Acerca de 1-to-1 NAT
Cuando habilita 1-to-1 NAT, su Firebox asigna una o más direcciones IP privadas a una o más direcciones IP públicas. Esto le permite acceder a recursos de red internos, como un servidor de correo accesible en Internet.
Puede aplicar 1-to-1 NAT a una dirección IP, un rango de direcciones o una subred. Una regla 1-to-1 NAT siempre tiene precedencia sobre la NAT dinámica.
Para conectarse a un equipo ubicado en una interfaz diferente que usa 1-to-1 NAT, debe usar la dirección IP pública (Base NAT) de ese equipo. Si esto es un problema, puede deshabilitar 1-to-1 NAT y usar NAT estática.
Recomendamos que configure SNAT en lugar de 1-to-1 NAT en la mayoría de las redes. La combinación de SNAT y DNAT es más flexible que 1-to-1 NAT y puede hacer todo lo que puede hacer 1-to-1 NAT. Para obtener información sobre SNAT, consulte Acerca de SNAT.
Si configura 1-to-1 NAT, tenga en cuenta que las direcciones IP utilizadas para 1-to-1 NAT no se pueden utilizar con otros fines. Por ejemplo, tampoco se puede usar direcciones IP 1-to-1 para el tráfico entrante o para funciones del Firebox como VPN, Access Portal o Support Access.
Usos Comunes
Considere una situación en la que dedica completamente direcciones IP públicas a dispositivos internos específicos, pero estas direcciones IP públicas no estarán disponibles para ninguna otra función del Firebox. Los administradores suelen utilizar 1-to-1 NAT para un servidor interno con una dirección IP privada que debe hacerse pública. Puede utilizar 1-to-1 NAT para asignar direcciones IP públicas a los dispositivos internos. No es necesario que cambie las direcciones IP de sus dispositivos internos.
Por ejemplo, puede configurar 1-to-1 NAT para un servidor de correo en su red interna. Los usuarios en la red interna se conectan al servidor de correo con la dirección IP privada. Los usuarios que se encuentran fuera de su red se conectan a su servidor de correo con la dirección IP pública que especifique en la configuración de 1-to-1 NAT.
También puede usar 1-to-1 NAT para un grupo de servidores internos. Por ejemplo, si tiene cinco servidores de correo internos, puede usar 1-to-1 NAT para asignar direcciones IP públicas a los servidores internos.
Cuando configure 1-to-1 NAT, no es necesario que cambie la dirección IP de los servidores internos.
No habilite 1-to-1 NAT si solo tiene una dirección IP pública o una pequeña cantidad de direcciones IP públicas. 1-to-1 NAT no funciona si solo tiene una dirección IP pública. Si solo tiene unas pocas direcciones IP públicas, recomendamos SNAT para utilizar mejor sus direcciones IP públicas.
Ejemplo — Servidor Individual
Este ejemplo explica la configuración 1-to-1 NAT para un servidor de correo interno. La dirección IP pública que usa en una configuración 1-to-1 NAT no debe ser la misma que la dirección IP existente de una interfaz Ethernet.
En este ejemplo:
- Su Firebox tiene esta dirección IP de interfaz externa: 203.0.113.100/24
- Un servidor de correo electrónico interno tiene las direcciones IP privadas de 10.0.1.11
- Usted quiere asociar esta dirección IP privada con una dirección IP pública
Puede agregar una regla 1-to-1 NAT para asociar la dirección IP privada de su servidor de correo electrónico interno con una dirección IP pública correspondiente. Para hacer esto, seleccione una dirección IP pública sin utilizar en la misma subred de la red como interfaz externa. Por ejemplo, la dirección IP pública puede ser 203.0.113.11. Crear un registro DNS para que se resuelva el servidor de correo electrónico.
A continuación, cree una regla 1-to-1 NAT para el tráfico a través de la interfaz Externa que mapea la dirección IP privada (real) del servidor de correo electrónico hacia el grupo correspondiente de dirección IP pública.
Base real | Base NAT |
---|---|
10.0.1.11 |
203.0.113.11 |
La regla 1-to-1 NAT crea una relación estática, bidireccional entre las direcciones IP correspondientes. Cuando se aplica la regla 1-to-1 NAT, el Firebox crea el enrutamiento bidireccional y la relación NAT entre el par de direcciones. 1-to-1 NAT también opera sobre el tráfico enviado desde las redes que su Firebox protege.
Para obtener más información sobre cómo configurar este ejemplo, consulte Configurar Firewall 1-to-1 NAT
Ejemplo — Grupo de Servidores
Cuando se tiene un grupo de servidores similares (por ejemplo, un grupo de servidores de correo electrónico), 1-to-1 NAT es más fácil de configurar que NAT estática para el mismo grupo de servidores. Las direcciones IP públicas que usa en una configuración NAT no deben ser la misma que la dirección IP existente de una interfaz de Ethernet.
En este ejemplo:
- Su Firebox tiene esta dirección IP de interfaz externa: 203.0.113.100/24
- Cinco servidores de correo electrónico interno tienen direcciones IP privadas desde el rango 10.0.1.11 al 10.0.1.15
- Usted quiere asociar estas direcciones IP privadas con cinco direcciones IP públicas
Puede agregar una regla 1-to-1 NAT para asociar cada uno de los servidores de correo electrónico privados con una dirección IP pública correspondiente. Para hacer esto, seleccione cinco direcciones IP públicas sin utilizar en la misma subred de la red como interfaz externa. Por ejemplo, estas direcciones IP públicas pueden estar en el rango 203.0.113.11 a 203.0.113.15. Cree registros DNS para que los servidores de correo electrónico resuelvan.
A continuación, cree una regla 1-to-1 NAT para el tráfico a través de la interfaz Eternal que mapea el rango IP de cinco direcciones IP privadas (reales) de los servidores de correo electrónico con el grupo correspondiente de cinco direcciones IP públicas.
Base real | Base NAT | Rango |
---|---|---|
10.0.1.11 10.0.1.12 10.0.1.13 10.0.1.14 10.0.1.15 |
203.0.113.11 203.0.113.12 203.0.113.13 203.0.113.14 203.0.113.15 |
5 |
La regla 1-to-1 NAT crea una relación estática, bidireccional entre los pares correspondientes de direcciones IP. Cuando se aplica la regla 1-to-1 NAT, el Firebox crea el enrutamiento bidireccional y la relación NAT entre cada par de direcciones IP en los dos rangos de direcciones. 1-to-1 NAT también opera sobre el tráfico enviado desde las redes que su Firebox protege.
Para otro ejemplo, vea Ejemplo de 1-to-1 NAT.
Acerca de 1-to-1 NAT y VPN
Cuando se crea un túnel VPN, las redes en cada extremo del túnel VPN deben tener rangos de direcciones de red diferentes. Se puede usar 1-to-1 NAT cuando se debe crear un túnel VPN entre dos redes que usan la misma dirección de red privada. Si el rango de red en la red remota es el mismo que en la red local, puede configurar la VPN para que use 1-to-1 NAT.
- Para una interfaz virtual BOVPN, debe configurar 1-to-1 NAT de la misma manera que lo haría en cualquier otra interfaz. Puede seleccionar el nombre de la interfaz virtual BOVPN como la interfaz para 1-to-1 NAT.
- Para un túnel VPN de sucursal que no es una interfaz virtual BOVPN, debe configurar 1-to-1 NAT en los ajustes de la puerta de enlace y túnel VPN de sucursal. Para más información, consulte Configurar 1-to-1 NAT a través de un Túnel VPN de Sucursal.
Ver También
Video Tutorial: Introducción a NAT.
Configurar Firewall 1-to-1 NAT