AUF DIESER SEITE
Übersicht über die NAT-Konfiguration
In diesem Thema wird beschrieben, wie Sie Network Address Translation (NAT) und mehrere Internetdienstanbieter konfigurieren. Außerdem hilft dieses Thema bei der Überprüfung des NAT-Datenverkehrs, indem die Ablaufverfolgungsoptionen und die NAT-Tabelle konfiguriert werden.
Konfigurieren von NAT mit dem NAT-Assistenten
Sie können den NAT-Assistenten verwenden, um die grundlegende NAT-Konfiguration durchzuführen. Für eine erweiterte Konfiguration verwenden Sie die J-Web-Schnittstelle oder die CLI.
So konfigurieren Sie NAT mit dem NAT-Assistenten:
- Wählen Sie in der J-Web-Oberfläche aus
Configure>Tasks>Configure NAT. - Klicken Sie auf die Schaltfläche NAT-Assistenten starten.
- Folgen Sie den Anweisungen des Assistenten.
Der obere linke Bereich der Assistentenseite zeigt an, wo Sie sich im Konfigurationsprozess befinden. Im unteren linken Bereich der Seite wird feldsensitive Hilfe angezeigt. Wenn Sie unter der Überschrift Ressourcen auf einen Link klicken, wird das Dokument in Ihrem Browser geöffnet. Wenn das Dokument in einem neuen Tab geöffnet wird, stellen Sie sicher, dass Sie beim Schließen des Dokuments nur den Tab (nicht das Browserfenster) schließen.
Beispiel: Konfigurieren von NAT für mehrere ISPs
Dieses Beispiel zeigt, wie ein Gerät von Juniper Networks für die Adressübersetzung mehrerer ISPs konfiguriert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Netzwerkschnittstellen auf dem Gerät. Weitere Informationen finden Sie im Benutzerhandbuch für Schnittstellen für Sicherheitsgeräte.
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitszonen.
Überblick
In diesem Beispiel können Sie eine Firewall der SRX-Serie konfigurieren, indem Sie das LAN mithilfe der NAT-Funktion über zwei ISP-Verbindungen mit dem Internet verbinden. In dieser Konfiguration ist die Vertrauensstellung die Sicherheitszone für den privaten Adressraum, und die beiden nicht vertrauenswürdigen Sicherheitszonen für den öffentlichen Adressraum werden verwendet, um eine Verbindung vom LAN zu den beiden ISPs und umgekehrt herzustellen. Das Beispiel ist eine Kombination aus Quell-NAT-Regeln für die Verbindung mit dem Internet über das LAN und Ziel- und statischen NAT-Regeln für die Verbindung mit dem LAN über das Internet.
Konfiguration
Konfigurieren von NAT für mehrere ISPs
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [Bearbeiten] ein und geben Sie sie dann aus dem Konfigurationsmodus ein commit .
set routing-instances isp1 instance-type virtual-router set routing-instances isp1 interface ge-0/0/2.0 set routing-instances isp1 routing-options static route 10.0.0.0/8 next-table inet.0 set routing-instances isp1 routing-options static route 0.0.0.0/0 next-hop 192.0.2.20 set routing-instances isp2 instance-type virtual-router set routing-instances isp2 interface ge-0/0/3.0 set routing-instances isp2 routing-options static route 10.0.0.0/8 next-table inet.0 set routing-instances isp2 routing-options static route 0.0.0.0/0 next-hop 198.51.100.251 set routing-options interface-routes rib-group inet isp set routing-options static route 10.0.0.0/8 next-hop 10.0.21.254 set routing-options rib-groups isp import-rib inet.0 set routing-options rib-groups isp import-rib isp1.inet.0 set routing-options rib-groups isp import-rib isp2.inet.0 set security policies from-zone trust to-zone untrust1 policy tr-untr1-pol match source-address any set security policies from-zone trust to-zone untrust1 policy tr-untr1-pol match destination-address any set security policies from-zone trust to-zone untrust1 policy tr-untr1-pol match application any set security policies from-zone trust to-zone untrust1 policy tr-untr1-pol then permit set security policies from-zone trust to-zone untrust2 policy tr-untr2-pol match source-address any set security policies from-zone trust to-zone untrust2 policy tr-untr2-pol match destination-address any set security policies from-zone trust to-zone untrust2 policy tr-untr2-pol match application any set security policies from-zone trust to-zone untrust2 policy tr-untr2-pol then permit set security policies from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match source-address any set security policies from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match destination-address any set security policies from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match application any set security policies from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol then reject set security policies from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match source-address any set security policies from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match destination-address any set security policies from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match application any set security policies from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol then reject set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol match source-address any set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol match destination-address ftp-ser set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol match destination-address telnet-ser set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol match application junos-ftp set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol match application junos-telnet set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol then permit set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match source-address any set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address 10.171.9.23/32 set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address http-ser set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address 10.103.12.0/24 set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-http set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-icmp-all set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-dhcp-server set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol then permit set security nat source pool pool_1 address 192.0.2.40/32 to 192.0.2.190/32 set security nat source pool pool_2 address 192.0.2.250/32 set security nat source pool pool_3 address 198.51.100.20/32 to 198.51.100.30/32 set security nat source address-persistent set security nat source pool-utilization-alarm raise-threshold 90 set security nat source pool-utilization-alarm clear-threshold 80 set security nat source rule-set SR_SET_1 from zone trust set security nat source rule-set SR_SET_1 to zone untrust1 set security nat source rule-set SR_SET_1 rule rule1 match source-address 10.11.0.0/16 set security nat source rule-set SR_SET_1 rule rule1 match source-address 10.147.0.0/16 set security nat source rule-set SR_SET_1 rule rule1 match destination-address 0.0.0.0/0 set security nat source rule-set SR_SET_1 rule rule1 then source-nat pool pool_1 set security nat source rule-set SR_SET_1 rule rule2 match source-address 10.148.1.0/27 set security nat source rule-set SR_SET_1 rule rule2 match destination-address 0.0.0.0/0 set security nat source rule-set SR_SET_1 rule rule2 then source-nat interface set security nat source rule-set SR_SET_2 from zone trust set security nat source rule-set SR_SET_2 to zone untrust2 set security nat source rule-set SR_SET_2 rule rule3 match source-address 10.140.21.0/27 set security nat source rule-set SR_SET_2 rule rule3 then source-nat pool pool_3 set security nat source rule-set SR_SET_2 rule rule4 match source-address 10.150.45.0/24 set security nat source rule-set SR_SET_2 rule rule4 then source-nat off set security nat destination pool dppol_1 address 10.101.1.10/32 set security nat destination pool dppol_1 address port 21 set security nat destination pool dppol_2 address 10.101.1.11/32 set security nat destination pool dppol_2 address port 2101 set security nat destination pool dppol_3 address 10.103.12.251/32 set security nat destination pool dppol_3 address port 23 set security nat destination pool dppol_4 address 10.103.12.241/32 set security nat destination pool dppol_4 address port 23 set security nat destination pool dppol_5 address 10.103.1.11/32 set security nat destination pool dppol_5 address port 22 set security nat destination rule-set DR_SET1 from routing-instance isp1 set security nat destination rule-set DR_SET1 rule rule1 match destination-address 192.168.0.10/32 set security nat destination rule-set DR_SET1 rule rule1 match destination-port 7230 set security nat destination rule-set DR_SET1 rule rule1 then destination-nat pool dppol_1 set security nat destination rule-set DR_SET1 rule rule2 match destination-address 192.169.1.0/24 set security nat destination rule-set DR_SET1 rule rule2 then destination-nat pool dppol_2 set security nat destination rule-set DR_SET2 from routing-instance isp2 set security nat destination rule-set DR_SET2 rule rule3 match destination-address 192.168.2.2/32 set security nat destination rule-set DR_SET2 rule rule3 match destination-port 7351 set security nat destination rule-set DR_SET2 rule rule3 then destination-nat pool dppol_3 set security nat destination rule-set DR_SET2 rule rule4 match destination-address 192.168.4.171/32 set security nat destination rule-set DR_SET2 rule rule4 match destination-port 3451 set security nat destination rule-set DR_SET2 rule rule4 then destination-nat pool dppol_4 set security nat static rule-set ST_SET1 from zone trust set security nat static rule-set ST_SET1 rule rule1 match destination-address 10.0.10.0/24 set security nat static rule-set ST_SET1 rule rule1 then static-nat prefix 192.168.5.0/24 set security nat static rule-set ST_SET2 from routing-instance isp1 set security nat static rule-set ST_SET2 rule rule2 match destination-address 192.168.6.0/24 set security nat static rule-set ST_SET2 rule rule2 then static-nat prefix 10.107.30.0/24 set security nat static rule-set ST_SET2 rule rule3 match destination-address 192.168.0.10/32 set security nat static rule-set ST_SET2 rule rule3 then static-nat prefix 10.171.9.23/32
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
Konfigurieren von Routing-Instanzen.
[edit ] user@host# set routing-instances isp1 instance-type virtual-router user@host# set routing-instances isp1 interface ge-0/0/2.0 user@host# set routing-instances isp1 routing-options static route 10.0.0.0/8 next-table inet.0 user@host# set routing-instances isp1 routing-options static route 0.0.0.0/0 next-hop 192.0.2.20 user@host# set routing-instances isp2 instance-type virtual-router user@host# set routing-instances isp2 interface ge-0/0/3.0 user@host# set routing-instances isp2 routing-options static route 10.0.0.0/8 next-table inet.0 user@host# set routing-instances isp2 routing-options static route 0.0.0.0/0 next-hop 198.51.100.251
Konfigurieren von Rippengruppen und Routing-Optionen.
[edit ] user@host# set routing-options interface-routes rib-group inet isp user@host# set routing-options static route 10.0.0.0/8 next-hop 10.0.21.254 user@host# set routing-options rib-groups isp import-rib inet.0 user@host# set routing-options rib-groups isp import-rib isp1.inet.0 user@host# set routing-options rib-groups isp import-rib isp2.inet.0
Konfigurieren von Sicherheitsrichtlinien.
[edit security policies] user@host# set from-zone trust to-zone untrust1 policy tr-untr1-pol match source-address any user@host# set from-zone trust to-zone untrust1 policy tr-untr1-pol match destination-address any user@host# set from-zone trust to-zone untrust1 policy tr-untr1-pol match application any user@host# set from-zone trust to-zone untrust1 policy tr-untr1-pol then permit user@host# set from-zone trust to-zone untrust2 policy tr-untr2-pol match source-address any user@host# set from-zone trust to-zone untrust2 policy tr-untr2-pol match destination-address any user@host# set from-zone trust to-zone untrust2 policy tr-untr2-pol match application any user@host# set from-zone trust to-zone untrust2 policy tr-untr2-pol then permit user@host# set from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match source-address any user@host# set from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match destination-address anyfrom-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match destination-address any user@host# set from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match application any user@host# set from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol then reject user@host# set from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match source-address any user@host# set from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match destination-address any user@host# set from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match application any user@host# set from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol then reject user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol match source-address any user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol match destination-address ftp-ser user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol match destination-address telnet-ser user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol match application junos-ftp user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol match application junos-telnet user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol then permit user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match source-address any user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address 10.171.9.23/32 user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address http-ser user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address 10.103.12.0/24 user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-http user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-icmp-all user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-dhcp-server user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol then permit
Konfigurieren von Quell-NAT-Pools und -Regeln.
[edit security nat] user@host# set source pool pool_1 address 192.0.2.40/32 to 192.0.2.190/32 user@host# set source pool pool_2 address 192.0.2.250/32 user@host# set source pool pool_3 address 198.51.100.20/32 to 198.51.100.30/32 user@host# set source address-persistent user@host# set source pool-utilization-alarm raise-threshold 90 user@host# set source pool-utilization-alarm clear-threshold 80 user@host# set source rule-set SR_SET_1 from zone trust user@host# set source rule-set SR_SET_1 to zone untrust1 user@host# set source rule-set SR_SET_1 rule rule1 match source-address 10.11.0.0/16 user@host# set source rule-set SR_SET_1 rule rule1 match source-address 10.147.0.0/16 user@host# set source rule-set SR_SET_1 rule rule1 match destination-address 0.0.0.0/0 user@host# set source rule-set SR_SET_1 rule rule1 then source-nat pool pool_1 user@host# set source rule-set SR_SET_1 rule rule2 match source-address 10.148.1.0/27 user@host# set source rule-set SR_SET_1 rule rule2 match destination-address 0.0.0.0/0 user@host# set source rule-set SR_SET_1 rule rule2 then source-nat interface user@host# set source rule-set SR_SET_2 from zone trust user@host# set source rule-set SR_SET_2 to zone untrust2 user@host# set source rule-set SR_SET_2 rule rule3 match source-address 10.140.21.0/27 user@host# set source rule-set SR_SET_2 rule rule3 then source-nat pool pool_3 user@host# set source rule-set SR_SET_2 rule rule4 match source-address 10.150.45.0/24 user@host# set source rule-set SR_SET_2 rule rule4 then source-nat off
Konfigurieren von Ziel-NAT-Pools und -Regeln.
[edit security nat] user@host#set destination pool dppol_1 address 10.101.1.10/32 user@host#set destination pool dppol_1 address port 21 user@host#set destination pool dppol_2 address 10.101.1.11/32 user@host#set destination pool dppol_2 address port 2101 user@host#set destination pool dppol_3 address 10.103.12.251/32 user@host#set destination pool dppol_3 address port 23 user@host#set destination pool dppol_4 address 10.103.12.241/32 user@host#set destination pool dppol_4 address port 23 user@host#set destination pool dppol_5 address 10.103.1.11/32 user@host#set destination pool dppol_5 address port 22 user@host#set destination rule-set DR_SET1 from routing-instance isp1 user@host#set destination rule-set DR_SET1 rule rule1 match destination-address 192.168.0.10/32 user@host#set destination rule-set DR_SET1 rule rule1 match destination-port 7230 user@host#set destination rule-set DR_SET1 rule rule1 then destination-nat pool dppol_1 user@host#set destination rule-set DR_SET1 rule rule2 match destination-address 192.169.1.0/24 user@host#set destination rule-set DR_SET1 rule rule2 then destination-nat pool dppol_2 user@host#set destination rule-set DR_SET2 from routing-instance isp2 user@host#set destination rule-set DR_SET2 rule rule3 match destination-address 192.168.2.2/32 user@host#set destination rule-set DR_SET2 rule rule3 match destination-port 7351 user@host#set destination rule-set DR_SET2 rule rule3 then destination-nat pool dppol_3 user@host#set destination rule-set DR_SET2 rule rule4 match destination-address 192.168.4.171/32 user@host#set destination rule-set DR_SET2 rule rule4 match destination-port 3451 user@host#set destination rule-set DR_SET2 rule rule4 then destination-nat pool dppol_4
Konfigurieren Sie statische NAT-Regeln.
[edit security nat] user@host#set static rule-set ST_SET1 from zone trust user@host#set static rule-set ST_SET1 rule rule1 match destination-address 10.0.10.0/24 user@host#set static rule-set ST_SET1 rule rule1 then static-nat prefix 192.168.5.0/24 user@host#set static rule-set ST_SET2 from routing-instance isp1 user@host#set static rule-set ST_SET2 rule rule2 match destination-address 192.168.6.0/24 user@host#set static rule-set ST_SET2 rule rule2 then static-nat prefix 10.107.30.0/24 user@host#set static rule-set ST_SET2 rule rule3 match destination-address 192.168.7.2/32 user@host#set static rule-set ST_SET2 rule rule3 then static-nat prefix 10.171.9.23/32
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie show configuration command eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show configuration routing-intances
routing-instances {
isp1 {
instance-type virtual-router;
interface ge-0/0/2.0;
routing-options {
static {
route 10.0.0.0/8 next-table inet.0;
route 0.0.0.0/0 next-hop 192.0.2.20;
}
}
}
isp2 {
instance-type virtual-router;
interface ge-0/0/3.0;
routing-options {
static {
route 10.0.0.0/8 next-table inet.0;
route 0.0.0.0/0 next-hop 198.51.100.251;
}
}
}
}
user@host# show configuration routing-options
routing-options {
interface-routes {
rib-group inet isp;
}
static {
route 10.0.0.0/8 next-hop 10.0.21.254;
}
rib-groups {
isp {
import-rib [ isp1.inet.0 isp2.inet.0 ];
}
}
}
user@host# show configuration policies
policies {
from-zone trust to-zone untrust1 {
policy tr-untr1-pol {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust2 {
policy tr-untr2-pol {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust1 to-zone untrust2 {
policy untr1-untr2-pol {
match {
source-address any;
destination-address any;
application any;
}
then {
reject;
}
}
}
from-zone untrust2 to-zone untrust1 {
policy untr2-untr1-pol {
match {
source-address any;
destination-address any;
application any;
}
then {
reject;
}
}
}
from-zone untrust1 to-zone trust {
policy untr1-tr-pol {
match {
source-address any;
destination-address [ ftp-ser telnet-ser ];
application [ junos-ftp junos-telnet ];
}
then {
permit;
}
}
}
from-zone untrust2 to-zone trust {
policy untr2-tr-pol {
match {
source-address any;
destination-address [ 10.171.9.23/32 http-ser 10.103.12.0/24 ];
application [ junos-http junos-icmp-all junos-dhcp-server ];
}
then {
permit;
}
}
}
}
user@host# show configuration security nat
security {
nat {
source {
pool pool_1 {
address {
192.0.2.40/32 to 192.0.2.190/32;
}
}
pool pool_2 {
address {
192.0.2.250/32;
}
}
pool pool_3 {
address {
198.51.100.20/32 to 198.51.100.30/32;
}
}
address-persistent;
pool-utilization-alarm raise-threshold 90 clear-threshold 80;
rule-set SR_SET_1 {
from zone trust;
to zone untrust1;
rule rule1 {
match {
source-address [ 10.11.0.0/16 10.147.0.0/16 ];
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
pool_1;
}
}
}
}
rule rule2 {
match {
source-address 10.148.1.0/27;
destination-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
rule-set SR_SET_2 {
from zone trust;
to zone untrust2;
rule rule3 {
match {
source-address 10.140.21.0/27;
}
then {
source-nat {
pool {
pool_3;
}
}
}
}
rule rule4 {
match {
source-address 10.150.45.0/24;
}
then {
source-nat {
off;
}
}
}
}
}
user@host# show configuration security nat
destination {
pool dppol_1 {
address 10.101.1.10/32 port 21;
}
pool dppol_2 {
address 10.101.1.11/32 port 2101;
}
pool dppol_3 {
address 10.103.12.251/32 port 23;
}
pool dppol_4 {
address 10.103.12.241/32 port 23;
}
pool dppol_5 {
address 10.103.1.11/32 port 22;
}
rule-set DR_SET1 {
from routing-instance isp1;
rule rule1 {
match {
destination-address 192.168.0.10/32;
destination-port 7230;
}
then {
destination-nat pool dppol_1;
}
}
rule rule2 {
match {
destination-address 192.169.1.0/24;
}
then {
destination-nat pool dppol_2;
}
}
}
rule-set DR_SET2 {
from routing-instance isp2;
rule rule3 {
match {
destination-address 192.168.2.2/32;
destination-port 7351;
}
then {
destination-nat pool dppol_3;
}
}
rule rule4 {
match {
destination-address 192.168.4.171/32;
destination-port 3451;
}
then {
destination-nat pool dppol_4;
}
}
}
}
user@host# show configuration static nat
static {
rule-set ST_SET1 {
from zone trust;
rule rule1 {
match {
destination-address 10.0.10.0/24;
}
then {
static-nat prefix 192.168.5.0/24;
}
}
}
rule-set ST_SET2 {
from routing-instance isp1;
rule rule2 {
match {
destination-address 192.168.6.0/24;
}
then {
static-nat prefix 10.107.30.0/24;
}
}
rule rule3 {
match {
destination-address 192.168.7.2/32;
}
then {
static-nat prefix 10.171.9.23/32;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Verifizierung von Schnittstellen
Zweck
Vergewissern Sie sich, dass die Schnittstellen richtig konfiguriert sind.
Aktion
Geben Sie im Betriebsmodus die folgenden Befehle ein:
show interfacesshow zonesshow routing-instancesshow routing-optionsshow policiesshow source natshow destination natshow static nat
Konfigurieren von Proxy-ARP für NAT (CLI-Verfahren)
Sie verwenden die NAT-Proxy-ARP-Funktionalität, um Proxy-ARP-Einträge für IP-Adressen zu konfigurieren, die entweder Quell- oder Ziel-NAT erfordern und sich im selben Subnetz wie die Eingangsschnittstelle befinden. Bei Firewalls der SRX-Serie müssen Sie das NAT-Proxy-ARP explizit konfigurieren.
Bei der Konfiguration von NAT-Proxy-ARP müssen Sie die logische Schnittstelle angeben, auf der Proxy-ARP konfiguriert werden soll. Anschließend geben Sie eine Adresse oder einen Adressbereich ein.
Das Gerät führt Proxy-ARP für die folgenden Bedingungen aus:
Wenn sich die in der statischen NAT und im Quell-NAT-Pool definierten Adressen im selben Subnetz wie die Eingangsschnittstelle befinden
Wenn sich Adressen im ursprünglichen Zieladresseintrag in den Ziel-NAT-Regeln im selben Subnetz wie das der Eingangsschnittstelle befinden
user@host# set security nat proxy-arp interface fe-0/0/0.0 address 10.1.1.10 to 10.1.1.20
Konfigurieren von NAT-Trace-Optionen
Zweck
In der Hierarchie der NAT-Ablaufverfolgungsoptionen werden Ablaufverfolgungsdateien und -flags zu Überprüfungszwecken konfiguriert.
Firewalls der SRX-Serie bestehen aus zwei Hauptkomponenten: der Routing-Engine (RE) und der Packet Forwarding Engine (PFE). Die PFE ist in den ukernel-Anteil und den Echtzeit-Teil unterteilt.
Wenn für eine NAT-Konfiguration ein Commit ausgeführt wird, wird die Konfiguration zunächst auf der RE überprüft und validiert. Nach der Validierung wird die Konfiguration per Push an die PFE übertragen. Die Konfiguration wird auf dem ukernel-PFE installiert, dann wird für jedes Paket, das den NAT-Regeln auf dem Echtzeit-PFE entspricht, eine Aktion ausgeführt.
Zur Überprüfung können Sie Flags einzeln aktivieren, um die NAT-Funktionalität auf der RE, ukernel PFE oder Echtzeit-PFE zu debuggen:
Das
nat-reFlag zeichnet die Ablaufverfolgung der NAT-Konfigurationsüberprüfung auf der RE und den Konfigurationspush an die PFE auf.Das
nat-pfeFlag zeichnet die Ablaufverfolgung der NAT-Konfigurationsinstallation auf dem ukernel PFE auf.Das
nat-rtFlag zeichnet die Ablaufverfolgung der NAT-Regelübereinstimmung und die nachfolgende Aktion für die Echtzeit-PFE auf.
Die Trace-Daten werden standardmäßig in /var/log/security-trace geschrieben und können mit dem Befehl show log security-traceangezeigt werden.
Wenn die Sitzungsprotokollierung in den Richtlinienkonfigurationen auf dem Gerät aktiviert wurde, enthalten die Sitzungsprotokolle spezifische NAT-Details für jede Sitzung. Informationen zum Aktivieren der Sitzungsprotokollierung finden Sie unter Überwachung von Sicherheitsrichtlinienstatistiken und Informationen in Sitzungsprotokolleinträgen für Services Gateways der SRX-Serie für eine Beschreibung der in den Sitzungsprotokollen bereitgestellten Informationen.
Aktion
Verwenden Sie die security nat traceoptions Anweisung, um zu überprüfen, ob die NAT-Konfigurationen beim Commit korrekt auf dem Gerät aktualisiert werden und ob die NAT-Regelübereinstimmung und die nachfolgenden Aktionen korrekt sind.
user@host# set security nat traceoptions flag all user@host# set security nat traceoptions flag destination-nat-pfe user@host# set security nat traceoptions flag destination-nat-re user@host# set security nat traceoptions flag destination-nat-rti user@host# set security nat traceoptions flag source-nat-pfe user@host# set security nat traceoptions flag source-nat-re user@host# set security nat traceoptions flag source-nat-rt user@host# set security nat traceoptions flag static-nat-pfe user@host# set security nat traceoptions flag static-nat-re user@host# set security nat traceoptions flag static-nat-rt
Um zu überprüfen, ob NAT-Übersetzungen auf den Datenverkehr angewendet werden, und um die Verarbeitung einzelner Datenverkehrsflüsse mit NAT-Übersetzungen anzuzeigen, verwenden Sie den security nat traceoptions Befehl und den security flow traceoptions Befehl zusammen. Die Befehle werden zusammen verwendet, da die NAT-Ablaufverfolgung, die mit dem security nat traceoptions Befehl konfiguriert wurde, nur aufgezeichnet wird, wenn der flow traceoptions Befehl ebenfalls konfiguriert ist.
Um einen bestimmten Datenstrom zu filtern, können Sie einen Paketfilter definieren und ihn als Trace-Option verwenden:
user@host# set security flow traceoptions packet-filter packet-filter user@host# set security flow traceoptions packet-filter packet-filter apply-groups user@host# set security flow traceoptions packet-filter packet-filter apply-groups-except user@host# set security flow traceoptions packet-filter packet-filter destination-port user@host# set security flow traceoptions packet-filter packet-filter destination-prefix user@host# set security flow traceoptions packet-filter packet-filter interface user@host# set security flow traceoptions packet-filter packet-filter protocol user@host# set security flow traceoptions packet-filter packet-filter source-port user@host# set security flow traceoptions packet-filter packet-filter source-prefix
Um den NAT-Datenverkehr zu überprüfen und die gesamte Datenverkehrsablaufverfolgung in Data Plane zu aktivieren, verwenden Sie den Befehl traceoptions set security flow traceoptions flag basic-datapath , wie im folgenden Beispiel mit einem einfachen Paketfilter gezeigt:
user@host# set security flow traceoptions file filename user@host# set security flow traceoptions flag basic-datapath user@host# set security flow traceoptions packet-filter client-traffic source-prefixprefix user@host# set security flow traceoptions packet-filter client-traffic destination-prefixprefix user@host# set security nat traceoptions flag all
Überwachen von eingehenden NAT-Tabelleninformationen
Zweck
Zeigen Sie Informationen zur NAT-Tabelle an.
Aktion
Wählen Sie in der J-Web-Benutzeroberfläche Monitor>NAT>Incoming Table aus, oder geben Sie den folgenden CLI-Befehl ein:
show security nat incoming-table
Tabelle 1 fasst die wichtigsten Ausgabefelder in der Anzeige der Eingangstabelle zusammen.
Feld |
Werte |
|---|---|
| Statistik | |
Gebräuchlich |
Anzahl der Einträge in der NAT-Tabelle. |
Maximum |
Maximal zulässige Anzahl von Einträgen in der NAT-Tabelle. |
Zuordnung von Einträgen fehlgeschlagen |
Anzahl der Einträge, bei denen die Zuordnung fehlgeschlagen ist. |
| Eingehende Tabelle | |
Klar |
|
Bestimmungsort |
Ziel-IP-Adresse und Portnummer. |
Gastgeber |
Host-IP-Adresse und Portnummer, der die Ziel-IP-Adresse zugeordnet ist. |
Referenzen |
Anzahl der Sitzungen, die auf den Eintrag verweisen. |
Zeitüberschreitung |
Zeitüberschreitung (in Sekunden) des Eintrags in der NAT-Tabelle. |
Quellenpool |
Name des Quellpools, dem die Übersetzung zugeordnet ist. |
Überwachungsschnittstelle NAT-Portinformationen
Zweck
Zeigen Sie die Portnutzung für die Poolinformationen einer Schnittstelle an.
Aktion
Führen Sie einen der folgenden Schritte aus, um die NAT-Portinformationen der Schnittstelle zu überwachen:
Wählen Sie in der J-Web-Benutzeroberfläche Monitor>Firewall/NAT>Interface NAT oder Monitor>NAT>Interface NAT Ports oder geben Sie den CLI-Befehl
show security nat interface-nat-portsein.
Tabelle 2 fasst die wichtigsten Ausgabefelder in der Schnittstellen-NAT-Anzeige zusammen.
Feld |
Werte |
Zusatzinformation |
|---|---|---|
| Übersichtstabelle für Schnittstellen-NAT | ||
Pool-Index |
Portpoolindex. |
– |
Ports insgesamt |
Gesamtzahl der Ports in einem Portpool. |
– |
Zuweisung einzelner Ports |
Anzahl der Ports, die gleichzeitig zugewiesen und verwendet werden. |
– |
Einzelne Ports verfügbar |
Anzahl der Ports, die einzeln zugewiesen werden und für die jeweils frei sind. |
– |
Zuweisung von zwei Ports |
Anzahl der Ports, denen jeweils zwei zugewiesen sind und die verwendet werden. |
– |
Zwei Ports verfügbar |
Anzahl der Ports, denen jeweils zwei Ports zugewiesen sind, die zur Nutzung freigegeben sind. |
– |