Zielort NAT
Ziel-NAT ändert die Zieladresse von Paketen, die den Router passieren. Es bietet auch die Möglichkeit, die Portübersetzung in den TCP/UDP-Headern durchzuführen. Ziel-NAT wird hauptsächlich verwendet, um eingehende Pakete mit einer externen Adresse oder einem Portziel an eine interne IP-Adresse oder einen Port innerhalb des Netzwerks umzuleiten.
Destinations-NAT verstehen
Ziel-NAT ist die Übersetzung der Ziel-IP-Adresse eines Pakets, das auf dem Gerät von Juniper Networks eingeht. Ziel-NAT wird verwendet, um Datenverkehr, der für einen virtuellen Host (identifiziert durch die ursprüngliche Ziel-IP-Adresse) bestimmt ist, an den realen Host (identifiziert durch die übersetzte Ziel-IP-Adresse) umzuleiten.
Wenn Ziel-NAT ausgeführt wird, wird die Ziel-IP-Adresse gemäß den konfigurierten Ziel-NAT-Regeln übersetzt und dann werden Sicherheitsrichtlinien angewendet.
Ziel-NAT ermöglicht das Initiieren von Verbindungen nur für eingehende Netzwerkverbindungen, z. B. vom Internet zu einem privaten Netzwerk. Ziel-NAT wird häufig verwendet, um die folgenden Aktionen auszuführen:
Übersetzen einer einzelnen IP-Adresse in eine andere Adresse (z. B. um einem Gerät im Internet die Verbindung zu einem Host in einem privaten Netzwerk zu ermöglichen).
Übersetzen Sie einen zusammenhängenden Block von Adressen in einen anderen Block von Adressen derselben Größe (z. B. um den Zugriff auf eine Gruppe von Servern zu ermöglichen).
Übersetzen einer Ziel-IP-Adresse und eines anderen Ports in eine andere Ziel-IP-Adresse und einen anderen Port (z. B. um den Zugriff auf mehrere Services mit derselben IP-Adresse, aber unterschiedlichen Ports zu ermöglichen).
Die folgenden Arten von Ziel-NAT werden unterstützt:
Übersetzung der ursprünglichen Ziel-IP-Adresse in eine IP-Adresse aus einem benutzerdefinierten Pool. Diese Art der Übersetzung umfasst nicht Port Address Translation (PAT). Wenn der ursprüngliche Ziel-IP-Adressbereich größer ist als der Adressbereich im benutzerdefinierten Adresspool, werden alle nicht übersetzten Pakete verworfen.
Übersetzung der ursprünglichen Ziel-IP-Adresse (und optionalen Portnummer) in eine bestimmte IP-Adresse (und Portnummer) aus einem benutzerdefinierten Pool.
Grundlegendes zu Ziel-NAT-Adresspools
Ein NAT-Pool ist ein benutzerdefinierter Satz von IP-Adressen, die für die Übersetzung verwendet werden. Im Gegensatz zu statischer NAT, bei der es eine Eins-zu-Eins-Zuordnung gibt, die die Übersetzung der Ziel-IP-Adresse in eine Richtung und die Übersetzung der Quell-IP-Adresse in die umgekehrte Richtung umfasst, übersetzen Sie bei der Ziel-NAT die ursprüngliche Zieladresse in eine IP-Adresse im Adresspool.
Geben Sie für Ziel-NAT-Adresspools Folgendes an:
Name des Ziel-NAT-Adresspools
Zieladresse oder Adressbereich
Überlappen Sie keine NAT-Adressen für Quell-NAT, Ziel-NAT und statische NAT innerhalb einer Routing-Instanz.
Zielport, der für die Portweiterleitung verwendet wird
Routing-Instanz, zu der der Pool gehört: Ein Ziel-NAT-Pool, der keine bestimmte Routing-Instanz angibt, wird standardmäßig auf die Routing-Instanz der Eingangszone zurückgesetzt.
Sie können einen NAT-Pool so konfigurieren, dass er in der Standardrouting-Instanz vorhanden ist. Konfigurationsoption, um anzugeben, dass ein NAT-Pool in der Standardrouting-Instanz vorhanden ist, ist verfügbar. Daher ist der NAT-Pool von Zonen in der Standardroutinginstanz und von Zonen in anderen Routinginstanzen erreichbar.
Grundlegendes zu Ziel-NAT-Regeln
Ziel-NAT-Regeln spezifizieren zwei Ebenen von Übereinstimmungsbedingungen:
Verkehrsrichtung: Ermöglicht die Angabe
from interfacevon ,from zoneoderfrom routing-instance.Paketinformationen: Kann Quell-IP-Adressen, Ziel-IP-Adresse oder Subnetz, Zielportnummern oder Portbereiche, Protokolle oder Anwendungen sein.
Für ALG-Datenverkehr wird empfohlen, die Option oder die Option nicht als übereinstimmende destination-port application Bedingungen zu verwenden. Wenn diese Optionen verwendet werden, kann die Übersetzung fehlschlagen, da der Portwert in der Anwendungsnutzlast möglicherweise nicht mit dem Portwert in der IP-Adresse übereinstimmt.
Wenn sich mehrere Ziel-NAT-Regeln in den Übereinstimmungsbedingungen überschneiden, wird die spezifischste Regel ausgewählt. Wenn z. B. die Regeln A und B dieselben Quell- und Ziel-IP-Adressen angeben, Regel A jedoch Datenverkehr aus Zone 1 und Regel B Datenverkehr von der Schnittstelle ge-0/0/0angibt, wird Regel B verwendet, um Ziel-NAT durchzuführen. Eine Schnittstellenübereinstimmung wird als spezifischer angesehen als eine Zonenübereinstimmung, die spezifischer ist als eine Übereinstimmung mit einer Routing-Instanz.
Die Aktionen, die Sie für eine Ziel-NAT-Regel angeben können, sind:
off: Ziel-NAT wird nicht ausgeführt.
pool: Verwenden Sie den angegebenen benutzerdefinierten Adresspool, um Ziel-NAT durchzuführen.
Ziel-NAT-Regeln werden auf den Datenverkehr im ersten Paket angewendet, das für den Datenstrom oder im schnellen Pfad für das ALG verarbeitet wird. Ziel-NAT-Regeln werden nach statischen NAT-Regeln, aber vor den Quell-NAT-Regeln verarbeitet.
Übersicht über die Ziel-NAT-Konfiguration
Die wichtigsten Konfigurationsaufgaben für die Ziel-NAT lauten wie folgt:
- Konfigurieren Sie einen Ziel-NAT-Adresspool, der Ihren Netzwerk- und Sicherheitsanforderungen entspricht.
- Konfigurieren Sie Ziel-NAT-Regeln, die sich an Ihren Netzwerk- und Sicherheitsanforderungen orientieren.
- Konfigurieren Sie NAT-Proxy-ARP-Einträge für IP-Adressen im selben Subnetz der Eingangsschnittstelle.
Beispiel: Ziel-NAT für Single Address Translation konfigurieren
In diesem Beispiel wird beschrieben, wie eine Ziel-NAT-Zuordnung einer einzelnen öffentlichen Adresse zu einer privaten Adresse konfiguriert wird.
Die Zuordnung einer Ziel-IP-Adresse zu einer anderen kann auch mit statischer NAT durchgeführt werden. Die statische NAT-Zuordnung ermöglicht den Verbindungsaufbau von beiden Seiten des Gateway-Geräts, während bei der Ziel-NAT nur Verbindungen von einer Seite hergestellt werden können. Statische NAT erlaubt jedoch nur Übersetzungen von einer Adresse in eine andere oder zwischen Adressblöcken gleicher Größe.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Firewalls der SRX-Serie
Server
Bevor Sie beginnen:
Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Weitere Informationen finden Sie im Benutzerhandbuch für Sicherheits-Geräte.
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Siehe Grundlegendes zu Sicherheitszonen.
Überblick
Ziel-NAT wird üblicherweise verwendet, um einen Dienst in einem privaten Netzwerk mit einer öffentlich zugänglichen IP-Adresse zu verteilen. Dadurch können Benutzer den privaten Dienst mit der öffentlichen IP-Adresse nutzen. Konfigurationen des Ziel-NAT-Adresspools und der Ziel-NAT-Regeln werden verwendet, um Ihr Netzwerk auszurichten und die Sicherheitsanforderungen zu verbessern.
In diesem Beispiel konfigurieren Sie zuerst die Sicherheitszone "Vertrauenswürdig" für den privaten Adressraum und dann die nicht vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum. In Abbildung 1 greifen Geräte in der nicht vertrauenswürdigen Zone über die öffentliche Adresse 203.0.113.200/32 auf einen Server in der vertrauenswürdigen Zone zu. Bei Paketen, die über die nicht vertrauenswürdige Zone mit der Ziel-IP-Adresse 203.0.113.200/32 auf das Sicherheitsgerät von Juniper Networks gelangen, wird die Ziel-IP-Adresse in die private Adresse 192.168.1.200/32 übersetzt.
Topologie
mit einer einzigen Adresse
Tabelle 1 zeigt die in diesem Beispiel konfigurierten Parameter.
Parameter |
Beschreibung |
|---|---|
Zone "Trust" |
Sicherheitszone für den privaten Adressraum. |
Zone "Nicht vertrauenswürdig" |
Sicherheitszone für den öffentlichen Adressraum. |
192.168.1.200/32 |
Übersetzte Ziel-NAT-IP-Adresse. |
192.168.1.0/24 |
Privates Subnetz in privater Zone. |
203.0.113.200/32 |
Öffentliche Adresse des Servers. |
Server |
Serveradresse des privaten Adressraums. |
GE-0/0/0 und GE-1/0/0 |
NAT-Schnittstellen für die Verkehrsleitung. |
In diesem Beispiel werden die folgenden Konfigurationen beschrieben:
Ziel-NAT-Pool
dst-nat-pool-1, der die IP-Adresse 192.168.1.200/32 enthält.Ziel-NAT-Regelsatz
rs1mit Regelr1, die die von der ge-0/0/0.0-Schnittstelle empfangenen Pakete mit der Ziel-IP-Adresse 203.0.113.200/32 abgleicht. Bei übereinstimmenden Paketen wird die Zieladresse in die Adresse imdst-nat-pool-1Pool übersetzt.Proxy-ARP für die Adresse 203.0.113.200/32 auf der Schnittstelle ge-0/0/0.0. Dadurch kann das Sicherheitsgerät von Juniper Networks auf ARP-Anfragen antworten, die auf der Schnittstelle für diese Adresse eingehen.
Sicherheitsrichtlinien, um Datenverkehr aus der nicht vertrauenswürdigen Zone zur übersetzten Ziel-IP-Adresse in der vertrauenswürdigen Zone zuzulassen.
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eine Ziel-NAT-Zuordnung von einer öffentlichen Adresse zu einer privaten Adresse:
Erstellen Sie den Ziel-NAT-Pool.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200/32
Erstellen Sie einen Ziel-NAT-Regelsatz.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in die Adresse im Pool übersetzt.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Konfigurieren Sie das Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Konfigurieren Sie eine Adresse im globalen Adressbuch.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr aus der nicht vertrauenswürdigen Zone zum Server in der vertrauenswürdigen Zone zulässt.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any user@host# set policy server-access match destination-address server-1 user@host# set policy server-access match application any user@host# set policy server-access then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show interfacesBefehls , show security zonesund show bridge-domains . Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
[edit]
user@host# show security address-book
global {
address server-1 192.168.1.200/32;
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der Nutzung des Ziel-NAT-Pools
- Überprüfen der Verwendung von Ziel-NAT-Regeln
- Überprüfen der Ziel-NAT für eine Single-Address-Übersetzung
- Überprüfen der NAT-Anwendung im Datenverkehr
Überprüfen der Nutzung des Ziel-NAT-Pools
Zweck
Stellen Sie sicher, dass Datenverkehr mit IP-Adressen aus dem Ziel-NAT-Pool vorhanden ist.
Aktion
Geben Sie im Betriebsmodus den show security nat destination pool all Befehl ein. Zeigen Sie das Feld Übersetzungstreffer an, um nach Datenverkehr mit IP-Adressen aus dem Pool zu suchen.
user@host>show security nat destination pool all
Total destination-nat pools: 1
Pool name : dst-nat-pool-1
Pool id : 1
Total address : 1
Translation hits: 71
Address range Port
192.168.1.200 - 192.168.1.200 0
Bedeutung
Der show security nat destination pool all Befehl zeigt den Pool der übersetzten Adressen an. Zeigen Sie das Feld Übersetzungstreffer an, um nach Datenverkehr mit IP-Adressen aus dem Pool zu suchen.
Überprüfen der Verwendung von Ziel-NAT-Regeln
Zweck
Stellen Sie sicher, dass Datenverkehr vorhanden ist, der mit der Ziel-NAT-Regel übereinstimmt.
Aktion
Geben Sie im Betriebsmodus den show security nat destination rule all Befehl ein.
user@host>show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
Destination NAT rule: r1 Rule-set: rs1
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/0.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : dst-nat-pool-1
Translation hits : 75
Successful sessions : 75
Failed sessions : 0
Number of sessions : 4
Bedeutung
Der show security nat destination rule all Befehl zeigt die Ziel-NAT-Regel an. Zeigen Sie das Feld Übersetzungstreffer an, um nach Datenverkehr zu suchen, der der Zielregel entspricht.
Überprüfen der Ziel-NAT für eine Single-Address-Übersetzung
Zweck
Überprüfen Sie die Konfiguration der Ziel-NAT für eine einzelne Adressübersetzung.
Aktion
Geben Sie im Betriebsmodus den show security nat destination summary Befehl ein.
user@host>show security nat destination summary
Total pools: 1
Pool name Address Range Routing Port Total
Instance Address
dst-nat-pool-1 192.168.1.200 - 192.168.1.200 0 1
Total rules: 1
Rule name Rule set From Action
r1 rs1 ge-0/0/0.0 dst-nat-pool-1
Bedeutung
Der show security nat destination summary Befehl zeigt Informationen zur Ziel-NAT-Konfiguration an. Sie können die folgenden Informationen überprüfen:
Regelsätze
Regeln
Adressbereich
NAT-Pool
Angaben zum Hafen
Überprüfen der NAT-Anwendung im Datenverkehr
Zweck
Stellen Sie sicher, dass NAT auf den angegebenen Datenverkehr angewendet wird.
Aktion
Geben Sie im Betriebsmodus den show security flow session Befehl ein.
user@host>show security flow session Session ID: 26415, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/30 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/30;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26420, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/31 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/31;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26425, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/32 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/32;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26431, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/33 --> 203.0.113.200/54850 ;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/33;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Total sessions: 9
Bedeutung
Der show security flow session Befehl zeigt aktive Sitzungen auf dem Gerät und die jeder Sitzung zugeordnete Sicherheitsrichtlinie an. Die Ausgabe zeigt den Datenverkehr, der auf das Gerät eingeht, das für einen öffentlichen Host unter 203.0.113.200 bestimmt ist und in die private Ziel-IP-Adresse 192.168.1.200 übersetzt wird.
Session ID—Nummer, die die Sitzung identifiziert. Verwenden Sie diese ID, um weitere Informationen über die Sitzung abzurufen, z. B. den Richtliniennamen oder die Anzahl der ein- und ausgehenden Pakete.
server-access– Name der Richtlinie, die den Datenverkehr aus der nicht vertrauenswürdigen Zone zur übersetzten Ziel-IP-Adresse in der vertrauenswürdigen Zone zugelassen hat.
In– Eingehender Datenstrom (Quell- und Ziel-IP-Adressen mit ihren jeweiligen Quell- und Zielportnummern, die Sitzung ist ICMP und die Quellschnittstelle für diese Sitzung ist ge-0/0/0.0).
Out– Reverse Flow (Quell- und Ziel-IP-Adressen mit ihren jeweiligen Quell- und Zielportnummern, die Sitzung ist ICMP und die Zielschnittstelle für diese Sitzung ist ge-0/0/1.0).
Beispiel: Konfigurieren von Ziel-NAT für IP-Adressen- und Portübersetzung
In diesem Beispiel wird beschrieben, wie Ziel-NAT-Zuordnungen einer öffentlichen Adresse zu privaten Adressen in Abhängigkeit von der Portnummer konfiguriert werden.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Siehe Schnittstellen-Benutzerhandbuch für Sicherheits-Geräte.
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Siehe Grundlegendes zu Sicherheitszonen.
Überblick
In diesem Beispiel wird die Sicherheitszone "Vertrauenswürdig" für den privaten Adressraum und die Sicherheitszone "Nicht vertrauenswürdig" für den öffentlichen Adressraum verwendet. In Abbildung 2 greifen Geräte in der nicht vertrauenswürdigen Zone über die öffentliche Adresse 203.0.113.200 auf Port 80 oder 8000 auf Server in der vertrauenswürdigen Zone zu. Pakete, die aus der nicht vertrauenswürdigen Zone in das Sicherheitsgerät von Juniper Networks gelangen, werden wie folgt den privaten Adressen der Server zugeordnet:
Die Ziel-IP-Adresse 203.0.113.200 und Port 80 werden in die private Adresse 192.168.1.200 und Port 80 übersetzt.
Die Ziel-IP-Adresse 203.0.113.200 und Port 8000 werden in die private Adresse 192.168.1.220 und Port 8000 übersetzt.
In diesem Beispiel werden die folgenden Konfigurationen beschrieben:
Ziel-NAT-Pool
dst-nat-pool-1, der die IP-Adresse 192.168.1.200 Port 80 enthält.Ziel-NAT-Pool
dst-nat-pool-2, der die IP-Adresse 192.168.1.220 und Port 8000 enthält.Ziel-NAT-Regelsatz
rs1mit Regelr1, die Pakete, die aus der nicht vertrauenswürdigen Zone empfangen werden, mit der Ziel-IP-Adresse 203.0.113.200 und dem Zielport 80 abgleicht. Bei übereinstimmenden Paketen wird die Zieladresse in die Adresse imdst-nat-pool-1Pool übersetzt.Ziel-NAT-Regelsatz
rs1mit Regelr2zum Abgleich von Paketen, die aus der nicht vertrauenswürdigen Zone empfangen wurden, mit der Ziel-IP-Adresse 203.0.113.200 und dem Zielport 8000. Bei übereinstimmenden Paketen werden die Ziel-IP-Adresse und der Port in die Adresse und den Port imdst-nat-pool-2Pool übersetzt.Proxy-ARP für die Adresse 203.0.113.200/32. Dadurch kann das Sicherheitsgerät von Juniper Networks auf ARP-Anfragen antworten, die auf der Schnittstelle für diese Adresse eingehen.
Sicherheitsrichtlinien, um Datenverkehr aus der nicht vertrauenswürdigen Zone zu den übersetzten Ziel-IP-Adressen in der vertrauenswürdigen Zone zuzulassen.
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination pool dst-nat-pool-1 address port 80 set security nat destination pool dst-nat-pool-2 address 192.168.1.220/32 set security nat destination pool dst-nat-pool-2 address port 8000 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 match destination-port 80 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat destination rule-set rs1 rule r2 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r2 match destination-port 8000 set security nat destination rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-2 192.168.1.220/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match destination-address server-2 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine Ziel-NAT-Zuordnung von einer öffentlichen Adresse zu einer privaten Adresse:
Erstellen Sie Ziel-NAT-Pools.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200 port 80 user@host# set pool dst-nat-pool-2 address 192.168.1.220 port 8000
Erstellen Sie einen Ziel-NAT-Regelsatz.
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in die Adresse im Pool übersetzt.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r1 match destination-port 80 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in die Adresse im Pool übersetzt.
[edit security nat destination] user@host# set rule-set rs1 rule r2 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r2 match destination-port 8000 user@host# set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
Konfigurieren Sie das Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Konfigurieren Sie Adressen im globalen Adressbuch.
[edit security address-book global] user@host# set address server-2 192.168.1.220/32 user@host# set address server-1 192.168.1.200/32
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr aus der nicht vertrauenswürdigen Zone zu den Servern in der vertrauenswürdigen Zone zulässt.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address [server-1 server-2] application any user@host# set policy server-access then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show security nat show security policies und-Befehle. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32 port 80;
}
pool dst-nat-pool-2 {
address 192.168.1.220/32 port 8000;
}
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
destination-port 80;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
rule r2 {
match {
destination-address 203.0.113.200/32;
destination-port 8000;
}
then {
destination-nat pool dst-nat-pool-2;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address [ server-1 server-2 ];
application any;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen der Nutzung des Ziel-NAT-Pools
- Überprüfen der Verwendung von Ziel-NAT-Regeln
- Überprüfen der NAT-Anwendung im Datenverkehr
Überprüfen der Nutzung des Ziel-NAT-Pools
Zweck
Stellen Sie sicher, dass Datenverkehr mit IP-Adressen aus dem Ziel-NAT-Pool vorhanden ist.
Aktion
Geben Sie im Betriebsmodus den show security nat destination pool all Befehl ein. Zeigen Sie das Feld Übersetzungstreffer an, um nach Datenverkehr mit IP-Adressen aus dem Pool zu suchen.
Überprüfen der Verwendung von Ziel-NAT-Regeln
Zweck
Stellen Sie sicher, dass Datenverkehr vorhanden ist, der mit der Ziel-NAT-Regel übereinstimmt.
Aktion
Geben Sie im Betriebsmodus den show security nat destination rule all Befehl ein. Zeigen Sie das Feld Übersetzungstreffer an, um nach Datenverkehr zu suchen, der der Regel entspricht.
Beispiel: Ziel-NAT für Subnetzübersetzung konfigurieren
In diesem Beispiel wird beschrieben, wie eine Ziel-NAT-Zuordnung einer öffentlichen Subnetzadresse zu einer privaten Subnetzadresse konfiguriert wird.
Das Zuordnen von Adressen von einem Subnetz zu einem anderen kann auch mit statischem NAT durchgeführt werden. Bei der statischen NAT-Zuordnung können Verbindungen von beiden Seiten des Gateway-Geräts hergestellt werden, während bei der Ziel-NAT nur Verbindungen von einer Seite hergestellt werden können. Statische NAT erlaubt jedoch nur Übersetzungen zwischen Blöcken von Adressen gleicher Größe.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Siehe Schnittstellen-Benutzerhandbuch für Sicherheits-Geräte.
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Siehe Grundlegendes zu Sicherheitszonen.
Überblick
In diesem Beispiel wird die Sicherheitszone "Vertrauenswürdig" für den privaten Adressraum und die Sicherheitszone "Nicht vertrauenswürdig" für den öffentlichen Adressraum verwendet. In Abbildung 3 greifen Geräte in der nicht vertrauenswürdigen Zone über die öffentliche Subnetzadresse 203.0.113.0/24 auf Geräte in der vertrauenswürdigen Zone zu. Bei Paketen, die aus der nicht vertrauenswürdigen Zone mit einer Ziel-IP-Adresse im Subnetz 203.0.113.0/24 auf das Sicherheitsgerät von Juniper Networks gelangen, wird die Ziel-IP-Adresse in eine private Adresse im Subnetz 192.168.1.0/24 übersetzt.
In diesem Beispiel werden die folgenden Konfigurationen beschrieben:
Ziel-NAT-Pool
dst-nat-pool-1, der die IP-Adresse 192.168.1.0/24 enthält.Ziel-NAT-Regelsatz
rs1mit Regelr1zum Abgleich von Paketen, die von der ge-0/0/0.0-Schnittstelle empfangen wurden, mit der Ziel-IP-Adresse im Subnetz 203.0.113.0/24. Bei übereinstimmenden Paketen wird die Zieladresse in die Adresse imdst-nat-pool-1Pool übersetzt.Proxy-ARP für die Adressen 203.0.113.1/32 bis 203.0.113.62/32 auf der Schnittstelle ge-0/0/0.0; Dies sind die IP-Adressen der Hosts, die aus dem Subnetz 203.0.113.0/24 übersetzt werden sollen. Dadurch kann das Sicherheitsgerät von Juniper Networks auf ARP-Anfragen reagieren, die auf der Schnittstelle für diese Adressen empfangen werden. Die Adresse 203.0.113.0/24 ist der Schnittstelle selbst zugewiesen, sodass diese Adresse nicht in der Proxy-ARP-Konfiguration enthalten ist. Adressen, die nicht im Bereich 203.0.113.1/32 bis 203.0.113.62/32 liegen, werden voraussichtlich nicht im Netzwerk vorhanden sein und nicht übersetzt.
Sicherheitsrichtlinien, um Datenverkehr aus der nicht vertrauenswürdigen Zone zu den übersetzten Ziel-IP-Adressen in der vertrauenswürdigen Zone zuzulassen.
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security nat destination pool dst-nat-pool-1 address 192.168.1.0/24 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32 set security address-book global address internal-net 192.168.1.0/24 set security policies from-zone untrust to-zone trust policy internal-access match source-address any set security policies from-zone untrust to-zone trust policy internal-access match destination-address internal-net set security policies from-zone untrust to-zone trust policy internal-access match application any set security policies from-zone untrust to-zone trust policy internal-access then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine Ziel-NAT-Zuordnung von einer öffentlichen Subnetzadresse zu einer privaten Subnetzadresse:
Erstellen Sie den Ziel-NAT-Pool.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.0/24
Erstellen Sie einen Ziel-NAT-Regelsatz.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in eine Adresse im Pool übersetzt.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Konfigurieren Sie das Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32
Konfigurieren Sie eine Adresse im globalen Adressbuch.
[edit security address-book global] user@host# set address internal-net 192.168.1.0/24
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr aus der nicht vertrauenswürdigen Zone zu den Geräten in der vertrauenswürdigen Zone zulässt.
[edit security policies from-zone untrust to-zone trust] user@host# set policy internal-access match source-address any destination-address internal-net application any user@host# set policy internal-access then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show security nat show security policies und-Befehle. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.0/24;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.62/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy internal-access {
match {
source-address any;
destination-address internal-net;
application any;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen der Nutzung des Ziel-NAT-Pools
- Überprüfen der Verwendung von Ziel-NAT-Regeln
- Überprüfen der NAT-Anwendung im Datenverkehr
Überprüfen der Nutzung des Ziel-NAT-Pools
Zweck
Stellen Sie sicher, dass Datenverkehr mit IP-Adressen aus dem Ziel-NAT-Pool vorhanden ist.
Aktion
Geben Sie im Betriebsmodus den show security nat destination pool all Befehl ein. Zeigen Sie das Feld Übersetzungstreffer an, um nach Datenverkehr mit IP-Adressen aus dem Pool zu suchen.
Überprüfen der Verwendung von Ziel-NAT-Regeln
Zweck
Stellen Sie sicher, dass Datenverkehr vorhanden ist, der mit der Ziel-NAT-Regel übereinstimmt.
Aktion
Geben Sie im Betriebsmodus den show security nat destination rule all Befehl ein. Zeigen Sie das Feld Übersetzungstreffer an, um nach Datenverkehr zu suchen, der der Regel entspricht.
Überwachung von Ziel-NAT-Informationen
Zweck
Zeigen Sie die Übersichtstabelle für Network Address Translation (NAT) des Ziels und die Details der angegebenen Informationen des NAT-Zieladresspools an.
Aktion
Wählen Sie in der J-Web-Benutzeroberfläche Monitor>NAT> Ziel NAT oder geben Sie die folgenden CLI Befehle ein:
show security nat destination summaryshow security nat destination pool pool-name
Tabelle 2 fasst die wichtigsten Ausgabefelder in der Ziel-NAT-Anzeige zusammen.
Feld |
Werte |
Aktion |
|---|---|---|
| Regeln | ||
Name des Regelsatzes |
Name des Regelsatzes. |
Wählen Sie alle anzuwendenden Regelsätze oder einen bestimmten Regelsatz aus der Liste aus. |
Regeln insgesamt |
Anzahl der konfigurierten Regeln. |
– |
Ausweis |
Regel-ID-Nummer. |
– |
Bezeichnung |
Name der Regel . |
– |
Name des Regelsatzes |
Name des Regelsatzes. |
– |
Von |
Name der Routing-Instanz/-Zone/-Schnittstelle, aus der das Paket fließt. |
– |
Adressbereich der Quelle |
Quell-IP-Adressbereich im Quellpool. |
– |
Zieladressbereich |
Ziel-IP-Adressbereich im Quellpool. |
– |
Zielhafen |
Zielport im Zielpool. |
– |
IP-Protokoll |
IP-Protokoll. |
– |
Aktion |
Aktion für ein Paket, das einer Regel entspricht. |
– |
Alarm-Schwelle |
Schwellenwert für den Auslastungsalarm. |
– |
Sitzungen (erfolgreich/fehlgeschlagen/aktuell) |
Erfolgreiche, fehlgeschlagene und aktuelle Sitzungen.
|
– |
Treffer in der Übersetzung |
Häufigkeit, mit der eine Übersetzung in der Übersetzungstabelle für eine Ziel-NAT-Regel verwendet wird. |
– |
| Schwimmbäder | ||
Name des Pools |
Die Namen der Pools. |
Wählen Sie alle Pools oder einen bestimmten Pool aus der Liste aus, der angezeigt werden soll. |
Pools insgesamt |
Hinzugefügte Pools insgesamt. |
– |
Ausweis |
ID des Pools. |
– |
Bezeichnung |
Name des Zielpools. |
– |
Adressbereich |
IP-Adressbereich im Zielpool. |
– |
Hafen |
Zielportnummer im Pool. |
– |
Routing-Instanz |
Name der Routing-Instanz. |
– |
Adressen insgesamt |
Gesamt-IP-Adresse, IP-Adresssatz oder Adressbucheintrag. |
– |
Treffer in der Übersetzung |
Häufigkeit, mit der eine Übersetzung in der Übersetzungstabelle für die Ziel-NAT verwendet wird. |
– |
| Top 10 Übersetzungstreffer | ||
Grafik |
Zeigt das Diagramm der 10 wichtigsten Übersetzungstreffer an. |
– |