Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Portweiterleitung

Portweiterleitung – Übersicht

Sie können eine externe IP-Adresse und einen externen Port einer IP-Adresse und einem Port in einem privaten Netzwerk zuordnen. Diese Zuordnung, Portweiterleitung genannt, wird auf den MultiServices-PICS MS-DPC, MS-100, MS-400 und MS-500 unterstützt. Ab Junos OS Version 17.4R1 wird die Portweiterleitung auch auf MS-MPC und MS-MIC unterstützt.

Mit der Portweiterleitung können die Zieladresse und der Port eines Pakets so geändert werden, dass sie den richtigen Host in einem Network Address Translation (NAT)-Gateway erreichen. Die Übersetzung erleichtert das Erreichen eines Hosts in einem maskierten, typischerweise privaten Netzwerk, basierend auf der Portnummer, über die das Paket vom Ursprungshost empfangen wurde. Ein Beispiel für diese Art von Ziel ist der Host eines öffentlichen HTTP-Servers in einem privaten Netzwerk. Sie können die Portweiterleitung auch konfigurieren, ohne eine Zieladresse zu übersetzen. Die Portweiterleitung unterstützt Endgeräte-unabhängiges Mapping (EIM), Endgerät-unabhängiges Filltering (EIF) und Address Pooling Paired (APP).

Die Portweiterleitung funktioniert nur mit dem FTP-Gateway auf Anwendungsebene (ALG) und bietet keine Unterstützung für Technologien, die IPv6-Services über IPv4-Infrastruktur anbieten, wie z. B. IPv6 Rapid Bereitstellung (6rd) und Dual-Stack Lite (DS-Lite). Portweiterleitung unterstützt nur dnat-44 und twice-napt-44 in IPv4-Netzwerken.

Vorteile der Portweiterleitung

  • Ermöglicht Remotecomputern, z. B. öffentlichen Computern im Internet, eine Verbindung mit einem nicht standardmäßigen Port eines bestimmten Computers herzustellen, der in einem privaten Netzwerk verborgen ist.

Portweiterleitung für die Übersetzung statischer Zieladressen konfigurieren

Sie können die Zieladressübersetzung mit Portweiterleitung konfigurieren. Mit der Portweiterleitung können die Zieladresse und der Port eines Pakets so geändert werden, dass sie den richtigen Host in einem Network Address Translation (NAT)-Gateway erreichen. Die Portweiterleitung wird auf den MultiServices-PICS MS-DPC, MS-100, MS-400 und MS-500 unterstützt. Ab Junos OS Version 17.4R1 wird die Portweiterleitung auch auf MS-MPC und MS-MIC unterstützt.

So konfigurieren Sie die Zieladressübersetzung mit Portweiterleitung:

  1. Wechseln Sie im Konfigurationsmodus auf die [edit services nat] Hierarchieebene.
  2. Konfigurieren Sie den NAT-Pool mit einer Adresse.

    Im folgenden Beispiel dest-pool wird als Poolname und 192.0.2.2 als Adresse verwendet.

  3. Konfigurieren Sie die Regel, gleichen Sie die Richtung, den Begriff und die Zieladresse ab.

    Im folgenden Beispiel lautet rule-dnat44der Name der Regel , die Übereinstimmungsrichtung ist input, der Name des Begriffs ist t1, und die Adresse ist 198.51.100.20.

  4. Konfigurieren Sie den Zielportbereich.

    Im folgenden Beispiel ist 50 der obere Portbereich und der untere Portbereich ist 20.

  5. Wechseln Sie auf die [edit services nat rule rule-name term term-name] Hierarchieebene.
  6. Konfigurieren Sie den Zielpool.

    Im folgenden Beispiel lautet der Name des Zielpools .dest-pool

  7. Geben Sie den Namen des Mappings für die Portweiterleitung an und konfigurieren Sie den Übersetzungstyp. Sie können nur eine Zuordnung innerhalb eines NAT-Regelbegriffs konfigurieren.

    Im folgenden Beispiel lautet map1der Name der Portweiterleitungszuordnung , und der Übersetzungstyp ist dnat-44.

  8. Wechseln Sie auf die [edit services nat port-forwarding map-name] Hierarchieebene.
  9. Konfigurieren Sie die Zuordnung für die Portweiterleitung.

    Im folgenden Beispiel ist 23 die Zielportnummer, die übersetzt werden muss, und der Port, dem der Datenverkehr zugeordnet wird, ist 45.

    Hinweis:

    • Bei der Portweiterleitung werden mehrere Portzuordnungen unterstützt. Für die Portweiterleitung können bis zu 32 Portzuordnungen konfiguriert werden.

    • Der Zielport sollte sich nicht mit dem für NAT konfigurierten Portbereich überschneiden.
  10. Wenden Sie die NAT-Regel auf die Dienstgruppe an, die die Portzuordnung durchführt.
  11. Überprüfen Sie die Konfiguration mithilfe des show Befehls auf Hierarchieebene [edit services nat] .
Hinweis:

  • Eine ähnliche Konfiguration ist mit doppelter NAT für IPv4 möglich. Siehe Beispiel: Portweiterleitung mit Twice NAT konfigurieren.

  • Portweiterleitung und Stateful Firewall können zusammen konfiguriert werden. Eine Stateful-Firewall hat Vorrang vor der Portweiterleitung.

Portweiterleitung ohne Zieladressübersetzung konfigurieren

Sie können die Portweiterleitung konfigurieren, ohne eine Zieladresse zu übersetzen. Mit der Portweiterleitung kann der Zielport so geändert werden, dass er den richtigen Port in einem Network Address Translation (NAT)-Gateway erreicht. Die Portweiterleitung wird auf den MultiServices-PICS MS-DPC, MS-100, MS-400 und MS-500 unterstützt. Ab Junos OS Version 17.4R1 wird die Portweiterleitung auch auf MS-MPC und MS-MIC unterstützt.

So konfigurieren Sie die Portweiterleitung ohne Zieladressübersetzung in IPv4-Netzwerken:

  1. Wechseln Sie im Konfigurationsmodus auf die [edit services nat] Hierarchieebene.
  2. Konfigurieren Sie die Regel, die Übereinstimmungsrichtung, den Begriffsnamen und alle Bedingungen, die der Datenverkehr erfüllen muss, bevor die Regel angewendet wird.

    Im folgenden Beispiel lautet rule-port-forwardingder Name der Regel , die Übereinstimmungsrichtung ist input, der Name des Begriffs ist t1, und die Zieladresse, die abgeglichen werden muss, ist 198.51.100.20.

  3. Wechseln Sie auf die [edit services nat rule rule-name term term-name] Hierarchieebene.
  4. Geben Sie an, dass für diese Regel keine Adressübersetzung vorhanden ist.
  5. Geben Sie den Namen der Zuordnung für die Portweiterleitung an. Sie können nur eine Zuordnung innerhalb eines NAT-Regelbegriffs konfigurieren.

    Im folgenden Beispiel lautet der Name der Portweiterleitungszuordnung .map1

  6. Wechseln Sie auf die [edit services nat port-forwarding map-name] Hierarchieebene.
  7. Konfigurieren Sie die Zuordnung für die Portweiterleitung.

    Im folgenden Beispiel ist 23 die Zielportnummer, die übersetzt werden muss, und der Port, dem der Datenverkehr zugeordnet wird, ist 45.

    Hinweis:

    • Bei der Portweiterleitung werden mehrere Portzuordnungen unterstützt. Für die Portweiterleitung können bis zu 32 Portzuordnungen konfiguriert werden.

    • Der Zielport sollte sich nicht mit dem für NAPT konfigurierten Portbereich überschneiden.
  8. Wenden Sie die NAT-Regel auf die Dienstgruppe an, die die Portzuordnung durchführt.
    Hinweis:

    Auf MS-MPC und MS-MIC können Sie keine Portweiterleitungs-NAT-Regeln auf eine AMS-Schnittstelle anwenden.
  9. Überprüfen Sie die Konfiguration mithilfe des show Befehls auf Hierarchieebene [edit services] .
Hinweis:

Portweiterleitung und Stateful Firewall können zusammen konfiguriert werden. Eine Stateful-Firewall hat Vorrang vor der Portweiterleitung.

Beispiel: Portweiterleitung mit Twice NAT konfigurieren

Im folgenden Beispiel wird die Portweiterleitung mit twice-napt-44 als Übersetzungstyp konfiguriert. Für das Beispiel sind außerdem eine Stateful-Firewall und mehrere Portzuordnungen konfiguriert.

Die Portweiterleitung wird auf den MultiServices-PICS MS-DPC, MS-100, MS-400 und MS-500 unterstützt. Ab Junos OS Version 17.4R1 wird die Portweiterleitung auch auf MS-MPC und MS-MIC unterstützt.

Hinweis:

  • Eine Stateful-Firewall hat Vorrang vor der Portweiterleitung. In diesem Beispiel wird beispielsweise kein Datenverkehr übersetzt, der für einen Port zwischen 20 und 5000 bestimmt ist.

  • Es können bis zu 32 Portzuordnungen konfiguriert werden.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung
Beschreibung
17,4R1
Ab Junos OS Version 17.4R1 wird die Portweiterleitung auch auf MS-MPC und MS-MIC unterstützt.
17,4R1
Ab Junos OS Version 17.4R1 wird die Portweiterleitung auch auf MS-MPC und MS-MIC unterstützt.
17,4R1
Ab Junos OS Version 17.4R1 wird die Portweiterleitung auch auf MS-MPC und MS-MIC unterstützt.
17,4R1
Ab Junos OS Version 17.4R1 wird die Portweiterleitung auch auf MS-MPC und MS-MIC unterstützt.