Network Address Port Translation
Konfigurieren von Adresspools für Network Address Port Translation (NAPT) – Übersicht
Mit Network Address Port Translation (NAPT) können Sie bis zu 32 Adressbereiche mit jeweils bis zu 65.536 Adressen konfigurieren.
Die port Anweisung gibt die Portzuweisung für die übersetzten Adressen an. Um die automatische Zuweisung von Ports zu konfigurieren, fügen Sie die port automatic Anweisung auf der [edit services nat pool nat-pool-name] Hierarchieebene ein. Standardmäßig erfolgt die sequenzielle Zuweisung von Ports.
Ab Junos OS Version 14.2 können Sie die sequential Option in die Anweisung auf Hierarchieebene [edit services nat pool nat-pool-name] für die port automatic sequenzielle Zuweisung von Ports aus dem angegebenen Bereich aufnehmen. Um einen bestimmten Portnummernbereich zu konfigurieren, schließen Sie die port range low minimum-value high maximum-value Anweisung auf der [edit services nat pool nat-pool-name] Hierarchieebene ein.
Wenn 99 % der gesamten verfügbaren Ports im Pool für napt-44 , sind in diesem NAT-Pool keine neuen Datenströme zulässig.
Ab Junos OS Version 14.2 ist die auto Option ausgeblendet und veraltet und wird nur aus Gründen der Abwärtskompatibilität beibehalten. Er kann in einer zukünftigen Softwareversion vollständig entfernt werden.
Das Junos OS bietet mehrere Alternativen für die Zuweisung von Ports:
- Round-Robin-Zuweisung für NAPT
- Sequenzielle Zuordnung für NAPT
- Parität und Reichweite für NAPT beibehalten
- Adresspooling und endpunktunabhängige Zuordnung für NAPT
- Gesicherte Portblockzuweisung für NAPT
- Vergleich der NAPT-Implementierungsmethoden
Round-Robin-Zuweisung für NAPT
Um die Roundrobin-Zuweisung für NAT-Pools zu konfigurieren, schließen Sie die Round-Robin-Konfigurationsanweisung für die Adresszuweisung auf Hierarchieebene [edit services nat pool pool-name] ein. Bei der Verwendung der Round-Robin-Zuordnung wird jeder Adresse in einem Bereich ein Port zugewiesen, bevor der Vorgang für jede Adresse im nächsten Bereich wiederholt wird. Nachdem Ports für alle Adressen im letzten Bereich zugewiesen wurden, wird der Zuweisungsprozess abgeschlossen und der nächste ungenutzte Port für Adressen im ersten Bereich zugewiesen.
Die erste Verbindung wird der Adresse:Port 100.0.0.1:3333 zugewiesen.
Die zweite Verbindung ist der Adresse:Port 100.0.0.2:3333 zugeordnet.
Die dritte Verbindung wird der Adresse:Port 100.0.0.3:3333 zugewiesen.
Die vierte Verbindung wird der Adresse:Port 100.0.0.4:3333 zugewiesen.
Die fünfte Verbindung wird der Adresse:Port 100.0.0.5:3333 zugeordnet.
Die sechste Verbindung ist der Adresse:Port 100.0.0.6:3333 zugeordnet.
Die siebte Verbindung wird der Adresse:Port 100.0.0.7:3333 zugeordnet.
Die achte Verbindung wird der Adresse:Port 100.0.0.8:3333 zugeordnet.
Die neunte Verbindung wird der Adresse:Port 100.0.0.9:3333 zugewiesen.
Die zehnte Verbindung wird der Adresse:Port 100.0.0.10:3333 zugeordnet.
Die elfte Verbindung wird der Adresse:Port 100.0.0.11:3333 zugeordnet.
Die zwölfte Verbindung wird der Adresse:Port 100.0.0.12:3333 zugewiesen.
Der Wraparound findet statt und die dreizehnte Verbindung wird der Adresse:Port 100.0.0.1:3334 zugewiesen.
Sequenzielle Zuordnung für NAPT
Bei der sequenziellen Zuordnung wird die nächste verfügbare Adresse im NAT-Pool erst dann ausgewählt, wenn alle von einer Adresse verfügbaren Ports erschöpft sind.
Die sequenzielle Zuordnung kann nur für MS-DPC und MS-100, MS-400 und MS-500 MultiServices PICS konfiguriert werden. Die MS-MPC- und MS-MIC-Karten verwenden ausschließlich den Round-Robin-Zuweisungsansatz.
Diese Legacyimplementierung bietet Abwärtskompatibilität und wird nicht mehr empfohlen.
Der NAT-Pool, der im folgenden Konfigurationsbeispiel als napt bezeichnet wird, verwendet die sequenzielle Implementierung:
pool napt {
address-range low 100.0.0.1 high 100.0.0.3;
address-range low 100.0.0.4 high 100.0.0.6;
address-range low 100.0.0.8 high 100.0.0.10;
address-range low 100.0.0.12 high 100.0.0.13;
port {
range low 3333 high 3334;
}
}
In diesem Beispiel werden die Ports ausgehend von der ersten Adresse im ersten Adressbereich zugewiesen, und die Zuweisung wird von dieser Adresse aus fortgesetzt, bis alle verfügbaren Ports verwendet wurden. Wenn alle verfügbaren Ports belegt sind, wird die nächste Adresse (im gleichen Adressbereich oder im folgenden Adressbereich) zugewiesen und alle zugehörigen Ports werden nach Bedarf ausgewählt. Im Fall des Beispiel-napt-Pools wird die Tupeladresse, Port 100.0.0.4:3333, nur zugewiesen, wenn alle Ports für alle Adressen im ersten Bereich verwendet wurden.
Die erste Verbindung wird der Adresse:Port 100.0.0.1:3333 zugewiesen.
Die zweite Verbindung ist der Adresse:Port 100.0.0.1:3334 zugeordnet.
Die dritte Verbindung wird der Adresse:Port 100.0.0.2:3333 zugeordnet.
Die vierte Verbindung wird der Adresse zugewiesen:Port 100.0.0.2:3334 usw.
Parität und Reichweite für NAPT beibehalten
Die Optionen zum Beibehalten der Parität und zum Beibehalten des Bereichs sind für NAPT verfügbar und werden auf MS-DPCs und MS-100-, MS-400- und MS-500-MultiServices-PICs unterstützt. Die Unterstützung für MS-MPCs und MS-MICs beginnt in Junos OS Version 15.1R1. Die folgenden Optionen sind für NAPT verfügbar:
Beibehaltung der Parität: Verwenden Sie den Befehl, um gerade Ports für Pakete mit geraden Quellports und ungerade
preserve-parityPorts für Pakete mit ungeraden Quellports zuzuweisen.Bereich beibehalten: Verwenden Sie den
preserve-rangeBefehl, um Ports innerhalb eines Bereichs von 0 bis 1023 zuzuweisen, vorausgesetzt, das ursprüngliche Paket enthält einen Quellport im reservierten Bereich. Dies gilt für Kontrollsitzungen, nicht für Datensitzungen.
Adresspooling und endpunktunabhängige Zuordnung für NAPT
Adress-Pooling
Adresspooling oder gekoppeltes Adresspooling (APP) stellt sicher, dass für alle Sitzungen, die vom selben internen Host ausgehen, dieselbe externe IP-Adresse zugewiesen wird. Sie können diese Funktion verwenden, wenn Sie externe IP-Adressen aus einem Pool zuweisen. Diese Option wirkt sich nicht auf die Portauslastung aus
Adresspooling löst die Probleme, die entstehen, wenn eine Anwendung mehrere Verbindungen öffnet. Wenn z. B. ein SIP-Client (Session Initiation Protocol) RTP- (Real-Time Transport Protocol) und RTCP-Pakete (Real-Time Control Protocol) sendet, verlangt der SIP-Server im Allgemeinen, dass diese von derselben IP-Adresse stammen, auch wenn sie NAT unterworfen wurden. Wenn RTP- und RTCP-IP-Adressen unterschiedlich sind, kann es vorkommen, dass der empfangende Endpunkt Pakete verwirft. Jedes Punkt-zu-Punkt-Protokoll (P2P), das Ports aushandelt (unter der Annahme von Adressstabilität), profitiert von gepaarten Adresspools.
Im Folgenden finden Sie Anwendungsfälle für Adresspooling:
Eine Website, die Instant Messaging-Dienste anbietet, erfordert, dass der Chat und die Steuerungssitzungen von derselben öffentlichen Quelladresse stammen. Wenn sich der Benutzer beim Chat anmeldet, wird der Benutzer durch eine Kontrollsitzung authentifiziert. Eine andere Sitzung beginnt, wenn der Benutzer eine Chatsitzung startet. Wenn die Chatsitzung von einer Quelladresse ausgeht, die sich von der Authentifizierungssitzung unterscheidet, lehnt der Instant Messaging-Server die Chatsitzung ab, da sie von einer nicht autorisierten Adresse stammt.
Bestimmte Websites, wie z. B. Online-Banking-Websites, erfordern, dass alle Verbindungen von einem bestimmten Host von derselben IP-Adresse stammen.
Ab Junos OS Version 14.1 werden Meldungen in der PIC-Konsole angezeigt, und die Zuordnungen für diesen Servicesatz werden gelöscht, wenn Sie einen Servicesatz deaktivieren, der ein gekoppeltes Adresspooling (APP) für diesen Servicesatz enthält. Diese Meldungen werden ausgelöst, wenn das Löschen eines Service-Sets beginnt, und erneut generiert, wenn das Löschen des Service-Sets abgeschlossen ist. Die folgenden Beispielmeldungen werden angezeigt, wenn der Löschvorgang beginnt und endet:
15. Nov 08:33:13.974 LOG: Kritisch] SVC-SET ss1 (iid 5) deaktivieren/löschen: NAT-Zuordnungen und Datenströme gelöscht
15. Nov 08:33:14.674 LOG: Kritisch] SVC-SET ss1 (iid 5) deaktivieren/löschen: NAT-Zuordnungen und Datenströme gelöscht
In einer skalierten Umgebung, die eine große Anzahl von APPs in einem Dienstsatz enthält, wird eine große Menge an Nachrichten generiert, und dieser Prozess nimmt einige Zeit in Anspruch. Es wird empfohlen, zu warten, bis die Konsolenmeldungen abgeschlossen sind, die den Abschluss des Löschens des Servicesatzes anzeigen, bevor Sie den Servicesatz erneut aktivieren.
Endpunktunabhängige Zuordnung und endpunktunabhängige Filterung
Endpoint Independent Mapping (EIM) stellt sicher, dass allen Verbindungen von einem bestimmten Host dieselbe externe Adresse und derselbe Port zugewiesen wird, wenn sie denselben internen Port verwenden. Das heißt, wenn sie von einem anderen Quellport kommen, steht es Ihnen frei, eine andere externe Adresse zuzuweisen.
EIM und APP unterscheiden sich wie folgt:
APP stellt sicher, dass die gleiche externe IP-Adresse zugewiesen wird.
EIM stellt eine stabile externe IP-Adresse und einen Port (für einen bestimmten Zeitraum) bereit, mit dem externe Hosts eine Verbindung herstellen können. Die endpunktunabhängige Filterung (EIF) steuert, welche externen Hosts eine Verbindung zu einem internen Host herstellen können.
Ab Junos OS Version 14.1 werden Meldungen in der PIC-Konsole angezeigt, und die Zuordnungen für dieses Service-Set werden gelöscht, wenn Sie ein Service-Set deaktivieren, das eine EIM-Zuordnung (Endpoint Independent Mapping) für dieses Service-Set enthält. Diese Meldungen werden ausgelöst, wenn das Löschen eines Service-Sets beginnt, und erneut generiert, wenn das Löschen des Service-Sets abgeschlossen ist. Die folgenden Beispielmeldungen werden angezeigt, wenn der Löschvorgang beginnt und endet:
15. Nov 08:33:13.974 LOG: Kritisch] SVC-SET ss1 (iid 5) deaktivieren/löschen: NAT-Zuordnungen und Datenströme gelöscht
15. Nov 08:33:14.674 LOG: Kritisch] SVC-SET ss1 (iid 5) deaktivieren/löschen: NAT-Zuordnungen und Datenströme gelöscht
In einer skalierten Umgebung, die eine große Anzahl von EIM-Zuordnungen in einem Servicesatz enthält, wird eine große Anzahl von Nachrichten generiert, und dieser Vorgang nimmt einige Zeit in Anspruch. Es wird empfohlen, zu warten, bis die Konsolenmeldungen abgeschlossen sind, die den Abschluss des Löschens des Servicesatzes anzeigen, bevor Sie den Servicesatz erneut aktivieren.
Gesicherte Portblockzuweisung für NAPT
Die Portblockzuweisung wird auf Routern der MX-Serie mit MS-DPCs und auf Routern der M Serie mit MS-100, MS-400 und MS-500 MultiServices PICS unterstützt. Die Portblockierungszuweisung wird auf Routern der MX-Serie mit MS-MPCs und MS-MICs ab Junos OS Version 14.2R2 unterstützt.
Netzbetreiber verfolgen Abonnenten anhand des Protokolls der IP-Adresse (RADIUS oder DHCP). Wenn sie NAPT verwenden, wird eine IP-Adresse von mehreren Abonnenten gemeinsam genutzt, und der Netzbetreiber muss die IP-Adresse und den Port verfolgen, die Teil des NAT-Protokolls sind. Da Ports sehr häufig verwendet und wiederverwendet werden, wird die Nachverfolgung von Abonnenten mithilfe des Protokolls aufgrund der großen Anzahl von Nachrichten, die schwer zu archivieren und zu korrelieren sind, schwierig. Durch die Aktivierung der Zuweisung von Ports in Blöcken kann die Anzahl der Protokolle erheblich reduziert werden, wodurch die Nachverfolgung von Anwendern erleichtert wird.
Gesicherte Portblockzuweisung für NAPT
Die gesicherte Portblockzuweisung kann für Übersetzungstypen napt-44 und stateful-nat64verwendet werden.
Bei der Zuweisung von Portblöcken ist der zuletzt zugewiesene Block der aktuell aktive Block. Neue Anforderungen für NAT-Ports werden vom aktiven Block bedient. Ports werden nach dem Zufallsprinzip aus dem aktuell aktiven Block zugewiesen.
Wenn Sie die Zuweisung von gesicherten Portblöcken konfigurieren, können Sie Folgendes angeben:
block-sizemax-blocks-per-addressactive-block-timeout
Zwischenprotokollierung für die Portblockzuweisung
Bei der Portblockzuweisung generieren wir ein Syslog-Protokoll pro Gruppe von Ports, die einem Abonnenten zugewiesen sind. Diese Protokolle sind UDP-basiert und können im Netzwerk verloren gehen, insbesondere bei lang andauernden Datenströmen. Die Zwischenprotokollierung löst das erneute Senden der oben genannten Protokolle in einem konfigurierten Intervall für aktive Blöcke aus, die Datenverkehr auf mindestens einem der Ports des Blocks haben.
Die Zwischenprotokollierung wird aktiviert, indem die pba-interim-logging-interval Anweisung under services-options für sp-Schnittstellen eingefügt wird.
Siehe auch
Vergleich der NAPT-Implementierungsmethoden
Tabelle 1 enthält einen Funktionsvergleich der verfügbaren NAPT-Implementierungsmethoden.
Merkmal/Funktion |
Dynamische Portzuweisung |
Gesicherte Portblockzuweisung |
Deterministische Portblockierung |
|---|---|---|---|
Benutzer pro IP |
Hoch |
Mittel |
Niedrig |
Sicherheitsrisiko |
Niedrig |
Mittel |
Mittel |
Protokollnutzung |
Hoch |
Niedrig |
Keine (keine Protokolle erforderlich) |
Reduzierung von Sicherheitsrisiken |
Zufällige Zuordnung |
Aktive-Block-Timeout-Funktion |
N/A |
Mehr Benutzer pro IP |
N/A |
Konfigurieren Sie mehrere kleinere Portblöcke, um die Anzahl der Benutzer/öffentlichen IP-Adressen zu maximieren |
Algorithmusbasierte Portzuweisung |
Konfigurieren von NAPT in IPv4-Netzwerken
Network Address Port Translation (NAPT) ist eine Methode, bei der viele Netzwerkadressen und ihre TCP/UDP-Ports in eine einzige Netzwerkadresse und ihre TCP/UDP-Ports übersetzt werden. Diese Übersetzung kann sowohl in IPv4- als auch in IPv6-Netzwerken konfiguriert werden. In diesem Abschnitt werden die Schritte zum Konfigurieren von NAPT in IPv4-Netzwerken beschrieben.
Um NAPT zu konfigurieren, müssen Sie auf Hierarchieebene eine Regel für die [edit services nat] dynamische Übersetzung der Quell-IPv4-Adressen konfigurieren.
So konfigurieren Sie NAPT in IPv4-Netzwerken:
Im folgenden Beispiel wird der Übersetzungstyp als napt-44 konfiguriert.
[edit services]
user@host# show
service-set s1 {
nat-rules rule-napt-44;
interface-service {
service-interface ms-0/1/0;
}
}
nat {
pool napt-pool {
address 10.10.10.0/32;
port {
automatic auto;
}
}
rule rule-napt-44 {
match-direction input;
term t1 {
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Dynamische Adressübersetzung in einen kleinen Pool mit Fallback auf NAT
Die folgende Konfiguration zeigt die dynamische Adressübersetzung von einem großen Präfix in einen kleinen Pool, wobei ein /24-Subnetz in einen Pool von 10 Adressen übersetzt wird. Wenn die Adressen im Quellpool (src-pool) erschöpft sind, wird NAT vom NAPT-Überlastungspool (pat-pool) bereitgestellt.
[edit services nat]
pool src-pool {
address-range low 192.16.2.1 high 192.16.2.10;
}
pool pat-pool {
address-range low 192.16.2.11 high 192.16.2.12;
port automatic auto;
rule myrule {
match-direction input;
term myterm {
from {
source-address 10.150.1.0/24;
}
then {
translated {
source-pool src-pool;
overload-pool pat-pool;
translation-type napt-44;
}
}
}
}
Dynamische Adressübersetzung mit kleinem Pool
Die folgende Konfiguration zeigt die dynamische Adressübersetzung von einem großen Präfix in einen kleinen Pool, wobei ein /24-Subnetz in einen Pool von 10 Adressen übersetzt wird. Sitzungen aus den ersten 10 Hostsitzungen wird eine Adresse aus dem Pool zugewiesen, und alle weiteren Anfragen werden abgelehnt. Jeder Host mit zugewiesener NAT kann an mehreren Sitzungen teilnehmen.
[edit services nat]
pool my-pool {
address-range low 10.10.10.1 high 10.10.10.10;
}
rule src-nat {
match-direction input;
term t1 {
from {
source-address 192.168.1.0/24;
}
then {
translated {
translation-type dynamic-nat44;
source-pool my-pool;
}
}
}
}
Konfigurieren von NAPT in IPv6-Netzwerken
Network Address Port Translation (NAPT) ist eine Methode, bei der viele Netzwerkadressen und ihre TCP/UDP-Ports in eine einzige Netzwerkadresse und ihre TCP/UDP-Ports übersetzt werden. Diese Übersetzung kann sowohl in IPv4- als auch in IPv6-Netzwerken konfiguriert werden. In diesem Abschnitt werden die Schritte zum Konfigurieren von NAPT in IPv6-Netzwerken beschrieben. Die Konfiguration von NAPT in IPv6-Netzwerken wird nicht unterstützt, wenn Sie MS-MPCs oder MS-MICs verwenden. Informationen zum Konfigurieren von NAPT in IPv4-Netzwerken finden Sie unter Konfigurieren von NAPT in IPv4-Netzwerken.
Um NAPT zu konfigurieren, müssen Sie auf Hierarchieebene eine Regel für die [edit services nat] dynamische Übersetzung der Quell-IPv6-Adressen konfigurieren.
So konfigurieren Sie NAPT in IPv6-Netzwerken:
Im folgenden Beispiel wird die dynamische Quellübersetzung (Adresse und Port) oder NAPT für ein IPv6-Netzwerk konfiguriert.
[edit services]
user@host# show
service-set IPV6-NAPT-ServiceSet {
nat-rules IPV6-NAPT-Rule;
interface-service {
service-interface sp-0/1/0;
}
}
nat {
pool IPV6-NAPT-Pool {
address 2002::1/96;
port automatic sequential;
}
rule IPV6-NAPT-Rule {
match-direction input;
term term1 {
then {
translated {
source-pool IPV6-NAPT-Pool;
translation-type {
napt-66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
}
Beispiel: Konfigurieren von NAT mit Portübersetzung
In diesem Beispiel wird gezeigt, wie NAT mit Portübersetzung konfiguriert wird.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine universelle Routing-Plattform der MX-Serie mit einem Services DPC oder ein Multiservice Edge-Router der M Series mit einem Services PIC
Einen Domainnamenserver (DNS)
Junos OS Version 11.4 oder höher
Überblick
Dieses Beispiel zeigt eine vollständige CGN NAT44-Konfiguration und erweiterte Optionen.
Konfigurieren von NAT mit Portübersetzung
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den Servicesatz:
-
Konfigurieren Sie einen Servicesatz.
user@host# edit services service-set ss2 -
Wechseln Sie im Konfigurationsmodus in die
[edit services nat]Hierarchieebene.[edit] user@host# edit services nat
-
Definieren Sie den Pool von Quelladressen, die für die dynamische Übersetzung verwendet werden müssen. Geben Sie für NAPT auch Portnummern an, wenn Sie den Quellpool konfigurieren.
[edit services nat] user@host# set pool pool name address source addresses user@host# set pool pool name port source ports
Zum Beispiel:
[edit services nat] user@host# set pool NAPT-Pool address 192.168.2.1/24; user@host# set pool NAPT-Pool port automatic
-
Geben Sie die zu verwendende NAT-Regel an.
[edit services service-set ss2]host# set nat-rules r1 - Definieren Sie eine NAT-Regel für die Übersetzung der Quelladressen. Legen Sie dazu die
match-directionAnweisung der Regel alsinput. Definieren Sie außerdem einen Begriff, der als Übersetzungstyp für die Übersetzung der Adressen des im vorherigen Schritt definierten Pools verwendet wirdnapt-44.[edit services nat] user@host# set rule rule name match-direction input user@host# set rule rule name term term name from source-address source-address user@host# set rule rule name term term name then translated source-pool pool name user@host# set rule rule name term term name then translated translation-type napt-44
Zum Beispiel:
[edit services nat] user@host# set rule r1 match-direction input user@host# set rule r1 term t1 from source-address 10.10.10.1 user@host# set rule r1 term t1 then translated source-pool NAPT-Pool user@host# set rule r1 term t1 then translated translation-type napt-44
-
Geben Sie den Schnittstellendienst an.
[edit services service-set ss2]host# set interface-service service-interface sp-5/0/0
Befund
user@host# show services service-sets sset2
service-set ss2 {
nat-rules r1;
interface-service {
service-interface sp-5/0/0;
}
}
nat {
pool NAPT-Pool {
address 192.168.2.1/24;
port automatic;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.1/32;
}
}
then {
translated {
source-pool NAPT-Pool;
translation-type {
napt-44;
}
}
}
}
}
}
Beispiel: NAPT-Konfiguration auf der MS-MPC mit einem Schnittstellen-Service-Set
In diesem Beispiel wird gezeigt, wie die Netzwerkadressübersetzung mit Port Translation (NAPT) auf einem Router der MX-Serie unter Verwendung eines MultiServices Modular Port Concentrator (MS-MPC) als Serviceschnittstellenkarte konfiguriert wird.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Router der MX-Serie
MultiServices Modular Port Concentrator (MS-MPC)
Junos OS Version 13.2R1 oder höher
Überblick
Ein Service Provider hat sich für eine MS-MPC als Plattform entschieden, um NAT-Services für neue Abonnenten bereitzustellen.
Konfiguration
Führen Sie die folgenden Aufgaben aus, um NAPT44 mit der MS-MPC als Dienstschnittstellenkarte zu konfigurieren:
- CLI Schnellkonfiguration
- Konfigurieren von Schnittstellen
- Konfigurieren eines Anwendungssatzes von akzeptablem Anwendungsdatenverkehr
- Konfigurieren einer zustandsbehafteten Firewallregel
- Konfigurieren von NAT-Pool und -Regel
- Konfigurieren des Servicesatzes
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [Bearbeiten] ein.
set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24 set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1 set interfaces ms-3/0/0 unit 0 family inet set applications application-set accept-algs application junos-http set applications application-set accept-algs application junos-ftp set applications application-set accept-algs application junos-tftp set applications application-set accept-algs application junos-telnet set applications application-set accept-algs application junos-sip set applications application-set accept-algs application junos-rtcp set services stateful-firewall rule sf-rule1 match-direction input-output set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs set services stateful-firewall rule sf-rule1 term sf-term1 then accept set services nat pool napt-pool address 1.1.1.0/24 set services nat pool napt-pool port automatic * nat rule for napt set services nat rule nat-rule1 match-direction input set services nat rule nat-rule1 term nat-term1 from source-address 10.255.247.0/24 set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44 * nat rule for basic nat set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
Konfigurieren von Schnittstellen
Schritt-für-Schritt-Anleitung
Konfigurieren Sie die Schnittstellen, die für die NAT-Verarbeitung erforderlich sind. Sie benötigen folgende Schnittstellen:
Eine kundenorientierte Schnittstelle, die den Datenverkehr von und zum Kunden verarbeitet.
Eine Schnittstelle mit Internetzugriff.
Eine Services-Schnittstelle, die NAT- und Stateful-Firewall-Services für die kundenseitige Schnittstelle bereitstellt
Konfigurieren Sie die Schnittstelle für die kundenseitige Schnittstelle.
user@host# edit [edit ] user@host# set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 user@host# set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 user@host# set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1
Konfigurieren Sie die Schnittstelle für die mit dem Internet verbundene Schnittstelle.
[edit ] set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24
Konfigurieren Sie die Schnittstelle für den Servicesatz, der Services mit der kundenseitigen Schnittstelle verbindet. In unserem Beispiel befindet sich die Schnittstelle auf einer MS-MPC.
[edit ] user@host# set interfaces ms-3/0/0 unit 0 family inet
Konfigurieren eines Anwendungssatzes von akzeptablem Anwendungsdatenverkehr
Schritt-für-Schritt-Anleitung
Identifizieren der akzeptablen Anwendungen für eingehenden Datenverkehr.
Geben Sie einen Anwendungssatz an, der akzeptablen eingehenden Anwendungsdatenverkehr enthält.
user@host# set applications application-set accept-algs application junos-http user@host# set applications application-set accept-algs application junos-ftp user@host# set applications application-set accept-algs application junos-tftp user@host# set applications application-set accept-algs application junos-telnet user@host# set applications application-set accept-algs application junos-sip user@host# set applications application-set accept-algs application junos-rtcp
Befund
user@host#edit services applications application-set accept-algs user@host#show application junos-http; application junos-ftp; application junos-tftp; application junos-telnet; application junos-sip; application junos-
Konfigurieren einer zustandsbehafteten Firewallregel
Schritt-für-Schritt-Anleitung
Konfigurieren Sie eine zustandsbehaftete Firewallregel, die den gesamten eingehenden Datenverkehr akzeptiert.
Festlegen des Firewall-Abgleichs für alle Ein- und Ausgaben
user@hos#t set services stateful-firewall rule sf-rule1 match-direction input-output
Identifizieren Sie die Quelladresse und den akzeptablen Anwendungsdatenverkehr über die kundenseitige Schnittstelle.
user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs user@host# set services stateful-firewall rule sf-rule1 term sf-term1 then accept
Befund
user@host# edit services stateful-firewall
user@host# show
rule sf-rule1 {
match-direction input-output;
term sf-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
accept;
}
}
}
Konfigurieren von NAT-Pool und -Regel
Schritt-für-Schritt-Anleitung
Konfigurieren Sie einen NAT-Pool und eine Regel für die Adressübersetzung mit automatischer Portzuweisung.
Konfigurieren Sie den NAT-Pool mit automatischer Portzuweisung.
user@host# set services nat pool napt-pool address 1.1.1.0/24 user@host# set services nat pool napt-pool port automatic auto
Konfigurieren Sie eine NAT-Regel, die den Übersetzungstyp
napt-44mithilfe des definierten NAT-Pools anwendet.user@host# set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs user@host# set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool user@host# set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44
Befund
user@host#edit services nat
user@host#show
pool napt-pool {
address 1.1.1.0/24;
port {
automatic;
}
}
rule nat-rule1 {
match-direction input;
term nat-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
Konfigurieren des Servicesatzes
Schritt-für-Schritt-Anleitung
Konfigurieren Sie einen Servicesatz vom Typ Schnittstelle.
Geben Sie die NAT- und Stateful-Firewall-Regeln an, die für den Datenverkehr des Kunden gelten.
user@host set services service-set sset1 stateful-firewall-rules sf-rule1 user@host set services service-set sset1 nat-rules bat-rule1
Geben Sie die Dienstschnittstelle an, die die Regeln auf den Kundendatenverkehr anwendet.
set services service-set sset1 interface-service service-interface ms-3/0/0
Befund
user@host# edit services service-set sset1 user@host# show set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
sequential Option in die Anweisung auf Hierarchieebene
[edit services nat pool nat-pool-name] für die
port automatic sequenzielle Zuweisung von Ports aus dem angegebenen Bereich aufnehmen.
auto Option ausgeblendet und veraltet und wird nur aus Gründen der Abwärtskompatibilität beibehalten.
sequential Sie die sequenzielle Zuweisung von Ports konfigurieren können.