本页内容
组播流的 NAT
要实施组播组地址转换,可以使用静态 NAT 或目标 NAT。在 NAT 的帮助下,IPv4 中的源地址被转换为 IPv4 组播组目的地址。
了解组播流的 NAT
网络地址转换 (NAT) 可用于转换 IPv4 组播流中的源地址,以及转换 IPv4 组播组目标地址。
静态 NAT 或目标 NAT 均可用于执行组播组地址转换。静态 NAT 允许从网络的任一端发起连接,但转换仅限于一对一地址或相同大小的地址块之间。不需要地址池。在 [edit security nat] 层级使用static配置语句为组播流量配置静态 NAT 规则集。目标 NAT 仅允许为传入网络连接(例如,从互联网到专用网络)启动连接。在 destination [edit security nat] 层级使用配置语句配置目标 NAT 池和规则集。
只有使用 IP 地址变换将原始源 IP 地址转换为用户定义地址池中的 IP 地址,才能支持 组播 流量的源NAT。这种类型的转换是一对一的静态转换,没有端口地址转换。如果原始源 IP 地址范围大于用户定义池中的 IP 地址范围,则未转换的数据包将被丢弃。映射不提供静态 NAT 提供的双向映射。在 [edit security nat] 层级使用source配置语句配置源 NAT 池和规则集。为此类源 NAT 定义源 NAT 池时,请使用该host-address-base选项指定原始源 IP 地址范围的开头。
也可以看看
示例:为组播流配置 NAT
此示例说明如何配置瞻博网络设备以进行组播流的地址转换。
要求
开始之前:
配置设备上的网络接口。请参阅 安全性设备接口用户指南。
创建安全区域并为其分配接口。请参阅 了解安全性区域。
-
配置设备进行组播转发。请参阅 组播概述。
概述
此示例将信任安全区域用于专用地址空间,不信任安全区域用于公共地址空间。 图 1 描述了用于组播转发的瞻博网络设备的典型部署。源路由器 R1 向瞻博网络设备发送源地址范围为 203.0.113.100 到 203.0.113.110 且组地址为 233.252.0.1/32 的组播数据包。源路由器 R1 位于瞻博网络设备上游的专用网络(信任区域)中。设备下游的公共网络(不信任区域)中有多个接收器。
瞻博网络设备先对来自 R1 的传入组播数据包进行转换,然后再将其转发到下游接口。应用以下翻译:
对于到 R2 的接口,源地址未转换,组地址转换为 233.252.0.2/32。
对于 R3 的接口,源地址将转换为 198.51.100.200 到 198.51.100.210 范围内的地址,组地址将转换为 233.252.0.2/32。
对于 R4 的接口,源地址将转换为 10.10.10.100 到 10.10.10.110 范围内的地址,组地址将转换为 233.252.0.2/32。
的 NAT 转换
此示例介绍以下配置:
包含 IP 地址 233.252.0.2/32 的目标 NAT 池
dst-nat-pool。目标 NAT 规则集
rs1,用于匹配到达接口 xe-2/0/1.0 且目标 IP 地址为 233.252.0.1/32 的数据包的规则r1。对于匹配数据包,目标地址被转换为池中的dst-nat-poolIP 地址。源 NAT 池
src-nat-shift-1,其中包含 IP 地址范围 198.51.100.200/32 到 198.51.100.210/32。对于此池,原始源 IP 地址范围的开头为 203.0.113.100/32,并使用选项指定host-address-base。源 NAT 规则集
rs-shift1,用于r1将数据包从信任区域匹配到接口 xe-1/0/1.0 与 203.0.113.96/28 子网中的源 IP 地址进行匹配。对于位于配置指定的src-nat-shift-1源 IP 地址范围内的匹配数据包,源地址将转换为池中的src-nat-shift-1IP 地址。源 NAT 池
src-nat-shift-2,其中包含 IP 地址范围 10.10.10.100/32 到 10.10.10.110/32。对于此池,原始源 IP 地址范围的开头为 203.0.113.100/32,并使用选项指定host-address-base。源 NAT 规则集
rs-shift2,用于r1将从信任区域到接口 xe-2/0/0.0 的数据包与源 IP 地址在 203.0.113.96/28 子网中进行匹配。对于位于配置指定的src-nat-shift-2源 IP 地址范围内的匹配数据包,源地址将转换为池中的src-nat-shift-2IP 地址。接口 xe-1/0/0.0 上地址 203.0.113.100 到 203.0.113.110、接口 xe-1/0/1.0 上地址 198.51.100.200 到 198.51.100.210 以及接口 xe-2/0/0.0 上地址 10.10.10.100 到 10.10.10.110 的代理 ARP。这样,瞻博网络安全设备便能够响应接口上收到的这些地址的 ARP 请求。
安全性策略,以允许从信任区域到非信任区域的流量。
安全性策略,以允许从不信任区域到信任区域中转换的目标 IP 地址的流量。
拓扑结构
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security nat source pool src-nat-shift-1 address 198.51.100.200/32 to 198.51.100.210/32 set security nat source pool src-nat-shift-1 host-address-base 203.0.113.100/32 set security nat source pool src-nat-shift-2 address 10.10.10.100/32 to 10.10.10.110/32 set security nat source pool src-nat-shift-2 host-address-base 203.0.113.100/32 set security nat source rule-set rs-shift1 from zone trust set security nat source rule-set rs-shift1 to interface xe-1/0/1.0 set security nat source rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1 set security nat source rule-set rs-shift2 from zone trust set security nat source rule-set rs-shift2 to interface xe-2/0/0.0 set security nat source rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2 set security nat destination pool dst-nat-pool address 233.252.0.2/32 set security nat destination rule-set rs1 from interface xe-2/0/1.0 set security nat destination rule-set rs1 rule r1 match destination-address 233.252.0.1/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool set security nat proxy-arp interface xe-1/0/0.0 address 203.0.113.100/32 to 203.0.113.110/32 set security nat proxy-arp interface xe-1/0/1.0 address 198.51.100.200/32 to 198.51.100.210/32 set security nat proxy-arp interface xe-2/0/0.0 address 10.10.10.100/32 to 10.10.10.110/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match destination-address 233.252.0.1/21 set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access then permit
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅在 配置模式下使用 CLI 编辑器。
要配置组播流的目标和源 NAT 转换:
创建目标 NAT 池。
[edit security nat destination] user@host# set pool dst-nat-pool address 233.252.0.2/32
创建目标 NAT 规则集。
[edit security nat destination] user@host# set rule-set rs1 from interface xe-2/0/1.0
配置一个规则,用于匹配数据包并将目标地址转换为目标 NAT 池中的地址。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 233.252.0.1/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool
创建源 NAT 池。
[edit security nat source] user@host# set pool src-nat-shift-1 address 198.51.100.200 to 198.51.100.210
指定原始源 IP 地址范围的开头。
[edit security nat source] user@host# set pool src-nat-shift-1 host-address-base 203.0.113.100
创建源 NAT 规则集。
[edit security nat source] user@host# set rule-set rs-shift1 from zone trust user@host# set rule-set rs-shift1 to interface xe-1/0/1.0
配置一个规则,用于匹配数据包并将目标地址转换为源 NAT 池中的地址。
[edit security nat source] user@host# set rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1
创建源 NAT 池。
[edit security nat source] user@host# set pool src-nat-shift-2 address 10.10.10.100 to 10.10.10.110
指定原始源 IP 地址范围的开头。
[edit security nat source] user@host# set pool src-nat-shift-2 host-address-base 203.0.113.100/32
创建源 NAT 规则集。
[edit security nat source] user@host# set rule-set rs-shift2 from zone trust user@host# set rule-set rs-shift2 to interface xe-2/0/0.0
配置一个规则,用于匹配数据包并将目标地址转换为源 NAT 池中的地址。
[edit security nat source] user@host# set rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2
配置代理 ARP。
[edit security nat] user@host# set proxy-arp interface xe-1/0/0.0 address 203.0.113.100 to 203.0.113.110 user@host# set proxy-arp interface xe-1/0/1.0 address 198.51.100.200 to 198.51.100.210 user@host# set proxy-arp interface xe-2/0/0.0 address 10.10.10.100 to 10.10.10.110
配置允许从信任区域到非信任区域的流量的安全策略。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
配置允许从不信任区域到信任区域的流量的安全策略。
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-access match source-address any destination-address 233.252.0.1/32 application any user@host# set policy dst-nat-pool-access then permit
结果
在配置模式下,输入和show security natshow security policies命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show security nat
source {
pool src-nat-shift-1 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
host-address-base 203.0.113.100/32;
}
pool src-nat-shift-2 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
host-address-base 203.0.113.100/32;
}
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
rule-set rs-shift1 {
from zone trust;
to interface xe-1/0/1.0;
rule r1 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift1;
}
}
}
}
}
rule-set rs-shift2 {
from zone trust;
to interface xe-2/0/0.0;
rule r2 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift2;
}
}
}
}
}
}
destination {
pool dst-nat-pool {
address 233.252.0.1/32;
}
rule-set rs1 {
from interface xe-2/0/1.0;
rule r1 {
match {
destination-address 233.252.0.1/32;
}
then {
destination-nat pool dst-nat-pool;
}
}
}
}
proxy-arp {
interface xe-1/0/0.0 {
address {
203.0.113.100/32 to 203.0.113.110/32;
}
}
interface xe-1/0/1.0 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
}
interface xe-2/0/0.0 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
}
如果完成设备配置,请从配置模式进入。commit
验证
要确认配置工作正常,请执行以下任务:
验证目标 NAT 池使用情况
目的
验证是否有使用目标 NAT 池中的 IP 地址的流量。
行动
在作模式下,输入命令 show security nat destination pool all 。查看“转换命中次数”字段,以检查使用池中 IP 地址的流量。
验证目标 NAT 规则使用情况
目的
验证是否存在与目标 NAT 规则匹配的流量。
行动
在作模式下,输入命令 show security nat destination rule all 。查看“翻译命中”字段,检查与规则匹配的流量。
验证源 NAT 池使用情况
目的
验证是否存在使用源 NAT 池中的 IP 地址的流量。
行动
在作模式下,输入命令 show security nat source pool all 。查看“转换命中次数”字段,以检查使用池中 IP 地址的流量。
验证源 NAT 规则使用情况
目的
验证是否存在与源 NAT 规则匹配的流量。
行动
在作模式下,输入命令 show security nat source rule all 。查看“翻译命中”字段,检查与规则匹配的流量。