NAT para fluxos multicast
Para implementar a tradução de endereços em grupo multicast, é usado NAT estático ou NAT de destino. Com a ajuda do NAT, os endereços de origem no IPv4 são traduzidos para endereços de destino de grupo multicast IPv4.
Entender o NAT para fluxos multicast
A tradução de endereços de rede (NAT) pode ser usada para traduzir endereços de origem em fluxos multicast IPv4 e traduzir endereços de destino de grupos multicast IPv4.
O NAT estático ou o NAT de destino podem ser usados para realizar a tradução de endereços em grupo multicast. O NAT estático permite que as conexões sejam originadas de ambos os lados da rede, mas a tradução é limitada a endereços um a um ou entre blocos de endereços do mesmo tamanho. Não são necessários pools de endereços. Use a static declaração de configuração no nível [edit security nat] de hierarquia para configurar conjuntos de regras NAT estáticos para tráfego multicast. O NAT de destino permite que as conexões sejam iniciadas apenas para conexões de rede de entrada, por exemplo, da Internet a uma rede privada. Use a destination declaração de configuração no nível [edit security nat] de hierarquia para configurar pools NAT de destino e conjuntos de regras.
O NAT de origem para tráfego multicast é suportado apenas usando a mudança de endereço IP para traduzir o endereço IP de origem original para um endereço IP a partir de um pool de endereço definido pelo usuário. Esse tipo de tradução é de um para um, estático e sem tradução de endereço de porta. Se a faixa de endereço IP de origem original for maior do que a faixa de endereço IP no pool definido pelo usuário, os pacotes não traduzidos serão descartados. O mapeamento não fornece mapeamento bidirecional, que o NAT estático fornece. Use a source declaração de configuração no nível [edit security nat] de hierarquia para configurar pools NAT de origem e conjuntos de regras. Quando você definir o pool NAT de origem para esse tipo de NAT de origem, use a opção host-address-base para especificar o início da faixa de endereço IP de origem original.
Veja também
Exemplo: configurar o NAT para fluxos multicast
Este exemplo mostra como configurar um dispositivo da Juniper Networks para a tradução de endereços de fluxos multicast.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Configure o dispositivo para encaminhamento multicast.
Visão geral
Este exemplo usa a zona de segurança de confiança para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. A Figura 1 mostra uma implantação típica do dispositivo Juniper Networks para encaminhamento multicast. O roteador de origem R1 envia pacotes multicast com endereços de origem na faixa 203.0.113.100 a 203.0.113.110 e o endereço do grupo 233.252.0.1/32 em direção ao dispositivo Juniper Networks. O roteador de origem R1 está no upstream de rede privada (zona de confiança) do dispositivo Juniper Networks. Existem vários receptores na rede pública (zona não confiável) a jusante do dispositivo.
O dispositivo da Juniper Networks traduz os pacotes multicast recebidos de R1 antes de encaminhá-los para fora nas interfaces downstream. As seguintes traduções são aplicadas:
Para a interface até R2, o endereço de origem não é traduzido, e o endereço do grupo é traduzido para 233.252.0.2/32.
Para a interface até R3, o endereço de origem é traduzido para um endereço na faixa 198.51.100.200 a 198.51.100.210, e o endereço do grupo é traduzido para 233.252.0.2/32.
Para a interface até R4, o endereço de origem é traduzido para um endereço na faixa 10.10.10.100 a 10.10.10.110, e o endereço do grupo é traduzido para 233.252.0.2/32.
multicast
Este exemplo descreve as seguintes configurações:
Pool NAT
dst-nat-poolde destino que contém o endereço IP 233.252.0.2/32.Regra de NAT de destino definida
rs1com regrar1para combinar pacotes que chegam na interface xe-2/0/1.0 com o endereço IP de destino 233.252.0.1/32. Para pacotes correspondentes, o endereço de destino é traduzido para o endereço IP nodst-nat-poolpool.Grupo NAT
src-nat-shift-1de origem que contém a faixa de endereço IP 198.51.100.200/32 a 198.51.100.210/32. Para este pool, o início da faixa de endereço IP de origem original é de 203.0.113.100/32 e é especificado com a opçãohost-address-base.Regra de NAT de origem definida
rs-shift1com regrar1para combinar pacotes da zona de confiança à interface xe-1/0/1.0 com um endereço IP de origem na sub-rede 203.0.113.96/28. Para a correspondência de pacotes que se enquadram na faixa de endereço IP de origemsrc-nat-shift-1especificada pela configuração, o endereço de origem é traduzido para o endereço IP nosrc-nat-shift-1pool.Grupo NAT
src-nat-shift-2de origem que contém a faixa de endereço IP 10.10.10.100/32 a 10.10.10.110/32. Para este pool, o início da faixa de endereço IP de origem original é de 203.0.113.100/32 e é especificado com a opçãohost-address-base.Regra de NAT de origem definida
rs-shift2com regrar1para combinar pacotes da zona de confiança à interface xe-2/0/0.0 com um endereço IP de origem na sub-rede 203.0.113.96/28. Para a correspondência de pacotes que se enquadram na faixa de endereço IP de origemsrc-nat-shift-2especificada pela configuração, o endereço de origem é traduzido para o endereço IP nosrc-nat-shift-2pool.Proxy ARP para os endereços 203.0.113.100 a 203.0.113.110 na interface xe-1/0/0,0, endereços 198.51.100.200 a 198.51.100.210 na interface xe-1/0/1.0, e endereços 10.10.10.100 a 10.10.10.110 na interface xe-2/0/0,0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface desses endereços.
Política de segurança para permitir o tráfego da zona de confiança até a zona não confiável.
Política de segurança para permitir o tráfego da zona não confiável até o endereço IP de destino traduzido na zona de confiança.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security nat source pool src-nat-shift-1 address 198.51.100.200/32 to 198.51.100.210/32 set security nat source pool src-nat-shift-1 host-address-base 203.0.113.100/32 set security nat source pool src-nat-shift-2 address 10.10.10.100/32 to 10.10.10.110/32 set security nat source pool src-nat-shift-2 host-address-base 203.0.113.100/32 set security nat source rule-set rs-shift1 from zone trust set security nat source rule-set rs-shift1 to interface xe-1/0/1.0 set security nat source rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1 set security nat source rule-set rs-shift2 from zone trust set security nat source rule-set rs-shift2 to interface xe-2/0/0.0 set security nat source rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2 set security nat destination pool dst-nat-pool address 233.252.0.1/32 set security nat destination rule-set rs1 from interface xe-2/0/1.0 set security nat destination rule-set rs1 rule r1 match destination-address 233.252.0.1/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool set security nat proxy-arp interface xe-1/0/0.0 address 203.0.113.100/32 to 203.0.113.110/32 set security nat proxy-arp interface xe-1/0/1.0 address 198.51.100.200/32 to 198.51.100.210/32 set security nat proxy-arp interface xe-2/0/0.0 address 10.10.10.100/32 to 10.10.10.110/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match destination-address 233.252.0.1/21 set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar as traduções nat de destino e origem para fluxos multicast:
Crie um pool NAT de destino.
[edit security nat destination] user@host# set pool dst-nat-pool address 233.252.0.1/32
Crie um conjunto de regras de NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 from interface xe-2/0/1.0
Configure uma regra que combine pacotes e traduz o endereço de destino para o endereço no pool NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 233.252.0.1/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool
Crie um pool NAT de origem.
[edit security nat source] user@host# set pool src-nat-shift-1 address 198.51.100.200 to 198.51.100.210
Especifique o início da faixa de endereço IP de origem original.
[edit security nat source] user@host# set pool src-nat-shift-1 host-address-base 203.0.113.100
Crie um conjunto de regras de NAT de origem.
[edit security nat source] user@host# set rule-set rs-shift1 from zone trust user@host# set rule-set rs-shift1 to interface xe-1/0/1.0
Configure uma regra que combine pacotes e traduz o endereço de destino para o endereço no pool NAT de origem.
[edit security nat source] user@host# set rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1
Crie um pool NAT de origem.
[edit security nat source] user@host# set pool src-nat-shift-2 address 10.10.10.100 to 10.10.10.110
Especifique o início da faixa de endereço IP de origem original.
[edit security nat source] user@host# set pool src-nat-shift-2 host-address-base 203.0.113.100/32
Crie um conjunto de regras de NAT de origem.
[edit security nat source] user@host# set rule-set rs-shift2 from zone trust user@host# set rule-set rs-shift2 to interface xe-2/0/0.0
Configure uma regra que combine pacotes e traduz o endereço de destino para o endereço no pool NAT de origem.
[edit security nat source] user@host# set rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2
Configure o ARP proxy.
[edit security nat] user@host# set proxy-arp interface xe-1/0/0.0 address 203.0.113.100 to 203.0.113.110 user@host# set proxy-arp interface xe-1/0/1.0 address 198.51.100.200 to 198.51.100.210 user@host# set proxy-arp interface xe-2/0/0.0 address 10.10.10.100 to 10.10.10.110
Configure uma política de segurança que permita o tráfego da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Configure uma política de segurança que permita o tráfego da zona não confiável até a zona de confiança.
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-access match source-address any destination-address 233.252.0.1/32 application any user@host# set policy dst-nat-pool-access then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat comandos e show security policies os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
source {
pool src-nat-shift-1 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
host-address-base 203.0.113.100/32;
}
pool src-nat-shift-2 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
host-address-base 203.0.113.100/32;
}
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
rule-set rs-shift1 {
from zone trust;
to interface xe-1/0/1.0;
rule r1 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift1;
}
}
}
}
}
rule-set rs-shift2 {
from zone trust;
to interface xe-2/0/0.0;
rule r2 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift2;
}
}
}
}
}
}
destination {
pool dst-nat-pool {
address 233.252.0.1/32;
}
rule-set rs1 {
from interface xe-2/0/1.0;
rule r1 {
match {
destination-address 233.252.0.1/32;
}
then {
destination-nat pool dst-nat-pool;
}
}
}
}
proxy-arp {
interface xe-1/0/0.0 {
address {
203.0.113.100/32 to 203.0.113.110/32;
}
}
interface xe-1/0/1.0 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
}
interface xe-2/0/0.0 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
- Verificando o uso do pool de NAT de destino
- Verificando o uso das regras do NAT de destino
- Verificando o uso do pool NAT de origem
- Verificando o uso das regras do NAT de origem
- Verificando a aplicação de NAT no tráfego
Verificando o uso do pool de NAT de destino
Propósito
Verifique se há tráfego usando endereços IP do pool NAT de destino.
Ação
Do modo operacional, entre no show security nat destination pool all comando. Veja o campo de acesso da tradução para verificar o tráfego usando endereços IP da piscina.
Verificando o uso das regras do NAT de destino
Propósito
Verifique se há tráfego que corresponda à regra NAT de destino.
Ação
Do modo operacional, entre no show security nat destination rule all comando. Veja a tradução em campo para verificar se o tráfego corresponde à regra.
Verificando o uso do pool NAT de origem
Propósito
Verifique se há tráfego usando endereços IP do pool NAT de origem.
Ação
Do modo operacional, entre no show security nat source pool all comando. Veja o campo de acesso da tradução para verificar o tráfego usando endereços IP da piscina.
Verificando o uso das regras do NAT de origem
Propósito
Verifique se há tráfego que corresponda à regra NAT de origem.
Ação
Do modo operacional, entre no show security nat source rule all comando. Veja a tradução em campo para verificar se o tráfego corresponde à regra.