Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

NAT estático

O NAT estático mapeia o tráfego de rede de um endereço IP externo estático para um endereço IP ou rede interna. Ele cria uma tradução estática de endereços reais para endereços mapeados. O NAT estático oferece conectividade de internet a dispositivos de rede por meio de uma LAN privada com um endereço IP privado não registrado.

Entender o NAT estático

O NAT estático define um mapeamento de um para um de uma sub-rede IP para outra sub-rede IP. O mapeamento inclui a tradução de endereço IP de destino em uma direção e tradução de endereço IP de origem na direção inversa. Do dispositivo NAT, o endereço de destino original é o endereço IP do host virtual, enquanto o endereço mapeado é o endereço IP do host real.

O NAT estático permite que as conexões sejam originadas de ambos os lados da rede, mas a tradução é limitada a um para um ou entre blocos de endereços do mesmo tamanho. Para cada endereço privado, um endereço público deve ser alocado. Não são necessários pools de endereços.

O NAT estático também oferece suporte aos seguintes tipos de tradução:

  • Mapear vários endereços IP e faixas de portas especificadas para um mesmo endereço IP e diferentes faixas de portas

  • Mapear um endereço IP e uma porta IP específicos para um endereço e porta IP diferentes

A tradução de endereços de porta (PAT) também é suportada por um mapeamento estático entre a porta de destino (alcance) e a porta mapeada (faixa).

Nota:

O endereço de destino original, juntamente com outros endereços em piscinas NAT de origem e destino, não deve se sobrepor na mesma instância de roteamento.

Na pesquisa de regras do NAT, as regras de NAT estáticas têm precedência sobre as regras de NAT de destino e o mapeamento reverso das regras de NAT estáticas têm precedência sobre as regras de NAT de origem.

Entendendo as regras de NAT estáticas

As regras de tradução de endereços de rede estática (NAT) especificam duas camadas de condições de correspondência:

  • Direção de tráfego — permite especificar a partir da interface, da zona ou da instância de roteamento.

  • Informações de pacotes — podem ser endereços e portas de origem, endereços e portas de destino.

Para todo o tráfego ALG, exceto FTP, recomendamos que você não use as opções source-address de regras de NAT estáticas ou source-port. A criação de sessão de dados pode falhar se essas opções forem usadas porque o endereço IP e o valor da porta de origem, que é um valor aleatório, podem não corresponder à regra NAT estática. Para o tráfego FTP ALG, a opção source-address pode ser usada porque um endereço IP pode ser fornecido para combinar com o endereço de origem de uma regra NAT estática.

Quando os endereços de origem e destino são configurados como condições de correspondência para uma regra, o tráfego é compatível com o endereço de origem e o endereço de destino. Como o NAT estático é bidirecional, o tráfego na direção oposta ao inverso corresponde à regra, e o endereço de destino do tráfego é compatível com o endereço de origem configurado.

Se várias regras de NAT estáticas se sobreporem às condições de correspondência, a regra mais específica será escolhida. Por exemplo, se as regras A e B especificarem os mesmos endereços IP de origem e destino, mas a regra A especifica o tráfego da zona 1 e da regra B especifica o tráfego da interface ge-0/0/0, a regra B é usada para executar NAT estático. Uma correspondência de interface é considerada mais específica do que uma correspondência de zona, que é mais específica do que uma correspondência de instâncias de roteamento.

Como as regras de NAT estáticas não oferecem suporte a endereços e portas sobrepostas, elas não devem ser usadas para mapear um endereço IP externo para vários endereços IP internos para tráfego ALG. Por exemplo, se diferentes sites quiserem acessar dois servidores FTP diferentes, os servidores FTP internos devem ser mapeados para dois endereços IP externos diferentes.

Para a ação de regra de NAT estática, especifique o endereço traduzido e (opcionalmente) a instância de roteamento.

Na pesquisa do NAT, as regras de NAT estáticas têm precedência sobre as regras de NAT de destino e o mapeamento reverso das regras de NAT estáticas tem precedência sobre as regras de NAT de origem.

Visão geral da configuração do NAT estático

As principais tarefas de configuração para NAT estático são as seguintes:

  1. Configure regras de NAT estáticas que estão alinhadas com seus requisitos de rede e segurança.
  2. Configure entradas ARP proxy NAT para endereços IP na mesma sub-rede da interface de entrada.

Exemplo: configurar NAT estático para tradução de endereço único

Este exemplo descreve como configurar um mapeamento NAT estático de um único endereço privado em um endereço público.

Requisitos

Antes de começar:

  1. Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.

  2. Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.

Visão geral

Este exemplo usa a zona de segurança de confiança para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público.

Na Figura 1, dispositivos na zona não confiável acessam um servidor na zona de confiança por meio do endereço público 203.0.113.200/32. Para pacotes que entram no dispositivo de segurança da Juniper Networks a partir da zona não confiável com o endereço IP de destino 203.0.113.200/32, o endereço IP de destino é traduzido para o endereço privado 192.168.1.200/32. Para uma nova sessão originária do servidor, o endereço IP de origem no pacote de saída é traduzido para o endereço público 203.0.113.200/32.

Figura 1: Tradução Static NAT Single Address Translation de endereço único NAT estático

Este exemplo descreve as seguintes configurações:

  • Regra de NAT estática definida rs1 com regra r1 para combinar pacotes da zona não confiável com o endereço de destino 203.0.113.200/32. Para pacotes correspondentes, o endereço IP de destino é traduzido para o endereço privado 192.168.1.200/32.

  • ARP proxy para o endereço 203.0.113.200 na interface ge-0/0/0.0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface para esse endereço.

  • Políticas de segurança para permitir o tráfego de e para o servidor 192.168.1.200.

Configuração

Procedimento

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.

Configurar um mapeamento NAT estático de um endereço privado para um endereço público:

  1. Crie um conjunto de regras de NAT estático.

  2. Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço privado.

  3. Configure o ARP proxy.

  4. Configure um endereço na lista de endereços global.

  5. Configure uma política de segurança que permita o tráfego da zona não confiável para o servidor na zona de confiança.

  6. Configure uma política de segurança que permita que todo o tráfego desde o servidor na zona de confiança até a zona não confiável.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show security policies comandosshow security nat. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificando a configuração do NAT estático

Propósito

Verifique se há tráfego igualando o conjunto de regras de NAT estático.

Ação

A partir do modo operacional, entre no show security nat static rule comando. Veja o campo de acesso da tradução para verificar se o tráfego corresponde à regra.

Verificando o aplicativo NAT para o tráfego

Propósito

Verifique se o NAT está sendo aplicado ao tráfego especificado.

Ação

A partir do modo operacional, entre no show security flow session comando.

Exemplo: configurar NAT estático para tradução de sub-rede

Este exemplo descreve como configurar um mapeamento NAT estático de um endereço de sub-rede privada em um endereço de sub-rede pública.

Nota:

Os blocos de endereço para mapeamento de NAT estático devem ter o mesmo tamanho.

Requisitos

Antes de começar:

  1. Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.

  2. Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.

Visão geral

Este exemplo usa a zona de segurança de confiança para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. Na Figura 2, dispositivos na zona de acesso não confiável na zona de confiança por meio do endereço de sub-rede pública 203.0.113.0/24. Para pacotes que entram no dispositivo de segurança da Juniper Networks a partir da zona não confiável com um endereço IP de destino na sub-rede 203.0.113.0/24, o endereço IP de destino é traduzido para um endereço privado na sub-rede 192.168.1.0/24. Para novas sessões originárias da sub-rede 192.168.1.0/24, o endereço IP de origem em pacotes de saída é traduzido para um endereço na sub-rede pública 203.0.113.0/24.

Figura 2: Tradução Static NAT Subnet Translation de sub-rede NAT estática

Este exemplo descreve as seguintes configurações:

  • Regra nat estática definida rs1 com regra r1 para combinar pacotes recebidos na interface ge-0/0/0.0 com um endereço IP de destino na sub-rede 203.0.113.0/24. Para pacotes correspondentes, o endereço de destino é traduzido para um endereço na sub-rede 192.168.1.0/24.

  • O ARP proxy para o endereço varia de 203.0.113.1/32 a 203.0.113.249/32 na interface ge-0/0/0,0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface desses endereços. O endereço 203.0.113.250/32 é atribuído à própria interface, de modo que este endereço não esteja incluído na configuração do ARP proxy.

  • Políticas de segurança para permitir o tráfego de e para a sub-rede 192.168.1.0/24.

Configuração

Procedimento

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.

Para configurar um mapeamento NAT estático de um endereço de sub-rede privada para um endereço de sub-rede pública:

  1. Crie um conjunto de regras de NAT estático.

  2. Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço em uma sub-rede privada.

  3. Configure o ARP proxy.

  4. Configure um endereço na lista de endereços global.

  5. Configure uma política de segurança que permita o tráfego da zona não confiável até a sub-rede na zona de confiança.

  6. Configure uma política de segurança que permita que todo o tráfego da sub-rede na zona de confiança até a zona não confiável.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show security policies comandosshow security nat. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificando a configuração do NAT estático

Propósito

Verifique se há tráfego igualando o conjunto de regras de NAT estático.

Ação

A partir do modo operacional, entre no show security nat static rule comando. Veja o campo de acesso da tradução para verificar se o tráfego corresponde à regra.

Verificando o aplicativo NAT para o tráfego

Propósito

Verifique se o NAT está sendo aplicado ao tráfego especificado.

Ação

A partir do modo operacional, entre no show security flow session comando.

Exemplo: configurar NAT estático para mapeamento de portas

Este exemplo descreve como configurar mapeamentos NAT estáticos de um endereço público para endereços privados em uma faixa especificada de portas.

Este tópico inclui as seguintes seções:

Requisitos

Antes de começar:

Visão geral

Este exemplo usa a zona de segurança de confiança para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público.

Na Figura 3, dispositivos na zona não confiável acessam um servidor na zona de confiança por meio de endereços públicos 203.0.113.1/32, 203.0.113.1/32 e 203.0.113,3/32. Para pacotes que entram no dispositivo de segurança da Juniper Networks a partir da zona não confiável com os endereços IP de destino 203.0.113.1/32, 203.0.113.1/32 e 203.0.113.3/32, o endereço IP de destino é traduzido para os endereços privados 10.1.1.1/32,10,1,1,1,2/32 e 10,1,1,2/32.

Figura 3: NAT estático para mapeamento Static NAT for Port Mapping de portas
Nota:
  • Para configurar a porta de destino, você deve usar um endereço IP para o campo de endereço de destino em vez de um prefixo de endereço IP.

  • Você deve configurar a porta de destino para configurar a porta mapeada e vice-versa.

  • Use a mesma faixa numérica para as portas enquanto configura a porta de destino e a porta mapeada.

  • Se você não configurar a porta de destino e a porta mapeada, o mapeamento IP será o mapeamento de um para um.

  • Nenhum endereço sobreposto ou qualquer sobreposição de endereço e porta não é permitido.

Este exemplo descreve as seguintes configurações:

  • A regra do NAT estático define rs1 com a regra r1 para combinar pacotes da zona não confiável com o endereço de destino 203.0.113.1/32 e a porta de destino 100 a 200. Para pacotes correspondentes, o endereço IP de destino é traduzido para o endereço privado 10.1.1.1/32 e mapeado para a porta de 300 a 400.

  • A regra do NAT estático define rs1 com a regra r2 para combinar pacotes da zona não confiável com o endereço de destino 203.0.113.1/32 e a porta de destino 300 a 400. Para pacotes correspondentes, o endereço IP de destino é traduzido para o endereço privado 10.1.1.2/32 e mapeado para a porta de 300 a 400.

  • A regra do NAT estático define rs1 com a regra r3 para combinar pacotes da zona não confiável com o endereço de destino 203.0.113.3/32 e a porta de destino 300. Para pacotes correspondentes, o endereço IP de destino é traduzido para o endereço privado 10.1.1.2/32 e mapeado para a porta 200.

Configuração

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.

Para configurar um mapeamento NAT estático de um endereço de sub-rede privada para um endereço de sub-rede pública:

  1. Crie um conjunto de regras de NAT estático.

  2. Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço privado.

  3. Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço privado.

  4. Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço privado.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

[edit]

user@host# show security nat

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificando a configuração do NAT estático

Propósito

Verifique se há tráfego igualando o conjunto de regras de NAT estático.

Ação

A partir do modo operacional, entre no show security nat static rule comando. Veja o campo de acesso da tradução para verificar se o tráfego corresponde à regra.

Solucionando problemas

Resolução de problemas Configuração de porta NAT estática

Problema

Falhas de configuração de mapeamento de portas NAT estáticas ocorrem durante um commit.

Configurações inválidas com endereços IP sobrepostos e portas resultam em falha de confirmação.

O exemplo a seguir mostra configurações inválidas com endereços e portas sobrepostos:

  • set security nat static rule-set rs rule r1 match destination-address 203.0.113.1

    set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1

  • set security nat static rule-set rs rule r2 match destination-address 203.0.113.1

    set security nat static rule-set rs rule r2 match destination-port 300 to 400

    set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2

    set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400

  • set security nat static rule-set rs rule r1 match destination-address 203.0.113.1

    set security nat static rule-set rs rule r1 match destination-port 100 to 200

    set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1

    set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400

  • set security nat static rule-set rs rule r2 match destination-address 203.0.113.2

    set security nat static rule-set rs rule r2 match destination-port 300 to 400

    set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.1

    set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 390 to 490

A mensagem de erro a seguir foi exibida quando a configuração acima mencionada foi enviada para confirmação:

Solução

Para configurar a porta de destino, você deve evitar qualquer sobreposição de endereço ou qualquer endereço e porta sobreposto. Para um exemplo de configuração válida, consulte Configuração

Monitoramento de informações de NAT estáticas

Propósito

Veja as informações de regras de NAT estáticas.

Ação

Selecione Monitor>NAT>Static NAT na interface do usuário J-Web ou insira o seguinte comando CLI:

show security nat static rule

A Tabela 1 resume os principais campos de saída no display NAT estático.

Tabela 1: Resumo dos principais campos de saída de NAT estáticos

Campo

Valores

Ação

Nome definido por regras

Nome do conjunto de regras.

Selecione todos os conjuntos de regras ou um conjunto de regras específico para ser exibido na lista.

Regras totais

Número de regras configuradas.

ID

Número de identificação da regra.

Posição

Posição da regra que indica a ordem em que ela se aplica ao tráfego.

Nome

Nome da regra.

Nome do ruleset

Nome do conjunto de regras.

De

Nome da instância de roteamento/interface/zona da qual o pacote vem

Endereços de origem

Endereços IP de origem.

Portas de origem

Números da porta de origem.

Endereços de destino

Endereço IP de destino e máscara de sub-rede.

Portas de destino

Números da porta de destino.

Endereços de host

Nome dos endereços do host.

Portas de hospedagem

Números da porta de hospedagem.

Netmask

Endereço IP de sub-rede.

Instância de roteamento de host

Nome da instância de roteamento da qual o pacote vem.

Limiar de alarme

Limite de alarme de utilização.

Sessões (Succ/falha/corrente)

Sessões bem-sucedidas, fracassadas e atuais.

  • Número de instalações de sessão bem-sucedidas após a regra do NAT ser combinada.

  • Falha — Número de instalações de sessão mal sucedidas após a regra do NAT ser combinada.

  • Número atual de sessões que fazem referência à regra especificada.

Acertos de tradução

Várias vezes uma tradução na tabela de tradução é usada para uma regra NAT estática.

Gráfico dos 10 melhores sucessos de tradução

Exibe o gráfico dos 10 principais sucessos de tradução.