Configuración de una Política NAT a Nivel de Sitio

Este artículo analiza cómo usar la página NAT para gestionar y priorizar el tráfico en tu cuenta.

Visión general

Existen muchos desafíos para las organizaciones que desean traducir su tráfico de red mientras mantienen el acceso a todos sus recursos relevantes. Especialmente cuando es necesario comunicar entre redes privadas que pueden trabajar con los mismos rangos de IP privados. Además, puedes tener recursos cuya estructura o topología no quieres exponer, en cuyo caso, puedes usar NAT para hacer que el tráfico parezca provenir de una dirección IP determinada.

Alternativamente, puede que necesites ofrecer acceso remoto a servicios internos como servidores web o de archivos. Puedes proporcionar una dirección IP pública que luego se convierta en una dirección IP interna o más direcciones.

Cato te permite crear una política NAT específica de sitio para coincidir con IPs de origen y destino específicos, y aplicar tanto NAT de Origen como NAT de Destino (SNAT y DNAT, respectivamente) para el tráfico saliente (de la Nube de Cato hacia el sitio).

Arquitectura-Site-NAT.png

La política NAT se aplica al tráfico entrante para el sitio en el que se configura la política.

Casos de Uso para la Política NAT

La siguiente sección presenta dos ejemplos de casos de uso para SNAT y DNAT. El ejemplo a continuación muestra la base de reglas para estos casos de uso.

Política-Site-NAT.png

Caso de Uso para SNAT

En este escenario, tienes un grupo de administradores de TI conectados a través de un Cliente SDP. Necesitan acceder a un recurso perteneciente a un tercero, por ejemplo, un sistema de tickets, ubicado detrás de un sitio IPsec en otra parte de la empresa.

El tercero te requiere que te comuniques usando una dirección IP específica, por ejemplo, 192.151.100.10. La IP de origen original (que pertenece al grupo de administradores de TI) será bloqueada para comunicarse.

Para resolver esto, puedes crear una regla de política NAT para conexiones cuyo IP de origen original son los administradores en un grupo específico. Al intentar acceder al sistema de tickets, aplicas NAT de Origen en la dirección IP del administrador para traducir a 192.151.100.10, lo que asegura que el administrador de TI pueda comunicarse con el servidor del tercero.

Caso de Uso para DNAT

En este escenario, tienes múltiples Hosts de diferentes grupos enviando tráfico a una dirección IP. Estas máquinas envían todos sus paquetes a una dirección de red única, por ejemplo, 203.0.113.96.

Para asegurarte de mantener un rendimiento óptimo en tu red, puedes crear varias reglas DNAT para dirigir el tráfico a diferentes servidores basándote en la dirección IP de origen y el tipo de tráfico:

  • El tráfico de VLAN1 a 203.0.113.96 se envía a 10.10.10.5

  • El tráfico de Finanzas a 203.0.113.96 se envía a 10.10.10.25

  • El tráfico de Compras a 203.0.113.96 se envía a 10.10.10.65

Esto te permite agregar más máquinas a los grupos respectivos sin necesidad de cambiar tu configuración, al mismo tiempo que gestionas eficientemente el tráfico a una única dirección IP.

Trabajo con la Base de Reglas NAT

La política NAT utiliza reglas ordenadas. Un paquete llega y se verifica contra las reglas. Una vez que coincide una regla, se aplica una acción y ninguna de las otras reglas se procesa.

Por ejemplo, si una conexión coincide con la regla #3, se aplica la acción a la conexión y se ignoran todas las reglas secuenciales. Si una conexión no coincide con ninguna regla, se procesa con los datos originales.

Configuración de la Política NAT

Esta sección explica cómo definir reglas para NAT y los objetos, puertos y servicios que puedes configurar.

Definición de Reglas NAT

Crea una regla NAT y configura los ajustes para la regla para gestionar el enrutamiento del tráfico de LAN.

Las reglas de política NAT se aplican a un sitio en aproximadamente un minuto.

Para definir una regla NAT:

  1. Desde el menú de navegación, haz clic en Network > Sites y selecciona el sitio.

    Nota

    Nota: Si no ves la política NAT en tu menú y te gustaría habilitarla, contacta a tu representante de cuenta o al Soporte al Cliente.

  2. Desde el menú de navegación, haz clic en Site Configuration > NAT.

  3. Haz clic en Nuevo. Se abre el panel Agregar Regla NAT.

  4. Desde la sección General, configura los siguientes ajustes para la regla:

    • Introduce el Nombre de la regla.

    • Habilita o deshabilita la regla usando el control deslizante (verde es habilitado, gris es deshabilitado).

    • Configura el Orden de la Regla. Define un número mayor para reglas más específicas y un número menor para reglas menos específicas.

  5. Configura los ajustes del IP de Origen Original.

    • Selecciona Rango de IP o Cualquiera.

      El rango de IP puede ser una dirección IP única o un rango de direcciones. Puedes crear múltiples entradas.

  6. Configura los ajustes de IP y Puerto/Protocolo de Destino Original:

    • En IP de Destino, selecciona rango de IP o Cualquiera.

      El rango de IP puede ser una dirección IP única o un rango de direcciones. Puedes crear múltiples entradas.

    • En Puerto/Protocolo de Destino, define el protocolo y puerto utilizando el formato protocolo/puerto:

      Por ejemplo, TCP/80, UDP/53, TCP/443

  7. En Acción NAT, determina si cambiar la NAT de origen o de destino. Puedes cambiar tanto el origen como el destino, pero no puedes mantener ambas direcciones originales.

  8. Haz clic en aplicar y, a continuación, haz clic en Guardar.

    La regla se agrega a la tabla.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 4 de 4

0 comentarios