AUF DIESER SEITE
Übersicht über die NAT-Konfiguration
In diesem Thema wird beschrieben, wie Sie Network Address Translation (NAT) und mehrere ISPs konfigurieren. Außerdem hilft dieses Thema bei der Überprüfung des NAT-Datenverkehrs durch Konfigurieren der Ablaufverfolgungsoptionen und Überwachen der NAT-Tabelle.
Konfigurieren von NAT mit dem NAT-Assistenten
Sie können den NAT-Assistenten verwenden, um eine grundlegende NAT-Konfiguration durchzuführen. Um eine erweiterte Konfiguration durchzuführen, verwenden Sie die J-Web-Schnittstelle oder die CLI.
So konfigurieren Sie NAT mit dem NAT-Assistenten:
- Wählen Sie in der J-Web-Oberfläche aus
Configure>Tasks>Configure NAT. - Klicken Sie auf die Schaltfläche NAT-Assistent starten.
- Folgen Sie den Anweisungen des Assistenten.
Der obere linke Bereich der Assistentenseite zeigt an, wo Sie sich im Konfigurationsprozess befinden. Im unteren linken Bereich der Seite wird die feldabhängige Hilfe angezeigt. Wenn Sie auf einen Link unter der Überschrift Ressourcen klicken, wird das Dokument in Ihrem Browser geöffnet. Wenn das Dokument in einer neuen Registerkarte geöffnet wird, stellen Sie sicher, dass Sie beim Schließen des Dokuments nur die Registerkarte (nicht das Browserfenster) schließen.
Beispiel: Konfigurieren von NAT für mehrere ISPs
Dieses Beispiel zeigt, wie ein Gerät von Juniper Networks für die Adressübersetzung mehrerer ISPs konfiguriert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Siehe Schnittstellen-Benutzerhandbuch für Sicherheits-Geräte.
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Siehe Grundlegendes zu Sicherheitszonen.
Überblick
In diesem Beispiel können Sie eine Firewall der SRX-Serie konfigurieren, indem Sie das LAN mithilfe der NAT-Funktion über zwei ISP-Verbindungen mit dem Internet verbinden. In dieser Konfiguration ist "vertrauenswürdig" die Sicherheitszone für den privaten Adressraum, und die beiden nicht vertrauenswürdigen Sicherheitszonen für den öffentlichen Adressraum werden verwendet, um eine Verbindung zwischen dem LAN und den beiden ISPs herzustellen und umgekehrt. Das Beispiel ist eine Kombination aus Quell-NAT-Regeln für die Verbindung mit dem Internet über das LAN und Ziel- und statischen NAT-Regeln für die Verbindung mit dem LAN über das Internet.
Konfiguration
Konfigurieren von NAT für mehrere ISPs
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein und rufen Sie dann den Konfigurationsmodus auf commit .
set routing-instances isp1 instance-type virtual-router set routing-instances isp1 interface ge-0/0/2.0 set routing-instances isp1 routing-options static route 10.0.0.0/8 next-table inet.0 set routing-instances isp1 routing-options static route 0.0.0.0/0 next-hop 192.0.2.20 set routing-instances isp2 instance-type virtual-router set routing-instances isp2 interface ge-0/0/3.0 set routing-instances isp2 routing-options static route 10.0.0.0/8 next-table inet.0 set routing-instances isp2 routing-options static route 0.0.0.0/0 next-hop 198.51.100.251 set routing-options interface-routes rib-group inet isp set routing-options static route 10.0.0.0/8 next-hop 10.0.21.254 set routing-options rib-groups isp import-rib inet.0 set routing-options rib-groups isp import-rib isp1.inet.0 set routing-options rib-groups isp import-rib isp2.inet.0 set security policies from-zone trust to-zone untrust1 policy tr-untr1-pol match source-address any set security policies from-zone trust to-zone untrust1 policy tr-untr1-pol match destination-address any set security policies from-zone trust to-zone untrust1 policy tr-untr1-pol match application any set security policies from-zone trust to-zone untrust1 policy tr-untr1-pol then permit set security policies from-zone trust to-zone untrust2 policy tr-untr2-pol match source-address any set security policies from-zone trust to-zone untrust2 policy tr-untr2-pol match destination-address any set security policies from-zone trust to-zone untrust2 policy tr-untr2-pol match application any set security policies from-zone trust to-zone untrust2 policy tr-untr2-pol then permit set security policies from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match source-address any set security policies from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match destination-address any set security policies from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match application any set security policies from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol then reject set security policies from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match source-address any set security policies from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match destination-address any set security policies from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match application any set security policies from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol then reject set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol match source-address any set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol match destination-address ftp-ser set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol match destination-address telnet-ser set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol match application junos-ftp set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol match application junos-telnet set security policies from-zone untrust1 to-zone trust policy untr1-tr-pol then permit set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match source-address any set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address 10.171.9.23/32 set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address http-ser set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address 10.103.12.0/24 set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-http set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-icmp-all set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-dhcp-server set security policies from-zone untrust2 to-zone trust policy untr2-tr-pol then permit set security nat source pool pool_1 address 192.0.2.40/32 to 192.0.2.190/32 set security nat source pool pool_2 address 192.0.2.250/32 set security nat source pool pool_3 address 198.51.100.20/32 to 198.51.100.30/32 set security nat source address-persistent set security nat source pool-utilization-alarm raise-threshold 90 set security nat source pool-utilization-alarm clear-threshold 80 set security nat source rule-set SR_SET_1 from zone trust set security nat source rule-set SR_SET_1 to zone untrust1 set security nat source rule-set SR_SET_1 rule rule1 match source-address 10.11.0.0/16 set security nat source rule-set SR_SET_1 rule rule1 match source-address 10.147.0.0/16 set security nat source rule-set SR_SET_1 rule rule1 match destination-address 0.0.0.0/0 set security nat source rule-set SR_SET_1 rule rule1 then source-nat pool pool_1 set security nat source rule-set SR_SET_1 rule rule2 match source-address 10.148.1.0/27 set security nat source rule-set SR_SET_1 rule rule2 match destination-address 0.0.0.0/0 set security nat source rule-set SR_SET_1 rule rule2 then source-nat interface set security nat source rule-set SR_SET_2 from zone trust set security nat source rule-set SR_SET_2 to zone untrust2 set security nat source rule-set SR_SET_2 rule rule3 match source-address 10.140.21.0/27 set security nat source rule-set SR_SET_2 rule rule3 then source-nat pool pool_3 set security nat source rule-set SR_SET_2 rule rule4 match source-address 10.150.45.0/24 set security nat source rule-set SR_SET_2 rule rule4 then source-nat off set security nat destination pool dppol_1 address 10.101.1.10/32 set security nat destination pool dppol_1 address port 21 set security nat destination pool dppol_2 address 10.101.1.11/32 set security nat destination pool dppol_2 address port 2101 set security nat destination pool dppol_3 address 10.103.12.251/32 set security nat destination pool dppol_3 address port 23 set security nat destination pool dppol_4 address 10.103.12.241/32 set security nat destination pool dppol_4 address port 23 set security nat destination pool dppol_5 address 10.103.1.11/32 set security nat destination pool dppol_5 address port 22 set security nat destination rule-set DR_SET1 from routing-instance isp1 set security nat destination rule-set DR_SET1 rule rule1 match destination-address 192.168.0.10/32 set security nat destination rule-set DR_SET1 rule rule1 match destination-port 7230 set security nat destination rule-set DR_SET1 rule rule1 then destination-nat pool dppol_1 set security nat destination rule-set DR_SET1 rule rule2 match destination-address 192.169.1.0/24 set security nat destination rule-set DR_SET1 rule rule2 then destination-nat pool dppol_2 set security nat destination rule-set DR_SET2 from routing-instance isp2 set security nat destination rule-set DR_SET2 rule rule3 match destination-address 192.168.2.2/32 set security nat destination rule-set DR_SET2 rule rule3 match destination-port 7351 set security nat destination rule-set DR_SET2 rule rule3 then destination-nat pool dppol_3 set security nat destination rule-set DR_SET2 rule rule4 match destination-address 192.168.4.171/32 set security nat destination rule-set DR_SET2 rule rule4 match destination-port 3451 set security nat destination rule-set DR_SET2 rule rule4 then destination-nat pool dppol_4 set security nat static rule-set ST_SET1 from zone trust set security nat static rule-set ST_SET1 rule rule1 match destination-address 10.0.10.0/24 set security nat static rule-set ST_SET1 rule rule1 then static-nat prefix 192.168.5.0/24 set security nat static rule-set ST_SET2 from routing-instance isp1 set security nat static rule-set ST_SET2 rule rule2 match destination-address 192.168.6.0/24 set security nat static rule-set ST_SET2 rule rule2 then static-nat prefix 10.107.30.0/24 set security nat static rule-set ST_SET2 rule rule3 match destination-address 192.168.0.10/32 set security nat static rule-set ST_SET2 rule rule3 then static-nat prefix 10.171.9.23/32
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
Konfigurieren Sie Routing-Instanzen.
[edit ] user@host# set routing-instances isp1 instance-type virtual-router user@host# set routing-instances isp1 interface ge-0/0/2.0 user@host# set routing-instances isp1 routing-options static route 10.0.0.0/8 next-table inet.0 user@host# set routing-instances isp1 routing-options static route 0.0.0.0/0 next-hop 192.0.2.20 user@host# set routing-instances isp2 instance-type virtual-router user@host# set routing-instances isp2 interface ge-0/0/3.0 user@host# set routing-instances isp2 routing-options static route 10.0.0.0/8 next-table inet.0 user@host# set routing-instances isp2 routing-options static route 0.0.0.0/0 next-hop 198.51.100.251
Konfigurieren Sie RIB-Gruppen und Routing-Optionen.
[edit ] user@host# set routing-options interface-routes rib-group inet isp user@host# set routing-options static route 10.0.0.0/8 next-hop 10.0.21.254 user@host# set routing-options rib-groups isp import-rib inet.0 user@host# set routing-options rib-groups isp import-rib isp1.inet.0 user@host# set routing-options rib-groups isp import-rib isp2.inet.0
Konfigurieren Sie Sicherheitsrichtlinien.
[edit security policies] user@host# set from-zone trust to-zone untrust1 policy tr-untr1-pol match source-address any user@host# set from-zone trust to-zone untrust1 policy tr-untr1-pol match destination-address any user@host# set from-zone trust to-zone untrust1 policy tr-untr1-pol match application any user@host# set from-zone trust to-zone untrust1 policy tr-untr1-pol then permit user@host# set from-zone trust to-zone untrust2 policy tr-untr2-pol match source-address any user@host# set from-zone trust to-zone untrust2 policy tr-untr2-pol match destination-address any user@host# set from-zone trust to-zone untrust2 policy tr-untr2-pol match application any user@host# set from-zone trust to-zone untrust2 policy tr-untr2-pol then permit user@host# set from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match source-address any user@host# set from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match destination-address anyfrom-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match destination-address any user@host# set from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol match application any user@host# set from-zone untrust1 to-zone untrust2 policy untr1-untr2-pol then reject user@host# set from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match source-address any user@host# set from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match destination-address any user@host# set from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol match application any user@host# set from-zone untrust2 to-zone untrust1 policy untr2-untr1-pol then reject user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol match source-address any user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol match destination-address ftp-ser user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol match destination-address telnet-ser user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol match application junos-ftp user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol match application junos-telnet user@host# set from-zone untrust1 to-zone trust policy untr1-tr-pol then permit user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match source-address any user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address 10.171.9.23/32 user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address http-ser user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match destination-address 10.103.12.0/24 user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-http user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-icmp-all user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol match application junos-dhcp-server user@host# set from-zone untrust2 to-zone trust policy untr2-tr-pol then permit
Konfigurieren von Quell-NAT-Pools und -Regeln.
[edit security nat] user@host# set source pool pool_1 address 192.0.2.40/32 to 192.0.2.190/32 user@host# set source pool pool_2 address 192.0.2.250/32 user@host# set source pool pool_3 address 198.51.100.20/32 to 198.51.100.30/32 user@host# set source address-persistent user@host# set source pool-utilization-alarm raise-threshold 90 user@host# set source pool-utilization-alarm clear-threshold 80 user@host# set source rule-set SR_SET_1 from zone trust user@host# set source rule-set SR_SET_1 to zone untrust1 user@host# set source rule-set SR_SET_1 rule rule1 match source-address 10.11.0.0/16 user@host# set source rule-set SR_SET_1 rule rule1 match source-address 10.147.0.0/16 user@host# set source rule-set SR_SET_1 rule rule1 match destination-address 0.0.0.0/0 user@host# set source rule-set SR_SET_1 rule rule1 then source-nat pool pool_1 user@host# set source rule-set SR_SET_1 rule rule2 match source-address 10.148.1.0/27 user@host# set source rule-set SR_SET_1 rule rule2 match destination-address 0.0.0.0/0 user@host# set source rule-set SR_SET_1 rule rule2 then source-nat interface user@host# set source rule-set SR_SET_2 from zone trust user@host# set source rule-set SR_SET_2 to zone untrust2 user@host# set source rule-set SR_SET_2 rule rule3 match source-address 10.140.21.0/27 user@host# set source rule-set SR_SET_2 rule rule3 then source-nat pool pool_3 user@host# set source rule-set SR_SET_2 rule rule4 match source-address 10.150.45.0/24 user@host# set source rule-set SR_SET_2 rule rule4 then source-nat off
Konfigurieren Sie Ziel-NAT-Pools und -Regeln.
[edit security nat] user@host#set destination pool dppol_1 address 10.101.1.10/32 user@host#set destination pool dppol_1 address port 21 user@host#set destination pool dppol_2 address 10.101.1.11/32 user@host#set destination pool dppol_2 address port 2101 user@host#set destination pool dppol_3 address 10.103.12.251/32 user@host#set destination pool dppol_3 address port 23 user@host#set destination pool dppol_4 address 10.103.12.241/32 user@host#set destination pool dppol_4 address port 23 user@host#set destination pool dppol_5 address 10.103.1.11/32 user@host#set destination pool dppol_5 address port 22 user@host#set destination rule-set DR_SET1 from routing-instance isp1 user@host#set destination rule-set DR_SET1 rule rule1 match destination-address 192.168.0.10/32 user@host#set destination rule-set DR_SET1 rule rule1 match destination-port 7230 user@host#set destination rule-set DR_SET1 rule rule1 then destination-nat pool dppol_1 user@host#set destination rule-set DR_SET1 rule rule2 match destination-address 192.169.1.0/24 user@host#set destination rule-set DR_SET1 rule rule2 then destination-nat pool dppol_2 user@host#set destination rule-set DR_SET2 from routing-instance isp2 user@host#set destination rule-set DR_SET2 rule rule3 match destination-address 192.168.2.2/32 user@host#set destination rule-set DR_SET2 rule rule3 match destination-port 7351 user@host#set destination rule-set DR_SET2 rule rule3 then destination-nat pool dppol_3 user@host#set destination rule-set DR_SET2 rule rule4 match destination-address 192.168.4.171/32 user@host#set destination rule-set DR_SET2 rule rule4 match destination-port 3451 user@host#set destination rule-set DR_SET2 rule rule4 then destination-nat pool dppol_4
Konfigurieren statischer NAT-Regeln.
[edit security nat] user@host#set static rule-set ST_SET1 from zone trust user@host#set static rule-set ST_SET1 rule rule1 match destination-address 10.0.10.0/24 user@host#set static rule-set ST_SET1 rule rule1 then static-nat prefix 192.168.5.0/24 user@host#set static rule-set ST_SET2 from routing-instance isp1 user@host#set static rule-set ST_SET2 rule rule2 match destination-address 192.168.6.0/24 user@host#set static rule-set ST_SET2 rule rule2 then static-nat prefix 10.107.30.0/24 user@host#set static rule-set ST_SET2 rule rule3 match destination-address 192.168.7.2/32 user@host#set static rule-set ST_SET2 rule rule3 then static-nat prefix 10.171.9.23/32
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl show configuration eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show configuration routing-intances
routing-instances {
isp1 {
instance-type virtual-router;
interface ge-0/0/2.0;
routing-options {
static {
route 10.0.0.0/8 next-table inet.0;
route 0.0.0.0/0 next-hop 192.0.2.20;
}
}
}
isp2 {
instance-type virtual-router;
interface ge-0/0/3.0;
routing-options {
static {
route 10.0.0.0/8 next-table inet.0;
route 0.0.0.0/0 next-hop 198.51.100.251;
}
}
}
}
user@host# show configuration routing-options
routing-options {
interface-routes {
rib-group inet isp;
}
static {
route 10.0.0.0/8 next-hop 10.0.21.254;
}
rib-groups {
isp {
import-rib [ isp1.inet.0 isp2.inet.0 ];
}
}
}
user@host# show configuration policies
policies {
from-zone trust to-zone untrust1 {
policy tr-untr1-pol {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust2 {
policy tr-untr2-pol {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust1 to-zone untrust2 {
policy untr1-untr2-pol {
match {
source-address any;
destination-address any;
application any;
}
then {
reject;
}
}
}
from-zone untrust2 to-zone untrust1 {
policy untr2-untr1-pol {
match {
source-address any;
destination-address any;
application any;
}
then {
reject;
}
}
}
from-zone untrust1 to-zone trust {
policy untr1-tr-pol {
match {
source-address any;
destination-address [ ftp-ser telnet-ser ];
application [ junos-ftp junos-telnet ];
}
then {
permit;
}
}
}
from-zone untrust2 to-zone trust {
policy untr2-tr-pol {
match {
source-address any;
destination-address [ 10.171.9.23/32 http-ser 10.103.12.0/24 ];
application [ junos-http junos-icmp-all junos-dhcp-server ];
}
then {
permit;
}
}
}
}
user@host# show configuration security nat
security {
nat {
source {
pool pool_1 {
address {
192.0.2.40/32 to 192.0.2.190/32;
}
}
pool pool_2 {
address {
192.0.2.250/32;
}
}
pool pool_3 {
address {
198.51.100.20/32 to 198.51.100.30/32;
}
}
address-persistent;
pool-utilization-alarm raise-threshold 90 clear-threshold 80;
rule-set SR_SET_1 {
from zone trust;
to zone untrust1;
rule rule1 {
match {
source-address [ 10.11.0.0/16 10.147.0.0/16 ];
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
pool_1;
}
}
}
}
rule rule2 {
match {
source-address 10.148.1.0/27;
destination-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
rule-set SR_SET_2 {
from zone trust;
to zone untrust2;
rule rule3 {
match {
source-address 10.140.21.0/27;
}
then {
source-nat {
pool {
pool_3;
}
}
}
}
rule rule4 {
match {
source-address 10.150.45.0/24;
}
then {
source-nat {
off;
}
}
}
}
}
user@host# show configuration security nat
destination {
pool dppol_1 {
address 10.101.1.10/32 port 21;
}
pool dppol_2 {
address 10.101.1.11/32 port 2101;
}
pool dppol_3 {
address 10.103.12.251/32 port 23;
}
pool dppol_4 {
address 10.103.12.241/32 port 23;
}
pool dppol_5 {
address 10.103.1.11/32 port 22;
}
rule-set DR_SET1 {
from routing-instance isp1;
rule rule1 {
match {
destination-address 192.168.0.10/32;
destination-port 7230;
}
then {
destination-nat pool dppol_1;
}
}
rule rule2 {
match {
destination-address 192.169.1.0/24;
}
then {
destination-nat pool dppol_2;
}
}
}
rule-set DR_SET2 {
from routing-instance isp2;
rule rule3 {
match {
destination-address 192.168.2.2/32;
destination-port 7351;
}
then {
destination-nat pool dppol_3;
}
}
rule rule4 {
match {
destination-address 192.168.4.171/32;
destination-port 3451;
}
then {
destination-nat pool dppol_4;
}
}
}
}
user@host# show configuration static nat
static {
rule-set ST_SET1 {
from zone trust;
rule rule1 {
match {
destination-address 10.0.10.0/24;
}
then {
static-nat prefix 192.168.5.0/24;
}
}
}
rule-set ST_SET2 {
from routing-instance isp1;
rule rule2 {
match {
destination-address 192.168.6.0/24;
}
then {
static-nat prefix 10.107.30.0/24;
}
}
rule rule3 {
match {
destination-address 192.168.7.2/32;
}
then {
static-nat prefix 10.171.9.23/32;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Überprüfen von Schnittstellen
Zweck
Stellen Sie sicher, dass die Schnittstellen richtig konfiguriert sind.
Aktion
Geben Sie im Betriebsmodus die folgenden Befehle ein:
show interfacesshow zonesshow routing-instancesshow routing-optionsshow policiesshow source natshow destination natshow static nat
Konfigurieren von Proxy-ARP für NAT (CLI-Verfahren)
Sie verwenden die NAT-Proxy-ARP-Funktionalität, um Proxy-ARP-Einträge für IP-Adressen zu konfigurieren, die entweder Quell- oder Ziel-NAT erfordern und sich im selben Subnetz wie die Eingangsschnittstelle befinden. Auf Firewalls der SRX-Serie müssen Sie das NAT-Proxy-ARP explizit konfigurieren.
Bei der Konfiguration des NAT-Proxy-ARP müssen Sie die logische Schnittstelle angeben, auf der das Proxy-ARP konfiguriert werden soll. Anschließend geben Sie eine Adresse oder einen Adressbereich ein.
Das Gerät führt Proxy-ARP für die folgenden Bedingungen aus:
Wenn sich die im statischen NAT- und Quell-NAT-Pool definierten Adressen im selben Subnetz befinden wie das der Eingangsschnittstelle.
Wenn sich die Adressen im ursprünglichen Zieladresseintrag in den Ziel-NAT-Regeln im selben Subnetz befinden wie die Eingangsschnittstelle
user@host# set security nat proxy-arp interface fe-0/0/0.0 address 10.1.1.10 to 10.1.1.20
Konfigurieren von NAT-Ablaufverfolgungsoptionen
Zweck
Die Hierarchie der NAT-Ablaufverfolgungsoptionen konfiguriert Ablaufverfolgungsdateien und Flags für Überprüfungszwecke.
Firewalls der SRX-Serie bestehen aus zwei Hauptkomponenten: der Routing-Engine (RE) und der Packet Forwarding Engine (PFE). Die PFE ist in den ukernel-Teil und den Echtzeitteil unterteilt.
Wenn eine NAT-Konfiguration festgelegt wird, wird die Konfiguration zuerst auf der RE überprüft und validiert. Nach der Validierung wird die Konfiguration an die PFE übertragen. Die Konfiguration wird auf der ukernel-PFE installiert, dann wird eine Aktion für jedes Paket ausgeführt, das den NAT-Regeln in der Echtzeit-PFE entspricht.
Zur Überprüfung können Sie Flags einzeln aktivieren, um die NAT-Funktionalität auf der RE, der ukernel-PFE oder der Echtzeit-PFE zu debuggen:
Das
nat-reFlag zeichnet die Ablaufverfolgung der NAT-Konfigurationsvalidierung auf der RE und den Konfigurations-Push an die PFE auf.Das
nat-pfeFlag zeichnet die Ablaufverfolgung der Installation der NAT-Konfiguration auf der ukernel-PFE auf.Das
nat-rtFlag zeichnet die Ablaufverfolgung der NAT-Regelübereinstimmung und die anschließende Aktion für die Echtzeit-PFE auf.
Die Trace-Daten werden standardmäßig in /var/log/security-trace geschrieben und können mit dem Befehl show log security-traceangezeigt werden.
Wenn die Sitzungsprotokollierung in den Richtlinienkonfigurationen auf dem Gerät aktiviert wurde, enthalten die Sitzungsprotokolle spezifische NAT-Details für jede Sitzung. Informationen zum Aktivieren der Sitzungsprotokollierung finden Sie unter Überwachung von Sicherheitsrichtlinienstatistiken und Informationen in Sitzungsprotokolleinträgen für Services Gateways der SRX-Serie eine Beschreibung der in Sitzungsprotokollen bereitgestellten Informationen.
Aktion
Verwenden Sie die security nat traceoptions Anweisung, um zu überprüfen, ob NAT-Konfigurationen beim Commit ordnungsgemäß auf dem Gerät aktualisiert werden und ob die NAT-Regelübereinstimmung und nachfolgende Aktionen korrekt sind.
user@host# set security nat traceoptions flag all user@host# set security nat traceoptions flag destination-nat-pfe user@host# set security nat traceoptions flag destination-nat-re user@host# set security nat traceoptions flag destination-nat-rti user@host# set security nat traceoptions flag source-nat-pfe user@host# set security nat traceoptions flag source-nat-re user@host# set security nat traceoptions flag source-nat-rt user@host# set security nat traceoptions flag static-nat-pfe user@host# set security nat traceoptions flag static-nat-re user@host# set security nat traceoptions flag static-nat-rt
Um zu überprüfen, ob NAT-Übersetzungen auf den Datenverkehr angewendet werden, und um die Verarbeitung des einzelnen Datenverkehrsflusses mit NAT-Übersetzungen anzuzeigen, verwenden Sie sowohl den Befehl als auch den security nat traceoptions Befehl security flow traceoptions zusammen. Die Befehle werden zusammen verwendet, da die mit dem security nat traceoptions Befehl konfigurierte NAT-Ablaufverfolgung nur aufgezeichnet wird, wenn der flow traceoptions Befehl ebenfalls konfiguriert ist.
Um einen bestimmten Datenstrom zu filtern, können Sie einen Paketfilter definieren und ihn als Trace-Option verwenden:
user@host# set security flow traceoptions packet-filter packet-filter user@host# set security flow traceoptions packet-filter packet-filter apply-groups user@host# set security flow traceoptions packet-filter packet-filter apply-groups-except user@host# set security flow traceoptions packet-filter packet-filter destination-port user@host# set security flow traceoptions packet-filter packet-filter destination-prefix user@host# set security flow traceoptions packet-filter packet-filter interface user@host# set security flow traceoptions packet-filter packet-filter protocol user@host# set security flow traceoptions packet-filter packet-filter source-port user@host# set security flow traceoptions packet-filter packet-filter source-prefix
Um den NAT-Datenverkehr zu überprüfen und die gesamte Datenverkehrsüberwachung in Data Plane zu aktivieren, verwenden Sie den Befehl traceoptions set security flow traceoptions flag basic-datapath , wie im folgenden Beispiel mit einem einfachen Paketfilter gezeigt:
user@host# set security flow traceoptions file filename user@host# set security flow traceoptions flag basic-datapath user@host# set security flow traceoptions packet-filter client-traffic source-prefixprefix user@host# set security flow traceoptions packet-filter client-traffic destination-prefixprefix user@host# set security nat traceoptions flag all
Überwachen von Informationen zu eingehenden NAT-Tabellen
Zweck
Anzeigen von NAT-Tabelleninformationen.
Aktion
Wählen Sie in der J-Web-Benutzeroberfläche Monitor>NAT>Eingehende Tabelle oder geben Sie den folgenden CLI Befehl ein:
show security nat incoming-table
Tabelle 1 fasst die wichtigsten Ausgabefelder in der Anzeige der eingehenden Tabelle zusammen.
Feld |
Werte |
|---|---|
| Statistik | |
Im Einsatz |
Anzahl der Einträge in der NAT-Tabelle. |
Maximal |
Maximale Anzahl der Einträge in der NAT-Tabelle. |
Fehler bei der Eintragszuweisung |
Anzahl der Einträge, die bei der Zuordnung fehlgeschlagen sind. |
| Eingehende Tabelle | |
Auswahl zurücksetzen |
|
Ziel |
Ziel-IP-Adresse und Portnummer. |
Gastgeber |
Host-IP-Adresse und Portnummer, der die Ziel-IP-Adresse zugeordnet ist. |
Referenzen |
Anzahl der Sitzungen, die auf den Eintrag verweisen. |
Zeitüberschreitung |
Zeitüberschreitung des Eintrags in der NAT-Tabelle in Sekunden. |
Source-Pool |
Name des Quellpools, in dem die Übersetzung zugewiesen wird. |
Überwachung der Schnittstelle NAT-Portinformationen
Zweck
Zeigen Sie die Portverwendung für eine Schnittstellenquellenpoolinformationen an.
Aktion
Führen Sie einen der folgenden Schritte aus, um die NAT-Portinformationen der Schnittstelle zu überwachen:
Wählen Sie in der J-Web-Benutzeroberfläche Monitor >Firewall/NAT>Interface NAT oder Monitor>NAT>Interface NAT Ports oder geben Sie den Befehl
show security nat interface-nat-portsCLI ein.
Tabelle 2 fasst die wichtigsten Ausgabefelder in der Schnittstellen-NAT-Anzeige zusammen.
Feld |
Werte |
Zusätzliche Informationen |
|---|---|---|
| Schnittstellen-NAT-Übersichtstabelle | ||
Pool-Index |
Portpool-Index. |
– |
Ports insgesamt |
Gesamtzahl der Ports in einem Portpool. |
– |
Einzelne Ports zugewiesen |
Anzahl der jeweils zugewiesenen Ports, die verwendet werden. |
– |
Einzelne Ports verfügbar |
Anzahl der Ports, die jeweils zugewiesen werden und zur freien Nutzung freigegeben sind. |
– |
Zugewiesene Twin-Ports |
Anzahl der jeweils zwei zugewiesenen Ports, die verwendet werden. |
– |
Twin-Ports verfügbar |
Anzahl der jeweils zwei zugewiesenen Ports, die zur Verwendung frei sind. |
– |