Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Tradução de protocolo NAT

Configuração do NAT-PT

Para configurar o tipo de tradução como basic-nat-pt, você deve configurar o aplicativo DNS ALG, os pools e regras de NAT, um conjunto de serviços com uma interface de serviço e opções de rastreamento. A configuração do NAT-PT não é suportada se você estiver usando MS-MPCs ou MS-MICs. Este tópico inclui as seguintes tarefas:

Configuração do aplicativo DNS ALG

Para configurar o aplicativo DNS ALG:

  1. No modo de configuração, vá para o nível de [edit applications] hierarquia.
  2. Configure a ALG à qual o tráfego de DNS está destinado no nível de [edit applications] hierarquia. Defina o nome do aplicativo e especifique o protocolo do aplicativo para usar em condições de correspondência na primeira regra ou termo NAT.

    No exemplo a seguir, o nome do aplicativo é dns-alg e o protocolo de aplicação é dns.

  3. Verifique a configuração usando o show comando no nível de [edit applications] hierarquia.

Configurando o grupo de NAT e a regra do NAT

Para configurar o pool de NAT e a regra NAT:

  1. No modo de configuração, vá para o nível de [edit services nat] hierarquia.
  2. Configure o pool de NAT e seu endereço.

    No exemplo a seguir, o nome do pool de NAT é p1 e o endereço é 10.10.10.2/32.

  3. Configure o pool de origem e seu endereço.

    No exemplo a seguir, o nome do pool de origem é src_pool0 e o endereço do pool de origem é 20.1.1.1/32.

  4. Configure o pool de destino e seu endereço.

    No exemplo a seguir, o nome do pool de destino é dst_pool0 e o endereço do pool de destino é 50.1.1.2/32.

  5. Configure a regra e a direção da correspondência.

    No exemplo a seguir, o nome da regra é rule-basic-nat-pt e a direção da correspondência é a entrada.

  6. Configure o termo e as condições de entrada para o termo NAT.

    No exemplo a seguir, o termo é t1 e as condições de entrada são endereço-fonte 2000::2/128, endereço de destino 4000::2/128 e aplicativos dns_alg.

  7. Configure o termo ação de NAT e as propriedades do tráfego traduzido.

    No exemplo a seguir, o termo ação é traduzido e as propriedades do tráfego traduzido são src_pool0 de pool de origem, dst_pool0 de pool de destino e dns-alg-prefix 2001:db8:10:0/96.

  8. Configure o tipo de tradução.

    No exemplo a seguir, o tipo de tradução é básico-nat-pt.

  9. Configure outro termo e as condições de entrada para o termo NAT.

    No exemplo a seguir, o termo é t2 e as condições de entrada são endereço-fonte 2000::2/128 e endereço de destino 2001:db8:10:0/96.

  10. Configure o termo ação de NAT e a propriedade do tráfego traduzido.

    No exemplo a seguir, o termo ação é traduzido e a propriedade do tráfego traduzido é o prefixo fonte 19.19.19.1/32.

  11. Configure o tipo de tradução.

    No exemplo a seguir, o tipo de tradução é básico-nat-pt.

  12. Verifique a configuração usando o show comando no nível de [edit services nat] hierarquia.

Configuração do conjunto de serviços para NAT

Para configurar o conjunto de serviços para NAT:

  1. No modo de configuração, vá para o nível de [edit services] hierarquia.
  2. Configure o conjunto de serviços.

    No exemplo a seguir, o nome do conjunto de serviços é ss_dns.

  3. Configure o conjunto de serviços com regras de NAT.

    No exemplo a seguir, o nome da regra é rule-basic-nat-pt.

  4. Configure a interface de serviço.

    No exemplo a seguir, o nome da interface de serviço é sp-1/2/0.

  5. Verifique a configuração usando o show services comando do [edit] nível de hierarquia.

Configuração de opções de rastreamento

Para configurar as opções de rastreamento:

  1. No modo de configuração, vá para o nível de [edit services adaptive-services-pics] hierarquia.
  2. Configure as opções de rastreamento.

    No exemplo a seguir, o parâmetro de rastreamento é todo.

  3. Verifique a configuração usando o show comando no nível de [edit services] hierarquia.

O exemplo a seguir configura o tipo de tradução como basic-nat-pt.

Exemplo: Configuração do NAT-PT

Um gateway de nível de aplicativo de sistema de nome de domínio (DNS ALG) é usado com a tradução de protocolo de endereço de rede (NAT-PT) para facilitar o mapeamento de nome para endereço. Você pode configurar a DNS ALG para mapear endereços devolvidos na resposta de DNS a um endereço IPv6. A configuração do NAT-PT não é suportada se você estiver usando MS-MPCs ou MS-MICs.

Ao configurar o NAT-PT com suporte a DNS ALG, você deve configurar duas regras de NAT ou uma regra com dois termos. Neste exemplo, você configura duas regras. A primeira regra de NAT garante que os pacotes de consulta e resposta de DNS sejam traduzidos corretamente. Para que essa regra funcione, você deve configurar um aplicativo DNS ALG e referenciá-lo na regra. A segunda regra é necessária para garantir que as sessões de NAT sejam destinadas ao endereço mapeado pelo DNS ALG.

Em seguida, você deve configurar um conjunto de serviços e, em seguida, aplicar o conjunto de serviços nas interfaces.

Este exemplo descreve como configurar o NAT-PT com DNS ALG:

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Versão Junos OS 11.2

  • Uma interface multisserviços (ms-)

Visão geral e topologia

O cenário a seguir mostra o processo do NAT-PT com DNS ALG quando um laptop em um domínio somente IPv6 solicita acesso a um servidor em um domínio somente IPv4.

Topologia

Figura 1: Configuração de ALGs DNS com topologia Configuring DNS ALGs with NAT-PT Network Topology de rede NAT-PT

O roteador da Juniper Networks no centro da ilustração realiza a tradução de endereços em duas etapas. Quando o laptop solicita uma sessão com o servidor www.example.com que está em um domínio somente IPv4, o roteador Juniper Networks executa o seguinte:

  • Traduz os endereços de servidor IPv6 e notebook IPv6 em endereços IPv4.

  • Traduz a solicitação AAAA do laptop em uma solicitação A para que o servidor DNS possa fornecer o endereço IPv4.

Quando o servidor DNS responde com a solicitação A, o roteador Juniper Networks executa o seguinte:

  • Traduz o endereço do servidor IPv4 DNS de volta em um endereço IPv6.

  • Traduz a solicitação A de volta em uma solicitação AAAA para que o laptop agora tenha o endereço IPv6 de 96 bits do servidor www.example.com .

Depois que o laptop recebe a versão IPv6 do endereço www.example.com servidor, o laptop inicia uma segunda sessão usando o endereço IPv6 de 96 bits para acessar esse servidor. O roteador da Juniper Networks executa o seguinte:

  • Traduz o endereço IPv4 do laptop diretamente em seu endereço IPv4.

  • Traduz o endereço de servidor IPv6 de 96 bits www.example.com em seu endereço IPv4.

Configuração do NAT-PT com ALGs DNS

Para configurar o NAT-PT com DNS ALG, execute as seguintes tarefas:

Configuração do gateway no nível do aplicativo

Procedimento passo a passo

Configure o aplicativo de DNS como o ALG ao qual o tráfego de DNS está destinado. O protocolo de aplicativo DNS fecha o fluxo de DNS assim que a resposta de DNS é recebida. Ao configurar o protocolo de aplicativo DNS, você deve especificar o protocolo UDP como protocolo de rede compatível com a definição do aplicativo.

Para configurar o aplicativo DNS:

  1. No modo de configuração, vá para o nível de [edit applications] hierarquia.

  2. Defina o nome do aplicativo e especifique o protocolo do aplicativo para usar em condições de correspondência na primeira regra NAT.

    Por exemplo:

  3. Especifique o protocolo compatível, neste caso UDP.

    Por exemplo:

  4. Defina a porta de destino UDP para uma correspondência adicional de pacotes, neste caso a porta de domínio.

    Por exemplo:

Resultados

Configuração dos grupos de NAT

Procedimento passo a passo

Nesta configuração, você configura dois pools que definem os endereços (ou prefixos) usados para NAT. Esses pools definem os endereços IPv4 que são traduzidos em endereços IPv6. O primeiro pool inclui o endereço IPv4 da fonte. O segundo pool define o endereço IPv4 do servidor DNS. Para configurar grupos de NAT:

  1. No modo de configuração, vá para o nível de [edit services nat] hierarquia.

  2. Especifique o nome do primeiro pool e do endereço fonte IPv4 (laptop).

    Por exemplo:

  3. Especifique o nome do segundo pool e o endereço IPv4 do servidor DNS.

    Por exemplo:

Resultados

A saída de amostra a seguir mostra a configuração dos pools de NAT.

Configuração da sessão do servidor DNS: primeira regra de NAT

Procedimento passo a passo

A primeira regra de NAT é aplicada ao tráfego de DNS que vai para o servidor DNS. Essa regra garante que os pacotes de consulta e resposta de DNS sejam traduzidos corretamente. Para que essa regra funcione, você deve configurar um aplicativo DNS ALG e referenciá-lo na regra. O aplicativo DNS foi configurado na configuração do NAT-PT. Além disso, você deve especificar a direção em que o tráfego é compatível, o endereço fonte do laptop, o endereço de destino do servidor DNS e as ações a serem tomadas quando as condições de correspondência forem atendidas.

Para configurar a primeira regra de NAT:

  1. No modo de configuração, vá para o nível de [edit services nat] hierarquia.

  2. Especifique o nome da regra nat.

    Por exemplo:

  3. Especifique o nome do termo NAT.

    Por exemplo:

  4. Defina as condições de correspondência para essa regra.

    • Especifique o endereço de origem IPv6 do dispositivo (laptop) que tenta acessar um endereço IPv4.

      Por exemplo:

    • Especifique o endereço de destino IPv6 do servidor DNS.

      Por exemplo:

    • Consulte o aplicativo DNS ao qual o tráfego DNS destinado à porta 53 é aplicado.

      Neste exemplo, o nome do aplicativo configurado na etapa de configuração do aplicativo DNS é dns_alg:

  5. Defina as ações a serem tomadas quando as condições de correspondência forem atendidas. Os pools de origem e destino que você configurou na configuração dos grupos NAT são aplicados aqui.

    • Aplique o pool de NAT configurado para tradução de origem.

      Por exemplo:

    • Aplique o pool de NAT configurado para tradução de destino.

      Por exemplo:

  6. Defina o prefixo de 96 bits DNS ALG para mapeamento de endereços IPv4-to-IPv6.

    Por exemplo:

  7. Especifique o tipo de NAT usado para tráfego de origem e destino.

    Por exemplo:

    Nota:

    Neste exemplo, como o NAT é alcançado usando a tradução somente de endereço, é usado o tipo básico de tradução nat-pt . Para alcançar o NAT usando a tradução de endereço e porta (NAPT), use o tipo de tradução de napt-pt .

  8. Especifique a direção para combinar o tráfego que atende às condições da regra.

    Por exemplo:

  9. Configure o registro do sistema para registrar informações da interface de serviços para o /var/log directory.

    Por exemplo:

Resultados

A saída de amostra a seguir mostra a configuração da primeira regra NAT que vai para o servidor DNS.

Configuração da sessão HTTP: Segunda regra de NAT

Procedimento passo a passo

A segunda regra de NAT é aplicada ao tráfego de destino que vai para o servidor IPv4 (www.example.com). Essa regra garante que as sessões de NAT sejam destinadas ao endereço mapeado pelo DNS ALG. Para que essa regra funcione, você deve configurar o mapa de endereçoS ALG de DNS que correlaciona a consulta de DNS ou o processamento de resposta feito pela primeira regra com as sessões de dados reais processadas pela segunda regra. Além disso, você deve especificar a direção em que o tráfego é combinado: o endereço IPv4 para o endereço de origem IPv6 (laptop), o prefixo de 96 bits para preparação para o endereço de destino IPv4 (www.example.com) e o tipo de tradução.

Para configurar a segunda regra de NAT:

  1. No modo de configuração, vá para o nível de hierarquia a seguir.

  2. Especifique o nome da regra e do termo NAT.

    Por exemplo:

  3. Definir as condições de correspondência para esta regra:

    • Especifique o endereço IPv6 do dispositivo que tenta acessar o servidor IPv4.

      Por exemplo:

    • Especifique o prefixo IPv6 de 96 bits para preparar o endereço do servidor IPv4.

      Por exemplo:

  4. Defina as ações a serem tomadas quando as condições de correspondência forem atendidas.

    • Especifique o prefixo para a tradução do endereço fonte IPv6.

      Por exemplo:

  5. Especifique o tipo de NAT usado para tráfego de origem e destino.

    Por exemplo:

    Nota:

    Neste exemplo, como o NAT é alcançado usando a tradução somente de endereço, é usado o tipo básico de tradução nat-pt . Para alcançar o NAT usando a tradução de endereço e porta (NAPT), você deve usar o tipo de tradução de napt-pt .

  6. Especifique a direção em que combinar tráfego que atenda às condições da regra.

    Por exemplo:

Resultados

A saída de amostra a seguir mostra a configuração da segunda regra NAT.

Configuração do conjunto de serviços

Procedimento passo a passo

Este conjunto de serviços é um conjunto de serviços de interface usado como um modificador de ação em toda a interface de serviços (ms-). Os conjuntos de regras de firewall stateful e NAT são aplicados ao tráfego processado pela interface de serviços.

Para configurar o conjunto de serviços:

  1. No modo de configuração, vá para o nível de [edit services] hierarquia.

  2. Definir um conjunto de serviços.

    Por exemplo:

  3. Especifique propriedades que controlam como as mensagens de log do sistema são geradas para o conjunto de serviços.

    O exemplo abaixo inclui todos os níveis de gravidade.

  4. Especifique a regra de firewall stateful incluída neste conjunto de serviços.

    O exemplo abaixo faz referência à regra de firewall stateful definida na configuração da regra do firewall stateful.

  5. Defina as regras de NAT incluídas neste conjunto de serviços.

    O exemplo abaixo faz referência às duas regras definidas neste exemplo de configuração.

  6. Configure uma interface de serviços adaptativa na qual o serviço deve ser executado.

    Por exemplo:

    Apenas o nome do dispositivo é necessário, porque o software do roteador gerencia os números de unidade lógica automaticamente. A interface de serviços deve ser uma interface de serviços adaptativa para a qual você configurou a [edit interfaces interface-name] inet da família unidade 0 no nível hierárquico em Interfaces de Configuração.

Resultados

A saída de amostra a seguir mostra a configuração do conjunto de serviços.

Configurando a regra do firewall stateful

Procedimento passo a passo

Este exemplo usa um firewall stateful para inspecionar pacotes de informações de estado derivadas de comunicações anteriores e outros aplicativos. O roteador NAT-PT verifica o fluxo de tráfego correspondente à direção especificada pela regra, neste caso, tanto a entrada quanto a saída. Quando um pacote é enviado para a interface de serviços (ms-), as informações de direção são levadas junto com ele.

Para configurar a regra de firewall stateful:

  1. No modo de configuração, vá para o nível de [edit services stateful firewall] hierarquia.

  2. Especifique o nome da regra de firewall stateful.

    Por exemplo:

  3. Especifique a direção em que o tráfego deve ser combinado.

    Por exemplo:

  4. Especifique o nome do termo firewall stateful.

    Por exemplo:

  5. Defina os termos que compõem essa regra.

    Por exemplo:

Resultados

A saída de amostra a seguir mostra a configuração do firewall stateful dos serviços.

Configuração de interfaces

Procedimento passo a passo

Depois de definir o conjunto de serviços, você deve aplicar serviços a uma ou mais interfaces instaladas no roteador. Neste exemplo, você configura uma interface na qual você aplica o conjunto de serviços para tráfego de entrada e saída. Quando você aplica o conjunto de serviços a uma interface, ele garante automaticamente que os pacotes sejam direcionados para a interface de serviços (ms-).

Para configurar as interfaces:

  1. No modo de configuração, vá para o nível de [edit interfaces] hierarquia.

  2. Configure a interface na qual o conjunto de serviços é aplicado para garantir automaticamente que os pacotes sejam direcionados para a interface de serviços (ms-).

    • Para tráfego IPv4, especifique o endereço IPv4.

    • Aplique o conjunto de serviços definido em Interfaces de configuração.

    • Para tráfego IPv6, especifique o endereço IPv6.

  3. Especifique as propriedades da interface para a interface de serviços que executa o serviço.

Resultados

A saída de amostra a seguir mostra a configuração das interfaces para este exemplo.