Configuration d'une politique NAT au niveau du site

Cet article explique comment utiliser la politique NAT pour gérer et prioriser le trafic pour les sites dans votre compte.

Vue d'ensemble

De nombreux défis attendent les organisations qui souhaitent traduire leur trafic réseau tout en maintenant l'accessibilité à toutes leurs ressources pertinentes. Surtout quand vous devez communiquer entre des réseaux privés qui peuvent fonctionner avec les mêmes plages d'IP privées. De plus, vous pourriez avoir des ressources dont vous ne voulez pas exposer la structure ou la topologie, auquel cas, vous pouvez utiliser NAT pour faire apparaître le trafic comme s'il provenait d'une certaine adresse IP.

Alternativement, vous pourriez devoir offrir un accès distant à des services internes tels que des serveurs web ou de fichiers. Vous pouvez fournir une adresse IP publique qui est ensuite convertie en une ou plusieurs adresses IP internes.

Cato vous permet de créer une politique NAT spécifique au site pour correspondre à des IP sources et destinations spécifiques, et appliquer à la fois le NAT source et le NAT destination (SNAT et DNAT, respectivement) pour le trafic sortant (du Cato Cloud vers le site).

Architecture-Site-NAT.png

La politique NAT est appliquée au trafic entrant (du PoP) vers le site sur lequel la politique est configurée :

  • Trafic d'Internet (ie. RPF)
  • Trafic d'un site Cato différent (ie. trafic WAN)

NAT amélioré avec Traduction d’Adresse de Port (PAT)

La mise en œuvre du NAT par Cato va au-delà de la traduction basique d'adresse IP en incorporant par défaut la Traduction d’Adresse de Port (PAT), permettant une fonctionnalité NAT de plusieurs à un. Cela permet jusqu'à 65 536 sessions simultanées par adresse IP traduite en assignant des numéros de port source uniques à chaque session. En conséquence, plusieurs hôtes IP originaux peuvent simultanément initier des connexions via une seule IP traduite, tout en maintenant l'unicité des sessions.

Ce contrôle granulaire est essentiel pour gérer efficacement des scénarios tels que :

  • Accès à plusieurs services internes exposés via une seule IP
  • Environnements à haute densité d'utilisateurs, où des milliers de sessions doivent être mappées sans épuiser les ressources d'adresse IP

En exploitant PAT, Cato assure une connectivité évolutive, sans collision et des performances d'application sans faille même sous des charges de trafic importantes.

Cas d'utilisation de la politique NAT

La section suivante présente deux exemples de cas d'utilisation pour SNAT et DNAT. L'exemple ci-dessous montre la base des règles pour ces cas d'utilisation.

Politique-Site-NAT.png

Cas d'utilisation pour SNAT

Dans ce scénario, vous avez un groupe d'administrateurs IT connectés via un client SDP. Ils ont besoin d'accéder à une ressource appartenant à une tierce partie, par exemple, un système de billetterie, situé derrière un site IPsec ailleurs dans l'entreprise.

La tierce partie vous demande de communiquer en utilisant une adresse IP spécifique, par exemple, 192.151.100.10. L'adresse IP source d'origine (qui appartient au groupe d'administrateurs IT) sera bloquée pour communiquer.

Pour résoudre ce problème, vous pouvez créer une règle de politique NAT pour les connexions dont l'adresse IP source d'origine est celle des administrateurs d'un groupe spécifique. En tentant d'accéder au système de billetterie, vous appliquez la NAT source sur l'adresse IP de l'administrateur pour traduire en 192.151.100.10, ce qui garantit que l'administrateur IT peut communiquer avec le serveur tiers.

Cas d'utilisation pour DNAT

Dans ce scénario, vous avez plusieurs hôtes de différents groupes envoyant du trafic à une adresse IP. Ces machines envoient toutes leurs paquets à une seule adresse réseau, par exemple, 203.0.113.96.

Pour vous assurer de maintenir une performance optimale à travers votre réseau, vous pouvez créer plusieurs règles DNAT pour diriger le trafic vers différents serveurs en fonction de l'adresse IP source et du type de trafic:

  • Le trafic de VLAN1 vers 203.0.113.96 est envoyé à 10.10.10.5

  • Le trafic de Finance vers 203.0.113.96, est envoyé à 10.10.10.25

  • Le trafic de Purchases vers 203.0.113.96, est envoyé à 10.10.10.65

Cela vous permet d'ajouter plus de machines aux groupes respectifs sans avoir à changer votre configuration, tout en gérant efficacement le trafic vers une seule adresse IP.

Travailler avec la base de règles NAT

La politique NAT utilise des règles ordonnées. Un paquet arrive et est vérifié par rapport aux règles. Une fois qu'une règle est correspondante, une action est appliquée et aucune des autres règles n'est traitée.

Par exemple, si une connexion correspond à la règle n°3, l'action est appliquée à la connexion et toutes les règles séquentielles sont ignorées. Si une connexion ne correspond à aucune règle, elle est traitée avec les données originales.

Configuration de la politique NAT

Cette section explique comment définir des règles pour NAT et les objets, ports et services que vous pouvez configurer.

Définir des règles NAT

Créez une règle NAT et configurez les paramètres pour gérer le routage du trafic LAN.

Les règles de la politique NAT sont appliquées à un site en environ une minute.

Pour les clients qui utilisent l'ancienne configuration de l'IP LAN du Socket comme IP source traduite, nous ne recommandons pas cette configuration.

Pour définir une règle NAT :

  1. Depuis le menu de navigation, cliquez sur Réseau > Sites et sélectionnez le site.

    Remarque

    Remarque : Si vous ne voyez pas la politique NAT dans votre menu et que vous souhaitez l'activer, contactez votre représentant commercial ou le service client.

  2. Dans le menu de navigation, cliquez sur Site Configuration > NAT.

  3. Cliquez sur Nouveau. Le panneau Ajouter une règle NAT s'ouvre.

  4. Dans la section Général, configurez les paramètres suivants pour la règle :

    • Entrez le Nom de la règle.

    • Activez ou désactivez la règle à l'aide du curseur (vert est activé, gris est désactivé).

    • Configurez l'Ordre de la règle. Définissez un nombre plus élevé pour des règles plus spécifiques et un nombre inférieur pour des règles moins spécifiques.

  5. Configurez les paramètres de l'IP Source Originale.

    • Sélectionnez Plage IP ou N'importe quel.

      La plage IP peut être une seule adresse IP ou une plage d'adresses. Vous pouvez créer plusieurs entrées.

  6. Configurez les paramètres d'IP de Destination Originale et Port/Protocole :

    • Sous IP de destination, sélectionnez Plage IP ou N'importe quel.

      La plage IP peut être une seule adresse IP ou une plage d'adresses. Vous pouvez créer plusieurs entrées.

    • Sous Port/Protocole de destination, définissez le protocole et le port en utilisant le format protocole/port :

      Par exemple, TCP/80, UDP/53, TCP/443

  7. Sous Action NAT, déterminez si vous devez changer la source ou la destination NAT. Vous pouvez changer à la fois la source et la destination, mais vous ne pouvez pas conserver les deux adresses originales.

  8. Cliquez sur Appliquer, puis cliquez sur Sauvegarder.

    La règle est ajoutée à la table.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 5 sur 5

0 commentaire