NESTA PÁGINA
IPv6 NAT
O IPv6 NAT ajuda a traduzir endereços IPv4 para endereços IPv6 de dispositivos de rede. O IPv6 NAT também ajuda a traduzir o endereço entre hosts IPv6. O IPv6 NAT oferece suporte a NAT de origem, NAT de destino e NAT estático.
Visão geral do IPv6 NAT
O IPv6 tem um espaço de endereço muito maior do que o espaço de endereço IPv4 exausto iminente. O IPv4 foi estendido usando técnicas como a tradução de endereços de rede (NAT), que permite que faixas de endereços privados sejam representadas por um único endereço público e atribuição temporária de endereços. Existem muitas tecnologias para fornecer o mecanismo de transição para o host IPv4 legado para manter a conexão com a Internet. O IPv6 NAT fornece tradução de endereço entre dispositivos de rede endereçados IPv4 e IPv6. Ele também fornece tradução de endereços entre hosts IPv6. O NAT entre hosts IPv6 é feito de maneira semelhante e para fins semelhantes aos do IPv4 NAT.
O IPv6 NAT no Junos OS fornece os seguintes tipos de NAT:
NAT de origem
NAT de destino
NAT estático
- Traduções nat de origem com suporte do IPv6 NAT
- Mapeamentos de NAT de destino com suporte do IPv6 NAT
- Mapeamentos de NAT estáticos apoiados pelo IPv6 NAT
Traduções nat de origem com suporte do IPv6 NAT
NAT de origem é a tradução do endereço IP de origem de um pacote que sai do dispositivo Juniper Networks. O NAT de origem é usado para permitir que hosts com endereços IP privados acessem uma rede pública.
O IPv6 NAT no Junos OS oferece suporte às seguintes traduções nat de origem:
Tradução de uma sub-rede IPv6 para outra sub-rede IPv6 sem tradução de endereço de porta
Tradução de endereços IPv4 para endereços IPv6 prefixo + IPv4
Tradução de hosts IPv6 para hosts IPv6 com ou sem tradução de endereço de porta
Tradução de hosts IPv6 para hosts IPv4 com ou sem tradução de endereço de porta
Tradução de hosts IPv4 para hosts IPv6 com ou sem tradução de endereço de porta
Mapeamentos de NAT de destino com suporte do IPv6 NAT
O NAT de destino é a tradução do endereço IP de destino de um pacote que entra no dispositivo Juniper Networks. O NAT de destino é usado para redirecionar o tráfego destinado a um host virtual (identificado pelo endereço IP de destino original) para o host real (identificado pelo endereço IP de destino traduzido).
O IPv6 NAT no Junos OS oferece suporte às seguintes traduções nat de destino:
Tradução de prefixo entre IPv4 e IPv6 prefixo
Mapeamento de uma sub-rede IPv6 para outra sub-rede IPv6
Mapeamento de uma sub-rede IPv6 para um host IPv6
Mapeamento de uma sub-rede IPv6 para uma sub-rede IPv4
Mapeamento de uma sub-rede IPv4 para uma sub-rede IPv6
Mapeamento de um host IPv6 (e número de porta opcional) para um host IPv6 especial (e número de porta opcional)
Mapeamento de um host IPv6 (e número de porta opcional) para um host IPv4 especial (e número de porta opcional)
Mapeamento de um host IPv4 (e número de porta opcional) para um host IPv6 especial (e número de porta opcional)
Mapeamentos de NAT estáticos apoiados pelo IPv6 NAT
O NAT estático define um mapeamento de um para um de uma sub-rede IP para outra sub-rede IP. O mapeamento inclui a tradução de endereço IP de destino em uma direção e tradução de endereço IP de origem na direção reversa. Do dispositivo NAT, o endereço de destino original é o endereço IP do host virtual, enquanto o endereço mapeado é o endereço IP do host real.
O IPv6 NAT no Junos OS oferece suporte às seguintes traduções NAT estáticas:
Tradução de uma sub-rede IPv6 para outra sub-rede IPv6
Tradução de um host IPv6 para outro host IPv6
Tradução de um endereço IPv4 a.b.c.d para endereço IPv6 Prefix::a.b.c.d
Tradução de hosts IPv4 para hosts IPv6
Tradução de hosts IPv6 para hosts IPv4
Mapeamento de um prefixo IPv6 para um prefixo IPv4
Mapeamento de um prefixo IPv4 para um prefixo IPv6
Visão geral do IPv6 NAT PT
A partir do Junos OS Release 20.2R1 você pode executar serviços IPv6 NAT-PT Next Gen nos roteadores MX240, MX480 e MX960.
O IPv6 Network Address Translation-Protocol Translation (NAT-PT) fornece alocação de endereços e tradução de protocolo entre dispositivos de rede endereçados IPv4 e IPv6. O processo de tradução baseia-se no método stateless IP/ICMP Translation (SIIT) ; no entanto, o estado e o contexto de cada comunicação são retidos durante a vida útil da sessão. O IPv6 NAT-PT oferece suporte a protocolo de mensagens de controle de Internet (ICMP), TCP e pacotes UDP.
O IPv6 NAT-PT oferece suporte aos seguintes tipos de NAT-PT:
NAT-PT tradicional — No NAT-PT tradicional, as sessões são unidirecionais e de saída da rede IPv6. O NAT-PT tradicional permite que hosts em uma rede IPv6 acessem hosts em uma rede IPv4. Existem duas variações para o NAT-PT tradicional: NAT-PT básico e NAPT-PT.
No NAT-PT básico, um bloco de endereços IPv4 em uma interface IPv4 é reservado para traduzir endereços como hosts IPv6 enquanto iniciam sessões para os hosts IPv4. O NAT-PT básico traduz o endereço IP de origem e campos relacionados, como IP, TCP, UDP e verificações de cabeçalho ICMP para pacotes de saída do domínio IPv6. Para pacotes de entrada, ele traduz o endereço IP de destino e os checkums.
A tradução de protocolo de tradução de porta de rede (NAPT-PT) pode ser combinada com NAT-PT básico para que um pool de endereços externos seja usado em conjunto com a tradução de portas. O NAPT-PT permite que um conjunto de hosts IPv6 compartilhe um único endereço IPv4. O NAPT-PT traduz o endereço IP de origem, o identificador de transporte de origem e campos relacionados, como IP, TCP, UDP e verificações de cabeçalho de ICMP, para pacotes que saem da rede IPv6. O identificador de transporte pode ser uma porta TCP/UDP ou um ID de consulta de ICMP. Para pacotes de entrada, ele traduz o endereço IP de destino, o identificador de transporte de destino, o IP e os cheques de cabeçalho de transporte.
NAT-PT bidirecional — No NAT-PT bidirecional, as sessões podem ser iniciadas a partir de hosts na rede IPv4, bem como na rede IPv6. Os endereços de rede IPv6 estão vinculados a endereços IPv4, estaticamente ou dinamicamente, conforme as conexões são estabelecidas em qualquer direção. A configuração estática é semelhante à tradução de NAT estática. Hosts em hosts de acesso de reino IPv4 no reino IPv6 usando DNS para resolução de endereços. Um DNS ALG deve ser empregado em conjunto com o NAT-PT bidirecional para facilitar o mapeamento de nome para endereço. Especificamente, o DNS ALG deve ser capaz de traduzir endereços IPv6 em consultas e respostas de DNS em suas vinculações de endereço IPv4, e vice-versa, à medida que os pacotes DNS atravessam entre os reinos IPv6 e IPv4.
Nota:Os dispositivos oferecem suporte parcial à especificação BID-PT bidirecional. Ele oferece suporte ao fluxo de tráfego bidirecional assumindo que existem outras maneiras de transmitir o mapeamento entre o endereço IPv6 e o endereço IPv4 alocado dinamicamente. Por exemplo, uma DNS local pode ser configurada com as entradas mapeadas para nós IPv4 para identificar os endereços.
OPERAÇÃO NAT-PT — Os dispositivos oferecem suporte ao NAT-PT tradicional e permitem que o mapeamento estático para o usuário se comunique do IPv4 ao IPv6. O usuário precisa configurar estaticamente o servidor DNS com um endereço IPv4 para o nome do host e, em seguida, criar um NAT estático no dispositivo para que o nó somente IPv6 se comunique de um nó somente IPv4 para um nó somente IPv6 baseado no DNS.
Veja também
Visão geral da comunicação do IPv6 NAT-PT
NAT-PT communication with static mapping— A tradução de protocolo de tradução de endereço de rede (NAT-PT) pode ser feita em duas direções, do IPv6 ao IPv4 e vice-versa. Para cada direção, o NAT estático é usado para mapear o host de destino para um endereço local e um NAT de endereço de origem é usado para traduzir o endereço de origem. Existem dois tipos de mapeamento de NAT estático e NAT de origem: mapeamento de um para um e mapeamento baseado em prefixo.
NAT- PT communication with DNS ALG— Um mecanismo baseado em DNS mapeia dinamicamente endereços IPv6 para servidores somente IPv4. O NAT-PT usa o DNS ALG para fazer as traduções de maneira transparente. Por exemplo, uma empresa que usa uma rede IPv6 interna precisa ser capaz de se comunicar com servidores IPv4 externos que ainda não têm endereços IPv6.
Para dar suporte à vinculação de endereço dinâmico, uma DNS deve ser usada para resolução de nomes. O host IPv4 analisa o nome do nó IPv6 em seu servidor DNS IPv4 configurado local, que depois passa a consulta para o servidor IPv6 DNS por meio de um dispositivo usando NAT-PT.
O DNS ALG no dispositivo NAT:
Traduz a resolução de endereço IPv6 de volta para a resolução de endereços IPv4.
Aloca um endereço IPv6 para o mapeamento.
Armazena um mapeamento do endereço IPv4 alocado no endereço IPv6 devolvido na resolução de endereço IPv6 para que a sessão possa ser estabelecida desde hosts IPv4 a host IPv6.
Veja também
Exemplo: configurar uma conexão iniciada pelo IPv4 para um nó IPv6 usando mapeamento estático de prefixo de endereço de destino padrão
Este exemplo mostra como configurar uma conexão iniciada pelo IPv4 a um nó IPv6 usando mapeamento estático de prefixo de endereço de destino padrão.
Requisitos
Antes de começar, configure interfaces e atribua-as a zonas de segurança.
Visão geral
O exemplo a seguir descreve como configurar uma conexão iniciada pelo IPv4 a um nó IPv6 que tem um endereço IPv6 de mapeamento estático de 126 baseados definido em sua interface e mapeamento estático /126 configurado no dispositivo. Este exemplo pressupõe que os endereços IPv6 a serem mapeados em endereços IPv4 fazem com que os endereços IPv4 façam parte do espaço de endereço IPv6.
Configurar uma conexão iniciada pelo IPv4 a um nó IPv6 é útil quando os dispositivos da rede IPv4 devem ser interconectados aos dispositivos da rede IPv6 e durante a migração de uma rede IPv4 para uma rede IPv6. O mapeamento pode ser usado para DNS ALG para pesquisa reversa de endereços IPv4 a partir de endereços IPv6, para o tráfego iniciado a partir da rede IPv6. Esse processo também fornece conectividade para sessões iniciadas a partir de nós IPv4 com nós IPv6 do outro lado do dispositivo NAT/PT.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat static rule-set test_rs from interface ge-0/0/0.0 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.0/30 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::/126 set security nat source pool myipv6_prefix address 2001:db8::/126 set security nat source rule-set myipv6_rs from interface ge-0/0/0.0 set security nat source rule-set myipv6_rs to interface ge-0/0/1.0 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.1.1.45/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::/96 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração.
Para configurar uma conexão iniciada pelo IPv4 a um nó IPv6 usando mapeamento de endereço de destino estático de um para um:
-
Configure o conjunto de regras NAT estática para uma interface.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/0.0
-
Defina a regra para combinar com o prefixo do endereço de destino.
Nota:O número de endereço de destino na regra de correspondência deve ser um número igual à faixa de prefixo estático-nat.
Não há limitação no número de endereço de origem na regra da partida.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.0/30
Defina o prefixo NAT estático para o dispositivo.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::/126
-
Configure o pool NAT de origem com um prefixo de endereço IPv6.
[edit security nat source] user@host# set pool myipv6_prefix address 2001:db8::/126
-
Configure o conjunto de regras NAT de origem para a interface.
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/0.0 user@host# set rule-set myipv6_rs to interface ge-0/0/1.0
-
Configure o endereço de origem DO NAT de origem IPv6.
Nota:O número de endereço de origem na regra de correspondência deve ser um número de endereço igual à faixa de pool de origem. Por exemplo, ^2(32 – 30) = 2^(128 – 126) =>.
Não há limitação no número do endereço de destino na regra da partida.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.1.1.45/30
-
Configure o endereço de destino NAT de origem IPv6.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::/96
-
Defina o pool NAT IPv6 de origem configurada na regra.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
source { pool myipv6_prefix { address { 2001:db8::/126; } } rule-set myipv6_rs { from interface ge-0/0/0.0; to interface ge-0/0/1.0; rule ipv6_rule { match { source-address 10.1.1.45/30; destination-address 2001:db8::/96; } then { source-nat { pool { myipv6_prefix; } } } } } } static { rule-set test_rs { from interface ge-0/0/0.0; rule test_rule { match { destination-address 10.1.1.0/30; } then { static-nat { prefix { 2001:db8::/126; } } } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
Verificando se o NAT estático está configurado
Propósito
Verifique se o NAT estático está configurado com uma interface, um endereço de destino e um prefixo.
Ação
Do modo operacional, entre no show security nat static
comando.
Exemplo: configurar uma conexão iniciada pelo IPv4 para um nó IPv6 usando mapeamento de endereço de destino estático de um para um
Este exemplo mostra como configurar uma conexão iniciada pelo IPv4 a um nó IPv6 usando mapeamento de endereço de destino estático de um para um.
Requisitos
Antes de começar, configure as interfaces e atribua as interfaces a zonas de segurança.
Visão geral
O exemplo a seguir descreve como configurar um nó IPv4 para se comunicar com um nó IPv6 usando NAT estático de um para um no dispositivo.
A comunicação de um nó IPv4 com um nó IPv6 é útil para hosts IPv4 que acessam um servidor IPv6, para novos servidores que oferecem suporte apenas ao IPv6 e que precisam ser conectados à rede IPv6, e para migrar de hosts antigos para o novo servidor quando a maioria das máquinas já tiver se mudado para o IPv6. Por exemplo, você pode usar esse recurso para conectar um nó somente IPv4 a uma impressora somente IPv6. Esse mapeamento também pode ser usado para DNS ALG para pesquisa reversa de endereços IPv4 a partir de endereços IPv6 para tráfego iniciado a partir da rede IPv6.
Neste exemplo, o endereço IPv4 de origem que combina com o prefixo 10.10.10.1/30 é adicionado com o prefixo IPv6 2001:db8:/96 para formar a tradução endereço IPv6 de origem e endereço IPv4 de destino 10.1.1.25/32 é traduzido para endereço IPv6 2001:db8:25/128.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.25/32 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::25/128 set security nat source pool myipv6_prefix address 2001:db8::/96 set security nat source rule-set myipv6_rs from interface ge-0/0/1 set security nat source rule-set myipv6_rs to interface ge-0/0/2 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.10.10.1/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::25 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar uma conexão iniciada pelo IPv4 a um nó IPv6 usando mapeamento de endereço de destino estático de um para um:
Configure o conjunto de regras NAT estática para uma interface.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Defina a regra e o endereço de destino.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.25/32
Defina o prefixo NAT estático.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::25/128
Configure um pool NAT de origem com um endereço de prefixo IPv6.
[edit security] user@host# set nat source pool myipv6_prefix address 2001:db8::/96
Configure o conjunto de regras de NAT de origem.
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/1 user@host# set rule-set myipv6_rs to interface ge-0/0/2
Configure o endereço de origem NAT.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.10.10.1/30
Configure o endereço de destino NAT de origem.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::25
Defina um pool NAT IPv6 de origem configurado na regra.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat source { pool myipv6_prefix { address { 2001:db8::/96; } } rule-set myipv6_rs { from interface ge-0/0/1.0; to interface ge-0/0/2.0; rule ipv6_rule { match { source-address 10.10.10.1/30; destination-address 2001:db8::25; } then { source-nat { pool { myipv6_prefix; } } } } } } static { rule-set test_rs { from interface ge-0/0/1.0; rule test_rule { match { destination-address 10.1.1.25/32; } then { static-nat prefix 2001:db8::25/128; } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
Verificando se o NAT estático está configurado
Propósito
Verifique se o NAT estático está configurado com uma interface, um endereço de destino e um prefixo.
Ação
Do modo operacional, entre no show security nat static
comando.
Exemplo: configurar uma conexão iniciada pelo IPv6 para um nó IPv4 usando mapeamento estático de prefixo de endereço de destino padrão
Este exemplo mostra como configurar uma conexão iniciada pelo IPv6 a um nó IPv4 usando mapeamento estático de prefixo de endereço de destino padrão. Este exemplo não mostra como configurar a tradução de NAT para a direção reversa.
Requisitos
Antes de começar, configure as interfaces e atribua as interfaces a zonas de segurança.
Visão geral
O exemplo a seguir descreve a comunicação de um nó IPv6 com um nó IPv4 que tem NAT estático baseado em prefixo definido no dispositivo. O NAT estático assume que a rede IPv4 é uma rede IPv6 especial (ou seja, uma rede IPv4 mapeada por IPv4), e oculta toda a rede IPv4 atrás de um prefixo IPv6.
A comunicação de um nó IPv6 com um nó IPv4 é útil quando o IPv6 é usado na rede e deve ser conectado à rede IPv4, ou quando o IPv4 e o IPv6 são usados na rede e um mecanismo é necessário para interconectar as duas redes durante a migração. Isso também fornece conectividade para sessões iniciadas a partir de nós IPv6 com nós IPv4 do outro lado do dispositivo NAT/PT.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::1/96 set security nat static rule-set test_rs rule test_rule then static-nat inet set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.5 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.1.1.15/30 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::2/96 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar uma conexão iniciada pelo IPv6 a um nó IPv4 usando mapeamento estático de prefixo de endereço de destino padrão:
Configure o NAT estático para uma interface.
[edit security nat static] user@host# set rule test_rs from interface ge-0/0/1
Defina a regra e o endereço de destino com o prefixo para a tradução de NAT estática definida no dispositivo.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::1/96
Defina o NAT estático como inet para traduzir para um endereço IPv4.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat inet
Configure o endereço de pool NAT de origem IPv4.
[edit security nat source] user@host# set pool myipv4 address 203.0.113.2 to 203.0.113.5
Configure o conjunto de regras de NAT de origem.
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1 user@host# set rule-set myipv4_rs to interface ge-0/0/2
Configure o endereço de destino NAT de origem IPv4.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.1.1.15/30
Defina o endereço de origem com o prefixo para o NAT de origem definido no dispositivo.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::2/96
Defina um pool NAT IPv4 de origem configurado na regra.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat source { pool myipv4 { address { 203.0.113.2/32 to 203.0.113.5/32; } } rule-set myipv4_rs { from interface ge-0/0/1.0; to interface ge-0/0/2.0; rule ipv4_rule { match { source-address 2001:db8::/96; destination-address 10.1.1.15/30; } then { source-nat { pool { myipv4; } } } } } } static { rule-set test_rs { from interface ge-0/0/1.0; rule test_rule { match { destination-address 2001:db8::1/96; } then { static-nat inet; } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
Verificando se o NAT estático está configurado
Propósito
Verifique se o NAT estático está configurado com uma interface, um endereço de destino e um prefixo.
Ação
Do modo operacional, entre no show security nat static rule
comando.
user@host> show security nat static rule test_rule Static NAT rule: test_rule Rule-set: test_rs Rule-Id : 2 Rule position : 2 From interface : ge-0/0/1.0 Destination addresses : 2001:db8::1 Host addresses : 0.0.0.0 Netmask : 96 Host routing-instance : N/A Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0
Verificar se o NAT de origem está configurado
Propósito
Verifique se o NAT de origem está configurado.
Ação
Do modo operacional, entre no show security nat source rule
comando.
user@host> show security nat source rule ipv4_rule source NAT rule: ipv4_rule Rule-set: myipv4_rs Rule-Id : 2 Rule position : 2 From interface : ge-0/0/1.0 To interface : ge-0/0/2.0 Match Source addresses : 2001:db8:: - 2001:db8::ffff:ffff Destination addresses : 10.1.1.15 - 10.1.1.15 Action : myipv4 Persistent NAT type : N/A Persistent NAT mapping type : address-port-mapping Inactivity timeout : 0 Max session number : 0 Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0
Do modo operacional, entre no show security nat source pool
comando.
user@host> show security nat source pool myipv4 Pool name : myipv4 Pool id : 5 Routing instance : default Host address base : 0.0.0.0 Port : [1024, 63487] Twin port : [63488, 65535] Port overloading : 1 Address assignment : no-paired Total addresses : 4 Translation hits : 0 Address range Single Ports Twin Ports 203.0.113.2 - 203.0.113.5 0 0
Exemplo: configurar uma conexão iniciada pelo IPv6 para um nó IPv4 usando mapeamento de endereço de destino estático de um para um
Este exemplo mostra como configurar uma conexão iniciada pelo IPv6 a um nó IPv4 usando mapeamento de endereço de destino estático de um para um.
Requisitos
Antes de começar, configure as interfaces e atribua as interfaces a zonas de segurança.
Visão geral
O exemplo a seguir descreve a comunicação de um nó IPv6 com um nó IPv4 que tem um endereço NAT estático de um para um definido no dispositivo. A comunicação de um nó IPv6 com um nó IPv4 permite que hosts IPv6 acessem um servidor IPv4 quando nenhum dos dispositivos tem uma pilha dupla e deve depender do dispositivo NAT/PT para se comunicar. Isso permite que alguns aplicativos de servidor legado IPv4 funcionem mesmo após a migração da rede para o IPv6.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat static rule test_rs from interface ge-0/0/1 set security nat static rule test_rs rule test_rule match destination-address 2001:db8::15/128 set security nat static rule test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.3 set security nat source rule myipv4_rs from interface ge-0/0/1 set security nat source rule myipv4_rs to interface ge-0/0/2 set security nat source rule myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule myipv4_rs rule ipv4_rule then source-nat pool myipv4
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar uma conexão iniciada pelo IPv6 a um nó IPv4 usando mapeamento de endereço de destino estático de um para um:
Configure o conjunto de regras NAT estática para uma interface.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Defina uma regra para combinar com o endereço de destino.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::15/128
Defina o prefixo NAT estático à regra.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 10.2.2.15/32
Configure um pool NAT de origem com endereços IPv4.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2 203.0.113.3
Configure o endereço IPv4 para a interface.
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1
Configure o endereço de origem para o endereço NAT de origem IPv4.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::/96
Configure o endereço de destino para o endereço NAT de origem IPv4.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.2.2.15
Defina o pool NAT IPv4 de origem configurada na regra.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat source { pool myipv4 { address { 203.0.113.2/32 to 203.0.113.3/32; } } rule-set myipv4_rs { from interface ge-0/0/1.0; to interface ge-0/0/2.0; rule ipv4_rule { match { source-address 2001:db8::/96; destination-address 10.2.2.15/32; } then { source-nat { pool { myipv4; } } } } } } static { rule-set test_rs { from interface ge-0/0/1.0; rule test_rule { match { destination-address 2001:db8::15/128; } then { static-nat prefix 10.2.2.15/32; } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
Verificando se o NAT estático está configurado
Propósito
Verifique se o NAT estático está configurado com uma interface, um endereço de destino e um prefixo.
Ação
Do modo operacional, entre no show security nat static
comando.