NESTA PÁGINA
IPv6 NAT
O IPv6 NAT ajuda a traduzir endereços IPv4 em endereços IPv6 de dispositivos de rede. O IPv6 NAT também ajuda a traduzir o endereço entre hosts IPv6. O IPv6 NAT oferece suporte a NAT de origem, NAT de destino e NAT estático.
Ao executar traduções NAT64, para evitar problemas de cabeçalho de fragmentação IPv6, use o set security nat natv6v4 no-v6-frag-header comando.
Visão geral do IPv6 NAT
O IPv6 tem um espaço de endereço muito maior do que o espaço de endereço IPv4 esgotado iminente. O IPv4 foi estendido usando técnicas como a Network Address Translation (NAT), que permite que intervalos de endereços privados sejam representados por um único endereço público, e a atribuição temporária de endereços. Existem muitas tecnologias para fornecer o mecanismo de transição para o host IPv4 herdado para manter a conexão com a Internet. O IPv6 NAT fornece tradução de endereços entre dispositivos de rede endereçados IPv4 e IPv6. Ele também fornece tradução de endereços entre hosts IPv6. O NAT entre hosts IPv6 é feito de maneira semelhante e para fins semelhantes ao IPv4 NAT.
O IPv6 NAT no Junos OS fornece os seguintes tipos de NAT:
Fonte: NAT
NAT de destino
NAT estático
- Traduções de NAT de origem suportadas pelo IPv6 NAT
- Mapeamentos de NAT de destino suportados pelo IPv6 NAT
- Mapeamentos de NAT estáticos suportados pelo IPv6 NAT
Traduções de NAT de origem suportadas pelo IPv6 NAT
O NAT de origem é a tradução do endereço IP de origem de um pacote que sai do dispositivo da Juniper Networks. O NAT de origem é usado para permitir que hosts com endereços IP privados acessem uma rede pública.
O IPv6 NAT no Junos OS oferece suporte às seguintes traduções de NAT de origem:
Conversão de uma sub-rede IPv6 para outra sub-rede IPv6 sem tradução de endereço de porta
Conversão de endereços IPv4 para prefixo IPv6 + endereços IPv4
Tradução de hosts IPv6 para hosts IPv6 com ou sem tradução de endereço de porta
Conversão de hosts IPv6 em hosts IPv4 com ou sem tradução de endereço de porta
Conversão de hosts IPv4 em hosts IPv6 com ou sem tradução de endereço de porta
Mapeamentos de NAT de destino suportados pelo IPv6 NAT
O NAT de destino é a tradução do endereço IP de destino de um pacote que entra no dispositivo da Juniper Networks. O NAT de destino é usado para redirecionar o tráfego destinado a um host virtual (identificado pelo endereço IP de destino original) para o host real (identificado pelo endereço IP de destino convertido).
O IPv6 NAT no Junos OS oferece suporte às seguintes traduções de NAT de destino:
Tradução de prefixo entre prefixo IPv4 e IPv6
Mapeamento de uma sub-rede IPv6 para outra sub-rede IPv6
Mapeamento de uma sub-rede IPv6 para um host IPv6
Mapeamento de uma sub-rede IPv6 para uma sub-rede IPv4
Mapeamento de uma sub-rede IPv4 para uma sub-rede IPv6
Mapeamento de um host IPv6 (e número de porta opcional) para um host IPv6 especial (e número de porta opcional)
Mapeamento de um host IPv6 (e número de porta opcional) para um host IPv4 especial (e número de porta opcional)
Mapeamento de um host IPv4 (e número de porta opcional) para um host IPv6 especial (e número de porta opcional)
Mapeamentos de NAT estáticos suportados pelo IPv6 NAT
O NAT estático define um mapeamento um para um de uma sub-rede IP para outra sub-rede IP. O mapeamento inclui a conversão de endereço IP de destino em uma direção e a tradução de endereço IP de origem na direção inversa. No dispositivo NAT, o endereço de destino original é o endereço IP do host virtual, enquanto o endereço mapeado para é o endereço IP do host real.
O IPv6 NAT no Junos OS oferece suporte às seguintes traduções de NAT estáticas:
Conversão de uma sub-rede IPv6 para outra sub-rede IPv6
Conversão de um host IPv6 para outro host IPv6
Conversão de um endereço IPv4 a.b.c.d para endereço IPv6 Prefixo::a.b.c.d
Conversão de hosts IPv4 em hosts IPv6
Conversão de hosts IPv6 em hosts IPv4
Mapeamento de um prefixo IPv6 para um prefixo IPv4
Mapeamento de um prefixo IPv4 para um prefixo IPv6
Visão geral do IPv6 NAT PT
O IPv6 Network Address Translation-Protocol Translation (NAT-PT) fornece alocação de endereços e tradução de protocolo entre dispositivos de rede endereçados IPv4 e IPv6. O processo de tradução é baseado no método Stateless IP/ICMP Translation (SIIT); no entanto, o estado e o contexto de cada comunicação são mantidos durante o tempo de vida da sessão. O IPv6 NAT-PT oferece suporte a pacotes ICMP, TCP e UDP.
O IPv6 NAT-PT suporta os seguintes tipos de NAT-PT:
NAT-PT tradicional — No NAT-PT tradicional, as sessões são unidirecionais e de saída da rede IPv6. O NAT-PT tradicional permite que hosts dentro de uma rede IPv6 acessem hosts em uma rede IPv4. Existem duas variações do NAT-PT tradicional: NAT-PT básico e NAPT-PT.
No NAT-PT básico, um bloco de endereços IPv4 em uma interface IPv4 é reservado para traduzir endereços como hosts IPv6 à medida que iniciam sessões para os hosts IPv4. O NAT-PT básico converte o endereço IP de origem e campos relacionados, como IP, TCP, UDP e somas de verificação de cabeçalho ICMP para pacotes de saída do domínio IPv6. Para pacotes de entrada, ele traduz o endereço IP de destino e as somas de verificação.
A Network Address Port Translation-Protocol Translation (NAPT-PT) pode ser combinada com a NAT-PT básica para que um pool de endereços externos seja usado em conjunto com a tradução de portas. O NAPT-PT permite que um conjunto de hosts IPv6 compartilhe um único endereço IPv4. O NAPT-PT converte o endereço IP de origem, o identificador de transporte de origem e campos relacionados, como IP, TCP, UDP e somas de verificação de cabeçalho ICMP, para pacotes de saída da rede IPv6. O identificador de transporte pode ser uma porta TCP/UDP ou uma ID de consulta ICMP. Para pacotes de entrada, ele converte o endereço IP de destino, o identificador de transporte de destino e as somas de verificação de IP e cabeçalho de transporte.
NAT-PT bidirecional — No NAT bidirecional-PT, as sessões podem ser iniciadas a partir de hosts na rede IPv4, bem como na rede IPv6. Os endereços de rede IPv6 são vinculados a endereços IPv4, estática ou dinamicamente, à medida que as conexões são estabelecidas em qualquer direção. A configuração estática é semelhante à tradução NAT estática. Os hosts na região IPv4 acessam os hosts na região IPv6 usando o DNS para resolução de endereços. Um DNS ALG deve ser empregado em conjunto com o NAT bidirecional-PT para facilitar o mapeamento de nome para endereço. Especificamente, o DNS ALG deve ser capaz de traduzir endereços IPv6 em consultas e respostas DNS em suas ligações de endereço IPv4 e vice-versa, à medida que os pacotes DNS atravessam entre os domínios IPv6 e IPv4.
Os dispositivos suportam parcialmente a especificação NAT bidirecional-PT. Ele oferece suporte ao fluxo de tráfego bidirecional, supondo que haja outras maneiras de transmitir o mapeamento entre o endereço IPv6 e o endereço IPv4 alocado dinamicamente. Por exemplo, um DNS local pode ser configurado com as entradas mapeadas para nós IPv4 para identificar os endereços.
Operação NAT-PT — Os dispositivos suportam o tradicional NAT-PT e permitem mapeamento estático para o usuário se comunicar de IPv4 para IPv6. O usuário precisa configurar estaticamente o servidor DNS com um endereço IPv4 para o nome do host e, em seguida, criar um NAT estático no dispositivo para que o nó somente IPv6 se comunique de um nó somente IPv4 para um nó somente IPv6 com base no DNS.
Veja também
Visão geral da comunicação IPv6 NAT-PT
NAT-PT communication with static mapping— Network Address Translation-Protocol Translation (NAT-PT) pode ser feita em duas direções, de IPv6 para IPv4 e vice-versa. Para cada direção, o NAT estático é usado para mapear o host de destino para um endereço local e um endereço de origem NAT é usado para converter o endereço de origem. Há dois tipos de mapeamento NAT estático e NAT de origem: mapeamento um-para-um e mapeamento baseado em prefixo.
NAT- PT communication with DNS ALG— Um mecanismo baseado em DNS mapeia dinamicamente endereços IPv6 para servidores somente IPv4. A NAT-PT usa o DNS ALG para fazer as traduções de forma transparente. Por exemplo, uma empresa que usa uma rede IPv6 interna precisa ser capaz de se comunicar com servidores IPv4 externos que ainda não possuem endereços IPv6.
Para dar suporte à associação de endereço dinâmico, um DNS deve ser usado para resolução de nomes. O host IPv4 procura o nome do nó IPv6 em seu servidor DNS IPv4 configurado localmente, que passa a consulta para o servidor DNS IPv6 por meio de um dispositivo que usa NAT-PT.
O DNS ALG no dispositivo NAT:
Converte a resolução de endereço IPv6 de volta em resolução de endereço IPv4.
Aloca um endereço IPv6 para o mapeamento.
Armazena um mapeamento do endereço IPv4 alocado para o endereço IPv6 retornado na resolução de endereço IPv6 para que a sessão possa ser estabelecida de qualquer host IPv4 para o host IPv6.
Veja também
Exemplo: configurar uma conexão iniciada por IPv4 com um nó IPv6 usando mapeamento estático de prefixo de endereço de destino padrão
Este exemplo mostra como configurar uma conexão iniciada por IPv4 com um nó IPv6 usando o mapeamento estático de prefixo de endereço de destino padrão.
Requerimentos
Antes de começar, configure interfaces e atribua-as a zonas de segurança.
Visão geral
O exemplo a seguir descreve como configurar uma conexão iniciada por IPv4 com um nó IPv6 que tem um endereço IPv6 baseado em mapeamento estático 126 definido em sua interface e mapeamento estático /126 configurado no dispositivo. Este exemplo pressupõe que os endereços IPv6 a serem mapeados para endereços IPv4 tornam os endereços IPv4 parte do espaço de endereço IPv6.
A configuração de uma conexão iniciada por IPv4 com um nó IPv6 é útil quando os dispositivos na rede IPv4 devem ser interconectados aos dispositivos na rede IPv6 e durante a migração de uma rede IPv4 para uma rede IPv6. O mapeamento pode ser usado para DNS ALG para pesquisa reversa de endereços IPv4 de endereços IPv6, para o tráfego iniciado a partir da rede IPv6. Esse processo também fornece conectividade para sessões iniciadas a partir de nós IPv4 com nós IPv6 no outro lado do dispositivo NAT/PT.
Configuração
Tramitação processual
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set security nat static rule-set test_rs from interface ge-0/0/0.0 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.0/30 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::/126 set security nat source pool myipv6_prefix address 2001:db8::/126 set security nat source rule-set myipv6_rs from interface ge-0/0/0.0 set security nat source rule-set myipv6_rs to interface ge-0/0/1.0 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.1.1.45/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::/96 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração.
Para configurar uma conexão iniciada por IPv4 com um nó IPv6 usando o mapeamento um para um de endereço de destino estático:
-
Configure o conjunto de regras NAT estático para uma interface.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/0.0
-
Defina a regra para corresponder ao prefixo do endereço de destino.
O número do endereço de destino na regra de correspondência deve ser um número igual ao intervalo de prefixo static-nat.
Não há limitação no número do endereço de origem na regra de correspondência.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.0/30
Defina o prefixo NAT estático para o dispositivo.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::/126
-
Configure o pool NAT de origem com um prefixo de endereço IPv6.
[edit security nat source] user@host# set pool myipv6_prefix address 2001:db8::/126
-
Configure o conjunto de regras NAT de origem para a interface.
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/0.0 user@host# set rule-set myipv6_rs to interface ge-0/0/1.0
-
Configure o endereço de origem NAT de origem IPv6.
O número do endereço de origem na regra de correspondência deve ser um número de endereço igual ao intervalo do pool de origem. Por exemplo, ^ 2 (32 - 30) = 2 ^ (128 - 126) = >.
Não há limitação no número do endereço de destino na regra de correspondência.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.1.1.45/30
-
Configure o endereço de destino NAT de origem IPv6.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::/96
-
Defina o pool IPv6 NAT de origem configurado na regra.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
Resultados
No modo de configuração, confirme sua configuração digitando o show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
source {
pool myipv6_prefix {
address {
2001:db8::/126;
}
}
rule-set myipv6_rs {
from interface ge-0/0/0.0;
to interface ge-0/0/1.0;
rule ipv6_rule {
match {
source-address 10.1.1.45/30;
destination-address 2001:db8::/96;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/0.0;
rule test_rule {
match {
destination-address 10.1.1.0/30;
}
then {
static-nat {
prefix {
2001:db8::/126;
}
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute estas tarefas:
Verificando se o NAT estático está configurado
Finalidade
Verifique se o NAT estático está configurado com uma interface, um endereço de destino e um prefixo.
Ação
Do modo operacional, insira o show security nat static comando.
Verificando se o NAT de origem está configurado
Finalidade
Verifique se o NAT de origem está configurado.
Ação
Do modo operacional, insira o show security nat source comando.
Exemplo: configurar uma conexão iniciada por IPv4 com um nó IPv6 usando mapeamento de endereço de destino estático um para um
Este exemplo mostra como configurar uma conexão iniciada por IPv4 com um nó IPv6 usando o mapeamento individual de endereço de destino estático.
Requerimentos
Antes de começar, configure as interfaces e atribua-as às zonas de segurança.
Visão geral
O exemplo a seguir descreve como configurar um nó IPv4 para se comunicar com um nó IPv6 usando NAT estático um para um no dispositivo.
A comunicação de um nó IPv4 com um nó IPv6 é útil para hosts IPv4 que acessam um servidor IPv6, para novos servidores que suportam apenas IPv6 e que precisam estar conectados à rede IPv6 e para migração de hosts antigos para o novo servidor quando a maioria das máquinas já foi movida para IPv6. Por exemplo, você pode usar esse recurso para conectar um nó somente IPv4 a uma impressora somente IPv6. Esse mapeamento também pode ser usado para DNS ALG para pesquisa reversa de endereços IPv4 de endereços IPv6 para tráfego iniciado a partir da rede IPv6.
Neste exemplo, o endereço IPv4 de origem que corresponde ao prefixo 10.10.10.1/30 é adicionado com o prefixo IPv6 2001:db8::/96 para formar o endereço IPv6 de origem convertido e o endereço IPv4 de destino 10.1.1.25/32 é convertido para o endereço IPv6 2001:db8::25/128.
Configuração
Tramitação processual
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.25/32 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::25/128 set security nat source pool myipv6_prefix address 2001:db8::/96 set security nat source rule-set myipv6_rs from interface ge-0/0/1 set security nat source rule-set myipv6_rs to interface ge-0/0/2 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.10.10.1/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::25 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Para configurar uma conexão iniciada por IPv4 com um nó IPv6 usando o mapeamento um para um de endereço de destino estático:
Configure o conjunto de regras NAT estático para uma interface.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Defina a regra e o endereço de destino.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.25/32
Defina o prefixo NAT estático.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::25/128
Configure um pool NAT de origem com um endereço de prefixo IPv6.
[edit security] user@host# set nat source pool myipv6_prefix address 2001:db8::/96
Configure o conjunto de regras NAT de origem.
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/1 user@host# set rule-set myipv6_rs to interface ge-0/0/2
Configure o endereço de origem do NAT de origem.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.10.10.1/30
Configure o endereço de destino do NAT de origem.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::25
Defina um pool IPv6 NAT de origem configurado na regra.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
Resultados
No modo de configuração, confirme sua configuração digitando o show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
source {
pool myipv6_prefix {
address {
2001:db8::/96;
}
}
rule-set myipv6_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv6_rule {
match {
source-address 10.10.10.1/30;
destination-address 2001:db8::25;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 10.1.1.25/32;
}
then {
static-nat prefix 2001:db8::25/128;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute estas tarefas:
Verificando se o NAT estático está configurado
Finalidade
Verifique se o NAT estático está configurado com uma interface, um endereço de destino e um prefixo.
Ação
Do modo operacional, insira o show security nat static comando.
Verificando se o NAT de origem está configurado
Finalidade
Verifique se o NAT de origem está configurado.
Ação
Do modo operacional, insira o show security nat source comando.
Exemplo: configurar uma conexão iniciada por IPv6 com um nó IPv4 usando mapeamento estático de prefixo de endereço de destino padrão
Este exemplo mostra como configurar uma conexão iniciada por IPv6 com um nó IPv4 usando o mapeamento estático de prefixo de endereço de destino padrão. Este exemplo não mostra como configurar a conversão NAT para a direção inversa.
Requerimentos
Antes de começar, configure as interfaces e atribua-as às zonas de segurança.
Visão geral
O exemplo a seguir descreve a comunicação de um nó IPv6 com um nó IPv4 que tem NAT estático baseado em prefixo definido no dispositivo. O NAT estático pressupõe que a rede IPv4 é uma rede IPv6 especial (ou seja, uma rede IPv6 mapeada em IPv4) e oculta toda a rede IPv4 por trás de um prefixo IPv6.
A comunicação de um nó IPv6 com um nó IPv4 é útil quando o IPv6 é usado na rede e deve ser conectado à rede IPv4, ou quando IPv4 e IPv6 são usados na rede e um mecanismo é necessário para interconectar as duas redes durante a migração. Isso também fornece conectividade para sessões iniciadas a partir de nós IPv6 com nós IPv4 no outro lado do dispositivo NAT/PT.
Configuração
Tramitação processual
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::1/96 set security nat static rule-set test_rs rule test_rule then static-nat inet set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.5 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.1.1.15/30 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::2/96 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Para configurar uma conexão iniciada por IPv6 com um nó IPv4 usando o mapeamento estático de prefixo de endereço de destino padrão:
Configure o NAT estático para uma interface.
[edit security nat static] user@host# set rule test_rs from interface ge-0/0/1
Defina a regra e o endereço de destino com o prefixo para a tradução NAT estática definida no dispositivo.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::1/96
Defina o NAT estático como inet para converter em um endereço IPv4.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat inet
Configure o endereço do pool NAT de origem IPv4.
[edit security nat source] user@host# set pool myipv4 address 203.0.113.2 to 203.0.113.5
Configure o conjunto de regras NAT de origem.
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1 user@host# set rule-set myipv4_rs to interface ge-0/0/2
Configure o endereço de destino NAT de origem IPv4.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.1.1.15/30
Defina o endereço de origem com o prefixo do NAT de origem definido no dispositivo.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::2/96
Defina um pool IPv4 NAT de origem configurado na regra.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
Resultados
No modo de configuração, confirme sua configuração digitando o show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.5/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.1.1.15/30;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::1/96;
}
then {
static-nat inet;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute estas tarefas:
Verificando se o NAT estático está configurado
Finalidade
Verifique se o NAT estático está configurado com uma interface, um endereço de destino e um prefixo.
Ação
Do modo operacional, insira o show security nat static rule comando.
user@host> show security nat static rule test_rule
Static NAT rule: test_rule Rule-set: test_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
Destination addresses : 2001:db8::1
Host addresses : 0.0.0.0
Netmask : 96
Host routing-instance : N/A
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Verificando se o NAT de origem está configurado
Finalidade
Verifique se o NAT de origem está configurado.
Ação
Do modo operacional, insira o show security nat source rule comando.
user@host> show security nat source rule ipv4_rule
source NAT rule: ipv4_rule Rule-set: myipv4_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
To interface : ge-0/0/2.0
Match
Source addresses : 2001:db8:: - 2001:db8::ffff:ffff
Destination addresses : 10.1.1.15 - 10.1.1.15
Action : myipv4
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Do modo operacional, insira o show security nat source pool comando.
user@host> show security nat source pool myipv4
Pool name : myipv4
Pool id : 5
Routing instance : default
Host address base : 0.0.0.0
Port : [1024, 63487]
Twin port : [63488, 65535]
Port overloading : 1
Address assignment : no-paired
Total addresses : 4
Translation hits : 0
Address range Single Ports Twin Ports
203.0.113.2 - 203.0.113.5 0 0
Exemplo: configurar uma conexão iniciada por IPv6 com um nó IPv4 usando o mapeamento individual de endereço de destino estático
Este exemplo mostra como configurar uma conexão iniciada por IPv6 com um nó IPv4 usando o mapeamento de endereço de destino estático um para um.
Requerimentos
Antes de começar, configure as interfaces e atribua-as às zonas de segurança.
Visão geral
O exemplo a seguir descreve a comunicação de um nó IPv6 com um nó IPv4 que tem um endereço NAT estático um para um definido no dispositivo. A comunicação de um nó IPv6 com um nó IPv4 permite que hosts IPv6 acessem um servidor IPv4 quando nenhum dos dispositivos tem uma pilha dupla e deve depender do dispositivo NAT/PT para se comunicar. Isso permite que alguns aplicativos de servidor herdado IPv4 funcionem mesmo após a rede ter migrado para o IPv6.
Configuração
Tramitação processual
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set security nat static rule test_rs from interface ge-0/0/1 set security nat static rule test_rs rule test_rule match destination-address 2001:db8::15/128 set security nat static rule test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.3 set security nat source rule myipv4_rs from interface ge-0/0/1 set security nat source rule myipv4_rs to interface ge-0/0/2 set security nat source rule myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule myipv4_rs rule ipv4_rule then source-nat pool myipv4
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Para configurar uma conexão iniciada por IPv6 com um nó IPv4 usando o mapeamento individual de endereço de destino estático:
Configure o conjunto de regras NAT estático para uma interface.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Defina uma regra para corresponder ao endereço de destino.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::15/128
Defina o prefixo NAT estático para a regra.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 10.2.2.15/32
Configure um pool NAT de origem com endereços IPv4.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2 203.0.113.3
Configure o endereço IPv4 para a interface.
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1
Configure o endereço de origem para o endereço NAT de origem IPv4.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::/96
Configure o endereço de destino para o endereço NAT de origem IPv4.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.2.2.15
Defina o pool de IPv4 NAT de origem configurado na regra.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
Resultados
No modo de configuração, confirme sua configuração digitando o show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.3/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::15/128;
}
then {
static-nat prefix 10.2.2.15/32;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute estas tarefas:
Verificando se o NAT estático está configurado
Finalidade
Verifique se o NAT estático está configurado com uma interface, um endereço de destino e um prefixo.
Ação
Do modo operacional, insira o show security nat static comando.
Verificando se o NAT de origem está configurado
Finalidade
Verifique se o NAT de origem está configurado.
Ação
Do modo operacional, insira o show security nat source comando.
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.