Configurando uma Política de NAT em Nível de Local

Este artigo discute como usar a política NAT para gerenciar e priorizar o tráfego para sites em sua conta.

Visão Geral

Existem muitos desafios enfrentados por organizações que desejam traduzir seu tráfego de rede enquanto mantêm acessibilidade a todos os seus recursos relevantes. Especialmente quando você precisa se comunicar entre redes privadas que podem funcionar com os mesmos intervalos de IP privados. Além disso, você pode ter recursos cuja estrutura ou topologia você não deseja expor, nesse caso, pode usar o NAT para fazer o tráfego parecer como se viesse de um determinado endereço IP.

Alternativamente, você pode precisar oferecer acesso remoto a serviços internos, como servidores web ou de arquivos. Você pode fornecer um endereço IP público que é então convertido para um ou mais endereços IP internos.

A Cato permite que você crie uma política NAT específica para o site para corresponder a IPs de origem e destino específicos, e aplique tanto o NAT de origem quanto o de destino (SNAT e DNAT, respectivamente) para tráfego de saída (do Cato Cloud em direção ao site).

Site-NAT-Architecture.png

A política NAT é aplicada ao tráfego de entrada (do PoP) para o site em que a política está configurada:

  • Tráfego da Internet (ou seja, RPF)
  • Tráfego de um site Cato diferente (ou seja, tráfego WAN)

NAT Avançado com Tradução de Endereço de Porta (PAT)

A implementação de NAT da Cato vai além da tradução básica de endereço IP ao incorporar, por padrão, a Tradução de Endereço de Porta (PAT), permitindo a funcionalidade NAT de muitos-para-um. Isso permite até 65.536 sessões simultâneas por Endereço IP traduzido ao atribuir números de porta de origem exclusivos para cada sessão. Como resultado, vários hosts IP originais podem simultaneamente iniciar conexões através de um único IP Traduzido, mantendo a unicidade da sessão.

Este controle granular é essencial para lidar eficientemente com cenários como:

  • Acesso a múltiplos serviços Interno expostos através de um único IP
  • Ambientes com alta densidade de usuários, onde milhares de sessões devem ser mapeadas sem esgotar os recursos de endereço IP

Por alavancar o PAT, a Cato garante uma Conectividade escalável, livre de colisões, e um desempenho de aplicação contínuo, mesmo sob cargas de Tráfego pesado.

Casos de Uso para Política de NAT

A seção a seguir apresenta dois exemplos de casos de uso para SNAT e DNAT. O exemplo abaixo mostra a base de regras para esses casos de uso.

Site-NAT-Policy.png

Caso de Uso de SNAT

Nesse cenário, você tem um grupo de administradores de TI conectados via um Cliente SDP. Eles precisam acessar um recurso pertencente a um terceiro, por exemplo, um sistema de tickets, localizado atrás de um local IPsec em outra parte da empresa.

O terceiro exige que você se comunique usando um endereço IP específico, por exemplo, 192.151.100.10. O IP de origem original (que pertence ao grupo de administradores de TI) será bloqueado para comunicação.

Para resolver isso, você pode criar uma regra de política de NAT para conexões cujo IP de origem original sejam os administradores em um grupo específico. Ao tentar acessar o sistema de tickets, você aplica NAT de Origem no endereço IP do administrador para traduzir para 192.151.100.10, garantindo que o administrador de TI possa se comunicar com o servidor de terceiros.

Caso de Uso de DNAT

Nesse cenário, você tem múltiplos hosts de diferentes grupos enviando tráfego para um endereço IP único. Essas máquinas todas enviam seus pacotes para um único endereço de rede, por exemplo, 203.0.113.96.

Para garantir que você mantenha o desempenho ideal em toda a sua rede, você pode criar várias regras de DNAT para direcionar o tráfego para diferentes servidores com base no endereço IP de origem e no tipo de tráfego:

  • Tráfego de VLAN1 para 203.0.113.96 é enviado para 10.10.10.5

  • Tráfego de Finanças para 203.0.113.96, é enviado para 10.10.10.25

  • Tráfego de Compras para 203.0.113.96, é enviado para 10.10.10.65

Isso permite que você adicione mais máquinas aos grupos respectivos sem ter que mudar sua configuração, enquanto também gerencia eficientemente o tráfego para um único endereço IP.

Trabalhando com a Base de Regras NAT

A política de NAT usa regras ordenadas. Um pacote chega e é verificado em relação às regras. Uma vez que uma regra é correspondida, uma ação é aplicada e nenhuma das outras regras é processada.

Por exemplo, se uma conexão corresponde à regra #3, a ação é aplicada à conexão e todas as regras sequenciais são ignoradas. Se uma conexão não corresponder a nenhuma regra, ela é processada com os dados originais.

Configurando a Política de NAT

Esta seção explica como definir regras para NAT e os objetos, portas e serviços que você pode configurar.

Definindo Regras NAT

Crie uma regra de NAT e configure as configurações da regra para gerenciar o roteamento do tráfego LAN.

Regras de política NAT são aplicadas a um local em aproximadamente um minuto.

Para clientes que utilizam a configuração legada do IP da LAN do Socket como o IP de Origem Traduzido, não recomendamos essa configuração.

Para definir uma regra de NAT:

  1. No menu de navegação, clique em Rede > Locais e selecione o local.

    Nota

    Nota: Se você não vir política NAT no seu menu e quiser habilitá-la, entre em contato com seu representante de conta ou Suporte ao Cliente.

  2. No menu de navegação, clique em Configurações do Local > NAT.

  3. Clique em Novo. O painel Adicionar Regra NAT abre.

  4. Na seção Geral, configure as seguintes configurações para a regra:

    • Digite o Nome da regra.

    • Habilite ou desabilite a regra usando o controle deslizante (verde é habilitado, cinza é desabilitado).

    • Configurar a Ordem da Regra. Defina um número maior para regras mais específicas e um número menor para regras menos específicas.

  5. Configurar as configurações de IP de Origem Original.

    • Selecionar Intervalo de IP ou Qualquer.

      O intervalo de IP pode ser um único endereço IP ou uma faixa de endereços. Você pode criar múltiplas entradas.

  6. Configurar as configurações de IP de Destino Original e Porta/Protocolo:

    • Sob IP de Destino, selecione intervalo de IP ou Qualquer.

      O Intervalo de IP pode ser um único Endereço IP ou um intervalo de endereços. Você pode criar várias entradas.

    • Em Porta/Protocolo de Destino, defina o Protocolo e a Porta usando o formato protocolo/porta:

      Por exemplo, TCP/80, UDP/53, TCP/443

  7. Em Ação NAT, determine se deve alterar a origem ou o destino da NAT. Você pode alterar tanto a origem quanto o destino, mas não pode manter ambos os endereços originais.

  8. Clique em Aplicar, e depois clique em Salvar.

    A regra é adicionada à tabela.

Esse artigo foi útil?

Usuários que acharam isso útil: 5 de 5

0 comentário