zona de destino

  6. Instância de roteamento de origem/zona de destino

  7. Instância de roteamento de origem/destino

  8. Instância de roteamento de origem/destino

  9. Instância de roteamento de origem/instância de roteamento de destino

Por exemplo, você pode configurar o conjunto de regras A, que especifica uma interface de origem e uma zona de destino, e o conjunto de regras B, que especifica uma zona de origem e uma interface de destino. Se um pacote corresponder a ambos os conjuntos de regras, o conjunto de regras B será a correspondência mais específica.

Você não pode especificar as mesmas condições de origem e destino para conjuntos de regras NAT de origem.

Regras do NAT

Depois que um conjunto de regras que corresponde ao tráfego é encontrado, cada regra no conjunto de regras é avaliada para uma correspondência. As regras NAT podem corresponder às seguintes informações de pacote:

  • Endereço de origem e destino

  • Porta de origem (somente para NAT estático e de origem)

  • Porta de destino

A primeira regra no conjunto de regras que corresponde ao tráfego é usada. Se um pacote corresponder a uma regra em um conjunto de regras durante o estabelecimento da sessão, o tráfego será processado de acordo com a ação especificada por essa regra.

Você pode usar os comandos show security nat source rule e show security nat destination e show security nat static rule para visualizar o número de sessões de uma regra específica.

Processamento de regras

O tipo NAT determina a ordem na qual as regras NAT são processadas. Durante o primeiro processamento de pacotes para um fluxo, as regras NAT são aplicadas na seguinte ordem:

  1. Regras de NAT estáticas

  2. Regras de NAT de destino

  3. Pesquisa de rota

  4. Pesquisa de política de Segurança

  5. Mapeamento reverso de regras NAT estáticas

  6. Regras de NAT de origem

A Figura 1 ilustra a ordem de processamento de regras NAT.

Figura 1: Processamento de Flowchart showing packet processing in a network device focusing on NAT and policy checks: Static NAT, Destination NAT, Route/Zone Lookup, Reverse Static NAT, Policy Lookup, Source NAT, Permit Packet. regras NAT

As regras de NAT estático e NAT de destino são processadas antes da pesquisa de rota e política de segurança. As regras NAT estáticas têm precedência sobre as regras NAT de destino. O mapeamento reverso de regras NAT estáticas ocorre após a pesquisa de rota e política de segurança e tem precedência sobre as regras NAT de origem. As regras NAT de origem são processadas após a pesquisa de rota e política de segurança e após o mapeamento reverso de regras NAT estáticas.

A configuração de regras e conjuntos de regras é basicamente a mesma para cada tipo de NAT — origem, destino ou estático. Mas como o NAT de destino e estático são processados antes da pesquisa de rota, você não pode especificar a zona de destino, a interface ou a instância de roteamento no conjunto de regras.

Capacidade da regra NAT

O requisito de capacidade da regra NAT depende do firewall da Série SRX e da versão do Junos OS.

A restrição no número de regras por conjunto de regras é uma limitação em todo o dispositivo sobre quantas regras um dispositivo pode suportar. Essa restrição é fornecida para ajudá-lo a planejar e configurar melhor as regras de NAT para o dispositivo.

Para consumo de memória, não há garantia de dar suporte a esses números (regra de origem ou conjunto de regras máximo + regra de destino máxima ou conjunto de regras + regra estática máxima ou conjunto de regras).

O requisito de capacidade da regra NAT depende do firewall da Série SRX e da versão do Junos OS.

Use o Explorador de Recursos para confirmar o suporte à plataforma e à versão para recursos específicos. Plataformas adicionais podem ser suportadas.

Consulte a seção Informações adicionais da plataforma para obter mais informações.

Informações adicionais da plataforma

Use o Explorador de Recursos para confirmar o suporte à plataforma e à versão para recursos específicos. Plataformas adicionais podem ser suportadas.

Tipo de regra NAT

SRX300, SRX320

SRX340, SRX345

SRX1500 SRX1600

SRX2300, SRX4120SRX4100SRX4200

SRX4600, SRX5400, SRX5600, SRX5800

SRX4700

Regra NAT de origem

1024

2048

8192

20,480

30,720

51200

Regra NAT de destino

1024

2048

8192

20,480

30,720

51200

Regra de NAT estática

1024

2048

8192

20,480

30,720

51200

Objetos

SRX1600 SRX2300, SRX4120

SRX4600, SRX5400, SRX5600, SRX5800

SRX4700

Total de conjuntos de regras NAT por sistema

10,000

30,720

51200

Total de regras de NAT por conjunto de regras

10,000

30,720

51200
Plataforma Número de IPs suportados com OL
vSRX VSRX-2CPU-4G pequeno 1
SRX1600 2
SRX2300, SRX4120 16
SRX4300 16
vSRX XL VSRX-17CPU-32G 64
SRX4700 128
Linha SRX5000 de dispositivos 128

Tabela de histórico de alterações

A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.

Lançamento
Descrição
19.3R1
A partir do Junos OS versão 19.3R1, os dispositivos da linha SRX5000 com placa SRX5K-SPC3, SRX4100, SRX4200 e instâncias de Firewall virtual vSRX oferecem suporte a recursos de NAT, como NAT de origem, NAT de destino e NAT estático para tráfego IPv4 e IPv6 no modo PowerMode IPsec (PMI). O NAT64 não é suportado no modo PMI. No entanto, o NAT64 funciona corretamente no modo normal, quando o PMI está ativado.