Conversão de endereços de rede para a VPN

A conversão de endereços de rede (NAT) pega nos endereços de IP privados e converte-os em endereços de IP públicos.  Isto ajuda a conservar endereços públicos importantes, enquanto que, ao mesmo tempo, permite que os sistemas centrais na rede tenham acesso aos serviços e aos sistemas centrais remotos pela Internet (ou outra rede pública).

Além disso, se utilizar endereços de IP privados, estes podem entrar em conflito com endereços de IP semelhantes que sejam recebidos.  Por exemplo, poderá pretender comunicar com outra rede e ambas as redes utilizarem endereços 10.*.*.*, levando a que os endereços colidam e larguem os pacotes.  A aplicação da NAT aos endereços de envio parece a resposta a este problema.  Contudo, se o tráfego de dados estiver protegido por uma VPN, a NAT convencional não terá resultado, uma vez que altera os endereços de IP nas associações de segurança (SAs) necessárias para o funcionamento da VPN.  Para evitar este problema, a VPN do OS/400 fornece uma versão de conversão de endereços de rede denominada por NAT da VPN.  Esta executa conversão de endereços antes da validação da SA através da atribuição de um endereço à ligação quando esta é iniciada.  O endereço continua associado à ligação até que seja eliminada.

Nota: Nesta situação, o FTP não suporta a NAT da VPN.

Como devo utilizar a NAT da VPN?
Existem dois tipos diferentes de NAT da VPN que é necessário ter em conta antes de começar. Eles são:

NAT da VPN para impedir conflitos entre endereços de IP
Este tipo de NAT da VPN permite-lhe evitar possíveis conflitos entre endereços de IP quando configurar uma ligação da VPN entre redes ou sistemas com esquemas de endereçamento semelhantes.  Um cenário típico é aquele em que ambas as empresas criam ligações da VPN, através de um dos intervalos de endereços de IP privados pré-determinados.  Por exemplo, 10.*.*.*.  A forma como configura este tipo de NAT da VPN depende do fato de o servidor ser o iniciador ou o receptor da ligação da VPN.  Quando o servidor for o iniciador da ligação, pode converter os endereços locais em endereços compatíveis com o endereço da ligação da VPN parceira.  Quando o servidor for o receptor da ligação, pode converter os endereços remotos da ligação da VPN parceira em endereços compatíveis com o esquema de endereçamento local.  Configure este tipo de conversão de endereços apenas para as ligações dinâmicas.

NAT da VPN para endereços locais
Este tipo de NAT da VPN é utilizado principalmente para ocultar o endereço de IP real do sistema local através da conversão deste endereço noutro que possa ser tornado disponível publicamente.  Quando configura a NAT da VPN, é possível especificar que cada endereço de IP conhecido publicamente possa ser convertido num endereço que faça parte de um conjunto de endereços ocultos.  Esta especificação permite-lhe ainda equilibrar o fluxo de tráfego de um endereço individual através de endereços múltiplos.  A NAT da VPN para endereços locais requer que o servidor seja o receptor das respectivas ligações.

Utilize a NAT da VPN para endereços locais, se responder afirmativamente a estas questões:

  1. Possui um ou mais servidores aos quais pretende que as pessoas tenham acesso através de uma VPN?
  2. Necessita de ser flexível em relação aos verdadeiros endereços de IP do seu sistema?
  3. Possui um ou mais endereços de IP globalmente encaminháveis?