Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ziel NAT

Ziel NAT ändert die Zieladresse von Paketen, die den Router passieren. Es bietet auch die Möglichkeit, die Portübersetzung in die TCP/UDP-Header durchzuführen. Ziel NAT werden hauptsächlich verwendet, um eingehende Pakete mit einer externen Adresse oder einem Portziel an eine interne IP-Adresse oder einen Port innerhalb des Netzwerks umzuleiten.

Verstehen der Ziel NAT

Ziel NAT die Übersetzung der Ziel-IP-Adresse eines an das Zielgerät eingehenden Juniper Networks Pakets. Ziel NAT wird verwendet, um Datenverkehr, der an einen virtuellen Host (anhand der ursprünglichen Ziel-IP-Adresse identifiziert) an den realen Host (anhand der übersetzten Ziel-IP-Adresse) umgeleitet wird.

Hinweis:

Beim Ausgeführter NAT Ziel-IP-Adresse wird die Übersetzung der Ziel-IP-Adresse nach konfigurierten Ziel-IP NAT Und anschließend werden Sicherheitsrichtlinien angewendet.

Ziel NAT ermöglicht das Herstellen von Verbindungen nur für eingehende Netzwerkverbindungen, z. B. vom Internet zu einem privaten Netzwerk. Ziel-NAT werden in der Regel für folgende Aktionen verwendet:

  • Übersetzen Sie eine einzelne IP-Adresse in eine andere Adresse (z. B. um zu ermöglichen, dass ein Gerät im Internet eine Verbindung zu einem Host in einem privaten Netzwerk herstellen kann).

  • Übersetzen Sie einen zusammenhängende Block von Adressen in einen anderen Block von Adressen derselben Größe (z. B. um zugriff auf eine Gruppe von Servern zu ermöglichen).

  • Übersetzen Sie eine IP-Adresse des Ziels und einen Port auf eine andere IP-Zieladresse und einen anderen Port (z. B. um den Zugriff auf mehrere Dienste über die gleiche IP-Adresse, aber verschiedene Ports zu ermöglichen).

Die folgenden Typen von NAT werden unterstützt:

  • Übersetzung der ursprünglichen Ziel-IP-Adresse in eine IP-Adresse aus einem benutzerdefinierten Pool. Diese Art der Übersetzung umfasst keine Port Address Translation (PAT). Wenn der ursprüngliche IP-Adressbereich des Zielorts größer als der Adressbereich im benutzerdefinierten Adresspool ist, werden nicht übertragene Pakete verworfen.

  • Umsetzung der ursprünglichen Ziel-IP-Adresse (und optionaler Portnummer) in eine bestimmte IP-Adresse (und Portnummer) aus einem benutzerdefinierten Pool.

Grundlegende Informationen zu Adressenpools NAT Zieladressen

Ein NAT-Pool besteht aus einer benutzerdefinierten Gruppe von IP-Adressen, die für die Übersetzung verwendet werden. Im Gegensatz zur statischen NAT, bei der eine 1:1-Zuordnung besteht, die die Adressenübersetzung des Ziels in eine Richtung und die Quell-IP-Adressenübersetzung in die umgekehrte Richtung umfasst. Mit Ziel-NAT übersetzen Sie die ursprüngliche Zieladresse in eine IP-Adresse im Adressenpool.

Geben Sie NAT Adressenpools für Zieladressen an:

  • Name des Adressenpools NAT Zieladressenpools

  • Zieladresse oder Adressbereich

    Hinweis:

    Überschneiden Sie sich nicht NAT Adressen für Quell-NAT, Ziel-NAT und statische NAT in einer Routinginstanz.

  • Zielport, der für die Portweiterleitung verwendet wird

  • Routinginstanz, zu der der Pool gehört: Ein Ziel-NAT-Pool, der keine bestimmte Routinginstanz enthält, wird standardmäßig für die Routinginstanz der Ingress Zone verwendet.

    Hinweis:

    Sie können einen bestimmten NAT pools konfigurieren, damit er in der Standardroutinginstanz vorhanden ist. Konfigurationsoption zum Angeben, dass ein NAT in der Standard-Routinginstanz vorhanden ist. Daher ist der NAT-Pool von Zonen in der Standard-Routinginstanz und von Zonen in anderen Routinginstanzen erreichbar.

Verständnis der NAT-Regeln

Ziel-NAT-Regeln legen zwei Ebenen von Übereinstimmungsbedingungen fest:

  • Datenverkehrsrichtung: Lässt die Angabe from interfacevon bzw from zone. zu from routing-instance.

  • Paketinformationen: Können Quell-IP-Adressen, Ziel-IP-Adresse oder Subnetz, Ziel-Portnummern oder Port-Bereiche, Protokolle oder Anwendungen sein.

Für ALG-Datenverkehr empfehlen wir destination-port Ihnen, die Option oder Option nicht als application Matching-Bedingungen zu verwenden. Wenn diese Optionen verwendet werden, kann die Übersetzung ausfällt, da der Portwert der Anwendungsnutzlast möglicherweise nicht dem Portwert der IP-Adresse dient.

Wenn mehrere Ziel-NAT in den Übereinstimmungsbedingungen überlappen, wird die spezifischere Regel ausgewählt. Wenn beispielsweise die Regeln A und B die gleichen Quell- und Ziel-IP-Adressen angeben, aber die Regel A den Datenverkehr von Zone 1 angibt und die Regel B ge-0/0/0den Datenverkehr von der Schnittstelle angibt, wird Regel B zur Ausführung von Zieladressen NAT. Eine Schnittstellen übereinstimmung gilt als spezifischer als eine Zonen übereinstimmung, die spezifischer ist als eine Routinginstanz-Übereinstimmung.

Sie können für eine Zielregel folgende NAT Aktionen angeben:

  • off: Führen Sie die Zieladresse nicht NAT.

  • Pool: Verwenden Sie den angegebenen benutzerdefinierten Adressenpool zur Ausführung der NAT.

Ziel-NAT-Regeln werden auf Datenverkehr im ersten Paket angewendet, das für den Datenfluss oder über den Schnellpfad für das ALG verarbeitet wird. Die Destination-NAT-Regeln werden nach statischen NAT-Regeln, jedoch vor den NAT-Quellregeln verarbeitet.

Übersicht NAT Zielkonfiguration

Die wichtigsten Konfigurationsaufgaben für die NAT:

  1. Konfigurieren Sie einen Adressenpool NAT die sich an Ihren Netzwerk- und Sicherheitsanforderungen anspricht.
  2. Konfigurieren Sie Ziel-NAT-Regeln, die sich an Ihre Netzwerk- und Sicherheitsanforderungen anpassen.
  3. Konfigurieren NAT Proxy-ARP-Einträge für IP-Adressen im selben Subnetz der Ingress-Schnittstelle.

Beispiel: Konfigurieren des Ziel-NAT für Single Address Translation

In diesem Beispiel wird die Konfiguration eines Ziel-NAT zuordnung einer einzelnen öffentlichen Adresse zu einer privaten Adresse beschrieben.

Hinweis:

Auch das Zuordnen einer IP-Zieladresse zu einer anderen kann mit statischer NAT erreicht werden. Die statische NAT-Zuordnung ermöglicht das Herstellen von Verbindungen auf beiden Seiten des Gatewaygeräts, während die Ziel-NAT nur die Verbindung von einer Seite aus ermöglicht. Die statischen NAT ermöglichen jedoch nur Übersetzungen von einer Adresse zur anderen oder zwischen Adressenblöcken derselben Größe.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Gerät der SRX-Serie

  • Server

Bevor Sie beginnen:

Übersicht

Destination NAT wird häufig zur Verteilung eines Dienstes in einem privaten Netzwerk mit einer öffentlich zugänglichen IP-Adresse verwendet. Auf diese Weise können Benutzer den privaten Dienst mit der öffentlichen IP-Adresse verwenden. Ziel NAT-Pool und Ziel-NAT-Konfigurationen werden verwendet, um Ihr Netzwerk auszurichten und die Sicherheitsanforderungen zu verbessern.

In diesem Beispiel konfigurieren Sie zuerst die vertrauenswürdige Sicherheitszone für den Privaten Adressraum, und dann die nicht vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum. In Abbildung 1 greifen Geräte in der Nicht vertrauenswürdigen Zone über die öffentliche Adresse 203.0.113.200/32 auf einen Server in der Trust Zone zu. Für Pakete, die das Juniper Networks-Sicherheitsgerät aus der nicht vertrauenswürdigen Zone mit der Ziel-IP-Adresse 203.0.113.200/32 eingeben, wird die Ziel-IP-Adresse in die private Adresse 192.168.1.200/32 übersetzt.

Topologie

Abbildung 1: Ziel-NAT Zentrale Adressenübersetzung Destination NAT Single Address Translation

Tabelle 1 zeigt die in diesem Beispiel konfigurierten Parameter.

Tabelle 1: Informationen zu Schnittstellen, Zonen, Server und IP-Adressen

Parameter

Beschreibung

Trust Zone

Sicherheitszone für den Bereich privater Adressen.

Nicht vertrauenswürdige Zone

Sicherheitszone für den öffentlichen Adressraum.

192.168.1.200/32

Übersetzte Zieladresse NAT IP-Adresse.

192.168.1.0/24

Privates Subnetz in einer privaten Zone.

203.0.113.200/32

Öffentliche Serveradresse

Server

Serveradresse des privaten Adressraums

ge-0/0/0 und ge-1/0/0

NAT schnittstellen für die Datenverkehrsrichtung.

In diesem Beispiel werden die folgenden Konfigurationen beschrieben:

  • Ziel-NAT-Pool dst-nat-pool-1 , der die IP-Adresse 192.168.1.200/32 enthält.

  • Ziel-NAT-Regelsatz rs1 r1 mit einer Regel, die an von der ge-0/0/0.0-Schnittstelle empfangene Pakete mit der Ziel-IP-Adresse 203.0.113.200/32 ankommt. Beim Abgleich von Paketen wird die Zieladresse in die Adresse im Pool dst-nat-pool-1 übersetzt.

  • Proxy-ARP für die Adresse 203.0.113.200/32 an der Schnittstelle ge-0/0/0.0. Auf diese Weise Juniper Networks Sicherheitsgerät auf ARP-Anforderungen reagieren, die an der Schnittstelle für diese Adresse empfangen werden.

  • Sicherheitsrichtlinien, um Datenverkehr von der nicht vertrauenswürdigen Zone zur übersetzten Ziel-IP-Adresse in der Vertrauenszone zu ermöglichen.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich [edit] sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, commit und geben Sie sie dann im Konfigurationsmodus ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus im CLI Benutzerhandbuch.

So konfigurieren Sie eine Zieladresse NAT von einer öffentlichen zu einer privaten Adresse:

  1. Erstellen Sie den NAT-Pool.

  2. Erstellen Sie einen NAT Regelsatz.

  3. Konfigurieren Sie eine Regel, die Paketen zukommt und die Zieladresse in die Adresse im Pool übersetzt.

  4. Proxy-ARP konfigurieren.

  5. Konfigurieren Sie eine Adresse im globalen Adressbuch.

  6. Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der nicht vertrauenswürdigen Zone zu dem Server in der Trust Zone ermöglicht.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den show interfacesBefehl , show security zonesund den Befehl show bridge-domains eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie sie im commit Konfigurationsmodus ein.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung der Ziel- NAT Poolverwendung

Zweck

Überprüfen Sie, ob Datenverkehr mithilfe von IP-Adressen aus dem Ziel-NAT-Pool vor sich geht.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat destination pool all ein. Anzeige des Feldes für Übersetzungs-Hits, um anhand der IP-Adressen aus dem Pool auf Datenverkehr zu prüfen.

Bedeutung

Der show security nat destination pool all Befehl zeigt den Pool übersetzter Adressen an. Anzeige des Feldes für Übersetzungs-Hits, um anhand der IP-Adressen aus dem Pool auf Datenverkehr zu prüfen.

Überprüfung der Ziel- NAT Und-Regelverwendung

Zweck

Stellen Sie sicher, dass datenverkehrsgleich mit der Ziel-NAT ist.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat destination rule all ein.

Bedeutung

Der show security nat destination rule all Befehl zeigt die Zielregel NAT an. Zeigen Sie das Feld "Translation hits" an, um auf Datenverkehr zu prüfen, der der Zielregel entspricht.

Überprüfung des Zielorts NAT für eine zentrale Adressenübersetzung

Zweck

Überprüfen Sie die Konfiguration der Zieladresse NAT eine einzige Adressenübersetzung.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat destination summary ein.

Bedeutung

Der show security nat destination summary Befehl zeigt Informationen zur Zielkonfiguration NAT an. Sie können folgende Informationen überprüfen:

  • Regelsätze

  • Regeln

  • Adressbereich

  • NAT-Pool

  • Portdetails

Überprüfung der NAT Anwendung im Datenverkehr

Zweck

Stellen Sie sicher, NAT auf den angegebenen Datenverkehr angewendet wird.

Aktion

Geben Sie im Betriebsmodus den Befehl show security flow session ein.

Bedeutung

Der show security flow session Befehl zeigt aktive Sitzungen auf dem Gerät und die zugehörige Sicherheitsrichtlinie jeder Sitzung an. Die Ausgabe zeigt den Datenverkehr, der über die Private Source-Adresse 203.0.113.219/30 an einen öffentlichen Host übertragen wird, und ist für den 203.0.113.200 bestimmt. Der Rücklauf des Datenverkehrs aus diesem Datenfluss wird an die übersetzte öffentliche Adresse 203.0.113.219 gesendet.

  • Session ID— Nummer, die die Sitzung identifiziert. Verwenden Sie diese ID, um weitere Informationen zur Sitzung zu erhalten, wie den Richtliniennamen oder die Anzahl der eingehenden und übertragenen Pakete.

  • server-access– Richtlinienname, der den Datenverkehr von der nicht vertrauenswürdigen Zone zur übersetzten Ziel-IP-Adresse in der Trust Zone zugelassen hat.

  • In— Eingehender Datenfluss (Quell- und Ziel-IP-Adressen mit den entsprechenden Quell- und Ziel-Portnummern, die Sitzung wird ICMP verwendet, und die Quellschnittstelle dieser Sitzung ist ge-0/0/0.0).

  • Out— Reverse Flow (Quell- und Ziel-IP-Adressen mit den entsprechenden Quell- und Ziel-Portnummern, die Sitzung ist ICMP, und die Zielschnittstelle für diese Sitzung ist ge-0/0/1.0).

Beispiel: Konfigurieren des Zielorts NAT IP-Adresse und Portübersetzung

In diesem Beispiel wird beschrieben, wie Sie die NAT Zuordnung einer öffentlichen Adresse zu privaten Adressen konfigurieren, abhängig von der Portnummer.

Anforderungen

Bevor Sie beginnen:

  1. Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Siehe Benutzeroberflächen-Benutzerhandbuch für Sicherheitsgeräte.

  2. Erstellen Sie Sicherheitszonen, und weisen Sie ihnen Schnittstellen zu. Erfahren Sie mehr über Sicherheitszonen.

Übersicht

In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die Nicht-vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. In Abbildung 2 werden Geräte in den Nicht vertrauenswürdigen Zone-Zugriffsservern in der Trust Zone über die öffentliche Adresse 203.0.113.200 auf Port 80 oder 8000 verwendet. An das Netzwerk eingehende Juniper Networks Sicherheitsgeräts aus der nicht vertrauenswürdigen Zone werden folgenden privaten Adressen der Server zugeordnet:

  • Die Ziel-IP-Adresse 203.0.113.200 und Port 80 wird in die private Adresse 192.168.1.200 und Port 80 übersetzt.

  • Die Ziel-IP-Adresse 203.0.113.200 und der Port 8000 werden in die private Adresse 192.168.1.220 und die Port 8000 übersetzt.

Abbildung 2: Adressen NAT und Portübersetzung Destination NAT Address and Port Translation

In diesem Beispiel werden die folgenden Konfigurationen beschrieben:

  • Ziel-NAT-Pool dst-nat-pool-1 , der die IP-Adresse 192.168.1.200-Port 80 enthält.

  • Ziel NAT pool dst-nat-pool-2 , der die IP-Adresse 192.168.1.220 und den Port 8000 enthält.

  • Ziel-NAT-Regelsatz rs1 r1 mit einer Regel, die pakete, die von der nicht vertrauenswürdigen Zone empfangen wurden, mit der Ziel-IP-Adresse 203.0.113.200 und Zielport 80 übereinstimmen. Beim Abgleich von Paketen wird die Zieladresse in die Adresse im Pool dst-nat-pool-1 übersetzt.

  • Ziel-NAT-Regelsatz rs1 r2 mit Einer Regel, die pakete, die von der nicht vertrauenswürdigen Zone empfangen wurden, mit der Ziel-IP-Adresse 203.0.113.200 und dem Zielport 8000 übereinstimmen. Beim Abgleich von Paketen werden die Ziel-IP-Adresse und der Port in die Adresse und den Port im Pool dst-nat-pool-2 übersetzt.

  • Proxy-ARP für die Adresse 203.0.113.200/32. Auf diese Weise Juniper Networks Sicherheitsgerät auf ARP-Anforderungen reagieren, die an der Schnittstelle für diese Adresse empfangen werden.

  • Sicherheitsrichtlinien, um Datenverkehr von der nicht vertrauenswürdigen Zone zu den übersetzten Ziel-IP-Adressen in der Vertrauenszone zu ermöglichen.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich [edit] sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, commit und geben Sie sie dann im Konfigurationsmodus ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie über unterschiedliche Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie eine Zieladresse NAT von einer öffentlichen zu einer privaten Adresse:

  1. Erstellen Sie Ziel-NAT-Pools.

  2. Erstellen Sie einen NAT Regelsatz.

  3. Konfigurieren Sie eine Regel, die Paketen zukommt und die Zieladresse in die Adresse im Pool übersetzt.

  4. Konfigurieren Sie eine Regel, die Paketen zukommt und die Zieladresse in die Adresse im Pool übersetzt.

  5. Proxy-ARP konfigurieren.

  6. Adressen im globalen Adressbuch konfigurieren.

  7. Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der nicht vertrauenswürdigen Zone zu den Servern in der Trust Zone ermöglicht.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show security nat eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie sie im commit Konfigurationsmodus ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert:

Überprüfung der Ziel- NAT Poolverwendung

Zweck

Überprüfen Sie, ob Datenverkehr mithilfe von IP-Adressen aus dem Ziel-NAT-Pool vor sich geht.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat destination pool all ein. Anzeige des Feldes für Übersetzungs-Hits, um anhand der IP-Adressen aus dem Pool auf Datenverkehr zu prüfen.

Überprüfung der Ziel- NAT Und-Regelverwendung

Zweck

Stellen Sie sicher, dass datenverkehrsgleich mit der Ziel-NAT ist.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat destination rule all ein. Zeigen Sie das Feld "Translation hits" an, um auf Datenverkehr zu prüfen, der der Regel entspricht.

Überprüfung der NAT Anwendung im Datenverkehr

Zweck

Stellen Sie sicher, NAT auf den angegebenen Datenverkehr angewendet wird.

Aktion

Geben Sie im Betriebsmodus den Befehl show security flow session ein.

Beispiel: Konfigurieren des Zielorts NAT Subnetzübersetzung

In diesem Beispiel wird beschrieben, wie eine Ziel-NAT Zuordnung einer öffentlichen Subnetzadresse zu einer privaten Subnetzadresse konfiguriert wird.

Hinweis:

Das Zuordnen von Adressen von einem Subnetz zum anderen kann ebenfalls mit statischem NAT erreicht werden. Die statische NAT-Zuordnung ermöglicht das Herstellen von Verbindungen auf beiden Seiten des Gatewaygeräts, während die Ziel-NAT-Verbindungen über nur eine Seite eingerichtet werden können. Die statischen NAT ermöglichen jedoch nur Übersetzungen zwischen Adressenblöcken derselben Größe.

Anforderungen

Bevor Sie beginnen:

  1. Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Siehe Benutzeroberflächen-Benutzerhandbuch für Sicherheitsgeräte.

  2. Erstellen Sie Sicherheitszonen, und weisen Sie ihnen Schnittstellen zu. Erfahren Sie mehr über Sicherheitszonen.

Übersicht

In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die Nicht-vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. In Abbildung 3 können Geräte in der Nicht-vertrauenswürdigen Zone über die öffentliche Subnetzadresse 203.0.113.0/24 auf Geräte in der Trust Zone zugreifen. Für Pakete, die das Juniper Networks-Sicherheitsgerät aus der nicht vertrauenswürdigen Zone mit einer Ziel-IP-Adresse im Subnetz 203.0.113.0/24 eingeben, wird die Ziel-IP-Adresse im Subnetz 192.168.1.0/24 in eine private Adresse übersetzt.

Abbildung 3: Subnetzübersetzung NAT Zielnetz Destination NAT Subnet Translation

In diesem Beispiel werden die folgenden Konfigurationen beschrieben:

  • Ziel NAT pool dst-nat-pool-1 , der die IP-Adresse 192.168.1.0/24 enthält.

  • Ziel-NAT-Regelsatz rs1 r1 mit einer Regel, die pakete, die vom Ge-0/0/0.0-Schnittstellen empfangen wurden, mit der Ziel-IP-Adresse des 203.0.113.0/24-Subnetzes übereinstimmen. Beim Abgleich von Paketen wird die Zieladresse in die Adresse im Pool dst-nat-pool-1 übersetzt.

  • Proxy-ARP für die Adressen 203.0.113.1/32 bis 203.0.113.62/32 an der Schnittstelle ge-0/0/0.0; hierbei handelt es sich um die IP-Adressen der Hosts, die aus dem Subnetz 203.0.113.0/24 übersetzt werden sollten. Auf diese Weise kann Juniper Networks Sicherheitsgerät auf ARP-Anforderungen reagieren, die an der Schnittstelle für diese Adressen empfangen werden. Die Adresse 203.0.113.0/24 wird der Schnittstelle selbst zugewiesen, sodass diese Adresse nicht in der Proxy-ARP-Konfiguration enthalten ist. Die Adressen, die nicht im Bereich 203.0.113.1/32 bis 203.0.113.62/32 liegen, werden im Netzwerk voraussichtlich nicht vorhanden sein und würden auch nicht übersetzt werden.

  • Sicherheitsrichtlinien, um Datenverkehr von der nicht vertrauenswürdigen Zone zu den übersetzten Ziel-IP-Adressen in der Vertrauenszone zu ermöglichen.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich [edit] sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, commit und geben Sie sie dann im Konfigurationsmodus ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie über unterschiedliche Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

Zum Konfigurieren eines Ziel-NAT Zuordnung von einer öffentlichen Subnetzadresse zu einer privaten Subnetzadresse:

  1. Erstellen Sie den NAT-Pool.

  2. Erstellen Sie einen NAT Regelsatz.

  3. Konfigurieren Sie eine Regel, die Paketen zukommt und die Zieladresse in eine Adresse im Pool übersetzt.

  4. Proxy-ARP konfigurieren.

  5. Konfigurieren Sie eine Adresse im globalen Adressbuch.

  6. Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der nicht vertrauenswürdigen Zone zu den Geräten in der Trust Zone ermöglicht.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show security nat eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie sie im commit Konfigurationsmodus ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert:

Überprüfung der Ziel- NAT Poolverwendung

Zweck

Überprüfen Sie, ob Datenverkehr mithilfe von IP-Adressen aus dem Ziel-NAT-Pool vor sich geht.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat destination pool all ein. Anzeige des Feldes für Übersetzungs-Hits, um anhand der IP-Adressen aus dem Pool auf Datenverkehr zu prüfen.

Überprüfung der Ziel- NAT Und-Regelverwendung

Zweck

Stellen Sie sicher, dass datenverkehrsgleich mit der Ziel-NAT ist.

Aktion

Geben Sie im Betriebsmodus den Befehl show security nat destination rule all ein. Zeigen Sie das Feld "Translation hits" an, um auf Datenverkehr zu prüfen, der der Regel entspricht.

Überprüfung der NAT Anwendung im Datenverkehr

Zweck

Stellen Sie sicher, NAT auf den angegebenen Datenverkehr angewendet wird.

Aktion

Geben Sie im Betriebsmodus den Befehl show security flow session ein.

Überwachung der Zieldaten NAT

Zweck

Zeigen Sie die Network Address Translation (NAT)-Übersichtstabelle und die Details der angegebenen Zieladressen-Poolinformationen NAT Zieladressen an.

Aktion

Wählen Sie "Monitor>NAT> Destination NAT in der J-Web-Benutzeroberfläche aus, oder geben Sie die folgenden CLI-Befehle ein:

  • show security nat destination summary

  • show security nat destination pool pool-name

Tabelle 2 fasst die wichtigsten Ausgabefelder im Zieldatenserver zusammen NAT anzeigen.

Tabelle 2: Übersicht der wichtigsten Ziel-NAT-Ausgabefelder

Feld

Werte

Aktion

Regeln

Regelsatzname

Name des Regelsatz.

Wählen Sie alle Regelsätze oder einen bestimmten Regelsatz aus der Liste aus.

Regeln gesamt

Anzahl konfigurierter Regeln.

ID

Regel-ID-Nummer.

Namen

Name der Regel

Regelname

Name des Regelsatz.

Von

Name der Routinginstanz/-zone/-schnittstelle, von der das Paket übertragen wird.

Quelladressenbereich

Quell-IP-Adressbereich im Quellpool.

Zieladressenbereich

Ziel-IP-Adressbereich im Quellpool.

Ziel-Port

Ziel-Port im Zielpool.

IP-Protokoll

IP-Protokoll.

Aktion

Die Aktion für ein Paket, das einer Regel entspricht.

Alarmschwellwert

Nutzungsalarm-Schwellenwert.

Sitzungen (ersungen/fehlgeschlagen/aktuell)

Erfolgreiche, fehlgeschlagene und aktuelle Sitzungen.

  • Anzahl der erfolgreichen Sitzungsinstallationen nach NAT Regel.

  • Fehlgeschlagene Anzahl nicht erfolgreicher Sitzungsinstallationen nach NAT Regel.

  • Aktuelle Anzahl von Sitzungen, die auf die angegebene Regel verweisen.

Übersetzungs-Hits

Es wird oft eine Übersetzung in die Übersetzungstabelle für eine Ziel-NAT.

Pools

Poolname

Die Namen der Pools.

Wählen Sie alle Pools oder einen bestimmten Pool aus der Liste aus.

Gesamtpools

Zusätzliche Pools gesamt.

ID

ID des Pool.

Namen

Name des Zielpools.

Adressbereich

IP-Adressbereich im Zielpool.

Hafen

Ziel-Portnummer im Pool.

Routing-Instanz

Name der Routinginstanz.

Adressen gesamt

Eingabe der IP-Adresse, IP-Adresse bzw. Adressbuch insgesamt.

Übersetzungs-Hits

Es wird oft eine Übersetzung in die Übersetzungstabelle für Ziel-NAT.

Die 10 besten Übersetzungs-Hits

Diagramm

Zeigt das Diagramm der 10 größten Übersetzungs-Hits an.