Configuración de una Política NAT a Nivel de Sitio

Este artículo analiza cómo usar la política de NAT para gestionar y priorizar el tráfico para sitios en su cuenta.

Visión general

Existen muchos desafíos para las organizaciones que desean traducir su tráfico de red mientras mantienen el acceso a todos sus recursos relevantes. Especialmente cuando es necesario comunicar entre redes privadas que pueden trabajar con los mismos rangos de IP privados. Además, puede que tenga recursos cuya estructura o topología no desea exponer, en cuyo caso, puede usar NAT para hacer que el tráfico parezca que proviene de una cierta dirección IP.

Alternativamente, puede que necesites ofrecer acceso remoto a servicios internos como servidores web o de archivos. Puedes proporcionar una dirección IP pública que luego se convierta en una dirección IP interna o más direcciones.

Cato le permite crear una política de NAT específica para el sitio para coincidir con IPs de origen y destino específicos, y aplicar tanto NAT de origen como NAT de destino (SNAT y DNAT, respectivamente) para el tráfico saliente (de la Nube de Cato hacia el sitio).

Arquitectura-Site-NAT.png

La política de NAT se aplica al tráfico entrante (desde el PoP) al sitio en el que se configura la política:

  • Tráfico desde Internet (es decir, RPF)
  • Tráfico desde un sitio de Cato diferente (es decir, tráfico WAN)

NAT mejorado con Traducción de Dirección de Puerto (PAT)

La implementación de NAT de Cato va más allá de la traducción básica de dirección IP al incorporar por defecto la Traducción de Dirección de Puerto (PAT), habilitando la funcionalidad de NAT muchos-a-uno. Esto permite hasta 65,536 sesiones simultáneas por dirección IP traducida al asignar números de puerto de origen únicos a cada sesión. Como resultado, múltiples anfitriones IP originales pueden iniciar conexiones simultáneamente a través de una sola IP traducida, mientras mantienen la unicidad de la sesión.

Este control granular es esencial para manejar eficientemente escenarios como:

  • Acceso a múltiples servicios internos expuestos a través de una sola IP
  • Entornos de usuario de alta densidad, donde miles de sesiones deben ser mapeadas sin agotar recursos de dirección IP

Por aprovechar PAT, Cato asegura conectividad escalable, libre de colisiones y un rendimiento de la aplicación sin problemas incluso bajo cargas de tráfico pesadas.

Casos de Uso para la Política NAT

La siguiente sección presenta dos ejemplos de casos de uso para SNAT y DNAT. El ejemplo a continuación muestra la base de reglas para estos casos de uso.

Política-Site-NAT.png

Caso de Uso para SNAT

En este escenario, tienes un grupo de administradores de TI conectados a través de un Cliente SDP. Necesitan acceder a un recurso perteneciente a un tercero, por ejemplo, un sistema de tickets, ubicado detrás de un sitio IPsec en otra parte de la empresa.

El tercero te requiere que te comuniques usando una dirección IP específica, por ejemplo, 192.151.100.10. La IP de origen original (que pertenece al grupo de administradores de TI) será bloqueada para comunicarse.

Para resolver esto, puedes crear una regla de política NAT para conexiones cuyo IP de origen original son los administradores en un grupo específico. Al intentar acceder al sistema de tickets, aplicas NAT de Origen en la dirección IP del administrador para traducir a 192.151.100.10, lo que asegura que el administrador de TI pueda comunicarse con el servidor del tercero.

Caso de Uso para DNAT

En este escenario, tienes múltiples Hosts de diferentes grupos enviando tráfico a una dirección IP. Estas máquinas envían todos sus paquetes a una dirección de red única, por ejemplo, 203.0.113.96.

Para asegurarte de mantener un rendimiento óptimo en tu red, puedes crear varias reglas DNAT para dirigir el tráfico a diferentes servidores basándote en la dirección IP de origen y el tipo de tráfico:

  • El tráfico de VLAN1 a 203.0.113.96 se envía a 10.10.10.5

  • El tráfico de Finanzas a 203.0.113.96 se envía a 10.10.10.25

  • El tráfico de Compras a 203.0.113.96 se envía a 10.10.10.65

Esto te permite agregar más máquinas a los grupos respectivos sin necesidad de cambiar tu configuración, al mismo tiempo que gestionas eficientemente el tráfico a una única dirección IP.

Trabajo con la Base de Reglas NAT

La política NAT utiliza reglas ordenadas. Un paquete llega y se verifica contra las reglas. Una vez que coincide una regla, se aplica una acción y ninguna de las otras reglas se procesa.

Por ejemplo, si una conexión coincide con la regla #3, se aplica la acción a la conexión y se ignoran todas las reglas secuenciales. Si una conexión no coincide con ninguna regla, se procesa con los datos originales.

Configuración de la Política NAT

Esta sección explica cómo definir reglas para NAT y los objetos, puertos y servicios que puedes configurar.

Definición de Reglas NAT

Crea una regla NAT y configura los ajustes para la regla para gestionar el enrutamiento del tráfico de LAN.

Las reglas de política NAT se aplican a un sitio en aproximadamente un minuto.

Para los clientes que usan la configuración heredada del Socket LAN IP como la Traducción de IP de Origen, no recomendamos esta configuración.

Para definir una regla NAT:

  1. Desde el menú de navegación, haz clic en Network > Sites y selecciona el sitio.

    Nota

    Nota: Si no ves la política NAT en tu menú y te gustaría habilitarla, contacta a tu representante de cuenta o al Soporte al Cliente.

  2. Desde el menú de navegación, haz clic en Site Configuration > NAT.

  3. Haz clic en Nuevo. Se abre el panel Agregar Regla NAT.

  4. Desde la sección General, configura los siguientes ajustes para la regla:

    • Introduce el Nombre de la regla.

    • Habilita o deshabilita la regla usando el control deslizante (verde es habilitado, gris es deshabilitado).

    • Configura el Orden de la Regla. Define un número mayor para reglas más específicas y un número menor para reglas menos específicas.

  5. Configura los ajustes del IP de Origen Original.

    • Selecciona Rango de IP o Cualquiera.

      El rango de IP puede ser una dirección IP única o un rango de direcciones. Puedes crear múltiples entradas.

  6. Configura los ajustes de IP y Puerto/Protocolo de Destino Original:

    • En IP de Destino, selecciona rango de IP o Cualquiera.

      El rango de IP puede ser una dirección IP única o un rango de direcciones. Puedes crear múltiples entradas.

    • En Puerto/Protocolo de Destino, define el protocolo y puerto utilizando el formato protocolo/puerto:

      Por ejemplo, TCP/80, UDP/53, TCP/443

  7. En Acción NAT, determina si cambiar la NAT de origen o de destino. Puedes cambiar tanto el origen como el destino, pero no puedes mantener ambas direcciones originales.

  8. Haz clic en aplicar y, a continuación, haz clic en Guardar.

    La regla se agrega a la tabla.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 5 de 5

0 comentarios