NAT para fluxos multicast
Para implementar a tradução de endereços em grupo multicast, é usado NAT estático ou NAT de destino. Com a ajuda do NAT, os endereços de origem no IPv4 são traduzidos para endereços de destino de grupo multicast IPv4.
Entendendo o NAT para fluxos multicast
A tradução de endereços de rede (NAT) pode ser usada para traduzir endereços de origem em fluxos multicast IPv4 e traduzir endereços de destino de grupos multicast IPv4.
O NAT estático ou o NAT de destino podem ser usados para realizar a tradução de endereços de grupo multicast. O NAT estático permite que as conexões sejam originadas de ambos os lados da rede, mas a tradução é limitada a endereços um a um ou entre blocos de endereços do mesmo tamanho. Não são necessários pools de endereços. Use a static declaração de configuração no nível [edit security nat] de hierarquia para configurar conjuntos de regras de NAT estáticos para tráfego multicast. O NAT de destino permite que conexões sejam iniciadas apenas para conexões de rede de entrada , por exemplo, da Internet a uma rede privada. Use a destination declaração de configuração no nível [edit security nat] de hierarquia para configurar grupos de NAT de destino e conjuntos de regras.
O NAT de origem para tráfego multicast é suportado apenas usando a mudança de endereço IP para traduzir o endereço IP de origem original para um endereço IP a partir de um pool de endereços definido pelo usuário. Esse tipo de tradução é de um para um, estático e sem tradução de endereço de porta. Se a faixa de endereço IP de origem original for maior do que a faixa de endereço IP no pool definido pelo usuário, os pacotes não traduzidos serão descartados. O mapeamento não fornece mapeamento bidirecional, que o NAT estático fornece. Use a source declaração de configuração no nível [edit security nat] de hierarquia para configurar grupos de NAT de origem e conjuntos de regras. Ao definir o pool de NAT de origem para este tipo de NAT de origem, use a opção host-address-base para especificar o início da faixa de endereço IP de origem original.
Veja também
Exemplo: Configuração do NAT para fluxos multicast
Este exemplo mostra como configurar um dispositivo da Juniper Networks para a tradução de endereços de fluxos multicast.
Requisitos
Antes de começar:
-
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
-
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
-
Configure o dispositivo para encaminhamento multicast. Veja a visão geral multicast.
Visão geral
Este exemplo usa a zona de segurança trust para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. A Figura 1 mostra uma implantação típica do dispositivo da Juniper Networks para encaminhamento multicast. O roteador de origem R1 envia pacotes multicast com endereços de origem na faixa 203.0.113.100 a 203.0.113.110 e o endereço do grupo 233.252.0.1/32 em direção ao dispositivo Juniper Networks. O roteador de origem R1 está no upstream de rede privada (zona de confiança) do dispositivo Juniper Networks. Existem vários receptores no downstream da rede pública (zona não confiável) do dispositivo.
O dispositivo da Juniper Networks traduz os pacotes multicast de entrada do R1 antes de encaminhá-los para as interfaces downstream. As seguintes traduçãos são aplicadas:
-
Para a interface ao R2, o endereço de origem não é traduzido, e o endereço do grupo é traduzido para 233.252.0.2/32.
-
Para a interface para R3, o endereço fonte é traduzido para um endereço na faixa 198.51.100.200 a 198.51.100.210, e o endereço do grupo é traduzido para 233.252.0.2/32.
-
Para a interface para R4, o endereço fonte é traduzido para um endereço na faixa de 10.10.10.100 a 10.10.10.110, e o endereço do grupo é traduzido para 233.252.0.2/32.
multicast
Este exemplo descreve as seguintes configurações:
-
Grupo de NAT
dst-nat-poolde destino que contém o endereço IP 233.252.0.2/32. -
Regra de NAT de destino definida
rs1com regrar1para combinar pacotes que chegam na interface xe-2/0/1.0 com o endereço IP de destino 233.252.0.1/32. Para pacotes correspondentes, o endereço de destino é traduzido para o endereço IP nodst-nat-poolpool. -
Grupo NAT
src-nat-shift-1de origem que contém a faixa de endereço IP 198.51.100.200/32 a 198.51.100.210/32. Para esse pool, o início da faixa de endereço IP de origem original é de 203.0.113.100/32 e é especificado com a opçãohost-address-base. -
Regra de NAT de origem definida
rs-shift1com regrar1para combinar pacotes da zona de confiança à interface xe-1/0/1.0 com um endereço IP de origem na sub-rede 203.0.113.96/28. Para combinar pacotes que se enquadram na faixa de endereço IP de origem especificada pelasrc-nat-shift-1configuração, o endereço de origem é traduzido para o endereço IP nosrc-nat-shift-1pool. -
Grupo NAT
src-nat-shift-2de origem que contém a faixa de endereço IP 10.10.10.100/32 a 10.10.10.110/32. Para esse pool, o início da faixa de endereço IP de origem original é de 203.0.113.100/32 e é especificado com a opçãohost-address-base. -
Regra de NAT de origem definida
rs-shift2com regrar1para combinar pacotes da zona de confiança à interface xe-2/0/0,0 com um endereço IP de origem na sub-rede 203.0.113.96/28. Para combinar pacotes que se enquadram na faixa de endereço IP de origem especificada pelasrc-nat-shift-2configuração, o endereço de origem é traduzido para o endereço IP nosrc-nat-shift-2pool. -
Proxy ARP para os endereços 203.0.113.100 a 203.0.113.110 na interface xe-1/0/0,0, endereços 198.51.100.200 a 198.51.100.210 na interface xe-1/0/1,0, e endereços 10.10.10.100 a 10.10.110 na interface xe-2/0/0,0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface para esses endereços.
-
Política de segurança para permitir o tráfego da zona de confiança até a zona não confiável.
-
Política de segurança para permitir o tráfego da zona não confiável para o endereço IP de destino traduzido na zona de confiança.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security nat source pool src-nat-shift-1 address 198.51.100.200/32 to 198.51.100.210/32
set security nat source pool src-nat-shift-1 host-address-base 203.0.113.100/32
set security nat source pool src-nat-shift-2 address 10.10.10.100/32 to 10.10.10.110/32
set security nat source pool src-nat-shift-2 host-address-base 203.0.113.100/32
set security nat source rule-set rs-shift1 from zone trust
set security nat source rule-set rs-shift1 to interface xe-1/0/1.0
set security nat source rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28
set security nat source rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1
set security nat source rule-set rs-shift2 from zone trust
set security nat source rule-set rs-shift2 to interface xe-2/0/0.0
set security nat source rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28
set security nat source rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2
set security nat destination pool dst-nat-pool address 233.252.0.2/32
set security nat destination rule-set rs1 from interface xe-2/0/1.0
set security nat destination rule-set rs1 rule r1 match destination-address 233.252.0.1/32
set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool
set security nat proxy-arp interface xe-1/0/0.0 address 203.0.113.100/32 to 203.0.113.110/32
set security nat proxy-arp interface xe-1/0/1.0 address 198.51.100.200/32 to 198.51.100.210/32
set security nat proxy-arp interface xe-2/0/0.0 address 10.10.10.100/32 to 10.10.10.110/32
set security policies from-zone trust to-zone untrust policy internet-access match source-address any
set security policies from-zone trust to-zone untrust policy internet-access match destination-address any
set security policies from-zone trust to-zone untrust policy internet-access match application any
set security policies from-zone trust to-zone untrust policy internet-access then permit
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match source-address any
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match destination-address 233.252.0.1/21
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match application any
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar as tradução de NAT de destino e origem para fluxos multicast:
-
Crie um pool de NAT de destino.
[edit security nat destination] user@host# set pool dst-nat-pool address 233.252.0.2/32 -
Crie um conjunto de regras de NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 from interface xe-2/0/1.0 -
Configure uma regra que combine pacotes e traduza o endereço de destino para o endereço no pool de NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 233.252.0.1/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool -
Crie um pool de NAT de origem.
[edit security nat source] user@host# set pool src-nat-shift-1 address 198.51.100.200 to 198.51.100.210 -
Especifique o início da faixa de endereço IP de origem original.
[edit security nat source] user@host# set pool src-nat-shift-1 host-address-base 203.0.113.100 -
Crie um conjunto de regras de NAT de origem.
[edit security nat source] user@host# set rule-set rs-shift1 from zone trust user@host# set rule-set rs-shift1 to interface xe-1/0/1.0 -
Configure uma regra que combine pacotes e traduza o endereço de destino para o endereço no pool de NAT de origem.
[edit security nat source] user@host# set rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1 -
Crie um pool de NAT de origem.
[edit security nat source] user@host# set pool src-nat-shift-2 address 10.10.10.100 to 10.10.10.110 -
Especifique o início da faixa de endereço IP de origem original.
[edit security nat source] user@host# set pool src-nat-shift-2 host-address-base 203.0.113.100/32 -
Crie um conjunto de regras de NAT de origem.
[edit security nat source] user@host# set rule-set rs-shift2 from zone trust user@host# set rule-set rs-shift2 to interface xe-2/0/0.0 -
Configure uma regra que combine pacotes e traduza o endereço de destino para o endereço no pool de NAT de origem.
[edit security nat source] user@host# set rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2 -
Configure o ARP proxy.
[edit security nat] user@host# set proxy-arp interface xe-1/0/0.0 address 203.0.113.100 to 203.0.113.110 user@host# set proxy-arp interface xe-1/0/1.0 address 198.51.100.200 to 198.51.100.210 user@host# set proxy-arp interface xe-2/0/0.0 address 10.10.10.100 to 10.10.10.110 -
Configure uma política de segurança que permita o tráfego da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit -
Configure uma política de segurança que permita o tráfego da zona não confiável para a zona de confiança.
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-access match source-address any destination-address 233.252.0.1/32 application any user@host# set policy dst-nat-pool-access then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat comandos e show security policies os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
source {
pool src-nat-shift-1 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
host-address-base 203.0.113.100/32;
}
pool src-nat-shift-2 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
host-address-base 203.0.113.100/32;
}
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
rule-set rs-shift1 {
from zone trust;
to interface xe-1/0/1.0;
rule r1 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift1;
}
}
}
}
}
rule-set rs-shift2 {
from zone trust;
to interface xe-2/0/0.0;
rule r2 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift2;
}
}
}
}
}
}
destination {
pool dst-nat-pool {
address 233.252.0.1/32;
}
rule-set rs1 {
from interface xe-2/0/1.0;
rule r1 {
match {
destination-address 233.252.0.1/32;
}
then {
destination-nat pool dst-nat-pool;
}
}
}
}
proxy-arp {
interface xe-1/0/0.0 {
address {
203.0.113.100/32 to 203.0.113.110/32;
}
}
interface xe-1/0/1.0 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
}
interface xe-2/0/0.0 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificação do uso do grupo NAT de destino
- Verificação da utilização das regras de NAT de destino
- Verificação do uso do grupo de NAT de origem
- Verificação do uso de regras de NAT de origem
- Verificando o tráfego do aplicativo NAT
Verificação do uso do grupo NAT de destino
Propósito
Verifique se há tráfego usando endereços IP no pool de NAT de destino.
Ação
A partir do modo operacional, entre no show security nat destination pool all comando. Veja o campo de acessos da Tradução para verificar o tráfego usando endereços IP do pool.
Verificação da utilização das regras de NAT de destino
Propósito
Verifique se há tráfego que corresponda à regra NAT de destino.
Ação
A partir do modo operacional, entre no show security nat destination rule all comando. Veja o campo de acesso da Tradução para verificar se o tráfego corresponde à regra.
Verificação do uso do grupo de NAT de origem
Propósito
Verifique se há tráfego usando endereços IP do grupo NAT de origem.
Ação
A partir do modo operacional, entre no show security nat source pool all comando. Veja o campo de acessos da Tradução para verificar o tráfego usando endereços IP do pool.
Verificação do uso de regras de NAT de origem
Propósito
Verifique se há tráfego que corresponda à regra NAT de origem.
Ação
A partir do modo operacional, entre no show security nat source rule all comando. Veja o campo de acesso da Tradução para verificar se o tráfego corresponde à regra.