NESTA PÁGINA
IPv6 NAT
O NAT IPv6 ajuda a traduzir endereços IPv4 para endereços IPv6 de dispositivos de rede. O NAT IPv6 também ajuda a traduzir o endereço entre hosts IPv6. O NAT IPv6 oferece suporte a NAT de origem, NAT de destino e NAT estático.
Ao realizar as tradução de NAT64, para evitar problemas de cabeçalho de fragmentação IPv6, use o set security nat natv6v4 no-v6-frag-header comando.
Visão geral do NAT IPv6
O IPv6 tem um espaço de endereço muito maior do que o espaço de endereço IPv4 esgotado iminente. O IPv4 foi estendido usando técnicas como a tradução de endereços de rede (NAT), que permite que intervalos de endereços privados sejam representados por um único endereço público e atribuição temporária de endereços. Existem muitas tecnologias para fornecer o mecanismo de transição para o host IPv4 legado para manter a conexão com a Internet. O IPv6 NAT fornece tradução de endereços entre dispositivos de rede endereçados IPv4 e IPv6. Ele também fornece tradução de endereços entre hosts IPv6. O NAT entre hosts IPv6 é feito de maneira semelhante e para fins semelhantes aos do NAT IPv4.
O NAT IPv6 no Junos OS fornece os seguintes tipos de NAT:
NAT de origem
NAT de destino
NAT estático
- Tradução de NAT de origem com suporte do IPv6 NAT
- Mapeamentos de NAT de destino com suporte do IPv6 NAT
- Mapeamentos de NAT estáticos suportados pelo NAT IPv6
Tradução de NAT de origem com suporte do IPv6 NAT
NAT de origem é a tradução do endereço IP de origem de um pacote que deixa o dispositivo da Juniper Networks. O NAT de origem é usado para permitir que hosts com endereços IP privados acessem uma rede pública.
O NAT IPv6 no Junos OS oferece suporte às seguintes tradução de NAT de origem:
Tradução de uma sub-rede IPv6 para outra sub-rede IPv6 sem tradução de endereço de porta
Tradução de endereços IPv4 para endereços IPv6 prefixo + IPv4
Tradução de hosts IPv6 para hosts IPv6 com ou sem tradução de endereço de porta
Tradução de hosts IPv6 para hosts IPv4 com ou sem tradução de endereço de porta
Tradução de hosts IPv4 para hosts IPv6 com ou sem tradução de endereço de porta
Mapeamentos de NAT de destino com suporte do IPv6 NAT
NAT de destino é a tradução do endereço IP de destino de um pacote que entra no dispositivo da Juniper Networks. O NAT de destino é usado para redirecionar o tráfego destinado a um host virtual (identificado pelo endereço IP de destino original) para o host real (identificado pelo endereço IP de destino traduzido).
O NAT IPv6 no Junos OS oferece suporte às seguintes tradução de NAT de destino:
Tradução de prefixo entre o prefixo IPv4 e IPv6
Mapeamento de uma sub-rede IPv6 para outra sub-rede IPv6
Mapeamento de uma sub-rede IPv6 para um host IPv6
Mapeamento de uma sub-rede IPv6 para uma sub-rede IPv4
Mapeamento de uma sub-rede IPv4 para uma sub-rede IPv6
Mapeamento de um host IPv6 (e número de porta opcional) para um host IPv6 especial (e número de porta opcional)
Mapeamento de um host IPv6 (e número de porta opcional) para um host IPv4 especial (e número de porta opcional)
Mapeamento de um host IPv4 (e número de porta opcional) para um host IPv6 especial (e número de porta opcional)
Mapeamentos de NAT estáticos suportados pelo NAT IPv6
O NAT estático define um mapeamento de um para um de uma sub-rede IP para outra sub-rede IP. O mapeamento inclui a tradução de endereço IP de destino em uma direção e tradução de endereço IP de origem na direção inversa. A partir do dispositivo NAT, o endereço de destino original é o endereço IP do host virtual, enquanto o endereço mapeado é o endereço IP do host real.
O NAT IPv6 no Junos OS oferece suporte às seguintes traduçãos de NAT estáticas:
Tradução de uma sub-rede IPv6 para outra sub-rede IPv6
Tradução de um host IPv6 para outro host IPv6
Tradução de um endereço IPv4 a.b.c.d para endereço IPv6 Prefix:a.b.c.d
Tradução de hosts IPv4 para hosts IPv6
Tradução de hosts IPv6 para hosts IPv4
Mapeamento de um prefixo IPv6 para um prefixo IPv4
Mapeamento de um prefixo IPv4 para um prefixo IPv6
Visão geral do NAT PT do IPv6
A tradução de protocolo de endereço de rede IPv6 (NAT-PT) oferece alocação de endereços e tradução de protocolo entre dispositivos de rede endereçados IPv4 e IPv6. O processo de tradução é baseado no método stateless IP/ICMP Translation (SIIT) ; no entanto, o estado e o contexto de cada comunicação são retidos durante a vida útil da sessão. O IPv6 NAT-PT oferece suporte a protocolo de mensagem de controle de Internet (ICMP), TCP e pacotes UDP.
O IPv6 NAT-PT oferece suporte aos seguintes tipos de NAT-PT:
NAT-PT tradicional — No NAT-PT tradicional, as sessões são unidirecionais e de saída da rede IPv6. O NAT-PT tradicional permite que hosts em uma rede IPv6 acessem hosts em uma rede IPv4. Há duas variações para o NAT-PT tradicional: NAT-PT básico e NAPT-PT.
No NAT-PT básico, um bloco de endereços IPv4 em uma interface IPv4 é reservado para traduzir endereços como hosts IPv6 enquanto iniciam sessões para os hosts IPv4. O NAT-PT básico traduz o endereço IP de origem e campos relacionados, como IP, TCP, UDP e checkums de cabeçalho ICMP para pacotes de saída do domínio IPv6. Para pacotes de entrada, ele traduz o endereço IP de destino e os checksums.
A tradução de protocolo de tradução de porta de endereço de rede (NAPT-PT) pode ser combinada com NAT-PT básico para que um pool de endereços externos seja usado em conjunto com a tradução de portas. O NAPT-PT permite que um conjunto de hosts IPv6 compartilhe um único endereço IPv4. O NAPT-PT traduz o endereço IP de origem, o identificador de transporte de origem e campos relacionados, como IP, TCP, UDP e checkums de cabeçalho do ICMP, para pacotes de saída da rede IPv6. O identificador de transporte pode ser uma porta TCP/UDP ou um ID de consulta de ICMP. Para pacotes de entrada, ele traduz o endereço IP de destino, o identificador de transporte de destino, o IP e os checksums de cabeçalho de transporte.
NAT-PT bidirecional — No NAT-PT bidirecional, as sessões podem ser iniciadas a partir de hosts na rede IPv4, bem como na rede IPv6. Os endereços de rede IPv6 são vinculados a endereços IPv4, seja estaticamente ou dinamicamente, conforme as conexões são estabelecidas em qualquer direção. A configuração estática é semelhante à tradução de NAT estática. Hosts em hosts de acesso de reino IPv4 no reino IPv6 usando DNS para resolução de endereços. Um DNS ALG deve ser empregado em conjunto com o NAT-PT bidirecional para facilitar o mapeamento de nome para endereço. Especificamente, o DNS ALG deve ser capaz de traduzir endereços IPv6 em consultas e respostas de DNS em suas ligações de endereço IPv4, e vice-versa, à medida que os pacotes de DNS atravessam entre os reinos IPv6 e IPv4.
Os dispositivos suportam parcialmente a especificação NAT-PT bidirecional. Ele oferece suporte ao fluxo de tráfego bidirecional assumindo que existem outras maneiras de transmitir o mapeamento entre o endereço IPv6 e o endereço IPv4 alocado dinamicamente. Por exemplo, uma DNS local pode ser configurada com as entradas mapeadas para nós IPv4 para identificar os endereços.
Operação NAT-PT — os dispositivos oferecem suporte ao NAT-PT tradicional e permitem mapeamento estático para que o usuário se comunique do IPv4 ao IPv6. O usuário precisa configurar estaticamente o servidor DNS com um endereço IPv4 para o nome de host e, em seguida, criar um NAT estático no dispositivo para que o nó somente IPv6 se comunique de um nó somente IPv4 a um nó somente IPv6 baseado no DNS.
Veja também
Visão geral da comunicação IPv6 NAT-PT
NAT-PT communication with static mapping— A tradução de protocolo de tradução de endereços de rede (NAT-PT) pode ser feita em duas direções, do IPv6 ao IPv4 e vice-versa. Para cada direção, o NAT estático é usado para mapear o host de destino para um endereço local e um NAT de endereço de origem é usado para traduzir o endereço de origem. Existem dois tipos de mapeamento NAT estático e NAT de origem: mapeamento um a um e mapeamento baseado em prefixo.
NAT- PT communication with DNS ALG— Um mecanismo baseado em DNS mapeia dinamicamente os endereços IPv6 para servidores somente IPv4. O NAT-PT usa o DNS ALG para fazer as tradução de forma transparente. Por exemplo, uma empresa que usa uma rede IPv6 interna precisa ser capaz de se comunicar com servidores IPv4 externos que ainda não têm endereços IPv6.
Para oferecer suporte à vinculação dinâmica do endereço, uma DNS deve ser usada para resolução de nomes. O host IPv4 analisa o nome do nó IPv6 em seu servidor DNS IPv4 configurado local, que então passa a consulta para o servidor IPv6 DNS por meio de um dispositivo usando NAT-PT.
A DNS ALG no dispositivo NAT:
Traduz a resolução de endereçoS IPv6 de volta à resolução de endereçoS IPv4.
Aloca um endereço IPv6 para o mapeamento.
Armazena um mapeamento do endereço IPv4 alocado no endereço IPv6 devolvido na resolução de endereço IPv6 para que a sessão possa ser estabelecida de hosts IPv4 a host IPv6.
Veja também
Exemplo: configuração de uma conexão iniciada pelo IPv4 a um nó IPv6 usando mapeamento estático de prefixo de endereço de destino padrão
Este exemplo mostra como configurar uma conexão iniciada pelo IPv4 a um nó IPv6 usando mapeamento estático de prefixo de endereço de destino padrão.
Requisitos
Antes de começar, configure interfaces e atribua-as a zonas de segurança.
Visão geral
O exemplo a seguir descreve como configurar uma conexão iniciada pelo IPv4 a um nó IPv6 que tem um mapeamento estático de endereço IPv6 de 126 baseados definido em sua interface e mapeamento estático /126 configurado no dispositivo. Este exemplo pressupõe que os endereços IPv6 a serem mapeados em endereços IPv4 tornam os endereços IPv4 parte do espaço de endereço IPv6.
Configurar uma conexão iniciada pelo IPv4 a um nó IPv6 é útil quando os dispositivos da rede IPv4 devem ser interconectados aos dispositivos da rede IPv6 e durante a migração de uma rede IPv4 para uma rede IPv6. O mapeamento pode ser usado para DNS ALG para pesquisa reversa de endereços IPv4 a partir de endereços IPv6, para o tráfego iniciado a partir da rede IPv6. Esse processo também oferece conectividade para sessões iniciadas a partir de nós IPv4 com nós IPv6 do outro lado do dispositivo NAT/PT.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security nat static rule-set test_rs from interface ge-0/0/0.0 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.0/30 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::/126 set security nat source pool myipv6_prefix address 2001:db8::/126 set security nat source rule-set myipv6_rs from interface ge-0/0/0.0 set security nat source rule-set myipv6_rs to interface ge-0/0/1.0 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.1.1.45/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::/96 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração.
Para configurar uma conexão iniciada pelo IPv4 a um nó IPv6 usando mapeamento de endereço de destino estático de um para um:
-
Configure o conjunto de regras de NAT estático para uma interface.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/0.0
-
Defina a regra para combinar com o prefixo do endereço de destino.
O número de endereço de destino na regra de correspondência deve ser um número igual à faixa de prefixo estático-nat.
Não há limitação no número de endereço de origem na regra da partida.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.0/30
Defina o prefixo NAT estático para o dispositivo.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::/126
-
Configure o grupo NAT de origem com um prefixo de endereço IPv6.
[edit security nat source] user@host# set pool myipv6_prefix address 2001:db8::/126
-
Configure o conjunto de regras de NAT de origem para a interface.
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/0.0 user@host# set rule-set myipv6_rs to interface ge-0/0/1.0
-
Configure o endereço de origem DO NAT de origem IPv6.
O número de endereço fonte na regra de correspondência deve ser um número de endereço igual à faixa de pool de origem. Por exemplo, ^2(32 – 30) = 2^(128 – 126) =>.
Não há limitação no número de endereço de destino na regra da partida.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.1.1.45/30
-
Configure o endereço de destino NAT de origem IPv6.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::/96
-
Defina o pool NAT IPv6 de origem configurada na regra.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
source {
pool myipv6_prefix {
address {
2001:db8::/126;
}
}
rule-set myipv6_rs {
from interface ge-0/0/0.0;
to interface ge-0/0/1.0;
rule ipv6_rule {
match {
source-address 10.1.1.45/30;
destination-address 2001:db8::/96;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/0.0;
rule test_rule {
match {
destination-address 10.1.1.0/30;
}
then {
static-nat {
prefix {
2001:db8::/126;
}
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando se o NAT estático está configurado
Propósito
Verifique se o NAT estático está configurado com uma interface, um endereço de destino e um prefixo.
Ação
A partir do modo operacional, entre no show security nat static comando.
Exemplo: configuração de uma conexão iniciada pelo IPv4 a um nó IPv6 usando mapeamento de endereço de destino estático de um para um
Este exemplo mostra como configurar uma conexão iniciada pelo IPv4 a um nó IPv6 usando mapeamento de endereço de destino estático de um para um.
Requisitos
Antes de começar, configure as interfaces e atribua as interfaces a zonas de segurança.
Visão geral
O exemplo a seguir descreve como configurar um nó IPv4 para se comunicar com um nó IPv6 usando NAT estático de um para um no dispositivo.
A comunicação de um nó IPv4 com um nó IPv6 é útil para hosts IPv4 que acessam um servidor IPv6, para novos servidores que oferecem suporte apenas ao IPv6 e que precisam ser conectados à rede IPv6, e para a migração de hosts antigos para o novo servidor quando a maioria das máquinas já tiver se mudado para o IPv6. Por exemplo, você pode usar esse recurso para conectar um nó IPv4 somente a uma impressora IPv6. Esse mapeamento também pode ser usado para DNS ALG para pesquisa reversa de endereços IPv4 a partir de endereços IPv6 para tráfego iniciado a partir da rede IPv6.
Neste exemplo, o endereço IPv4 de origem que corresponde ao prefixo 10.10.10.1/30 é adicionado com o prefixo IPv6 de 2001:db8:/96 para formar a tradução endereço IPv6 de origem e endereço IPv4 de destino 10.1.1.25/32 é traduzido para endereço IPv6 2001:db8:25/128.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.25/32 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::25/128 set security nat source pool myipv6_prefix address 2001:db8::/96 set security nat source rule-set myipv6_rs from interface ge-0/0/1 set security nat source rule-set myipv6_rs to interface ge-0/0/2 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.10.10.1/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::25 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar uma conexão iniciada pelo IPv4 a um nó IPv6 usando mapeamento de endereço de destino estático de um para um:
Configure o conjunto de regras de NAT estático para uma interface.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Definir a regra e o endereço de destino.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.25/32
Definir o prefixo NAT estático.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::25/128
Configure um pool DE NAT de origem com um endereço de prefixo IPv6.
[edit security] user@host# set nat source pool myipv6_prefix address 2001:db8::/96
Configure o conjunto de regras de NAT de origem.
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/1 user@host# set rule-set myipv6_rs to interface ge-0/0/2
Configure o endereço de origem do NAT.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.10.10.1/30
Configure o endereço de destino NAT de origem.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::25
Defina um pool NAT IPv6 de origem configurada na regra.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
source {
pool myipv6_prefix {
address {
2001:db8::/96;
}
}
rule-set myipv6_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv6_rule {
match {
source-address 10.10.10.1/30;
destination-address 2001:db8::25;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 10.1.1.25/32;
}
then {
static-nat prefix 2001:db8::25/128;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando se o NAT estático está configurado
Propósito
Verifique se o NAT estático está configurado com uma interface, um endereço de destino e um prefixo.
Ação
A partir do modo operacional, entre no show security nat static comando.
Exemplo: configuração de uma conexão iniciada pelo IPv6 a um nó IPv4 usando mapeamento estático de prefixo de endereço de destino padrão
Este exemplo mostra como configurar uma conexão iniciada pelo IPv6 a um nó IPv4 usando mapeamento estático de prefixo de endereço de destino padrão. Este exemplo não mostra como configurar a tradução de NAT para a direção inversa.
Requisitos
Antes de começar, configure as interfaces e atribua as interfaces a zonas de segurança.
Visão geral
O exemplo a seguir descreve a comunicação de um nó IPv6 com um nó IPv4 que tem NAT estático baseado em prefixo definido no dispositivo. O NAT estático assume que a rede IPv4 é uma rede IPv6 especial (ou seja, uma rede IPv4 mapeada por IPv4), e oculta toda a rede IPv4 atrás de um prefixo IPv6.
A comunicação de um nó IPv6 com um nó IPv4 é útil quando o IPv6 é usado na rede e deve ser conectado à rede IPv4, ou quando tanto o IPv4 quanto o IPv6 são usados na rede e um mecanismo é necessário para interconectar as duas redes durante a migração. Isso também oferece conectividade para sessões iniciadas a partir de nós IPv6 com nós IPv4 do outro lado do dispositivo NAT/PT.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::1/96 set security nat static rule-set test_rs rule test_rule then static-nat inet set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.5 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.1.1.15/30 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::2/96 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar uma conexão iniciada pelo IPv6 a um nó IPv4 usando mapeamento estático de prefixo de endereço de destino padrão:
Configure o NAT estático para uma interface.
[edit security nat static] user@host# set rule test_rs from interface ge-0/0/1
Defina a regra e o endereço de destino com o prefixo para a tradução de NAT estática definida no dispositivo.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::1/96
Defina o NAT estático como inet para traduzir para um endereço IPv4.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat inet
Configure o endereço de grupo NAT de origem IPv4.
[edit security nat source] user@host# set pool myipv4 address 203.0.113.2 to 203.0.113.5
Configure o conjunto de regras de NAT de origem.
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1 user@host# set rule-set myipv4_rs to interface ge-0/0/2
Configure o endereço de destino NAT de origem IPv4.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.1.1.15/30
Defina o endereço fonte com o prefixo para o NAT de origem definido no dispositivo.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::2/96
Defina um pool NAT IPv4 de origem configurada na regra.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.5/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.1.1.15/30;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::1/96;
}
then {
static-nat inet;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando se o NAT estático está configurado
Propósito
Verifique se o NAT estático está configurado com uma interface, um endereço de destino e um prefixo.
Ação
A partir do modo operacional, entre no show security nat static rule comando.
user@host> show security nat static rule test_rule
Static NAT rule: test_rule Rule-set: test_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
Destination addresses : 2001:db8::1
Host addresses : 0.0.0.0
Netmask : 96
Host routing-instance : N/A
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Verificar se o NAT de origem está configurado
Propósito
Verifique se o NAT de origem está configurado.
Ação
A partir do modo operacional, entre no show security nat source rule comando.
user@host> show security nat source rule ipv4_rule
source NAT rule: ipv4_rule Rule-set: myipv4_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
To interface : ge-0/0/2.0
Match
Source addresses : 2001:db8:: - 2001:db8::ffff:ffff
Destination addresses : 10.1.1.15 - 10.1.1.15
Action : myipv4
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
A partir do modo operacional, entre no show security nat source pool comando.
user@host> show security nat source pool myipv4
Pool name : myipv4
Pool id : 5
Routing instance : default
Host address base : 0.0.0.0
Port : [1024, 63487]
Twin port : [63488, 65535]
Port overloading : 1
Address assignment : no-paired
Total addresses : 4
Translation hits : 0
Address range Single Ports Twin Ports
203.0.113.2 - 203.0.113.5 0 0
Exemplo: configuração de uma conexão iniciada pelo IPv6 a um nó IPv4 usando mapeamento de endereço de destino estático de um para um
Este exemplo mostra como configurar uma conexão iniciada pelo IPv6 a um nó IPv4 usando mapeamento de endereço de destino estático de um para um.
Requisitos
Antes de começar, configure as interfaces e atribua as interfaces a zonas de segurança.
Visão geral
O exemplo a seguir descreve a comunicação de um nó IPv6 com um nó IPv4 que tem um endereço NAT estático definido no dispositivo. A comunicação de um nó IPv6 com um nó IPv4 permite que os hosts IPv6 acessem um servidor IPv4 quando nenhum dos dispositivos tem uma pilha dupla e deve depender do dispositivo NAT/PT para se comunicar. Isso permite que alguns aplicativos de servidor legado IPv4 funcionem mesmo após a migração da rede para o IPv6.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security nat static rule test_rs from interface ge-0/0/1 set security nat static rule test_rs rule test_rule match destination-address 2001:db8::15/128 set security nat static rule test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.3 set security nat source rule myipv4_rs from interface ge-0/0/1 set security nat source rule myipv4_rs to interface ge-0/0/2 set security nat source rule myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule myipv4_rs rule ipv4_rule then source-nat pool myipv4
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar uma conexão iniciada pelo IPv6 a um nó IPv4 usando mapeamento de endereço de destino estático de um para um:
Configure o conjunto de regras de NAT estático para uma interface.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Definir uma regra para combinar com o endereço de destino.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::15/128
Definir o prefixo NAT estático à regra.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 10.2.2.15/32
Configure um pool de NAT de origem com endereços IPv4.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2 203.0.113.3
Configure o endereço IPv4 para a interface.
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1
Configure o endereço de origem para o endereço NAT de origem IPv4.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::/96
Configure o endereço de destino para o endereço NAT de origem IPv4.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.2.2.15
Defina o pool NAT IPv4 de origem configurada na regra.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.3/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::15/128;
}
then {
static-nat prefix 10.2.2.15/32;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando se o NAT estático está configurado
Propósito
Verifique se o NAT estático está configurado com uma interface, um endereço de destino e um prefixo.
Ação
A partir do modo operacional, entre no show security nat static comando.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.