NAT para fluxos multicast
Para implementar a conversão de endereço de grupo multicast, o NAT estático ou o NAT de destino é usado. Com a ajuda do NAT, os endereços de origem no IPv4 são convertidos em endereços de destino de grupo multicast IPv4.
Entender o NAT para fluxos multicast
A Network Address Translation (NAT) pode ser usada para traduzir endereços de origem em fluxos multicast IPv4 e para traduzir endereços de destino de grupo multicast IPv4.
O NAT estático ou o NAT de destino podem ser usados para realizar a conversão de endereços de grupo multicast. O NAT estático permite que as conexões sejam originadas de ambos os lados da rede, mas a conversão é limitada a endereços um-para-um ou entre blocos de endereços do mesmo tamanho. Nenhum pool de endereços é necessário. Use a static declaração de configuração no nível de hierarquia [edit security nat] para configurar conjuntos de regras NAT estáticos para tráfego multicast. O NAT de destino permite que as conexões sejam iniciadas apenas para conexões de rede de entrada, por exemplo, da Internet para uma rede privada. Use a destination declaração de configuração no nível deedit security nat [] hierarquia para configurar pools de NAT de destino e conjuntos de regras.
O NAT de origem para tráfego multicast é suportado apenas usando a mudança de endereço IP para converter o endereço IP de origem original em um endereço IP de um pool de endereços definido pelo usuário. Esse tipo de tradução é individual, estática e sem tradução de endereço de porta. Se o intervalo de endereços IP de origem original for maior que o intervalo de endereços IP no pool definido pelo usuário, os pacotes não traduzidos serão descartados. O mapeamento não fornece mapeamento bidirecional, que o NAT estático fornece. Use a source declaração de configuração no nível de hierarquia [edit security nat] para configurar pools de NAT de origem e conjuntos de regras. Ao definir o pool de NAT de origem para esse tipo de NAT de origem, use a host-address-base opção para especificar o início do intervalo de endereços IP de origem original.
Veja também
Example: Configuração de NAT para fluxos multicast
Este exemplo mostra como configurar um dispositivo da Juniper Networks para a tradução de endereços de fluxos multicast.
Requerimentos
Antes de começar:
Configure as interfaces de rede no dispositivo. Consulte o Guia do Usuário de Interfaces para Dispositivos de Segurança.
Crie zonas de segurança e atribua interfaces a elas. Consulte Noções Básicas Sobre Zonas de Segurança.
-
Configure o dispositivo para encaminhamento multicast. Consulte a Visão geral de multicast.
Visão geral
Este exemplo usa a zona de segurança confiável para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. A Figura 1 mostra uma implantação típica do dispositivo da Juniper Networks para encaminhamento multicast. O roteador de origem R1 envia pacotes multicast com endereços de origem na faixa de 203.0.113.100 a 203.0.113.110 e o endereço de grupo 233.252.0.1/32 em direção ao dispositivo da Juniper Networks. O roteador de origem R1 está na rede privada (zona de confiança) upstream do dispositivo da Juniper Networks. Há vários receptores na rede pública (zona não confiável) a jusante do dispositivo.
O dispositivo da Juniper Networks traduz os pacotes multicast recebidos de R1 antes de encaminhá-los para as interfaces downstream. As seguintes traduções são aplicadas:
Para a interface para R2, o endereço de origem não é traduzido e o endereço do grupo é convertido em 233.252.0.2/32.
Para a interface para R3, o endereço de origem é convertido em um endereço no intervalo de 198.51.100.200 a 198.51.100.210, e o endereço do grupo é convertido em 233.252.0.2/32.
Para a interface para R4, o endereço de origem é convertido em um endereço no intervalo de 10.10.10.100 a 10.10.10.110, e o endereço do grupo é convertido em 233.252.0.2/32.
multicast
Este exemplo descreve as seguintes configurações:
Pool
dst-nat-poolNAT de destino que contém o endereço IP 233.252.0.2/32.Regra NAT de destino definida
rs1comr1regra para combinar pacotes que chegam na interface xe-2/0/1.0 com o endereço IP de destino 233.252.0.1/32. Para pacotes correspondentes, o endereço de destino é convertido no endereço IP nodst-nat-poolpool.Pool
src-nat-shift-1de NAT de origem que contém o intervalo de endereços IP 198.51.100.200/32 a 198.51.100.210/32. Para esse pool, o início do intervalo de endereços IP de origem original é 203.0.113.100/32 e é especificado com ahost-address-baseopção.Conjunto de regras
rs-shift1NAT de origem comr1regra para corresponder pacotes da zona de confiança à interface xe-1/0/1.0 com um endereço IP de origem na sub-rede 203.0.113.96/28. Para pacotes correspondentes que se enquadram no intervalo de endereços IP de origem especificado pelasrc-nat-shift-1configuração, o endereço de origem é convertido no endereço IP nosrc-nat-shift-1pool.Pool
src-nat-shift-2de NAT de origem que contém o intervalo de endereços IP de 10.10.10.100/32 a 10.10.10.110/32. Para esse pool, o início do intervalo de endereços IP de origem original é 203.0.113.100/32 e é especificado com ahost-address-baseopção.Conjunto de regras
rs-shift2NAT de origem comr1regra para corresponder pacotes da zona de confiança à interface xe-2/0/0.0 com um endereço IP de origem na sub-rede 203.0.113.96/28. Para pacotes correspondentes que se enquadram no intervalo de endereços IP de origem especificado pelasrc-nat-shift-2configuração, o endereço de origem é convertido no endereço IP nosrc-nat-shift-2pool.ARP de proxy para os endereços 203.0.113.100 a 203.0.113.110 na interface xe-1/0/0.0, endereços 198.51.100.200 a 198.51.100.210 na interface xe-1/0/1.0 e endereços 10.10.10.100 a 10.10.10.110 na interface xe-2/0/0.0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações ARP recebidas na interface para esses endereços.
Política de Segurança para permitir o tráfego da zona de confiança para a zona não confiável.
Política de Segurança para permitir o tráfego da zona não confiável para o endereço IP de destino convertido na zona de confiança.
Topologia
Configuração
Tramitação processual
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set security nat source pool src-nat-shift-1 address 198.51.100.200/32 to 198.51.100.210/32 set security nat source pool src-nat-shift-1 host-address-base 203.0.113.100/32 set security nat source pool src-nat-shift-2 address 10.10.10.100/32 to 10.10.10.110/32 set security nat source pool src-nat-shift-2 host-address-base 203.0.113.100/32 set security nat source rule-set rs-shift1 from zone trust set security nat source rule-set rs-shift1 to interface xe-1/0/1.0 set security nat source rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1 set security nat source rule-set rs-shift2 from zone trust set security nat source rule-set rs-shift2 to interface xe-2/0/0.0 set security nat source rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2 set security nat destination pool dst-nat-pool address 233.252.0.2/32 set security nat destination rule-set rs1 from interface xe-2/0/1.0 set security nat destination rule-set rs1 rule r1 match destination-address 233.252.0.1/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool set security nat proxy-arp interface xe-1/0/0.0 address 203.0.113.100/32 to 203.0.113.110/32 set security nat proxy-arp interface xe-1/0/1.0 address 198.51.100.200/32 to 198.51.100.210/32 set security nat proxy-arp interface xe-2/0/0.0 address 10.10.10.100/32 to 10.10.10.110/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match destination-address 233.252.0.1/21 set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access then permit
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Para configurar as traduções NAT de destino e origem para fluxos multicast:
Crie um pool NAT de destino.
[edit security nat destination] user@host# set pool dst-nat-pool address 233.252.0.2/32
Crie um conjunto de regras NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 from interface xe-2/0/1.0
Configure uma regra que corresponda a pacotes e converta o endereço de destino para o endereço no pool NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 233.252.0.1/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool
Crie um pool NAT de origem.
[edit security nat source] user@host# set pool src-nat-shift-1 address 198.51.100.200 to 198.51.100.210
Especifique o início do intervalo de endereços IP de origem original.
[edit security nat source] user@host# set pool src-nat-shift-1 host-address-base 203.0.113.100
Crie um conjunto de regras NAT de origem.
[edit security nat source] user@host# set rule-set rs-shift1 from zone trust user@host# set rule-set rs-shift1 to interface xe-1/0/1.0
Configure uma regra que corresponda a pacotes e converta o endereço de destino para o endereço no pool NAT de origem.
[edit security nat source] user@host# set rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1
Crie um pool NAT de origem.
[edit security nat source] user@host# set pool src-nat-shift-2 address 10.10.10.100 to 10.10.10.110
Especifique o início do intervalo de endereços IP de origem original.
[edit security nat source] user@host# set pool src-nat-shift-2 host-address-base 203.0.113.100/32
Crie um conjunto de regras NAT de origem.
[edit security nat source] user@host# set rule-set rs-shift2 from zone trust user@host# set rule-set rs-shift2 to interface xe-2/0/0.0
Configure uma regra que corresponda a pacotes e converta o endereço de destino para o endereço no pool NAT de origem.
[edit security nat source] user@host# set rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2
Configure o ARP do proxy.
[edit security nat] user@host# set proxy-arp interface xe-1/0/0.0 address 203.0.113.100 to 203.0.113.110 user@host# set proxy-arp interface xe-1/0/1.0 address 198.51.100.200 to 198.51.100.210 user@host# set proxy-arp interface xe-2/0/0.0 address 10.10.10.100 to 10.10.10.110
Configure uma política de segurança que permita o tráfego da zona de confiança para a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Configure uma política de segurança que permita o tráfego da zona não confiável para a zona confiável.
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-access match source-address any destination-address 233.252.0.1/32 application any user@host# set policy dst-nat-pool-access then permit
Resultados
No modo de configuração, confirme sua configuração digitando os show security nat comandos e show security policies . Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
source {
pool src-nat-shift-1 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
host-address-base 203.0.113.100/32;
}
pool src-nat-shift-2 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
host-address-base 203.0.113.100/32;
}
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
rule-set rs-shift1 {
from zone trust;
to interface xe-1/0/1.0;
rule r1 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift1;
}
}
}
}
}
rule-set rs-shift2 {
from zone trust;
to interface xe-2/0/0.0;
rule r2 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift2;
}
}
}
}
}
}
destination {
pool dst-nat-pool {
address 233.252.0.1/32;
}
rule-set rs1 {
from interface xe-2/0/1.0;
rule r1 {
match {
destination-address 233.252.0.1/32;
}
then {
destination-nat pool dst-nat-pool;
}
}
}
}
proxy-arp {
interface xe-1/0/0.0 {
address {
203.0.113.100/32 to 203.0.113.110/32;
}
}
interface xe-1/0/1.0 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
}
interface xe-2/0/0.0 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute estas tarefas:
- Verificando o uso do pool NAT de destino
- Verificando o uso da regra NAT de destino
- Verificando o uso do pool NAT de origem
- Verificando o uso da regra NAT de origem
- Verificando o aplicativo NAT para o tráfego
Verificando o uso do pool NAT de destino
Finalidade
Verifique se há tráfego usando endereços IP do pool NAT de destino.
Ação
Do modo operacional, insira o show security nat destination pool all comando. Exiba o campo Ocorrências de tradução para verificar o tráfego que usa endereços IP do pool.
Verificando o uso da regra NAT de destino
Finalidade
Verifique se há tráfego correspondente à regra NAT de destino.
Ação
Do modo operacional, insira o show security nat destination rule all comando. Exiba o campo Ocorrências de tradução para verificar se há tráfego que corresponda à regra.
Verificando o uso do pool NAT de origem
Finalidade
Verifique se há tráfego usando endereços IP do pool NAT de origem.
Ação
Do modo operacional, insira o show security nat source pool all comando. Exiba o campo Ocorrências de tradução para verificar o tráfego que usa endereços IP do pool.
Verificando o uso da regra NAT de origem
Finalidade
Verifique se há tráfego correspondente à regra NAT de origem.
Ação
Do modo operacional, insira o show security nat source rule all comando. Exiba o campo Ocorrências de tradução para verificar se há tráfego que corresponda à regra.
Verificando o aplicativo NAT para o tráfego
Finalidade
Verifique se o NAT está sendo aplicado ao tráfego especificado.
Ação
Do modo operacional, insira o show security flow session comando.