静态 NAT
静态 NAT 将网络流量从静态外部 IP 地址映射到内部 IP 地址或网络。它创建实际地址到映射地址的静态转换。静态 NAT 通过具有未注册专用 IP 地址的专用 LAN 为网络设备提供互联网连接。
了解静态 NAT
静态 NAT 定义从一个 IP 子网到另一个 IP 子网的一对一映射。映射包括单向目标 IP 地址转换和反向源 IP 地址转换。在 NAT 设备中,原始目的地址是虚拟主机 IP 地址,而映射到地址是实际主机 IP 地址。
静态 NAT 允许从网络的任一端发起连接,但转换仅限于一对一或相同大小的地址块之间。对于每个专用地址,必须分配一个公共地址。不需要地址池。
静态 NAT 还支持以下类型的转换:
将多个 IP 地址和指定的端口范围映射到同一 IP 地址和不同范围的端口
将特定 IP 地址和端口映射到其他 IP 地址和端口
通过在目标端口(范围)和映射端口(范围)之间提供静态映射,还可以支持端口地址转换 (PAT)。
原始目的地址以及源和目的 NAT 池中的其他地址不得在同一路由实例中重叠。
在 NAT 规则查找中,静态 NAT 规则优先于目标 NAT 规则,静态 NAT 规则的反向映射优先于源 NAT 规则。
了解静态 NAT 规则
静态网络地址转换 (NAT) 规则指定两层匹配条件:
流量方向 — 允许您 从接口、 从区域或 从路由实例指定。
数据包信息 — 可以是源地址和端口,也可以是目标地址和端口。
对于除 FTP 以外的所有 ALG 流量,建议不要使用静态 NAT 规则选项 source-address 或 source-port。如果使用这些选项,数据会话创建可能会失败,因为 IP 地址和源端口值(随机值)可能与静态 NAT 规则不匹配。对于 FTP ALG 流量, source-address 可以使用该选项,因为可以提供 IP 地址以匹配静态 NAT 规则的源地址。
当源地址和目标地址都配置为规则的匹配条件时,流量将同时与源地址和目标地址进行匹配。由于静态 NAT 是双向的,相反方向的流量会反向匹配规则,并且流量的目标地址会与配置的源地址匹配。
如果匹配条件中有多个静态NAT规则重叠,则选择最具体的规则。例如,如果规则 A 和 B 指定相同的源和目标 IP 地址,但规则 A 指定来自区域 1 的流量,而规则 B 指定来自接口 ge-0/0/0 的流量,则规则 B 用于执行静态 NAT。接口匹配被认为比区域匹配更具体,而区域匹配比路由实例匹配更具体。
由于静态 NAT 规则不支持重叠的地址和端口,因此不应使用它们将一个外部 IP 地址映射到 ALG 流量的多个内部 IP 地址。例如,如果不同的站点想要访问两个不同的 FTP 服务器,则内部 FTP 服务器应映射到两个不同的外部 IP 地址。
对于静态 NAT 规则作,请指定转换地址和(可选)路由实例。
在 NAT 查找中,静态 NAT 规则优先于目标 NAT 规则,静态 NAT 规则的反向映射优先于源 NAT 规则。
静态 NAT 配置概述
静态 NAT 的主要配置任务如下:
- 配置符合您的网络和安全要求的静态 NAT 规则。
- 为入口接口同一子网中的 IP 地址配置 NAT 代理 ARP 条目。
示例:为单个地址转换配置静态 NAT
此示例介绍如何配置单个私有地址到公共地址的静态 NAT 映射。
要求
开始之前:
在设备上配置网络接口。请参阅 安全设备接口用户指南。
创建安全区域并为其分配接口。请参阅 了解安全区域。
概述
此示例对专用地址空间使用信任安全区域,对公共地址空间使用不信任安全区域。
在 图 1 中,不信任区域中的设备通过公共地址 203.0.113.200/32 访问信任区域中的服务器。对于从目标 IP 地址为 203.0.113.200/32 的不信任区域进入瞻博网络安全设备的数据包,目标 IP 地址将转换为专用地址 192.168.1.200/32。对于源自服务器的新会话,传出数据包中的源 IP 地址将转换为公共地址 203.0.113.200/32。
此示例介绍以下配置:
静态 NAT 规则集
rs1,用于r1匹配来自目标地址为 203.0.113.200/32 的不信任区域的数据包。对于匹配数据包,目标 IP 地址将转换为专用地址 192.168.1.200/32。接口 ge-0/0/0.0 上地址 203.0.113.200 的代理 ARP。这允许瞻博网络安全设备响应在该地址的接口上收到的 ARP 请求。
允许进出 192.168.1.200 服务器的流量的安全策略。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set security nat static rule-set rs1 from zone untrust set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-1 set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
分步过程
下面的示例要求您在配置层次结构的各个层级中导航。有关作说明,请参阅 在配置模式下使用 CLI 编辑器。
要配置从专用地址到公共地址的静态 NAT 映射,请执行以下作:
创建静态 NAT 规则集。
[edit security nat static] user@host# set rule-set rs1 from zone untrust
配置一个规则,用于匹配数据包并将数据包中的目标地址转换为专用地址。
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32
配置代理 ARP。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200
在全局通讯簿中配置地址。
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
配置一个安全策略,允许从不信任区域到信任区域中的服务器的流量。
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-1 application any user@host# set policy server-access then permit
配置一个安全策略,允许从信任区域中的服务器到不信任区域的所有流量。
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-1 destination-address any application any user@host# set policy permit-all then permit
结果
在配置模式下,输入 show security nat 和 show security policies 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security nat
static {
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
static-nat prefix 192.168.1.200/32;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address server-1;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
要确认配置工作正常,请执行以下任务:
验证静态 NAT 配置
目的
验证是否存在与静态 NAT 规则集匹配的流量。
行动
在作模式下,输入 show security nat static rule 命令。查看转化命中字段,以检查与规则匹配的流量。
示例:配置静态 NAT 以进行子网转换
此示例介绍如何配置私有子网地址到公有子网地址的静态 NAT 映射。
静态 NAT 映射的地址块的大小必须相同。
要求
开始之前:
在设备上配置网络接口。请参阅 安全设备接口用户指南。
创建安全区域并为其分配接口。请参阅 了解安全区域。
概述
此示例对专用地址空间使用信任安全区域,对公共地址空间使用不信任安全区域。在 图 2 中,不信任区域中的设备通过公共子网地址 203.0.113.0/24 访问信任区域中的设备。对于目标 IP 地址在 203.0.113.0/24 子网中从不信任区域进入瞻博网络安全设备的数据包,目标 IP 地址将转换为 192.168.1.0/24 子网上的专用地址。对于源自 192.168.1.0/24 子网的新会话,传出数据包中的源 IP 地址将转换为公共 203.0.113.0/24 子网上的地址。
此示例介绍以下配置:
静态 NAT 规则集
rs1,其中的规则r1用于将接口 ge-0/0/0.0 上接收的数据包与 203.0.113.0/24 子网中的目标 IP 地址进行匹配。对于匹配数据包,目标地址将转换为 192.168.1.0/24 子网上的地址。接口 ge-0/0/0.0 上地址范围 203.0.113.1/32 到 203.0.113.249/32 的代理 ARP。这允许瞻博网络安全设备响应接口上针对这些地址收到的 ARP 请求。地址 203.0.113.250/32 已分配给接口本身,因此此地址不包含在代理 ARP 配置中。
允许进出 192.168.1.0/24 子网的流量的安全策略。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set security nat static rule-set rs1 from interface ge-0/0/0.0 set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32 set security address-book global address server-group 192.168.1.0/24 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-group set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-group set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
分步过程
下面的示例要求您在配置层次结构的各个层级中导航。有关作说明,请参阅 在配置模式下使用 CLI 编辑器。
要配置从专用子网地址到公有子网地址的静态 NAT 映射,请执行以下作:
创建静态 NAT 规则集。
[edit security nat static] user@host# set rule-set rs1 from interface ge-0/0/0.0
配置一个规则,用于匹配数据包并将数据包中的目标地址转换为私有子网中的地址。
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24
配置代理 ARP。
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32
在全局通讯簿中配置地址。
[edit security address-book global] user@host# set address server-group 192.168.1.0/24
配置一个安全策略,允许从不信任区域到信任区域中的子网的流量。
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-group application any user@host# set policy server-access then permit
配置一个安全策略,允许从信任区域中的子网到不信任区域的所有流量。
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-group destination-address any application any user@host# set policy permit-all then permit
结果
在配置模式下,输入 show security nat 和 show security policies 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security nat
static {
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
static-nat prefix 192.168.1.0/24;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.249/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address server-group;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-group;
application any;
}
then {
permit;
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
要确认配置工作正常,请执行以下任务:
验证静态 NAT 配置
目的
验证是否存在与静态 NAT 规则集匹配的流量。
行动
在作模式下,输入 show security nat static rule 命令。查看转化命中字段,以检查与规则匹配的流量。
示例:配置静态 NAT64 以进行子网转换
使用此配置示例配置静态 NAT64,以实现 IPv6 和 IPv4 地址空间之间的无缝转换。您可以在从 IPv4 过渡到 IPv6 的环境中使用静态 NAT64,以确保可靠的跨 IP 版本通信。
| 可读性分数 |
|
| 阅读时间 |
少于 15 分钟。 |
| 配置时间 |
不到一个小时。 |
先决条件示例
使用此配置示例可在设备上配置并验证 Static NAT64。静态 NAT64 使用众所周知的 NAT64 前缀 (64:ff9b::/96) 将 IPv6 地址转换为 IPv4,从而在仅支持 IPv6 的客户端和 IPv4 服务器之间实现无缝通信。此功能在从 IPv4 过渡到 IPv6 的环境中特别有用,因为它消除了对双堆栈配置的需求,同时确保了可靠的跨 IP 版本通信。
| 硬件要求 |
vSRX 虚拟防火墙 |
| 软件要求 |
Junos OS 24.1R1 或更高版本 |
| 许可要求 |
激活安全许可证以启用网络地址转换 (NAT) 和安全功能。 |
准备工作
| 好处 |
|
| 有用的资源: |
|
| 了解更多 |
|
| 实践经验 |
|
| 了解更多信息 |
|
功能概述
| 配置 文件 |
|
| 翻译配置文件 | NAT64 配置包括一个转换配置文件,用于定义 IPv6 和 IPv4 之间的映射。 |
| 前缀配置文件 | 指定 IPv6 到 IPv4 地址转换的 NAT64 众所周知的前缀 (64:ff9b::/96)。 |
| 地址映射 |
将特定的 IPv6 地址或子网映射到相应的 IPv4 地址,以便于转换。 |
| 政策 |
|
| 入站策略 |
允许仅支持 IPv6 的客户端通过匹配 NAT64 转换规则来启动流向 IPv4 服务器的流量。 |
| 出站策略 |
允许根据 NAT64 规则将来自 IPv4 服务器的流量返回到 IPv6 客户端。 |
| 安全区域 |
|
|
|
仅 IPv6 客户端正在启动连接的网段。 |
|
|
IPv4 服务器驻留的网段,响应客户端请求。 |
| NAT64 区 |
NAT64 处理的专用区域,确保高效的转换和流量管理。 |
拓扑概览
在此静态 NAT64 拓扑中,仅支持 IPv6 的客户端通过 SRX 系列防火墙与 IPv4 服务器通信。防火墙使用静态 NAT64 映射将 IPv6 地址转换为 IPv4,而 DNS64 服务器则合成 IPv6 DNS 响应以实现无缝地址解析。此设置可确保纯 IPv6 客户端和 IPv4 服务器之间的平稳通信,无需双堆栈配置。
| 拓扑组件 |
角色 |
功能 |
|---|---|---|
| 客户 |
仅支持 IPv6 的设备 |
从仅 IPv6 环境发起请求,以便与 IPv4 服务器通信。 |
| SRX 系列防火墙 |
NAT64 网关 |
使用配置的静态 NAT64 映射将 IPv6 地址转换为 IPv4 地址,从而确保跨 IP 版本的无缝通信。 |
| DNS64 服务器 |
DNS 转换器 |
转换客户端的 IPv4 DNS 响应,从而实现地址解析。 |
| IPv4 服务器 |
目标服务器 |
使用其 IPv4 地址响应客户端请求,允许通过 NAT64 与仅支持 IPv6 的客户端进行交互。 |
拓扑图示
在被测设备 (DUT) 上配置静态 NAT64
有关 DUT 的完整示例配置,请参阅:
验证
验证静态 NAT64 配置
目的
验证是否存在与静态 NAT64 规则集匹配的流量。
行动
在作模式下,输入 show security nat static rule 命令。查看转化命中字段,以检查与规则匹配的流量。
意义
附录 1:在所有设备上设置命令
下面的示例需要在各个级别的 Junos OS 配置层次结构中导航。有关导航 CLI 的详细指导,请参阅 在配置模式下使用 CLI 编辑器。
set security nat source pool p1 address 10.6.32.0/24 set security nat source rule-set src_rs1 from zone trust set security nat source rule-set src_rs1 to zone untrust set security nat source rule-set src_rs1 rule source_rule match source-address 2001:db8::/96 set security nat source rule-set src_rs1 rule source_rule match destination-address 0.0.0.0/0 set security nat source rule-set src_rs1 rule source_rule then source-nat pool p1 set security nat static rule-set static_rs1 from zone trust set security nat static rule-set static_rs1 rule static_rule match destination-address 64:ff9b::/96 set security nat static rule-set static_rs1 rule static_rule then static-nat inet set security nat proxy-arp interface ge-0/0/2.0 address 10.6.32.1/32 to 10.6.32.249/32 set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/1 unit 0 family inet address 20.20.20.1/24 set interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8::1/96
附录 2:显示 DUT 上的配置输出
在 DUT 上显示命令输出。
在作模式下,使用以下命令验证您的配置。如果输出
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 20.20.20.1/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet6 {
address 2001:db8::1/96;
}
}
}
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
user@host# show security nat
source {
pool p1 {
address {
10.6.32.0/24;
}
}
rule-set src_rs1 {
from zone trust;
to zone untrust;
rule source_rule {
match {
source-address 2001:db8::/96;
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
p1;
}
}
}
}
}
}
static {
rule-set static_rs1 {
from zone trust;
rule static_rule {
match {
destination-address 64:ff9b::/96;
}
then {
static-nat {
inet;
}
}
}
}
}
proxy-arp {
interface ge-0/0/2.0 {
address {
10.6.32.1/32 to 10.6.32.249/32;
}
}
}
示例:配置静态 NAT 进行端口映射
此示例介绍如何配置公共地址到指定端口范围内的专用地址的静态 NAT 映射。
本主题包含以下部分:
要求
开始之前:
在设备上配置网络接口。请参阅 安全设备接口用户指南。
创建安全区域并为其分配接口。请参阅 了解安全区域。
概述
此示例对专用地址空间使用信任安全区域,对公共地址空间使用不信任安全区域。
在 图 4 中,不信任区域中的设备通过公共地址 203.0.113.1/32、203.0.113.1/32 和 203.0.113.3/32 访问信任区域中的服务器。对于目标 IP 地址为 203.0.113.1/32、203.0.113.1/32 和 203.0.113.3/32 的不信任区域进入瞻博网络安全设备的数据包,目标 IP 地址将转换为专用地址 10.1.1.1/32、10.1.1.2/32 和 10.1.1.2/32。
的静态 NAT
-
要配置目标端口,您必须在目标地址字段中使用 IP 地址,而不是 IP 地址前缀。
-
您必须配置目标端口才能配置映射端口,反之亦然。
-
在配置目标端口和映射端口时,对端口使用相同的编号范围。
-
如果未配置目标端口和映射端口,则 IP 映射将为一对一映射。
-
不允许任何地址重叠或任何地址和端口重叠。
此示例介绍以下配置:
静态 NAT 规则集 rs1 与规则 r1,用于匹配来自目标地址为 203.0.113.1/32 且目标端口为 100 到 200 的不信任区域的数据包。对于匹配数据包,目标 IP 地址将转换为专用地址 10.1.1.1/32,并映射到端口 300 到 400。
静态 NAT 规则集 rs1 与规则 r2,用于匹配来自目标地址为 203.0.113.1/32 且目标端口为 300 到 400 的不信任区域的数据包。对于匹配数据包,目标 IP 地址将转换为专用地址 10.1.1.2/32,并映射到端口 300 到 400。
静态 NAT 规则集 rs1 和规则 r3,用于匹配来自目标地址为 203.0.113.3/32 和目标端口为 300 的不信任区域的数据包。对于匹配数据包,目标 IP 地址将转换为专用地址 10.1.1.2/32 并映射到端口 200。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后从配置模式进入 commit 。
set security nat static rule-set rs from zone untrustset security nat static rule-set rs rule r1 match destination-address 203.0.113.1/32set security nat static rule-set rs rule r1 match destination-port 100 to 200set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1/32set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r2 match destination-address 203.0.113.1/32set security nat static rule-set rs rule r2 match destination-port 300 to 400set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2/32set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r3 match destination-address 203.0.113.3/32set security nat static rule-set rs rule r3 match destination-port 300set security nat static rule-set rs rule r3 then static-nat prefix 10.1.1.2/32set security nat static rule-set rs rule r3 then static-nat prefix mapped-port 200
程序
分步过程
下面的示例要求您在配置层次结构的各个层级中导航。有关作说明,请参阅在配置模式下使用 CLI 编辑器。
要配置从专用子网地址到公有子网地址的静态 NAT 映射,请执行以下作:
创建静态 NAT 规则集。
[edit security nat static]user@host# set rule-set rs from zone untrust配置一个规则,用于匹配数据包并将数据包中的目标地址转换为专用地址。
[edit security nat static]user@host# set rule-set rs rule r1 match destination-address 203.0.113.1/32user@host# set rule-set rs rule r1 match destination-port 100 to 200user@host# set rule-set rs rule r1 then static-nat prefix 10.1.1.1/32user@host# set rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400配置一个规则,用于匹配数据包并将数据包中的目标地址转换为专用地址。
[edit security nat static]user@host# set rule-set rs rule r2 match destination-address 203.0.113.1/32user@host# set rule-set rs rule r2 match destination-port 300 to 400user@host# set rule-set rs rule r2 then static-nat prefix 10.1.1.2/32user@host# set rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400配置一个规则,用于匹配数据包并将数据包中的目标地址转换为专用地址。
[edit security nat static]user@host# set rule-set rs rule r3 match destination-address 203.0.113.3/32user@host# set rule-set rs rule r3 match destination-port 300user@host# set rule-set rs rule r3 then static-nat prefix 10.1.1.2/32user@host# set rule-set rs rule r3 then static-nat prefix mapped-port 200
结果
在配置模式下,输入 show security nat 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show security nat
security {
nat {
static {
rule-set rs {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.1/32;
destination-port 100 to 200;
}
then {
static-nat {
prefix {
10.1.1.1/32;
mapped-port 300 to 400;
}
}
}
}
rule r2 {
match {
destination-address 203.0.113.1/32;
destination-port 300 to 400;
}
then {
static-nat {
prefix {
10.1.1.2/32;
mapped-port 300 to 400;
}
}
}
}
rule r3 {
match {
destination-address 203.0.113.3/32;
destination-port 300;
}
then {
static-nat {
prefix {
10.1.1.2/32;
mapped-port 200;
}
}
}
}
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
验证静态 NAT 配置
目的
验证是否存在与静态 NAT 规则集匹配的流量。
行动
在作模式下,输入 show security nat static rule 命令。查看转化命中字段,以检查与规则匹配的流量。
user@host> show security nat static rule all
Total static-nat rules: 3
Static NAT rule: r2 Rule-set: rs
Rule-Id : 3
Rule position : 2
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 300 - 400
Host addresses : 10.1.1.2
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r3 Rule-set: rs
Rule-Id : 4
Rule position : 3
From zone : untrust
Destination addresses : 203.0.113.3
Destination ports : 300 - 300
Host addresses : 10.1.1.2
Host ports : 200 - 200
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r1 Rule-set: rs
Rule-Id : 9
Rule position : 1
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 100 - 200
Host addresses : 10.1.1.1
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
故障 排除
静态 NAT 端口配置故障排除
问题
静态 NAT 端口映射配置失败发生在提交期间。
IP 地址和端口重叠的无效配置会导致提交失败。
以下示例显示了地址和端口重叠的无效配置:
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1set security nat static rule-set rs rule r2 match destination-address 203.0.113.1set security nat static rule-set rs rule r2 match destination-port 300 to 400set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r1 match destination-address 203.0.113.1set security nat static rule-set rs rule r1 match destination-port 100 to 200set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r2 match destination-address 203.0.113.2set security nat static rule-set rs rule r2 match destination-port 300 to 400set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.1set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 390 to 490
提交上述配置进行提交时,显示以下错误消息:
error: 'prefix/mapped-port' of static nat rule r2 overlaps with 'prefix/mapped-port' of static nat rule r1 error: configuration check-out failed
溶液
要配置目标端口,必须避免任何地址重叠或任何地址和端口重叠。有关有效配置的示例,请参阅 配置
监控静态 NAT 信息
目的
查看静态 NAT 规则信息。
行动
在 J-Web 用户界面中选择 Monitor>NAT>Static NAT ,或输入以下 CLI 命令:
show security nat static rule
表 3 汇总了静态 NAT 显示中的关键输出字段。
田 |
值 |
行动 |
|---|---|---|
规则集名称 |
规则集的名称。 |
从列表中选择要显示的所有规则集或特定规则集。 |
规则总数 |
配置的规则数。 |
– |
编号 |
规则 ID 号。 |
– |
位置 |
指示规则应用于流量的顺序的规则的位置。 |
– |
名字 |
规则的名称。 |
– |
规则集名称 |
规则集的名称。 |
– |
从 |
数据包来自的路由实例/接口/区域的名称 |
– |
源地址 |
源 IP 地址。 |
– |
源端口 |
源端口号。 |
– |
目标地址 |
目标 IP 地址和子网掩码。 |
– |
目标端口 |
目标端口号。 |
– |
主机地址 |
主机地址的名称。 |
– |
主机端口 |
主机端口号。 |
|
网络掩码 |
子网 IP 地址。 |
– |
主机路由实例 |
数据包来自的路由实例的名称。 |
– |
报警阈值 |
利用率警报阈值。 |
– |
会话(成功/失败/当前) |
成功、失败和当前会话。
|
– |
翻译命中率 |
转换表中的转换用于静态 NAT 规则的次数。 |
– |
排名前 10 位的翻译命中图表 |
显示排名前 10 位的翻译命中次数的图表。 |
– |