Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Quell-NAT

Die NAT Quelladresse wird am häufigsten zum Übersetzen der privaten IP-Adresse in eine öffentliche Routing-Adresse für die Kommunikation mit dem Host verwendet. Quell NAT ändert die Quelladresse der Pakete, die den Router passieren. Ein NAT-Pool besteht aus einer Gruppe von Adressen, die als Ersatz für Client-IP-Adressen konzipiert sind. Weitere Informationen finden Sie in den folgenden Themen:

Grundlegende Informationen NAT

Quell NAT die Übersetzung der Quell-IP-Adresse eines Pakets, das das Juniper Networks verlässt. Mit NAT Quelladressen können Hosts mit privaten IP-Adressen auf ein öffentliches Netzwerk zugreifen.

Quell NAT ermöglicht das Herstellen von Verbindungen nur für ausgehende Netzwerkverbindungen, z. B. von einem privaten Netzwerk zum Internet. Source NAT wird häufig für die Durchführung der folgenden Übersetzungen verwendet:

  • Übersetzen Sie eine einzelne IP-Adresse in eine andere Adresse (z. B. um ein einzelnes Gerät in einem privaten Netzwerk mit Zugriff auf das Internet zu versorgen).

  • Übersetzen Sie einen zusammenhängende Block von Adressen in einen anderen Block von Adressen derselben Größe.

  • Übersetzen Sie einen zusammenhängende Block von Adressen in einen anderen Block von Adressen kleinerer Größe.

  • Übersetzen Sie einen zusammenhängende Block von Adressen in eine einzelne IP-Adresse oder einen kleineren Block von Adressen mithilfe der Portübersetzung.

  • Übersetzen Sie einen zusammenhängende Block von Adressen in die Adresse der Ausgangsschnittstelle.

Für die Übersetzung in die Adresse der Ausgangsschnittstelle ist kein Adressenpool erforderlich. alle anderen Quellübersetzungen NAT setzen die Konfiguration eines Adressenpools voraus. 1:1- und N:n-Übersetzungen für Adressblöcke derselben Größe erfordern keine Portübersetzung, da im Pool für jede Adresse, die übersetzt werden würde, eine verfügbare Adresse vorhanden ist.

Wenn die Größe des Adressenpools geringer ist als die Anzahl der Adressen, die übersetzt werden sollen, muss entweder die Gesamtzahl der gleichzeitigen Adressen, die übersetzt werden können, durch die Größe des Adressenpools oder der Portübersetzung begrenzt sein. Wenn beispielsweise ein Block von 253 Adressen in einen Adressenpool mit 10 Adressen übersetzt wird, können maximal 10 Geräte gleichzeitig verbunden werden, wenn keine Portübersetzung verwendet wird.

Es werden die folgenden Arten von NAT unterstützt:

  • Übersetzung der ursprünglichen IP-Adresse der Quelle in die IP-Adresse der Ausgangsschnittstelle (auch als Schnittstellen-NAT. Portadressenübersetzung wird immer ausgeführt.

  • Übersetzung der ursprünglichen IP-Quelladresse von einem benutzerdefinierten Adressenpool in eine IP-Adresse ohne Port-Adressenübersetzung. Die Zuordnung zwischen der ursprünglichen Quell-IP-Adresse und der übersetzten Quell-IP-Adresse ist dynamisch. Sobald jedoch eine Zuordnung besteht, wird dieselbe Zuordnung für die gleiche ursprüngliche Quell-IP-Adresse für neuen Datenverkehr verwendet, der der gleichen NAT entspricht.

  • Übersetzung der ursprünglichen IP-Quelladresse in eine IP-Adresse aus einem benutzerdefinierten Adressenpool mit Port-Adressenübersetzung. Die Zuordnung zwischen der ursprünglichen Quell-IP-Adresse und der übersetzten Quell-IP-Adresse ist dynamisch. Selbst wenn eine Zuordnung vorhanden ist, kann die gleiche Ursprünglichen-NAT IP-Adresse für neuen Datenverkehr, der der gleichen Regel entspricht, in eine andere Adresse übersetzt werden.

  • Übersetzung der ursprünglichen IP-Quelladresse von einem benutzerdefinierten Adressenpool in eine IP-Adresse durch Verschieben der IP-Adressen. Diese Art der Übersetzung ist 1:1, statisch und ohne Port-Adressenübersetzung. Wenn der ursprüngliche IP-Quell-IP-Adressbereich größer als der IP-Adressbereich im benutzerdefinierten Pool ist, werden nicht übertragene Pakete verworfen.

Grundlegende Verbesserungen der Central Point-Architektur für NAT

Die Systemsitzungskapazität und die Hochlaufrate der Sitzungen werden durch die Central Point Memory-Kapazität und CPU-Kapazität begrenzt. Die Central Point-Architektur für NAT wird ab Junos OS Release 15.1X49-D30 und Junos OS Release 17.3R1 erweitert, um eine höhere Systemsitzungskapazität und Sitzungsauflaufrate für die SRX5000-Reihe zu bewältigen. Damit wird die Arbeitslast auf dem zentralen Punkt reduziert, um die Sitzungskapazität zu erhöhen und mehr Sitzungen zu unterstützen, um höhere Verbindungen pro Sekunde (CPS) zu erreichen. Ab dem Junos OS Release 17.4R1 wurden die von der Central Point Architecture verarbeiteten Quell-NAT-Ressourcen auf die SPUs ausgeschaltet, wenn die SPC-Nummer mehr als vier be liegt, was eine effizientere Ressourcenzuweisung zur Folge hat. In der folgenden Liste werden die Verbesserungen für NAT zur Leistungssteigerung beschrieben:

  • Die Central Point-Architektur unterstützt keine zentralen Punktsitzungen mehr. Deshalb muss NAT einen Tracker NAT verfolgen, um die IP-Adresse bzw. Portzuweisung und -nutzung zu verfolgen. NAT Tracker ist ein globales Array für SPU-Sitzungs-ID NAT- oder Portzuordnung, das zur Verwaltung von Netzwerkressourcen NAT wird.

  • Standardmäßig wird eine NAT-Regelalarme und Trap-Zähleraktualisierungsnachricht von der Services Processing Unit (SPU) in Intervallen von 1 Sekunde an den zentralen Punkt gesendet, anstatt die Statistiken basierend auf jedem Sitzungs-Trigger im zentralen Punktsystem zu aktualisieren.

  • Um eine bestimmte NAT-IP-Adresse oder einen bestimmten Port zu unterstützen, der nach NAT dem 5-Tuple-Hash den gleichen Wert wie der 5-Tuple-Hash vor NAT hat, wählen Sie einen NAT-Port, der zu dem gleichen Hash wie der ursprüngliche Hash führt. Damit wird die Weiterleitungssitzung reduziert. Wenn NAT Verwendet werden, wird der Reverse Wing mit einer anderen SPU (Reverse Wing) umgehasht. Es muss eine Forward Session installiert werden, um reversen Datenverkehr an einen Sitzungs-SPU weiterzukehren. NAT versuchen, einen Port zu wählen, der vom Hash-Algorithmus verwendet werden kann, um zu ermöglichen, dass der Reverse Wing in den gleichen SPU wie die ersten Flügel umgehasht wird. Mit diesem Ansatz NAT die Leistung und der Durchsatz verbessert.

  • Zur Leistungssteigerung NAT wird die Verwaltung des IP-Shifting Pool (Nicht-PAT-Pool) vom zentralen Punkt zum SPU verschoben, sodass alle lokalen NAT-Ressourcen für diesen Pool lokal verwaltet werden, anstatt die NAT-Anforderung an den zentralen Punkt zu senden. Dadurch werden die IP-Adresswechsel-NAT-Verbindungen pro Sekunde verbessert und der Durchsatz verbessert.

Optimierte Leistung der NAT Quellen

Die NAT Quellen können je nach Funktionalität und Leistungsanforderungen optimiert werden.

Port-Zufallsmodus (Standard)

Für den poolbasierten Quell- NAT und schnittstellenbasierten NAT wird standardmäßig der Port-Zufallsmodus aktiviert und verwendet.

In diesem Modus wählt das Gerät die IP-Adressen im Rundmodus aus, und die Portauswahl erfolgt nach dem Zufallsprinzip. Wenn das Gerät eine Übersetzung ausführt, NAT, wird zunächst die IP-Adresse im Round Robin und dann der Port, der für diese IP-Adresse verwendet wird, durch Zufalls wahl gewählt.

Obwohl die zufalls isierte Portanzahlzuweisung einen Schutz vor Sicherheitsbedrohungen wie DNS-Angriffen bieten kann, kann sie aufgrund der Rechenleistung und der NAT und der beteiligten Tabellenressourcen auch die Leistung und Speicherauslastung beeinträchtigen.

Round-Robin-Modus

Bei einer weniger ressourcenintensiven NAT verfahren Sie nur die Round-Robin-Zuordnungsmethode. Während bei der Zufallsauswahl die Rechenarbeit für den einzelnen Port erforderlich ist, werden die Ports im Round Robin einfach nach und nach ausgewählt.

In diesem Modus wählt das Gerät im Round Robin sowohl IP-Adressen als auch Ports aus. Wenn das Gerät eine Übersetzung ausführt, NAT, wird zunächst die IP-Adresse im Round Robin und dann der Port, der für diese IP-Adresse im Round Robin verwendet wird, aus.

Wenn der Quellpool beispielsweise nur eine IP-Adresse enthält:

  • Wenn das erste Paket eines Datenflusses (das eine Sitzung erstellt) eintrifft, wird es in IP1, Port N, übersetzt. Nachfolgende Pakete in diesem Datenfluss werden dem gleichen IP/Port zugewiesen.

  • Wenn das erste Paket eines neuen Datenflusses eintrifft, wird es in IP1, Port N+1 und so weiter übersetzt.

Wenn der Quellpool zwei IP-Adressen enthält:

  • Wenn das erste Paket eines Datenflusses (das eine Sitzung erstellt) eintrifft, wird es in IP1, Port X, übersetzt. Nachfolgende Pakete in diesem Datenfluss werden dem gleichen IP/Port zugewiesen.

  • Wenn das erste Paket eines zweiten Datenflusses eintrifft, wird es in IP2, Port X übersetzt.

  • Wenn das erste Paket eines dritten Datenflusses eintrifft, wird es in IP1, Port X+1 übersetzt.

  • Die ersten Pakete eines vierten Datenflusses werden in IP2, Port X+1 und so weiter übersetzt.

Konfiguration

Der Round-Robin-Modus ist standardmäßig aktiviert, aber der Port-Randomizationsmodus (auch aktiviert) hat eine höhere Priorität. Um den Round-Robin-Modus zu verwenden, deaktivieren Sie den Port-Zufallsmodus mit höherer Priorität wie folgt:

Wenn Sie den Round Robin-Modus deaktivieren (und die Port-Randomisierung reaktivieren), löschen Sie die Konfigurationserklärung wie folgt:

Sitzungsaffinitätsmodus

Beginnend mit Junos OS Release 15.1X49-D30 und Junos OS Release 17.3R1 können Sie die Leistung und den Durchsatz von NAT-Geräten der SRX5000-Serie im "Sitzungsaffinitätsmodus" weiter verbessern.

Mit den oben aufgeführten Modi wird eine bestimmte Sitzung durch den eingehenden SPU basierend auf einem 5-Stoß (Quell-IP, DEST-IP, Quell-Port, Dest-Port, Protokoll-Hash) verarbeitet. Wenn NAT beteiligt ist, ist der 5-Tuple-Hash für den ausgehenden Teil der Sitzung anders als für den Return-Teil der Sitzung. Daher können sich die ausgehenden NAT Sitzungsinformationen möglicherweise in einem SPU befinden, während die Umgekehrten (umgekehrten) NAT Sitzungsinformationen in einem anderen SPU enthalten sein können. Das Ziel des Sitzungsaffinitätsmodus ist es, die Weiterleitungssitzungsinformationen für den ausgehenden und den rückgehenden Datenverkehr auf dem gleichen SPU zu verwalten.

In diesem Modus verwendet das Gerät einen "Reverse NAT Enhancement"-Übersetzungsalgorithmus für die IP- und Portauswahl, um die Leistung NAT Sitzungen und Durchsatz zu verbessern. Das NAT-Modul versucht, eine IP-Adresse und einen Port auszuwählen, die mit dem Hash-Algorithmus verwendet werden können, um sicherzustellen, dass der ausgewählte SPU für die ausgehenden und Rückflusselemente identisch ist.

Konfiguration

Der Sitzungsaffinitätsmodus wird standardmäßig aktiviert, aber sowohl die Port-Randomization als auch die Round-Robin-Modi (auch aktiviert) haben eine höhere Priorität. Um den Sitzungsaffinitätsmodus zu verwenden, deaktivieren Sie wie folgt sowohl Port-Randomization als auch Round-Robin-Modi:

Wenn Sie den Sitzungsaffinitätsmodus deaktivieren und den Round-Robin- oder Port-Zufallsmodus aktivieren, löschen Sie eine oder beide Konfigurations anweisungen wie folgt:

Benutzungshinweise

Hinweise und Richtlinien für den Sitzungsaffinitätsmodus umfassen:

  • Wann immer dies möglich NAT Port-Pools (siehe unten Sicherheitsüberlegungen)

  • Der Algorithmus wählt einen Port innerhalb des konfigurierten Portbereichs aus. Wenn kein Port verfügbar ist, wird NAT Port basierend auf einer Zufallsauswahl zugewiesen.

  • Statische NAT und Ziel-NAT können den Affinitätsmodus nicht verwenden.

Sicherheitsüberlegungen

Auch wenn die Sitzungsaffinität durch die Konsolidierung von Weiterleitungssitzungen die Leistung verbessert, verringert sie die Sicherheit um ein gewisses Maß, da der Algorithmus die IP-Adresse und den Port auf der Basis eines vordefinierten Algorithmus mit bestimmten Parametern anstelle einer reinen Zufallsart auswählt. Die Tatsache, dass der Algorithmus normalerweise mehrere geeignete Ports zur Auswahl hat, ist also immer noch ein gewisses Maß an Zufalls wahl.

Die beste Methode zur Minderung des Sicherheitsrisikos ist, sicherzustellen, dass die verwendete Quell-Portnummer weniger vorhersagbar ist. Das bedeutet, dass ein Angreifer die Wahrscheinlichkeit verkleinern kann, dass ein Angreifer die ausgewählte Portnummer erraten kann, je größer der NAT Poolressourcenbereich ist, von dem aus flüchtige Ports ausgewählt werden. Vor diesem Grund wird empfohlen, wann immer dies möglich NAT Port-Pools für große Server zu konfigurieren.

Überwachung der Quelldaten NAT Quellen

Zweck

Anzeigen konfigurierter Informationen über Network Address Translation (NAT), Pools, persistente NAT und gekoppelte Adressen.

Aktion

Wählen Sie "Monitor>NAT>Source NAT in der J-Web-Benutzeroberfläche aus, oder geben Sie die folgenden CLI ein:

  • Sicherheits-NAT Quellzusammenfassung anzeigen

  • Sicherheits-NAT-Quellpool anzeigen pool-name

  • Sicherheit anzeigen NAT Source Persistent-NAT-Table

  • Sicherheit anzeigen NAT Source Paired-Address

In Tabelle 1 werden die verfügbaren Optionen zur Überwachung der NAT.

Tabelle 1: Überwachungsseite NAT Quelle

Feld

Beschreibung

Aktion

Regeln

Regelsatzname

Name des Regelsatz.

Wählen Sie alle Regelsätze oder einen bestimmten Regelsatz aus der Liste aus.

Regeln gesamt

Anzahl konfigurierter Regeln.

ID

Regel-ID-Nummer.

Namen

Name der Regel

Von

Name der Routinginstanz/-zone/-schnittstelle, von der das Paket übertragen wird.

An

Name der Routinginstanz/-zone/-schnittstelle, an die das Paket übertragen wird.

Quelladressenbereich

Quell-IP-Adressbereich im Quellpool.

Zieladressenbereich

Ziel-IP-Adressbereich im Quellpool.

Quell-Ports

Quell-Portnummern.

IP-Protokoll

IP-Protokoll.

Aktion

Die Aktion für ein Paket, das einer Regel entspricht.

Dauerhafter NAT Typ

Dauerhafter NAT Typ.

Inaktivitäts-Timeout

Inaktivitäts-Timeout-Intervall für die dauerhafte NAT Verbindung.

Alarmschwellwert

Nutzungsalarm-Schwellenwert.

Maximale Anzahl sitzungen

Die maximale Anzahl von Sitzungen.

Sitzungen (ersungen/fehlgeschlagen/aktuell)

Erfolgreiche, fehlgeschlagene und aktuelle Sitzungen.

  • Anzahl erfolgreicher Sitzungsinstallationen nach Übereinstimmung NAT Regel.

  • Fehlgeschlagene Anzahl nicht erfolgreicher Sitzungsinstallationen nach NAT Regel.

  • Aktuelle Anzahl von Sitzungen, die auf die angegebene Regel verweisen.

Übersetzungs-Hits

Es wird oft eine Übersetzung in die Übersetzungstabelle für eine NAT Quellregel verwendet.

Pools

Poolname

Die Namen der Pools.

Wählen Sie alle Pools oder einen bestimmten Pool aus der Liste aus.

Gesamtpools

Zusätzliche Pools gesamt.

ID

ID des Pool.

Namen

Name des Quellpools.

Adressbereich

IP-Adressbereich im Quellpool.

Ein-/Twin-Ports

Anzahl der zugewiesenen Single- und Twin-Ports.

Hafen

Quell-Portnummer im Pool.

Adressenzuweisung

Zeigt die Art der Adressenzuweisung an.

Alarmschwellwert

Nutzungsalarm-Schwellenwert.

Port-Überlastungsfaktor

Port-Überlastungskapazität.

Routing-Instanz

Name der Routinginstanz.

Adressen gesamt

Eingabe der IP-Adresse, IP-Adresse bzw. Adressbuch insgesamt.

Hostadressenbasis

Host-Basisadresse des ursprünglichen IP-Adressbereichs der Quelle.

Übersetzungs-Hits

Es wird oft eine Übersetzung in die Übersetzungstabelle für die NAT.

Die 10 besten Übersetzungs-Hits

Diagramm

Zeigt das Diagramm der 10 größten Übersetzungs-Hits an.

Dauerhafte NAT
Persistente NAT-Tabellenstatistiken

Bindemittel insgesamt

Zeigt die Gesamtanzahl der dauerhaften NAT für die FPC an.

binding in use (verbindlich)

Anzahl der dauerhaften NAT, die für die FPC verwendet werden.

enode gesamt

Gesamtanzahl der persistenten NAT-Enode für die FPC.

enode im Einsatz

Anzahl der dauerhaften NAT-Enode, die für die FPC verwendet werden.

Persistente NAT Tabelle

Quell-NAT-Pool

Name des Pools.

Wählen Sie alle Pools oder einen bestimmten Pool aus der Liste aus.

Interne IP

Interne IP-Adresse

Wählen Sie alle IP-Adressen oder eine bestimmte IP-Adresse aus der Liste aus.

Interner Port

Zeigt die im System konfigurierten internen Ports an.

Wählen Sie den in der Liste anzuzeigenden Port aus.

Internes Protokoll

Interne Protokolle .

Wählen Sie in der Liste alle Protokolle oder ein bestimmtes Protokoll aus.

Interne IP

Interne Transport-IP-Adresse der ausgehenden Sitzung von intern nach extern.

Interner Port

Interne Portnummer des Transportports der ausgehenden Sitzung von intern nach extern.

Internes Protokoll

Internes Protokoll der ausgehenden Sitzung von intern nach extern.

Adressierungs-IP

Übersetzte IP-Adresse der Quell-IP-Adresse.

Entfernter Port

Zeigt die übersetzte Anzahl des Ports an.

Protokoll der Selbstz sich selbst

Übersetztes Protokoll.

Quell-NAT-Pool

Name des Quell-NAT-Pools, in dem persistente NAT verwendet wird.

Typ

Dauerhafter NAT Typ.

Linke Zeit/Uhrzeit

Die inaktive Timeout-Zeitspanne bleibt bestehen und der konfigurierte Timeout-Wert.

Aktuelle Sitzungsnr.-/Max. Sitzungsnr.)

Anzahl der aktuellen Sitzungen, die mit der dauerhaften NAT und der maximalen Anzahl von Sitzungen verknüpft werden.

Quell-NAT-Regel

Name der Quell-NAT, für die diese persistente NAT gilt.

Externe Knotentabelle

Interne IP

Interne Transport-IP-Adresse der ausgehenden Sitzung von intern nach extern.

Interner Port

Interne Portnummer der ausgehenden Sitzung von intern nach extern.

Externe IP-Adresse

Externe IP-Adresse der ausgehenden Sitzung von intern nach extern

Externer Port

Externer Port der ausgehenden Sitzung von intern nach extern.

Zone

Externe Zone der ausgehenden Sitzung von intern nach extern.

Gekoppelte Adresse

Poolname

Name des Pools.

Wählen Sie alle Pools oder einen bestimmten Pool aus der Liste aus.

Angegebene Adresse

IP-Adresse

Wählen Sie alle Adressen aus, oder wählen Sie die interne oder externe IP-Adresse aus, die angezeigt werden soll, und geben Sie die IP-Adresse ein.

Poolname

Zeigt den ausgewählten Pool oder die Pools an.

Interne Adresse

Zeigt die interne IP-Adresse an.

Externe Adresse

Zeigt die externe IP-Adresse an.

Ressourcennutzung
Nutzung aller Quellpools

Poolname

Name des Pools.

Um zusätzliche Nutzungsinformationen für PORT Address Translation (PAT)-Pools anzeigen zu können, wählen Sie einen Poolnamen aus. Die Informationen werden unter "Detail Port Utilization" für den angegebenen Pool angezeigt.

Pooltyp

Pooltyp: PAT oder Nicht-PAT.

Port-Überlastungsfaktor

Port-Überlastungskapazität für PAT-Pools.

Adresse

Adressen im Pool.

Gebraucht

Anzahl der im Pool verwendeten Ressourcen.

Bei Nicht-PAT-Pools wird die Anzahl verwendeter IP-Adressen angezeigt.

Bei PAT-Pools wird die Anzahl der verwendeten Ports angezeigt.

Verfügbar

Anzahl der verfügbaren Ressourcen im Pool.

Bei Nicht-PAT-Pools wird die Anzahl der verfügbaren IP-Adressen angezeigt.

Bei PAT-Pools wird die Anzahl der verfügbaren Ports angezeigt.

Gesamt

Anzahl der verwendeten und verfügbaren Ressourcen im Pool.

Bei Nicht-PAT-Pools wird die Gesamtanzahl der verwendeten und verfügbaren IP-Adressen angezeigt.

Für PAT-Pools wird die Gesamtanzahl der verwendeten und verfügbaren Ports angezeigt.

Verwendung

Prozent aller genutzten Ressourcen.

Bei Nicht-PAT-Pools wird der Prozentprozentige der verwendeten IP-Adressen angezeigt.

Bei PAT-Pools wird der Prozentprozentige der Ports angezeigt, einschließlich Einzel- und Twin-Ports.

Spitzenauslastung

Prozent aller Ressourcen, die am Spitzendatum und in der Spitzenzeit verwendet werden.

Detail-Portnutzung für angegebenen Pool

Adressname

IP-Adressen im PAT-Pool.

Wählen Sie die IP-Adresse aus, für die Sie detaillierte Nutzungsinformationen anzeigen möchten.

Factor-Index

Index-Nummer.

Portbereich

Zeigt die Anzahl der gleichzeitig zugewiesenen Ports an.

Gebraucht

Zeigt die Anzahl der verwendeten Ports an.

Verfügbar

Zeigt die Anzahl der verfügbaren Ports an.

Gesamt

Zeigt die Anzahl der verwendeten und verfügbaren Ports an.

Verwendung

Zeigt den Prozentsatz der Ports an, die während des Spitzendatums und der Spitzenzeit verwendet werden.

Übersicht NAT Quellkonfiguration

Die wichtigsten Konfigurationsaufgaben für die NAT wie folgt:

  1. Konfigurieren Sie einen Adressenpool oder eine NAT zuordnung privater Adressen zur öffentlichen Adresse einer Ausgangsschnittstelle.

    Gehen Sie für einen Adressenpool auch wie folgt vor:

    1. Geben Sie den Namen des Pools, die Adressen oder Adressbereiche, die Routinginstanz sowie die Port-Adressübersetzung (PAT) an.
    2. (optional) Konfigurieren Sie Adresspooloptionen wie Overflow Pool, IP-Adressverlagerung, Adressfreigabe, Adresspooling und Alarme bei der Poolauslastung.
    3. Konfigurieren NAT Proxy-ARP-Einträge für IP-Adressen im selben Subnetz der Ingress-Schnittstelle.
  2. (optional) Persistente Adresse konfigurieren.
  3. Konfigurieren Sie Quell-NAT-Regeln, die sich an Ihre Netzwerk- und Sicherheitsanforderungen anpassen.

Beispiel: Konfigurieren von Quell NAT für Egress Interface Translation

In diesem Beispiel wird beschrieben, wie eine Quell-NAT Zuordnung privater Adressen zur öffentlichen Adresse einer Ausgangsschnittstelle konfiguriert wird.

Anforderungen

Bevor Sie beginnen:

  1. Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Siehe Benutzeroberflächen-Benutzerhandbuch für Sicherheitsgeräte.

  2. Erstellen Sie Sicherheitszonen, und weisen Sie ihnen Schnittstellen zu. Erfahren Sie mehr über Sicherheitszonen.

Übersicht

In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die Nicht-vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. In Abbildung 1 greifen Geräte mit privaten Adressen in der Trust Zone über die Ausgangsschnittstelle ge-0/0/0 auf ein öffentliches Netzwerk zu. Bei Paketen, die das Juniper Networks sicherheitsgerät aus der Trust Zone mit einer Zieladresse in der nicht vertrauenswürdigen Zone eingeben, wird die Quell-IP-Adresse in die IP-Adresse der Ausgangsschnittstelle übersetzt.

Hinweis:

Für die NAT Ausgangsschnittstelle ist kein NAT-Pool erforderlich. Proxy ARP muss für die Ausgangsschnittstelle nicht konfiguriert werden.

Abbildung 1: Source NAT Interface Translation (Ausgangsschnittstellenübersetzung) Source NAT Egress Interface Translation

In diesem Beispiel werden die folgenden Konfigurationen beschrieben:

  • Quell NAT mit einer Regel, rs1 r1 die jedem Paket von der Trust Zone zur Nicht-vertrauenswürdigen Zone ankneint. Beim Abgleich von Paketen wird die Quelladresse in die IP-Adresse der Ausgangsschnittstelle übersetzt.

  • Sicherheitsrichtlinien, um Datenverkehr von der Trust Zone in die Nicht-Trust-Zone zu ermöglichen.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich [edit] sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, commit und geben Sie sie dann im Konfigurationsmodus ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie über unterschiedliche Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie eine Quell NAT übersetzung in eine Ausgangsschnittstelle:

  1. Erstellen Sie einen NAT Quellregelsatz.

  2. Konfigurieren Sie eine Regel, die Paketen zu entspricht und die Quelladresse in die Adresse der Ausgangsschnittstelle übersetzt.

  3. Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der Trust Zone zur Nicht-vertrauenswürdigen Zone ermöglicht.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show security nat eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie sie im commit Konfigurationsmodus ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert:

Überprüfung der Quell- NAT Regelverwendung

Zweck

Stellen Sie sicher, dass der Datenverkehr der Quellregel NAT anpasst.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat source rule all ein. Zeigen Sie das Feld "Translation hits" an, um auf Datenverkehr zu prüfen, der der Regel entspricht.

Überprüfung der NAT Anwendung im Datenverkehr

Zweck

Stellen Sie sicher, NAT auf den angegebenen Datenverkehr angewendet wird.

Aktion

Geben Sie im Betriebsmodus den Befehl show security flow session ein.

Beispiel: Konfigurieren der Quelle NAT für Single Address Translation

In diesem Beispiel wird beschrieben, wie eine Quell-NAT einer einzelnen privaten Adresse zu einer öffentlichen Adresse konfiguriert wird.

Anforderungen

Bevor Sie beginnen:

  1. Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Siehe Benutzeroberflächen-Benutzerhandbuch für Sicherheitsgeräte.

  2. Erstellen Sie Sicherheitszonen, und weisen Sie ihnen Schnittstellen zu. Erfahren Sie mehr über Sicherheitszonen.

Übersicht

In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die Nicht-vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. In Abbildung 2 kann ein Gerät mit der privaten Adresse 192.168.1.200 in der Trust Zone auf ein öffentliches Netzwerk zugreifen. Für vom Gerät an eine Zieladresse in der nicht vertrauenswürdigen Zone gesendete Pakete übersetzt das Juniper Networks-Sicherheitsgerät die Quell-IP-Adresse in die öffentliche IP-Adresse 203.0.113.200/32.

Abbildung 2: Quell-NAT Single Address Translation Source NAT Single Address Translation

In diesem Beispiel werden die folgenden Konfigurationen beschrieben:

  • Quell NAT pool src-nat-pool-1 , der die IP-Adresse 203.0.113.200/32 enthält.

  • Quell-NAT-Regelsatz rs1 r1 mit Regeln, die Pakete von der Vertrauensszone zur nicht vertrauenswürdigen Zone mit der Quell-IP-Adresse 192.168.1.200/32 übereinstimmen. Beim Abgleich von Paketen wird die Quelladresse in die IP-Adresse im src-nat-pool-1 Pool übersetzt.

  • Proxy-ARP für die Adresse 203.0.113.200 an der Schnittstelle ge-0/0/0.0. Auf diese Weise kann Juniper Networks Sicherheitsgerät auf ARP-Anforderungen reagieren, die an der Schnittstelle für diese Adresse empfangen werden.

  • Sicherheitsrichtlinien, um Datenverkehr von der Trust Zone in die Nicht-Trust-Zone zu ermöglichen.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich [edit] sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, commit und geben Sie sie dann im Konfigurationsmodus ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie über unterschiedliche Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie eine Quell NAT übersetzung für eine einzige IP-Adresse:

  1. Einen Quell-Pool NAT erstellen.

  2. Erstellen Sie einen NAT Quellregelsatz.

  3. Konfigurieren Sie eine Regel, die Paketen zu entspricht und die Quelladresse in die Adresse im Pool übersetzt.

  4. Proxy-ARP konfigurieren.

  5. Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der Trust Zone zur Nicht-vertrauenswürdigen Zone ermöglicht.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show security nat eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie sie im commit Konfigurationsmodus ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert:

Überprüfung der Quell- NAT Poolnutzung

Zweck

Überprüfen Sie, ob Datenverkehr mithilfe von IP-Adressen aus dem Quell-NAT-Pool vor sich geht.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat source pool all ein. Anzeige des Feldes für Übersetzungs-Hits, um anhand der IP-Adressen aus dem Pool auf Datenverkehr zu prüfen.

Überprüfung der Quell- NAT Regelverwendung

Zweck

Stellen Sie sicher, dass der Datenverkehr der Quellregel NAT anpasst.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat source rule all ein. Zeigen Sie das Feld "Translation hits" an, um auf Datenverkehr zu prüfen, der der Regel entspricht.

Überprüfung der NAT Anwendung im Datenverkehr

Zweck

Stellen Sie sicher, NAT auf den angegebenen Datenverkehr angewendet wird.

Aktion

Geben Sie im Betriebsmodus den Befehl show security flow session ein.

Beispiel: Konfigurieren von Quell- und Ziel-NAT Übersetzungen

In diesem Beispiel wird beschrieben, wie Quell- und Zieldatenzuordnungen NAT werden.

Anforderungen

Bevor Sie beginnen:

  1. Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Siehe Benutzeroberflächen-Benutzerhandbuch für Sicherheitsgeräte.

  2. Erstellen Sie Sicherheitszonen, und weisen Sie ihnen Schnittstellen zu. Erfahren Sie mehr über Sicherheitszonen.

Übersicht

In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die Nicht-vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. In Abbildung 3 werden die folgenden Übersetzungen auf dem Sicherheitsgerät Juniper Networks ausgeführt:

  • Die Quell-IP-Adresse in vom Gerät gesendeten Paketen mit der privaten Adresse 192.168.1.200 in der Trust Zone an jede Adresse in der nicht vertrauenswürdigen Zone wird in eine öffentliche Adresse im Bereich von 203.0.113.10 bis 203.0.113.14 übersetzt.

  • Die Ziel-IP-Adresse 203.0.113.100/32 in Paketen, die von der Vertrauenszone in die nicht vertrauenswürdige Zone gesendet werden, wird in die Adresse 10.1.1.200/32 übersetzt.

Abbildung 3: Übersetzungen von Quelle und Ziel NAT Source and Destination NAT Translations

In diesem Beispiel werden die folgenden Konfigurationen beschrieben:

  • Quell-NAT-Pool src-nat-pool-1 , der den IP-Adressbereich 203.0.113.10 bis 203.0.113.14 enthält.

  • Quell NAT mit Regelsatz rs1 r1 , der alle Pakete von der Vertrauensszone zur Nicht-vertrauenswürdigen Zone anspricht. Beim Abgleich von Paketen wird die Quelladresse in eine IP-Adresse im Pool src-nat-pool-1 übersetzt.

  • Ziel-NAT-Pool dst-nat-pool-1 , der die IP-Adresse 10.1.1.200/32 enthält.

  • Ziel NAT mit regeln, rs1 r1 die Pakete aus der Trust Zone mit der Ziel-IP-Adresse 203.0.113.100 übereinstimmen. Beim Abgleich von Paketen wird die Zieladresse in die IP-Adresse im Pool dst-nat-pool-1 übersetzt.

  • Proxy-ARP für die Adressen 203.0.113.10 bis 203.0.113.14 und 203.0.113.100/32 an der Schnittstelle ge-0/0/0.0. Auf diese Weise kann Juniper Networks Sicherheitsgerät auf ARP-Anforderungen reagieren, die an der Schnittstelle für diese Adressen empfangen werden.

  • Sicherheitsrichtlinie, um Datenverkehr von der Trust Zone in die nicht vertrauenswürdige Zone zu ermöglichen.

  • Sicherheitsrichtlinie, um Datenverkehr von der nicht vertrauenswürdigen Zone zu den übersetzten Ziel-IP-Adressen in der Vertrauenszone zu ermöglichen.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich [edit] sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, commit und geben Sie sie dann im Konfigurationsmodus ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie über unterschiedliche Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie die Quell- und Zielübersetzungen NAT:

  1. Einen Quell-Pool NAT erstellen.

  2. Erstellen Sie einen NAT Quellregelsatz.

  3. Konfigurieren Sie eine Regel, die Paketen zu entspricht und die Quelladresse in eine Adresse im NAT pool übersetzt.

  4. Einen Ziel-Pool NAT erstellen.

  5. Erstellen Sie einen NAT Regelsatz.

  6. Konfigurieren Sie eine Regel, die Paketen zu entspricht und die Zieladresse in die Adresse im Zielpool NAT übersetzt.

  7. Proxy-ARP konfigurieren.

  8. Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der Trust Zone zur Nicht-vertrauenswürdigen Zone ermöglicht.

  9. Konfigurieren Sie eine Adresse im globalen Adressbuch.

  10. Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der nicht vertrauenswürdigen Zone zur Vertrauenszone ermöglicht.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show security nat eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie sie im commit Konfigurationsmodus ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert:

Überprüfung der Quell- NAT Poolnutzung

Zweck

Überprüfen Sie, ob Datenverkehr mithilfe von IP-Adressen aus dem Quell-NAT-Pool vor sich geht.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat source pool all ein. Anzeige des Feldes für Übersetzungs-Hits, um anhand der IP-Adressen aus dem Pool auf Datenverkehr zu prüfen.

Überprüfung der Quell- NAT Regelverwendung

Zweck

Stellen Sie sicher, dass der Datenverkehr der Quellregel NAT anpasst.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat source rule all ein. Zeigen Sie das Feld "Translation hits" an, um auf Datenverkehr zu prüfen, der der Regel entspricht.

Überprüfung der Ziel- NAT Poolverwendung

Zweck

Überprüfen Sie, ob Datenverkehr mithilfe von IP-Adressen aus dem Ziel-NAT-Pool vor sich geht.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat destination pool all ein. Anzeige des Feldes für Übersetzungs-Hits, um anhand der IP-Adressen aus dem Pool auf Datenverkehr zu prüfen.

Überprüfung der Ziel- NAT Und-Regelverwendung

Zweck

Stellen Sie sicher, dass datenverkehrsgleich mit der Ziel-NAT ist.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat destination rule all ein. Zeigen Sie das Feld "Translation hits" an, um auf Datenverkehr zu prüfen, der der Regel entspricht.

Überprüfung der NAT Anwendung im Datenverkehr

Zweck

Stellen Sie sicher, NAT auf den angegebenen Datenverkehr angewendet wird.

Aktion

Geben Sie im Betriebsmodus den Befehl show security flow session ein.

Grundlegende Informationen NAT Quell-Regeln

Quell-NAT-Regeln legen zwei Ebenen von Übereinstimmungsbedingungen fest:

  • Datenverkehrsrichtung: Ermöglicht die Kombination von , oder und / oder to routing-instanceto zone.to interfacefrom routing-instance from zonefrom interface Sie können nicht dasselbe und from den to gleichen Kontext für unterschiedliche Regelsätze konfigurieren.

  • Paketinformationen: Können Quell- und Ziel-IP-Adressen oder Subnetze, Quell-Portnummern oder Port-Bereiche, Ziel-Portnummern oder Port-Bereiche, Protokolle oder Anwendungen sein.

Für den ALG-Verkehr mit Ausnahme von FTP empfehlen wir Ihnen, die Regeloption nicht source-port zu verwenden. Bei Verwendung dieser Option kann die Erstellung von Datensitzungs ausfällt, da die IP-Adresse und der Quellportwert (ein zufalls beliebiger Wert) möglicherweise nicht der Regel übereinstimmen.

Außerdem empfehlen wir Ihnen, die destination-port Option oder Option application nicht als Anpassungsbedingungen für ALG-Datenverkehr zu verwenden. Wenn diese Optionen verwendet werden, kann die Übersetzung ausfällt, da der Portwert der Anwendungsnutzlast möglicherweise nicht dem Portwert der IP-Adresse dient.

Wenn mehrere Quellen NAT in den Übereinstimmungsbedingungen überschneiden, wird die spezifischere Regel ausgewählt. Wenn beispielsweise die Regeln A und B die gleichen Quell- und Ziel-IP-Adressen angeben, aber die Regel A den Datenverkehr von Zone 1 bis Zone 2 angibt und Regel B den Datenverkehr von Zone 1 bis ge-0/0/0 angibt, wird Regel B zur Ausführung der NAT. Eine Schnittstellen übereinstimmung gilt als spezifischer als eine Zonen übereinstimmung, die spezifischer ist als eine Routinginstanz-Übereinstimmung.

Sie können für eine Quellregel NAT Aktionen angeben:

  • off: Führen Sie keine Quell-NAT.

  • Pool: Verwenden Sie den angegebenen benutzerdefinierten Adressenpool zur Ausführung der NAT.

  • Schnittstelle: Verwenden Sie die IP-Adresse der Ausgangsschnittstelle zur Ausführung der NAT.

Quell-NAT-Regeln werden auf Datenverkehr im ersten Paket angewendet, das für den Datenstrom oder über den schnellen Pfad für ALG verarbeitet wird. Die Quell-NAT-Regeln werden nach statischen NAT-Regeln, Ziel-NAT-Regeln und reverser Zuordnung statischer NAT-Regeln und nach der Suche nach Routen- und Sicherheitsrichtlinien verarbeitet.

Wenn die Zonen nicht mit Regelsatz konfiguriert sind und wenn aktive Quell-NAT mit einer fehlenden"-Anweisung "von" konfiguriert wird, wird bei der Commit-Ausführung "Fehlende Pflichtserklärung : 'from' Error: Configuration Check-out failed" angezeigt, und der Konfigurationscheck schlägt fehl.

Beispiel: Konfigurieren des Quell-NAT mit mehreren Regeln

In diesem Beispiel wird die Konfiguration von Quell-NAT zuordnungen mit mehreren Regeln beschrieben.

Anforderungen

Bevor Sie beginnen:

Übersicht

In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die Nicht-vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. In Abbildung 4 werden die folgenden Übersetzungen auf dem Sicherheitsgerät Juniper Networks für die Quell-NAT zuordnung für Datenverkehr von der Vertrauenszone zu den nicht vertrauenswürdigen Zonen durchgeführt:

  • Die Quell-IP-Adresse in Paketen, die von den Subnetzen 10.1.1.0/24 und 10.1.2.0/24 an alle Adressen in der nicht vertrauenswürdigen Zone gesendet werden, wird in eine öffentliche Adresse im Bereich von 192.0.2.1 bis 192.0.2.24 mit Portübersetzung übersetzt.

  • Die Quell-IP-Adresse in Paketen, die vom Subnetz 192.168.1.0/24 an eine Adresse in der nicht vertrauenswürdigen Zone gesendet werden, wird in eine öffentliche Adresse im Bereich von 192.0.2.100 bis 192.0.2.249 ohne Portübersetzung übersetzt.

  • Die Quell-IP-Adresse in Paketen, die vom 192.168.1.250/32 Host-Gerät gesendet werden, ist nicht übersetzt.

Abbildung 4: Quell-NAT mit mehreren Übersetzungsregeln Source NAT with Multiple Translation Rules

In diesem Beispiel werden die folgenden Konfigurationen beschrieben:

  • Quell NAT pool src-nat-pool-1 , der den IP-Adressbereich 192.0.2.1 bis 192.0.2.24 enthält.

  • Quell-NAT-Pool src-nat-pool-2 , der den IP-Adressbereich 192.0.2.100 bis 192.0.2.249 enthält, bei deaktivierter Port-Adressenübersetzung.

    Hinweis:

    Wenn die Portadressenübersetzung deaktiviert ist, ist die Anzahl der Übersetzungen, die der Quell-NAT-Pool gleichzeitig unterstützen kann, auf die Anzahl der Adressen im Pool beschränkt, address-shared sofern die Option nicht aktiviert ist. Pakete werden gelöscht, wenn im Quellpool keine Adressen NAT sind. Sie können optional einen Zusatzpool angeben, von dem IP-Adressen und Portnummern zugewiesen werden, wenn im ursprünglichen Quellpool keine Adressen NAT sind.

  • Quell NAT regelsatz für rs1 die Übereinstimmung von Paketen von der Vertrauensszone zur Nicht vertrauenswürdigen Zone. Regelsatz rs1 enthält mehrere Regeln:

    • Regeln r1 Sie die Übereinstimmung von Paketen mit einer Quell-IP-Adresse entweder in den 10.1.1.0/24- oder 10.1.2.0/24-Subnetzen. Beim Abgleich von Paketen wird die Quelladresse in eine IP-Adresse im Pool src-nat-pool-1 übersetzt.

    • Regeln r2 Sie für die Übereinstimmung von Paketen mit einer Quell-IP-Adresse 192.168.1.250/32. Beim Abgleich von Paketen wurden keine NAT durchgeführt.

    • Regeln r3 Sie die Übereinstimmung von Paketen mit einer Quell-IP-Adresse im Subnetz 192.168.1.0/24. Beim Abgleich von Paketen wird die Quelladresse in eine IP-Adresse im Pool src-nat-pool-2 übersetzt.

      Hinweis:

      Die Reihenfolge der Regeln in einem Regelsatz ist wichtig, da die erste Regel im Regelsatz, die dem verwendeten Datenverkehr entspricht, verwendet wird. Daher muss eine Regel r2 zur Übereinstimmung mit einer bestimmten IP-Adresse r3 platziert werden, bevor eine Regel platziert wird, die dem Subnetz entspricht, in dem sich das Gerät befindet.

  • Proxy-ARP für die Adressen 192.0.2.1 bis 192.0.2.24 und 192.0.2.100 bis 192.0.2.249 auf Schnittstelle ge-0/0/0.0. Auf diese Weise kann Juniper Networks Sicherheitsgerät auf ARP-Anforderungen reagieren, die an der Schnittstelle für diese Adressen empfangen werden.

  • Sicherheitsrichtlinien, um Datenverkehr von der Trust Zone in die Nicht-Trust-Zone zu ermöglichen.

Wenn Sie die Quell-NAT-Regel oder den Pool mit dem Regelnamen oder Poolnamen als Schnittstelle oder Service-Set konfigurieren, wird auf Geräten mit SRX4600 folgende Fehlermeldung angezeigt: Syntax Error , expecting <Data>.

  • Wenn eine Quellregel NAT angegeben interfaceist, kann die Regel nicht mithilfe des Befehls angezeigt show security nat source rule interface werden.

  • Wenn eine Quellregel NAT angegeben service-setist, kann die Regel nicht mithilfe des Befehls angezeigt show security nat source rule service-set werden.

  • Wenn ein Quellpool NAT angegeben interfaceist, kann der Pool nicht mit dem Befehl angezeigt show security nat source pool interface werden.

  • Wenn ein Quellpool NAT angegeben service-setist, kann der Pool nicht mit dem Befehl angezeigt show security nat source pool service-set werden.

  • Wenn ein Quell-Pool NAT angegeben interfaceist, kann die gekoppelte Adresse nicht mit dem Befehl angezeigt show security nat source paired-address pool-name interface werden.

  • Wenn ein Quell-Pool NAT ist service-set, kann die gekoppelte Adresse nicht mit dem Befehl angezeigt show security nat source paired-address pool-name service-set werden.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich [edit] sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, commit und geben Sie sie dann im Konfigurationsmodus ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie über unterschiedliche Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie mehrere Quell- NAT in einem Regelsatz:

  1. Einen Quell-Pool NAT erstellen.

  2. Erstellen Sie einen NAT-Pool ohne Portübersetzung.

    Hinweis:

    So konfigurieren Sie einen Überlaufpool für src-nat-pool-2 die Verwendung der Ausgangsschnittstelle:

  3. Erstellen Sie einen NAT Quellregelsatz.

  4. Konfigurieren Sie eine Regel, die Paketen zu entspricht und die Quelladresse in eine Adresse im Pool übersetzt.

  5. Konfigurieren Sie eine Regel so, dass sie Paketen entspricht, für die die Quelladresse nicht übersetzt wird.

  6. Konfigurieren Sie eine Regel, die an Pakete anspricht, und übersetzen Sie die Quelladresse in eine Adresse im Pool ohne Portübersetzung.

  7. Proxy-ARP konfigurieren.

  8. Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der Trust Zone zur Nicht-vertrauenswürdigen Zone ermöglicht.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show security nat eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie sie im commit Konfigurationsmodus ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert:

Überprüfung der Quell- NAT Poolnutzung

Zweck

Überprüfen Sie, ob Datenverkehr mithilfe von IP-Adressen aus dem Quell-NAT-Pool vor sich geht.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat source pool all ein. Anzeige des Feldes für Übersetzungs-Hits, um anhand der IP-Adressen aus dem Pool auf Datenverkehr zu prüfen.

Überprüfung der Quell- NAT Regelverwendung

Zweck

Stellen Sie sicher, dass der Datenverkehr der Quellregel NAT anpasst.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat source rule all ein. Zeigen Sie das Feld "Translation hits" an, um auf Datenverkehr zu prüfen, der der Regel entspricht.

Überprüfung der NAT Anwendung im Datenverkehr

Zweck

Stellen Sie sicher, NAT auf den angegebenen Datenverkehr angewendet wird.

Aktion

Geben Sie im Betriebsmodus den Befehl show security flow session ein.

Grundlegende Informationen zu NAT Quell-Pools

Ein NAT-Pool besteht aus einer benutzerdefinierten Gruppe von IP-Adressen, die für die Übersetzung verwendet werden. Im Gegensatz zur statischen NAT, bei der es eine 1:1-Zuordnung gibt, die die Adressenübersetzung des Ziels in eine Richtung und die Quell-IP-Adressenübersetzung in die umgekehrte Richtung umfasst, übersetzen Sie die Quell-IP-Adresse mit Quell-NAT in eine IP-Adresse im Adressenpool.

Geben Sie Network Address Translation (NAT) Adressenpools an:

  • Name des Quell-NAT-Adressenpools.

  • Bis zu acht Adress- oder Adressbereiche.

    Hinweis:

    Überschneiden Sie sich nicht NAT Adressen für Quell-NAT, Ziel-NAT und statische NAT in einer Routinginstanz.

  • Routing-Instanz: Routinginstanz, zu der der Pool gehört (Standard ist die Haupt-Inet.0-Routinginstanz ).

  • Port: Die Port Address Translation (PAT) für einen Quellpool. STANDARDMÄßIG wird PAT mit Quelldaten ausgeführt NAT. Wenn Sie die Option "Keine Übersetzung " angeben, ist die Anzahl der Hosts, die der Quell-Pool NAT unterstützen kann, auf die Anzahl von Adressen im Pool begrenzt. Wenn Sie angeben block-allocation, wird eine Blockierung von Ports für die Übersetzung zugewiesen, anstelle der einzelnen Ports. Wenn Sie angeben deterministic, werden eingehende (Quelle) IP-Adresse und Port immer der jeweiligen Zieladresse und Portblockierung auf der Basis eines vordefinierten deterministischen Algorithmus NAT zuordnen. Wenn Sie angeben port-overloading, können Sie die Portüberlastungskapazität in der NAT. Wenn Sie angeben range, können Sie einen Portnummernbereich, der jeder Adresse im Pool und dem Twin-Port-Bereich für Quell-Port-Pools NAT.

  • Zusatzpool (optional): Pakete werden verworfen, wenn im angegebenen Quellpool keine Adressen NAT sind. Um zu verhindern, dass dies passiert, wenn die Port-Keine-Übersetzungsoption konfiguriert ist, können Sie einen Überlauf-Pool angeben. Sobald die Adressen des ursprünglichen NAT pools aufgebraucht sind, werden vom Überlaufpool IP-Adressen und Portnummern zugewiesen. Ein benutzerdefinierter Quellpool NAT oder eine Ausgangsschnittstelle kann als Überlaufpool verwendet werden. (Bei Verwendung des Überlaufpools wird die Pool-ID mit der Adresse zurückgegeben.)

  • Verlagerung der IP-Adresse (optional): Durch Verschieben der IP-Adressen können verschiedene Quell-IP-Adressen anderen IP-Adressen oder einer einzelnen IP-Adresse zugeordnet werden. Geben Sie die Option mit der Hostadressenbasis und der Basisadresse des ursprünglichen IP-Quell-Adressbereichs an.

  • Adressfreigabe (optional): Mehrere interne IP-Adressen können der gleichen externen IP-Adresse zugeordnet werden. Diese Option kann nur verwendet werden, wenn der NAT-Pool ohne Portübersetzung konfiguriert wurde. Geben Sie die address-shared Option an, wenn ein NAT-Pool über wenige externe IP-Adressen oder nur eine externe IP-Adresse verfügt. Bei einer n:1-Zuordnung erhöht diese Option die Ressourcen NAT und den Datenverkehr.

  • Adresspooling (optional): Adresspooling kann als gekoppelt oder nicht gekoppelt konfiguriert werden. Geben address-pooling paired Sie für Anwendungen an, bei denen alle Sitzungen, die mit einer internen IP-Adresse verknüpft sind, für die Dauer einer Sitzung der gleichen externen IP-Adresse zugeordnet werden müssen. Dies unterscheidet sich persistent-address von der Option, in der dieselbe interne Adresse jedes Mal an dieselbe externe Adresse übersetzt wird. Geben address-pooling no-paired Sie für Anwendungen an, denen IP-Adressen im Rund um die Uhr zugewiesen werden können. Wenn ein Quelladressen-Pool address-pooling paired address-pooling no-paired mit PAT entweder oder für einen NAT-Pool konfiguriert ist, ist die Option für dauerhafte Adressen deaktiviert. Wenn address-shared sie auf einem Quell-Pool NAT PAT konfiguriert ist, dann persistent-address ist die Option aktiviert. Sowohl address-shared als auch address-pooling paired kann ohne PAT auf dem gleichen NAT-Pool konfiguriert werden.

  • Alarm bei der Poolnutzung (optional): Wenn die Option für den Hochschwellwert für den Quell-NAT konfiguriert ist, wird eine SNMP-Trap ausgelöst, wenn die Source-NAT-Poolauslastung diesen Grenzwert überschreitet. Wenn Sie die optionale Option für klare Grenzwerte konfiguriert haben, wird eine SNMP-Trap ausgelöst, wenn die Quell-NAT diesen Schwellenwert unterschreitet. Wenn kein eindeutiger Schwellwert konfiguriert ist, wird er standardmäßig auf 80 Prozent des Grenzwertes festgelegt.

Sie können den Quellpoolbefehl "Security NAT Resource Usage " verwenden, um die Adressnutzung in einem Quell-NAT-Pool ohne PAT anzeigen und die Portverwendung in einem Quell-pool NAT PAT anzeigen.

Grundlegende Informationen NAT Pool-Kapazitäten

Maximale Kapazitäten für Quellpools und IP-Adressen auf SRX300-, SRX320-, SRX340-, SRX345- und SRX650-Geräten:

Pool/PAT Maximale Adresskapazität

SRX300 SRX320

SRX340SRX345

SRX650

Quell-NAT-Pools

1024

2048

1024

IP-Adressen, die die Portübersetzung unterstützen

1024

2048

1024

PAT-Portnummer

64 Millionen

64 Millionen

64 Millionen

Maximale Kapazitäten für Quellpools und IP-Adressen auf SRX1400-, SRX1500-, SRX3400-, SRX3600-, SRX4100-, SRX4200-, SRX5400-, SRX5600- und SRX5800-Geräten:

Pool/PAT Maximale Adresskapazität

SRX1400 SRX1500

SRX3400 SRX3600

SRX4100SRX4200

SRX5400 SRX5600 SRX5800

Quell-NAT-Pools

8192

10,240

10,240

12,288

IP-Adressen, die die Portübersetzung unterstützen

8192

12,288

12,288

1 Mio.

PAT-Portnummer

256 Mio.

384 Mio.

384 Mio.

384 Mio.

Hinweis:

In Release 12.3X48-D40 und in Release 15.1X49-D60 und späteren Versionen können Sie die Portkapazität der Quelle NAT auf SRX5400-, SRX5600- und SRX5800-Geräten mit Services Processing Cards (SPCs) port-scaling-enlargement der nächsten Generation mit der Aussage auf der unterstützten [edit security nat source] Hierarchieebene auf 2,4 G erhöhen.

Hinweis:

Die Plattformunterstützung hängt von der Junos OS Ihrer Installation ab.

Die Erhöhung der Gesamtanzahl der für die Quell-NAT verwendeten IP-Adressen, entweder durch Erhöhung der Anzahl von Pools in der Konfiguration und/oder durch Erhöhung der Kapazität oder IP-Adressen pro Pool, nimmt den für die Portzuweisung erforderlichen Speicher auf. Wenn die NAT der Quell- und IP-Adressen erreicht werden, sollten Portbereiche neu zugewiesen werden. Das bedeutet, die Anzahl der Ports für jede IP-Adresse sollte gesenkt werden, wenn die Anzahl der IP-Adressen und NAT-Pools erhöht wird. So wird sichergestellt NAT dass sie nicht zu viel Speicherplatz verbrauchen.

In einem Quell-NAT-Pool für SRX5000-Geräte beispielsweise, wenn die Anzahl der IP-Adressen, die eine Portübersetzung unterstützen, die Grenze von 1M erreicht, beträgt die Gesamtanzahl der PAT-Ports 64G, was die 384M-Begrenzung überschreitet. Der Grund dafür ist, dass standardmäßig jede IP-Adresse 64.512 Ports unterstützt. Um sicherzustellen, dass die PAT-Portnummern die Kapazität enthalten, muss der Portbereich für jede IP so konfiguriert werden, dass die Gesamtanzahl von PAT-Ports verringert wird.

Verwenden Sie die range Optionen range twin-port auf der [edit security nat source pool port] Hierarchieebene, um einem neuen Portbereich oder Twin-Port-Bereich für einen bestimmten Pool zu zuweisen. Verwenden Sie die pool-default-port-range Optionen pool-default-twin-port-range in [edit security nat source] der Hierarchieebene, um den globalen Standard-Portbereich oder Twin-Port-Bereich für alle Quell-NAT anzugeben.

Beim Erhöhen der Quell- und NAT Port-Pools sollte auch das Konfigurieren des Portüberlastens sorgfältig durchgeführt werden.

Für einen Quellpool mit PAT in Reichweite (63.488 bis 65.535) werden zwei Ports gleichzeitig für RTP/RTCP-Anwendungen wie SIP, H.323 und RTSP zugewiesen. In diesen Szenarien unterstützt jede IP-Adresse PAT mit 2048 Ports (63.488 bis 65.535) für das ALG-Modul.

Understanding Persistent Addresses for Source NAT Pools

Die Portadressenübersetzung wird standardmäßig mit Quelladressen durchgeführt, NAT. Die Original-Quelladresse wird jedoch möglicherweise nicht für unterschiedlichen Datenverkehr, der von demselben Host stammt, in dieselbe IP-Adresse übersetzt. Die Quell-NAT-Option address-persistent stellt sicher, dass dieselbe IP-Adresse dem Quell-NAT-Pool für mehrere gleichzeitige Sitzungen zugewiesen wird.

Diese Option unterscheidet sich von der gekoppelten Address-Pooling-Option, bei der die interne Adresse beim Ersten und beim ersten Schritt im Pool einer externen Adresse zugeordnet und gegebenenfalls einer anderen externen Adresse für jede Sitzung zugeordnet werden kann.

Beispiel: Konfigurieren der Kapazität für Quell-NAT-Pools mit PAT

In diesem Beispiel wird beschrieben, wie die Kapazität von Quell-NAT-Pools mit Port Address Translation (PAT) konfiguriert wird, wenn ein Standard-Portbereich nicht festgelegt ist oder Sie ihn außer Kraft setzen möchten. Für jede IP-Adresse werden Übersetzungen festgelegt. Wenn der Quellpool erhöht wird, sollten Ports neu zugewiesen werden, wenn die aktuelle Portnummer Einschränkungen überschreitet.

Anforderungen

Bevor Sie beginnen:

  1. Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Siehe Benutzeroberflächen-Benutzerhandbuch für Sicherheitsgeräte.

  2. Erstellen Sie Sicherheitszonen, und weisen Sie ihnen Schnittstellen zu. Erfahren Sie mehr über Sicherheitszonen.

Übersicht

In diesem Beispiel wird veranschaulicht, wie ein PAT-Pool mit 2048 IP-Adressen mit 32.000 Ports für jede IP-Adresse konfiguriert wird.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich [edit] sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, commit und geben Sie sie dann im Konfigurationsmodus ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie über unterschiedliche Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie die Kapazität für einen Quell-NAT-Pool mit PAT:

  1. Einen Quellpool NAT mit PAT und einem IP-Adressbereich angeben.

  2. Geben Sie einen Standard-Portbereich für den Quellpool an.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security nat-source-summary eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie sie im commit Konfigurationsmodus ein.

Überprüfung

Überprüfen der Kapazität von Quell-NAT-Pools

Zweck

Port- und Poolinformationen anzeigen. Portbeschränkungen werden automatisch geprüft, sodass die Konfiguration nicht verpflichtet wird, wenn Porteinschränkungen überschritten werden.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat source summary ein, um Port- und Pooldetails anzuzeigen.

Grundlegende Informationen zu NAT-Pools mit Adresspooling

Wenn ein Host mehrere Sitzungen initiiert, die einer Richtlinie übereinstimmen, die NAT erfordert, und ihm eine IP-Adresse aus einem Quellpool zugewiesen wird, der die Portadressenübersetzung aktiviert hat, wird für jede Sitzung eine andere Quell-IP-Adresse verwendet.

Da für einige Anwendungen für jede Sitzung die gleiche Quell-IP-Adresse erforderlich ist, können Sie mit dieser Funktion allen Sitzungen, die mit einer internen IP-Adresse verknüpft sind, address-pooling paired die Zuordnung zur gleichen externen IP-Adresse für die Dauer der Sitzungen ermöglichen. Nach beenden der Sitzungen hört die Zuordnung zwischen der internen IP-Adresse und der externen IP-Adresse auf. Wenn das nächste Mal eine Sitzung vom Host initiiert wird, wird ihm möglicherweise eine andere IP-Adresse vom Pool zugewiesen.

Dies unterscheidet sich von der Funktion NAT address-persistent Source, bei der die Zuordnung statisch bleibt. Die gleiche interne IP-Adresse wird jedes Mal der gleichen externen IP-Adresse zugeordnet. Sie unterscheidet sich außerdem address-persistent von der Funktion, address-pooling paired die für einen bestimmten Pool konfiguriert wurde. Die address-persistent Funktion ist eine globale Konfiguration, die für alle Quellpools gilt.

Verstehen von Quell-NAT-Pools mit Adressverlagerung

Die Bedingungen für einen Quell- NAT-Regelsatz ermöglichen es Ihnen nicht, einen Adressbereich anzugeben. nur Adress-Präfixe können in einer Regel festgelegt werden. Bei der Konfiguration eines Quell-IP NAT Pools können Sie die Option angeben. Diese Option gibt die IP-Adresse an, host-base-address an der der ursprüngliche QUELL-IP-Adressbereich beginnt.

Der Bereich der originalen Quell-IP-Adressen, die übersetzt werden, wird von der Anzahl der Adressen im Quell-IP-Pool NAT ermittelt. Wenn der Quell-NAT-Pool beispielsweise einen Bereich von zehn IP-Adressen enthält, können bis zu zehn Quell-IP-Adressen mit einer angegebenen Basisadresse übersetzt werden. Diese Art der Übersetzung ist 1:1, statisch und ohne Port-Adressenübersetzung.

Die Übereinstimmungsbedingung in einer Quell-NAT-Regel kann einen größeren Adressbereich definieren, als den im Quell-NAT angegebenen. In einer Übereinstimmungsbedingung kann beispielsweise ein Adressen-Präfix angegeben werden, das 256 Adressen enthält. Der Quell-NAT-Pool kann jedoch möglicherweise einen Bereich von nur einigen IP-Adressen oder nur eine IP-Adresse enthalten. Die Quell-IP-Adresse eines Pakets kann mit einer Quell-IP NAT regel übereinstimmen. Wenn die Quell-IP-Adresse jedoch nicht innerhalb des im Quell-NAT-Pool angegebenen Adressbereichs liegt, wird die Quell-IP-Adresse nicht übersetzt.

Beispiel: Konfigurieren von Quell-NAT-Pools mit Adressverlagerung

In diesem Beispiel wird beschrieben, wie eine Quell-NAT zuordnung eines privaten Adressbereichs zu öffentlichen Adressen bei optionaler Verschiebung der Adresse konfiguriert wird. Diese Zuordnung besteht aus einer 1:1-Zuordnung zwischen den ursprünglichen IP-Quelladressen und den übersetzten IP-Adressen.

Hinweis:

Die Bedingungen für einen Quell- NAT-Regelsatz ermöglichen es Ihnen nicht, einen Adressbereich anzugeben. nur Adress-Präfixe können in einer Regel festgelegt werden. Bei der Konfiguration eines Quell-IP NAT Pools können Sie die Option angeben. Diese Option gibt die IP-Adresse an, host-base-address an der der ursprüngliche QUELL-IP-Adressbereich beginnt, und deaktiviert die Portübersetzung.

Der Bereich der originalen Quell-IP-Adressen, die übersetzt werden, wird von der Anzahl der Adressen im Quell-IP-Pool NAT ermittelt. Wenn der Quell-NAT-Pool beispielsweise einen Bereich von zehn IP-Adressen enthält, können bis zu zehn Quell-IP-Adressen mit einer angegebenen Basisadresse übersetzt werden.

Mit der Bedingungen in einer Quell-NAT-Regel kann ein größerer Adressbereich definiert werden, als den im Quell-NAT angegebenen. Bei einer Übereinstimmungsbedingung kann beispielsweise ein Adressen-Präfix angegeben werden, das 256 Adressen enthält, der Quell-NAT-Pool jedoch einen Bereich von nur zehn IP-Adressen enthält. Die Quell-IP-Adresse eines Pakets kann mit einer Quell-IP NAT regel übereinstimmen. Wenn die Quell-IP-Adresse jedoch nicht innerhalb des im Quell-NAT-Pool angegebenen Adressbereichs liegt, wird die Quell-IP-Adresse nicht übersetzt.

Anforderungen

Bevor Sie beginnen:

Übersicht

In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die Nicht-vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. Abbildung 5 zeigt, wie eine Vielzahl privater Adressen in der Vertrauenswürdigkeitszone einer Reihe öffentlicher Adressen in der Zone mit nicht vertrauenswürdigen Adressen zugeordnet wird. Pakete, die von der Trust Zone in die Nicht-Trust-Zone gesendet werden, eine Quell-IP-Adresse im Bereich von 192.168.1.10/32 bis 192.168.1.20/32 wird in eine öffentliche Adresse im Bereich von 203.0.113.30/32 bis 203.0.113.40/32 übersetzt.

Abbildung 5: Quellwechsel NAT mit Adressverlagerung Source NAT with Address Shifting

In diesem Beispiel werden die folgenden Konfigurationen beschrieben:

  • Source NAT-Pool src-nat-pool-1 , der den IP-Adressbereich 203.0.113.30/32 bis 203.0.113.40/32 enthält. Für diesen Pool ist der Anfang des ursprünglichen IP-Quell-Adressbereichs 192.168.1.10/32 host-address-base und ist mit dieser Option angegeben.

  • Quell-NAT-Regelsatz rs1 r1 mit Regeln, die Pakete von der Vertrauensszone zu der nicht vertrauenswürdigen Zone mit einer Quell-IP-Adresse im Subnetz 192.168.1.0/24 übereinstimmen. Wenn Pakete innerhalb des von der Konfiguration angegebenen Quell-IP-Adressbereichs src-nat-pool-1 übereinstimmen, wird die Quelladresse in die IP-Adresse im src-nat-pool-1 Pool übersetzt.

  • Proxy-ARP für die Adressen 203.0.113.30/32 bis 203.0.113.40/32 an der Schnittstelle ge-0/0/0.0. Auf diese Weise Juniper Networks Sicherheitsgerät auf ARP-Anforderungen reagieren, die an der Schnittstelle für diese Adresse empfangen werden.

  • Sicherheitsrichtlinien, um Datenverkehr von der Trust Zone in die Nicht-Trust-Zone zu ermöglichen.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich [edit] sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, commit und geben Sie sie dann im Konfigurationsmodus ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie über unterschiedliche Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

Zur Konfiguration einer Quell-NAT mit Adressverlagerung:

  1. Einen Quell-Pool NAT erstellen.

  2. Geben Sie den Anfang des ursprünglichen IP-Quell-Adressbereichs an.

  3. Erstellen Sie einen NAT Quellregelsatz.

  4. Konfigurieren Sie eine Regel, die Paketen zu entspricht und die Quelladresse in eine Adresse im Pool übersetzt.

  5. Proxy-ARP konfigurieren.

  6. Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der Trust Zone zur Nicht-vertrauenswürdigen Zone ermöglicht.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show security nat eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie sie im commit Konfigurationsmodus ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert:

Überprüfung der Quell- NAT Poolnutzung

Zweck

Überprüfen Sie, ob Datenverkehr mithilfe von IP-Adressen aus dem Quell-NAT-Pool vor sich geht.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat source pool all ein. Anzeige des Feldes für Übersetzungs-Hits, um anhand der IP-Adressen aus dem Pool auf Datenverkehr zu prüfen.

Überprüfung der Quell- NAT Regelverwendung

Zweck

Stellen Sie sicher, dass der Datenverkehr der Quellregel NAT anpasst.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat source rule all ein. Zeigen Sie das Feld "Translation hits" an, um auf Datenverkehr zu prüfen, der der Regel entspricht.

Überprüfung der NAT Anwendung im Datenverkehr

Zweck

Stellen Sie sicher, NAT auf den angegebenen Datenverkehr angewendet wird.

Aktion

Geben Sie im Betriebsmodus den Befehl show security flow session ein.

Grundlegende Informationen zu NAT-Pools mit PAT

Durch Verwenden des Quellpools mit Port Address Translation (PAT) werden Junos OS Quell-IP-Adresse und Portnummer der Pakete übersetzt. Wenn PAT verwendet wird, können mehrere Hosts dieselbe IP-Adresse gemeinsam verwenden.

Junos OS verwaltet eine Liste mit zugewiesenen Portnummern, um zu unterscheiden, welche Sitzung zu welchem Host gehört. Wenn PAT aktiviert ist, können bis zu 63.488 Hosts eine einzelne IP-Adresse gemeinsam verwenden. Jeder Quellpool kann mehrere IP-Adressen, mehrere IP-Adressbereiche oder beides enthalten. Für einen Quellpool mit PAT kann Junos OS einem einzelnen Host unterschiedliche Adressen für unterschiedliche gleichzeitige Sitzungen zuweisen, es sei denn, der Quellpool oder der Junos OS verfügt über die persistente Adressfunktion oder die gekoppelte Adressenpoolfunktion.

Für den Quellpool der Schnittstelle und den Quellpool mit PAT ist der Bereich (1024, 65535) für die Zuordnung von Portnummer pro IP-Adresse verfügbar. Innerhalb des Bereichs (1024, 63487) wird ein Port gleichzeitig zugewiesen, und das für insgesamt 62.464 Ports. In einer Reichweite (63488, 65535) werden gleichzeitig zwei Ports für RTP/RTCP-Anwendungen wie SIP, H.323 und RTSP für insgesamt 2.048 Ports zugewiesen.

Wenn ein Host mehrere Sitzungen initiiert, die einer Richtlinie zugewiesen werden, die eine Netzwerkadressenübersetzung erfordert, und eine Adresse aus einem Quellpool mit PAT-Aktivierung zugewiesen wird, weist das Gerät für jede Sitzung eine andere Quell-IP-Adresse zu. Eine solche zufällige Adressenzuweisung kann für Services problematisch sein, die mehrere Sitzungen erstellen, für die für jede Sitzung die gleiche Quell-IP-Adresse erforderlich ist. Beispielsweise ist es wichtig, bei der Verwendung des AOL Instant Message (AIM)-Clients für mehrere Sitzungen die gleiche IP-Adresse zu haben.

Um sicherzustellen, dass der Router die gleiche IP-Adresse aus einem Quellpool einem Host für mehrere gleichzeitige Sitzungen zu weist, können Sie eine persistente IP-Adresse pro Router aktivieren. Um sicherzustellen, dass das Gerät dieselbe IP-Adresse über die Dauer einer sitzung aus einem Quellpool einem Host zuträgt, können Sie das gekoppelte Adressenpooling aktivieren.

Beispiel: Konfigurieren der Quell-NAT für mehrere Adressen mit PAT

In diesem Beispiel wird beschrieben, wie eine Quell-NAT eines privaten Adressblocks zu einem kleineren Block öffentlicher Adressen mithilfe von Portadressenübersetzung konfiguriert wird.

Anforderungen

Bevor Sie beginnen:

  1. Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Siehe Benutzeroberflächen-Benutzerhandbuch für Sicherheitsgeräte.

  2. Erstellen Sie Sicherheitszonen, und weisen Sie ihnen Schnittstellen zu. Erfahren Sie mehr über Sicherheitszonen.

Übersicht

In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die Nicht-vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. In Abbildung 6 wird die Quell-IP-Adresse in Paketen, die von der Vertrauenszone an die nicht vertrauenswürdige Zone gesendet werden, einem kleineren Block öffentlicher Adressen im Bereich von 203.0.113.1/32 bis 203.0.113.24/32 zugeordnet. Da die Größe des Quell-Adressenpools NAT geringer ist als die Anzahl potenzieller Adressen, die übersetzt werden müssen, wird Port-Adressenübersetzung verwendet.

Hinweis:

Die Portadressenübersetzung beinhaltet eine Quell-Portnummer mit der Zuordnung der Quell-IP-Adressen. Auf diese Weise können mehrere Adressen in einem privaten Netzwerk einer kleineren Anzahl öffentlicher IP-Adressen zuordnen. Portadressen-Übersetzung ist standardmäßig für Quell-Adresspools NAT aktiviert.

Abbildung 6: Quelle NAT mit PAT mehrere Adressen Source NAT Multiple Addresses with PAT

In diesem Beispiel werden die folgenden Konfigurationen beschrieben:

  • Source NAT-Pool src-nat-pool-1 , der den IP-Adressbereich 203.0.113.1/32 bis 203.0.113.24/32 enthält.

  • Quell-NAT-Regelsatz, rs1 der allen Paketen von der Vertrauensszone zur Nicht vertrauenswürdigen Zone übereinstimmen soll. Beim Abgleich von Paketen wird die Quell-IP-Adresse in eine IP-Adresse im Pool src-nat-pool-1 übersetzt.

  • Proxy-ARP für die Adressen 203.0.113.1/32 bis 203.0.113.24/32 an der Schnittstelle ge-0/0/0.0. Auf diese Weise kann Juniper Networks Sicherheitsgerät auf ARP-Anforderungen reagieren, die an der Schnittstelle für diese Adressen empfangen werden.

  • Sicherheitsrichtlinien, um Datenverkehr von der Trust Zone in die Nicht-Trust-Zone zu ermöglichen.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich [edit] sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, commit und geben Sie sie dann im Konfigurationsmodus ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie über unterschiedliche Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

Zum Konfigurieren einer Quelladressen NAT zuordnung von einem privaten Adressblock zu einem kleineren Block öffentlicher Adressen mit PAT:

  1. Einen Quell-Pool NAT erstellen.

  2. Erstellen Sie einen NAT Quellregelsatz.

  3. Konfigurieren Sie eine Regel, die Paketen zu entspricht und die Quelladresse in eine Adresse im Pool übersetzt.

  4. Proxy-ARP konfigurieren.

  5. Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der Trust Zone zur Nicht-vertrauenswürdigen Zone ermöglicht.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show security nat eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie sie im commit Konfigurationsmodus ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert:

Überprüfung der Quell- NAT Poolnutzung

Zweck

Überprüfen Sie, ob Datenverkehr mithilfe von IP-Adressen aus dem Quell-NAT-Pool vor sich geht.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat source pool all ein. Anzeige des Feldes für Übersetzungs-Hits, um anhand der IP-Adressen aus dem Pool auf Datenverkehr zu prüfen.

Überprüfung der Quell- NAT Regelverwendung

Zweck

Stellen Sie sicher, dass der Datenverkehr der Quellregel NAT anpasst.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat source rule all ein. Zeigen Sie das Feld "Translation hits" an, um auf Datenverkehr zu prüfen, der der Regel entspricht.

Überprüfung der NAT Anwendung im Datenverkehr

Zweck

Stellen Sie sicher, NAT auf den angegebenen Datenverkehr angewendet wird.

Aktion

Geben Sie im Betriebsmodus den Befehl show security flow session ein.

Grundlegende Informationen zu Quell-NAT-Pools ohne PAT

Wenn Sie einen Quellpool definieren, Junos OS standardmäßig PAT aktiviert. Zum Deaktivieren von PAT muss bei der Definition eines Quellpools keine Portübersetzung angegeben werden.

Bei Verwendung eines Quellpools ohne PAT führt Junos OS Source-Network Address Translation für die IP-Adresse aus, ohne PAT für die Quell-Portnummer vor. Anwendungen, für die eine bestimmte Quell-Portnummer festgelegt bleiben soll, müssen ohne PAT den Quellpool verwenden.

Der Quellpool kann mehrere IP-Adressen, mehrere IP-Adressbereiche oder beides enthalten. Für den Quellpool ohne PAT weist Junos OS für alle gleichzeitigen Sitzungen dem gleichen Host eine übersetzte Quelladresse zu, es sei denn, die Option zum Adressenpooling ohne gekoppelte Option ist aktiviert.

Die Anzahl der Hosts, die ein Quell-NAT ohne PAT unterstützen kann, ist auf die Anzahl von Adressen im Pool beschränkt. Wenn Sie einen Pool mit einer einzigen IP-Adresse haben, kann nur ein Host unterstützt werden, und der Datenverkehr von anderen Hosts wird blockiert, da keine Ressourcen verfügbar sind. Wenn eine einzelne IP-Adresse für einen Quell-NAT-Pool ohne PAT konfiguriert ist, wenn sich NAT-Ressourcenzuweisung nicht im Aktiv-Backup-Modus eines Gehäuseclusters befindet, wird der Datenverkehr über Knoten 1 blockiert.

Die Poolnutzung für jeden Quellpool ohne PAT wird berechnet. Sie können den Pool-Auslastungsalarm aktivieren, indem Sie Schwellenwerte für Alarme konfigurieren. Jedes Mal, wenn die Poolnutzung einen Schwellenwert überschreitet und eine Schwelle unterschreitet, wird eine SNMP-Falle ausgelöst.

Hinweis:

Wenn eine statische NAT eine 1:1-IP-Übersetzung ist, sollten Sie die Regel nicht in eine Zielregel und eine Quellregel aufteilen, wenn ein Quell-No-Pat-Pool ohne Adressfreigabe verwendet wird. Wenn Sie sich entscheiden, die Regel zu teilen, müssen Sie source pat-pool mit einem IP- oder Source No-Pat-Pool mit mehreren IP-Adressen verwenden.

Beispiel: Konfigurieren einer einzelnen IP-Adresse in einem Quell-NAT-Pool ohne PAT

In diesem Beispiel wird beschrieben, wie Sie eine Blockierung privater Adressen für eine einzige öffentliche Adresse in einem NAT-Pool ohne Port Address Translation konfigurieren.

Hinweis:

PAT ist standardmäßig für Quell-NAT aktiviert. Deaktivierte PAT ist die Anzahl von Übersetzungen, die der NAT-Pool gleichzeitig unterstützen kann, ist auf die Anzahl der Adressen im Pool beschränkt. Pakete werden gelöscht, wenn im Quellpool keine Adressen NAT sind. Mit dieser Option können address-shared Sie jedoch mehr als eine private IP-Adresse einer einzelnen öffentlichen IP-Adresse zuordnen, solange der Datenverkehr von verschiedenen Quell-Ports stammt.

Anforderungen

Bevor Sie beginnen:

  1. Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Siehe Benutzeroberflächen-Benutzerhandbuch für Sicherheitsgeräte.

  2. Erstellen Sie Sicherheitszonen, und weisen Sie ihnen Schnittstellen zu. Erfahren Sie mehr über Sicherheitszonen.

Übersicht

In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die Nicht-vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. Die Quell-IP-Adresse von Paketen, die von der Vertrauenszone an die Nicht-vertrauenswürdige Zone gesendet werden, wird einer einzigen öffentlichen Adresse zugeordnet.

In diesem Beispiel werden die folgenden Konfigurationen beschrieben:

  • Quell NAT pool src-nat-pool-1 , der die IP-Adresse 203.0.113.1/30 enthält. Diese port no-translation Option und die address shared Option werden für den Pool angegeben.

  • Quell NAT-Regelsatz, rs1 der allen Paketen von der Vertrauensszone zur Nicht vertrauenswürdigen Zone übereinstimmen soll. Beim Abgleich von Paketen wird die Quell-IP-Adresse in eine IP-Adresse im Pool src-nat-pool-1 übersetzt.

  • Sicherheitsrichtlinien, um Datenverkehr von der Trust Zone in die Nicht-Trust-Zone zu ermöglichen.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich [edit] sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, commit und geben Sie sie dann im Konfigurationsmodus ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie über unterschiedliche Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie eine NAT Zuordnung von einer privaten Adressblockierung zu einer einzelnen öffentlichen Adresse ohne PAT:

  1. Erstellen Sie einen NAT-Pool mit einer einzigen IP-Adresse für die gemeinsam genutzte Adresse.

    Geben Sie die Option port no-translation an.

  2. Geben Sie die Option address-shared an.

  3. Erstellen Sie einen NAT Quellregelsatz.

  4. Konfigurieren Sie eine Regel, die Paketen zu entspricht und die Quelladresse in eine Adresse im Pool übersetzt.

  5. Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der Trust Zone zur Nicht-vertrauenswürdigen Zone ermöglicht.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show security nat source pool eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie sie im commit Konfigurationsmodus ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert:

Gemeinsam genutzte Adresse überprüfen

Zweck

Stellen Sie sicher, dass zwei interne IP-Adressen mit unterschiedlichen Quell-Ports eine externe IP-Adresse gemeinsam verwenden.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat source pool ein. Zeigen Sie das Adresszuweisungsfeld an, um sicherzustellen, dass es gemeinsam genutzt wird.

Überprüfung der Anwendung für gemeinsam genutzte Adressen im Datenverkehr

Zweck

Stellen Sie sicher, dass zwei Sitzungen die gleiche IP-Adresse verwenden.

Aktion

Geben Sie im Betriebsmodus den Befehl show security flow session ein.

Beispiel: Konfigurieren mehrerer Adressen in einem Source NAT Pool ohne PAT

In diesem Beispiel wird beschrieben, wie eine Quell-NAT eines privaten Adressblocks zu einem kleineren Block öffentlicher Adressen ohne Port-Adressenübersetzung konfiguriert wird.

Hinweis:

Portadressen-Übersetzung ist standardmäßig für Quell-Adresspools NAT aktiviert. Wenn die Portadressenübersetzung deaktiviert ist, ist die Anzahl der Übersetzungen, die der Quell-NAT-Pool gleichzeitig unterstützen kann, auf die Anzahl der Adressen im Pool beschränkt. Pakete werden gelöscht, wenn im Quellpool keine Adressen NAT sind. Sie können optional einen Zusatzpool angeben, von dem IP-Adressen und Portnummern zugewiesen werden, wenn im ursprünglichen Quellpool keine Adressen NAT sind.

Anforderungen

Bevor Sie beginnen:

  1. Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Siehe Benutzeroberflächen-Benutzerhandbuch für Sicherheitsgeräte.

  2. Erstellen Sie Sicherheitszonen, und weisen Sie ihnen Schnittstellen zu. Erfahren Sie mehr über Sicherheitszonen.

Übersicht

In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die Nicht-vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. In Abbildung 7 wird die Quell-IP-Adresse in Paketen, die von der Vertrauenszone an die nicht vertrauenswürdige Zone gesendet werden, einem kleineren Block öffentlicher Adressen im Bereich von 203.0.113.1/32 bis 203.0.113.24/32 zugeordnet.

Abbildung 7: Quell-NAT ohne PAT Source NAT Multiple Addresses Without PAT

In diesem Beispiel werden die folgenden Konfigurationen beschrieben:

  • Source NAT-Pool src-nat-pool-1 , der den IP-Adressbereich 203.0.113.1/32 bis 203.0.113.24/32 enthält. Die port no-translation Option wird für den Pool angegeben.

  • Quell NAT regelsatz, rs1 der alle Pakete von der Vertrauensszone zur Nicht vertrauenswürdigen Zone anspricht. Beim Abgleich von Paketen wird die Quell-IP-Adresse in eine IP-Adresse im Pool src-nat-pool-1 übersetzt.

  • Proxy-ARP für die Adressen 203.0.113.1/32 bis 203.0.113.24/32 an der Schnittstelle ge-0/0/0.0. Auf diese Weise kann Juniper Networks Sicherheitsgerät auf ARP-Anforderungen reagieren, die an der Schnittstelle für diese Adressen empfangen werden.

  • Sicherheitsrichtlinien, um Datenverkehr von der Trust Zone in die Nicht-Trust-Zone zu ermöglichen.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich [edit] sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, commit und geben Sie sie dann im Konfigurationsmodus ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie über unterschiedliche Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

Zum Konfigurieren einer Quelladressen NAT zuordnung von einem privaten Adressblock zu einem kleineren Block öffentlicher Adressen ohne PAT:

  1. Einen Quell-Pool NAT erstellen.

  2. Geben Sie die Option port no-translation an.

  3. Erstellen Sie einen NAT Quellregelsatz.

  4. Konfigurieren Sie eine Regel, die Paketen zu entspricht und die Quelladresse in eine Adresse im Pool übersetzt.

  5. Proxy-ARP konfigurieren.

  6. Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der Trust Zone zur Nicht-vertrauenswürdigen Zone ermöglicht.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show security nat eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie sie im commit Konfigurationsmodus ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert:

Überprüfung der Quell- NAT Poolnutzung

Zweck

Überprüfen Sie, ob Datenverkehr mithilfe von IP-Adressen aus dem Quell-NAT-Pool vor sich geht.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat source pool all ein. Anzeige des Feldes für Übersetzungs-Hits, um anhand der IP-Adressen aus dem Pool auf Datenverkehr zu prüfen.

Überprüfung der Quell- NAT Regelverwendung

Zweck

Stellen Sie sicher, dass der Datenverkehr der Quellregel NAT anpasst.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat source rule all ein. Zeigen Sie das Feld "Translation hits" an, um auf Datenverkehr zu prüfen, der der Regel entspricht.

Überprüfung der NAT Anwendung im Datenverkehr

Zweck

Stellen Sie sicher, NAT auf den angegebenen Datenverkehr angewendet wird.

Aktion

Geben Sie im Betriebsmodus den Befehl show security flow session ein.

Verständnis gemeinsamer Adressen in NAT-Pools ohne PAT

Quell NAT pools ohne Portadressenübersetzung führen statische 1:1-Zuordnungen von einer Quell-IP-Adresse zu einer externen IP-Adresse durch. Wenn nur eine externe IP-Adresse vorhanden ist oder nur sehr wenige in einem Nicht-Pat-Pool vorhanden sind, address-shared können Sie mit dieser Option viele Quell-IP-Adressen einer externen IP-Adresse zuordnen, solange der Datenverkehr von verschiedenen Quell-Ports stammt.

Wenn beispielsweise ein Quell-NAT-Pool ohne Portübersetzung, der nur zwei IP-Adressen enthält, IP 1 und IP 2, wenn ein Paket von

  1. Quelle IP 1, Port 1, wird in IP 1, Port 1 übersetzt.

  2. Quelle IP 2, Port 2, wird in IP 2, Port 2 übersetzt.

  3. Quelle IP 3, Port 1, wird in IP 2, Port 1 übersetzt. (Er kann nicht in IP 1 Port 1 übersetzt werden, da dieser Port bereits verwendet wird.

    Wenn jedoch ein anderes Paket von Source IP 3, Port 1 für eine andere Ziel-IP und einen anderen Port ankommt, kann es nicht in IP 1, Port 1 oder IP 2, Port 1 übersetzt werden, da Port 1 bereits für beide verfügbaren IP-Adressen verwendet wird. Die Sitzung wird ausfallen.

Mit dieser Option können NAT Ressourcen erhöht und die Einrichtung erfolgreich übertragener Daten verbessert werden. Sie kann nicht für Quell-NAT-Pools mit Port-Adressumsetzung verwendet werden, da Adressfreigabe bereits Standardverhalten ist.

Grundlegendes NAT Sitzungspersistenz

Network Address Translation (NAT) Sitzungspersistenz dient als Mittel zum Beibehalten vorhandener Sitzungen, anstatt sie zu löschen, wenn Änderungen an der NAT vorhanden sind. Wenn die Sitzungspersistenz aktiviert ist, werden die beibehaltenen Sitzungen weiterverfolgen und Pakete weitergeleitet, da Zeit und Ressourcen optimal zum Neuaufbau der auswirkungsfähigen Sitzungen verwendet werden. Die Paketweiterleitung stoppt also selbst dann nicht, NAT Konfiguration für einige oder alle Sitzungen geändert wurde.

Ab Junos OS Veröffentlichung 18.3R1 scannt der Packet Forwarding Engine mit Unterstützung für die NAT-Sitzungspersistenz die Sitzungen und entscheidet, ob die Sitzungen behalten oder die Sitzungen entfernt werden sollen. In versionen vor Junos OS Veröffentlichung 18.3R1 werden die NAT-Sitzungen bei einer Änderung der Konfiguration NAT genehmigt.

Das Packet Forwarding Engine führt die folgenden zwei Arten von Scans durch, um zu entscheiden, ob Sitzungen beibehalten oder ablegen werden:

  • Source NAT pool session persistence scan— Der Packet Forwarding Engine Vergleich der vorhandenen Sitzungs-IP-Adresse mit dem Adressbereich des Quellpools. Wenn sich die vorhandene IP-Adresse der Sitzung im angegebenen Adressbereich des Quellpools befindet, wird die Sitzung am Leben erhalten, andernfalls wird die Sitzung gelöscht.

  • Source NAT rule session persistence scan— Der Packet Forwarding Engine verwendet die Regel-ID, um die Quell-IP-Adresse, den Quell-Port, die Ziel-IP-Adresse und den Zielport zwischen alten und neuen Konfigurationen zu vergleichen. Wenn die neuen und alten Konfigurationen identisch sind, bleibt die Sitzung am Leben, andernfalls wird die Sitzung geräumt.

Hinweis:
  • NAT Sitzungspersistenz wird für statische Daten und Ziel-NAT Daten NAT.

  • NAT Sitzungskonpersistenz wird nicht unterstützt, wenn der PAT-Pool mit den Feldern Address Persistent, Address Pooling, Source Address-Persistent, Port-Blockierung, Port deterministisches, persistentes NAT und Port-Überlastungsfaktor konfiguriert ist.

NAT Sitzungspersistenz wird in den folgenden Szenarien nur für Quell NAT unterstützt:

  • Quellpool: Ändern Sie einen Adressbereich in einem PAT-Pool (Port Address Translation).

  • Quellregel: Ändern der Übereinstimmungsbedingungen für Adressbuch, Anwendung, Ziel-IP-Adresse, Ziel-Port, Quell-IP-Adresse und Ziel-Portinformationen.

Um die NAT Sitzungspersistenz zu aktivieren, fügen Sie die session-persistence-scan Anweisung auf der Hierarchieebene [edit security nat source] ein.

Sie können auch einen Timeout-Wert konfigurieren, um set security nat source session-drop-hold-down die Sitzungen für den angegebenen Zeitraum mithilfe des Befehlszeilenbefehls CLI beibehalten zu können. Der Wert der Option session-drop-hold-down reicht von 30 bis 28.800 Sekunden (acht Stunden). Die Sitzung läuft nach der konfigurierten Timeout-Zeitspanne ab.

Einschränkungen der NAT Sitzungspersistenz

  • Wenn eine Änderung der IP-Adressen im Quellpool NAT liegt, werden die neu konfigurierten IP-Adressen an den NAT- oder Quellpool angehängt. Nachdem der NAT-Quellpool wiederhergestellt wurde, sind die neuen IP-Adressen nicht die gleichen wie die vorhandenen IP-Adressen. Die Unterschiede zwischen den IP-Adressen im NAT-Quellpool haben Auswirkungen auf den Round-Robin-Modus der Auswahl von IP-Adressen aus dem NAT Quellpool.

  • Wenn die Scan-Typen Sitzungen identifizieren, die nie zu einem timed out sind (d. h. die Sitzungen, session-drop-hold-down für die der Wert nicht konfiguriert ist oder als 8 Stunden konfiguriert wird), dann ignoriert der Packet Forwarding Engine diese Sitzungen, und die Sitzungen werden beibehalten.

Konfiguration der Portblockierungszuweisungsgröße

Bevor Sie beginnen:

Sie können die gesicherte Portblockierungszuordnung konfigurieren, die Portsblöcke einem bestimmten NAT weist. Mit der Portblockierungszuordnung generieren wir ein Syslog-Protokoll pro Portzuordnung für einen Abonnenten. Verwenden Sie dieses Verfahren zum Konfigurieren der Zuordnungsgröße für Portblockierung.

  1. Konfigurieren Sie die IPv4-Adressen.
  2. Konfigurieren Sie den Start- und End-Portwert.
  3. Konfigurieren Sie die Zuordnungsgröße für Portblockierung.

    Wenn Sie die Portblockierungszuordnung als 8 SRX5400, SRX5600 und SRX5800 konfigurieren, wird die Warnung angezeigt warning: To save system memory, the block size is recommended to be no less than 8.

    Beginnend ab Junos OS Release 20.3R1 können Sie die Zuordnungsgröße für Portblockierung auf SRX300, SRX320, SRX340, SRX345, SRX380, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 konfigurieren. Zum Speichern des Systemspeichers beträgt die empfohlene Größe der Portblockierung 64. Wenn Sie die Portblockierungszuordnung als kleiner als 64 konfigurieren, wird die Warnnachricht angezeigt warning: To save system memory, the block size is recommended to be no less than 64.

  4. Konfigurieren Sie die Zwischenprotokollintervallzeit.
  5. Konfigurieren Sie den Timeout-Wert für das letzte Port-Blockierungs-Wert.
  6. Commit-Konfiguration
  7. Überprüfen des konfigurierten Ausgabewerts block-size

Konfigurieren des Timeouts NAT Sitzungsspeicherung und NAT Sitzungspersistenzscan

In dieser Konfiguration wird veranschaulicht, wie das NAT-Holdout und die NAT Sitzungskondistenz konfiguriert werden.

Configuring NAT Session Hold Timeout

Die folgende Konfiguration zeigt, wie Sie die Timeout-NAT Sitzung konfigurieren.

  • Zum Festlegen des NAT Hold-Timeout-Zeitraums für Sitzungen:

    Der Wert der Zeitvariablen reicht von 30 bis 28.800 Sekunden (acht Stunden). Die Sitzung läuft nach der konfigurierten Timeout-Zeitspanne ab.

Results

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Configuring NAT Session Persistence Scan

Die folgende Konfiguration zeigt, wie der scannte NAT Sitzungskondistenz konfiguriert wird.

  • So aktivieren Sie den NAT Sitzungspersistenzscan:

Results

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Grundlegende NAT Konfigurationsprüfung für Ausgangsschnittstellen nach der Umroute

Die Network Address Translation (NAT) ändert sich oft, um mehr Benutzer zu beherbergen und die kürzeste Route für die Übertragung des Datenverkehrs zu verbessern. Wenn aufgrund von Datenverkehrsumführungen eine Änderung an der Ausgangsschnittstelle vorhanden ist, können Sie den Befehl verwenden, set security flow enable-reroute-uniform-link-check nat um die vorhandene Konfiguration NAT und Regel beibehalten.

Wenn der Befehl enable-reroute-uniform-link-check nat aktiviert ist:

  • Die Sitzung wird mit der vorhandenen NAT-Regel beibehalten, wenn sich die neue Ausgangsschnittstelle und die vorherige Ausgangsschnittstelle in derselben Sicherheitszone befinden und keine Änderungen in der übereinstimmungen NAT-Regel vorhanden sind oder vor und nach der Umleitung keine Regeln angewendet werden.

  • Die Sitzung läuft ab, wenn sich die neue Ausgangsschnittstelle und die vorherige Ausgangsschnittstelle in derselben Sicherheitszone befinden und die gleiche NAT wird geändert.

Deaktivierter enable-reroute-uniform-link-check nat Befehl:

  • Der Datenverkehr wird an die neue Ausgangsschnittstelle weitergeleitet, wenn sich die neue Ausgangsschnittstelle und die vorherige Ausgangsschnittstelle in der gleichen Sicherheitszone befinden.

Configuration

Verwenden Sie den folgenden Befehl, um die NAT einer vorhandenen Sitzung zu aktivieren, wenn eine Änderung der Ausgangsschnittstelle aufgrund einer Umleitung vorhanden ist:

[edit] user@host# set security flow enable-reroute-uniform-link-check natDie neue Konfiguration wird angewendet, wenn Sie die Konfigurationsänderungen commit.

Die enable-reroute-uniform-link-check nat command ist standardmäßig deaktiviert.

Limitations

Die Beibehaltung der NAT mit dem Befehl set security flow enable-reroute-uniform-link-check nat hat folgende Einschränkungen:

  • Die TCP-Synchronisierung ermöglicht es der neuen Sitzung nicht, den Datenverkehr zu übertragen. Sie müssen die TCP-Synchronisierung deaktivieren, um die Übertragung von Datenverkehr in neuen Sitzungen zu ermöglichen.

  • Wenn die Paketinformationen nach einem Drei-Wege-Handshake zur Initialisierung der Kommunikation eingeleitet werden, können die Paketinformationen verloren gehen. Sie müssen das Junos OS Services Framework (JSF) wie Anwendungsebene Gateway (ALG) deaktivieren, um die Übertragung von Datenverkehr in neuen Sitzungen zu ermöglichen.

Tabelle zum Versionsverlauf
Release
Beschreibung
17.4R1
Ab dem Junos OS Release 17.4R1 wurden die von der Central Point Architecture verarbeiteten Quell-NAT-Ressourcen auf die SPUs ausgeschaltet, wenn die SPC-Nummer mehr als vier be liegt, was eine effizientere Ressourcenzuweisung zur Folge hat.
15.1X49-D30
Die Central Point-Architektur für NAT wird ab Junos OS Release 15.1X49-D30 und Junos OS Release 17.3R1 erweitert, um eine höhere Systemsitzungskapazität und Sitzungsauflaufrate für die SRX5000-Reihe zu bewältigen.
12.3X48-D40
In Release 12.3X48-D40 und in Release 15.1X49-D60 und höheren Versionen können Sie die Portkapazität des Quell-NAT auf SRX5400, SRX5600 und SRX5800-Geräten mit Services Processing Cards (SPCs) der nächsten Generation auf 2,4 G erhöhen. Dabei wird die Statement mit der Portskalierung auf der unterstützten [edit security nat Source]-Hierarchieebene verwendet.