تكوين سياسة NAT على مستوى الموقع

تتناول هذه المقالة كيفية استخدام سياسة NAT لإدارة وتحديد أولويات حركة المرور للمواقع في حسابك.

نظرة عامة

هناك العديد من التحديات التي تواجه المنظمات التي ترغب في تحويل حركة مرور شبكاتها بينما تحافظ على إمكانية الوصول إلى جميع مواردها ذات الصلة. خاصة عندما تحتاج إلى التواصل بين الشبكات الخاصة التي قد تعمل مع نفس نطاقات IP الخاصة. بالإضافة إلى ذلك، قد يكون لديك موارد لا ترغب في الكشف عن بنيتها أو طوبولوجياها، في هذه الحالة، يمكنك استخدام NAT لجعل حركة المرور تظهر كما لو كانت قادمة من عنوان IP معين.

بدلاً من ذلك، قد تحتاج إلى توفير الوصول عن بعد للخدمات الداخلية مثل خوادم الويب أو الملفات. يمكنك توفير عنوان IP عام يتم تحويله بعد ذلك إلى عنوان IP داخلي مختلف أو عدة عناوين.

تتيح لك Cato إنشاء سياسة NAT خاصة بالموقع لمطابقة عناوين IP للصادر والوارد، وتطبيق كل من NAT المصدر والوجهة (SNAT وDNAT) لحركة المرور الصادرة (من سحابة Cato نحو الموقع).

تُطبق سياسة NAT على حركة المرور الواردة (من PoP) إلى الموقع الذي تم تكوين السياسة عليه:

حركة المرور من الإنترنت (مثل RPF)
حركة المرور من موقع Cato مختلف (مثل حركة WAN)

NAT مع الترجمة المتقدمة لعناوين المنافذ (PAT)

يتجاوز تنفيذ Cato لـ NAT الترجمة الأساسية لعناوين IP من خلال دمج الترجمة بشكل افتراضي لعناوين المنافذ (PAT)، مما يتيح وظيفة NAT من العديد إلى واحد. يسمح هذا لما يصل إلى 65,536 جلسة متزامنة لكل عنوان IP مترجم من خلال تخصيص أرقام منافذ المصدر الفريدة لكل جلسة. كنتيجة، يمكن لعدة مضيفين IP الأساسيين إنشاء اتصالات في نفس الوقت من خلال IP مترجمة واحدة، مع الحفاظ على تميز الجلسة.

هذا التحكم الدقيق ضروري للتعامل بكفاءة مع السيناريوهات مثل:

الوصول إلى خدمات داخلية متعددة مكشوفة من خلال IP واحد
بيئات المستخدم ذات الكثافة العالية، حيث يجب أن يتم تعيين آلاف الجلسات دون استنفاد موارد عناوين IP

من خلال الاستفادة من PAT، تضمن Cato اتصالاً قابلاً للتوسع وخالياً من الاصطدامات وأداء سلس للتطبيقات حتى تحت الأحمال العالية من حركة المرور.

حالات استخدام سياسة NAT

يقدم القسم التالي حالتي استخدام كمثال لـ SNAT وDNAT. يعرض المثال أدناه قاعدة للتنظيم لهذه الحالات.

حالة استخدام SNAT

في هذا السيناريو، لديك مجموعة من مسؤولي تقنية المعلومات متصلين عبر SDP Client. يحتاجون إلى الوصول إلى مورد مملوك لطرف ثالث، على سبيل المثال، نظام التذاكر، موجود خلف موقع IPsec في مكان آخر في الشركة.

يتطلب الطرف الثالث منك التواصل باستخدام عنوان IP محدد، مثل 192.151.100.10. سيتم حظر عنوان IP الأصلي (الذي ينتمي إلى مجموعة مسؤولي تقنية المعلومات) من التواصل.

لحل هذا، يمكنك إنشاء قاعدة سياسة NAT للاتصالات التي يكون عنوان IP المصدر الأصلي لها هو المسؤولون في مجموعة معينة. عند محاولة الوصول إلى نظام التذاكر، تطبق NAT المصدر على عنوان IP المسؤول لترجمته إلى 192.151.100.10، مما يضمن أن مسؤول تقنية المعلومات يمكنه التواصل مع خادم الطرف الثالث.

حالة استخدام DNAT

في هذا السيناريو، لديك مضيفون متعددون من مجموعات مختلفة يرسلون حركة المرور إلى عنوان IP واحد. تقوم هذه الأجهزة بإرسال حزمها إلى عنوان شبكة واحد، مثل 203.0.113.96.

لضمان الأداء الأمثل عبر شبكتك، يمكنك إنشاء قواعد DNAT متعددة لتوجيه حركة المرور إلى خوادم مختلفة بناءً على عنوان IP المصدر ونوع حركة المرور:

تُرسل الحركة من VLAN1 إلى 203.0.113.96 إلى 10.10.10.5
تُرسل الحركة من المالية إلى 203.0.113.96، إلى 10.10.10.25
تُرسل الحركة من الشراء إلى 203.0.113.96، إلى 10.10.10.65

يمكنك إضافة المزيد من الآلات إلى المجموعات المعنية دون الحاجة إلى تغيير تكوينك، مع إدارة حركة المرور بكفاءة إلى عنوان IP واحد.

العمل مع قاعدة قوانين NAT

تستخدم سياسة NAT قواعد مرتبة. تصل حزمة ويتم التحقق منها مقابل القواعد. بمجرد مطابقة القاعدة، يتم تطبيق إجراء ولا تتم معالجة أي من القواعد الأخرى.

على سبيل المثال، إذا تطابق الاتصال مع القاعدة #٣، يتم تطبيق الإجراء على الاتصال ويتم تجاهل جميع القواعد المتسلسلة. إذا لم يتطابق الاتصال مع أي قاعدة، يتم معالجته بالبيانات الأصلية.