本页内容
组播流的 NAT
要实现组播组地址转换,请使用静态 NAT 或目标 NAT。借助 NAT,IPv4 中的源地址将转换为 IPv4 组播组目标地址。
了解组播流的 NAT
网络地址转换 (NAT) 可用于转换 IPv4 组播流中的源地址,并转换 IPv4 组播组目标地址。
静态 NAT 或目标 NAT 都可用于执行组播组地址转换。静态 NAT 允许从网络的任一端发起连接,但转换仅限于一对一地址或相同大小的地址块之间。不需要地址池。static在 [edit security nat] 层级使用配置语句为组播流量配置静态 NAT 规则集。目标 NAT 只允许为传入网络连接启动连接,例如,从 Internet 到专用网络的连接。destination在 [edit security nat] 层级使用配置语句配置目标 NAT 池和规则集。
只有通过使用 IP 地址转换将原始源 IP 地址转换为用户定义地址池中的 IP 地址,才支持组播流量的源 NAT。这种类型的转换是一对一的、静态的,没有端口地址转换。如果原始源 IP 地址范围大于用户定义池中的 IP 地址范围,则未转换的数据包将被丢弃。映射不提供静态 NAT 提供的双向映射。 source 在 [edit security nat] 层级使用配置语句配置源 NAT 池和规则集。为此类源 NAT 定义源 NAT 池时,请使用 host-address-base 选项指定原始源 IP 地址范围的开始。
另见
示例:为组播流配置 NAT
此示例说明如何配置瞻博网络设备以对组播流进行地址转换。
要求
开始之前:
在设备上配置网络接口。请参阅 安全设备接口用户指南。
创建安全区域并为其分配接口。请参阅 了解安全区域。
-
配置设备的组播转发。请参阅 组播概述。
概述
此示例对专用地址空间使用信任安全区域,对公共地址空间使用不信任安全区域。 图 1 描述了用于组播转发的瞻博网络设备的典型部署。源路由器 R1 向瞻博网络设备发送源地址在 203.0.113.100 到 203.0.113.110 范围内的组播数据包,组地址在 233.252.0.1/32 范围内。源路由器 R1 位于瞻博网络设备上游的专用网络(信任区域)中。在设备下游的公共网络(不信任区域)中有多个接收器。
瞻博网络设备会转换来自 R1 的传入组播数据包,然后在下行接口上将其转发出去。应用以下翻译:
对于 R2 的接口,源地址未转换,组地址将转换为 233.252.0.2/32。
对于 R3 的接口,源地址将转换为 198.51.100.200 到 198.51.100.210 范围内的地址,组地址将转换为 233.252.0.2/32。
对于 R4 的接口,源地址将转换为 10.10.10.100 到 10.10.10.110 范围内的地址,组地址将转换为 233.252.0.2/32。
的 NAT 转换
此示例介绍以下配置:
包含 IP 地址 233.252.0.2/32 的目标 NAT 池
dst-nat-pool。目标 NAT 规则集
rs1,其中包含r1用于匹配到达接口 xe-2/0/1.0 的数据包与目标 IP 地址为 233.252.0.1/32 的规则。对于匹配的数据包,目标地址将转换为池中的dst-nat-poolIP 地址。包含 198.51.100.200/32 到 198.51.100.210/32 的 IP 地址范围的源 NAT 池
src-nat-shift-1。对于此池,原始源 IP 地址范围的开头为 203.0.113.100/32,并使用选项指定host-address-base。源 NAT 规则集
rs-shift1,其中包含r1用于将来自信任区域的数据包匹配到源 IP 地址为 203.0.113.96/28 子网中的接口 xe-1/0/1.0 的规则。对于属于配置指定的src-nat-shift-1源 IP 地址范围内的匹配数据包,源地址将转换为池中的src-nat-shift-1IP 地址。包含 IP 地址范围为 10.10.10.100/32 到 10.10.10.110/32 的源 NAT 池
src-nat-shift-2。对于此池,原始源 IP 地址范围的开头为 203.0.113.100/32,并使用选项指定host-address-base。源 NAT 规则集
rs-shift2,用于r1将来自信任区域的数据包匹配到源 IP 地址在 203.0.113.96/28 子网中的接口 xe-2/0/0.0。对于属于配置指定的src-nat-shift-2源 IP 地址范围内的匹配数据包,源地址将转换为池中的src-nat-shift-2IP 地址。代理 ARP,适用于接口 xe-1/0/0.0 上的地址 203.0.113.100 到 203.0.113.110、接口 xe-1/0/1.0 上的地址 198.51.100.200 到 198.51.100.210 以及接口 xe-2/0/0.0 上的地址 10.10.10.100 到 10.10.10.110。这允许瞻博网络安全设备响应接口上针对这些地址收到的 ARP 请求。
安全策略,允许从信任区域到不信任区域的流量。
安全策略,允许从不信任区域到信任区域中转换后的目标 IP 地址的流量。
拓扑学
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set security nat source pool src-nat-shift-1 address 198.51.100.200/32 to 198.51.100.210/32 set security nat source pool src-nat-shift-1 host-address-base 203.0.113.100/32 set security nat source pool src-nat-shift-2 address 10.10.10.100/32 to 10.10.10.110/32 set security nat source pool src-nat-shift-2 host-address-base 203.0.113.100/32 set security nat source rule-set rs-shift1 from zone trust set security nat source rule-set rs-shift1 to interface xe-1/0/1.0 set security nat source rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1 set security nat source rule-set rs-shift2 from zone trust set security nat source rule-set rs-shift2 to interface xe-2/0/0.0 set security nat source rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2 set security nat destination pool dst-nat-pool address 233.252.0.2/32 set security nat destination rule-set rs1 from interface xe-2/0/1.0 set security nat destination rule-set rs1 rule r1 match destination-address 233.252.0.1/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool set security nat proxy-arp interface xe-1/0/0.0 address 203.0.113.100/32 to 203.0.113.110/32 set security nat proxy-arp interface xe-1/0/1.0 address 198.51.100.200/32 to 198.51.100.210/32 set security nat proxy-arp interface xe-2/0/0.0 address 10.10.10.100/32 to 10.10.10.110/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match destination-address 233.252.0.1/21 set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access then permit
分步过程
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅 在配置模式下使用 CLI 编辑器。
要为组播流配置目标和源 NAT 转换,请执行以下作:
创建目标 NAT 池。
[edit security nat destination] user@host# set pool dst-nat-pool address 233.252.0.2/32
创建目标 NAT 规则集。
[edit security nat destination] user@host# set rule-set rs1 from interface xe-2/0/1.0
配置匹配数据包并将目标地址转换为目标 NAT 池中地址的规则。
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 233.252.0.1/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool
创建源 NAT 池。
[edit security nat source] user@host# set pool src-nat-shift-1 address 198.51.100.200 to 198.51.100.210
指定原始源 IP 地址范围的开头。
[edit security nat source] user@host# set pool src-nat-shift-1 host-address-base 203.0.113.100
创建源 NAT 规则集。
[edit security nat source] user@host# set rule-set rs-shift1 from zone trust user@host# set rule-set rs-shift1 to interface xe-1/0/1.0
配置一个规则,用于匹配数据包并将目标地址转换为源 NAT 池中的地址。
[edit security nat source] user@host# set rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1
创建源 NAT 池。
[edit security nat source] user@host# set pool src-nat-shift-2 address 10.10.10.100 to 10.10.10.110
指定原始源 IP 地址范围的开头。
[edit security nat source] user@host# set pool src-nat-shift-2 host-address-base 203.0.113.100/32
创建源 NAT 规则集。
[edit security nat source] user@host# set rule-set rs-shift2 from zone trust user@host# set rule-set rs-shift2 to interface xe-2/0/0.0
配置一个规则,用于匹配数据包并将目标地址转换为源 NAT 池中的地址。
[edit security nat source] user@host# set rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2
配置代理 ARP。
[edit security nat] user@host# set proxy-arp interface xe-1/0/0.0 address 203.0.113.100 to 203.0.113.110 user@host# set proxy-arp interface xe-1/0/1.0 address 198.51.100.200 to 198.51.100.210 user@host# set proxy-arp interface xe-2/0/0.0 address 10.10.10.100 to 10.10.10.110
配置允许从信任区域到不信任区域的流量的安全策略。
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
配置一个安全策略,允许从不信任区域到信任区域的流量。
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-access match source-address any destination-address 233.252.0.1/32 application any user@host# set policy dst-nat-pool-access then permit
结果
在配置模式下,输入 show security nat 和 show security policies 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security nat
source {
pool src-nat-shift-1 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
host-address-base 203.0.113.100/32;
}
pool src-nat-shift-2 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
host-address-base 203.0.113.100/32;
}
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
rule-set rs-shift1 {
from zone trust;
to interface xe-1/0/1.0;
rule r1 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift1;
}
}
}
}
}
rule-set rs-shift2 {
from zone trust;
to interface xe-2/0/0.0;
rule r2 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift2;
}
}
}
}
}
}
destination {
pool dst-nat-pool {
address 233.252.0.1/32;
}
rule-set rs1 {
from interface xe-2/0/1.0;
rule r1 {
match {
destination-address 233.252.0.1/32;
}
then {
destination-nat pool dst-nat-pool;
}
}
}
}
proxy-arp {
interface xe-1/0/0.0 {
address {
203.0.113.100/32 to 203.0.113.110/32;
}
}
interface xe-1/0/1.0 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
}
interface xe-2/0/0.0 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
要确认配置工作正常,请执行以下任务:
验证目标 NAT 池使用情况
目的
验证是否存在使用来自目标 NAT 池的 IP 地址的流量。
行动
在作模式下,输入 show security nat destination pool all 命令。查看转换命中字段,以检查使用池中的 IP 地址的流量。
验证目标 NAT 规则的使用情况
目的
验证是否存在与目标 NAT 规则匹配的流量。
行动
在作模式下,输入 show security nat destination rule all 命令。查看转化命中字段,以检查与规则匹配的流量。
验证源 NAT 池使用情况
目的
验证是否存在使用源 NAT 池中的 IP 地址的流量。
行动
在作模式下,输入 show security nat source pool all 命令。查看转换命中字段,以检查使用池中的 IP 地址的流量。
验证源 NAT 规则的使用情况
目的
验证是否存在与源 NAT 规则匹配的流量。
行动
在作模式下,输入 show security nat source rule all 命令。查看转化命中字段,以检查与规则匹配的流量。