Ziel-NAT
Ziel-NAT ändert die Zieladresse von Paketen, die den Router passieren. Es bietet auch die Möglichkeit, die Portübersetzung in den TCP/UDP-Headern durchzuführen. Ziel-NAT wird hauptsächlich verwendet, um eingehende Pakete mit einer externen Adresse oder einem Portziel an eine interne IP-Adresse oder einen Port innerhalb des Netzwerks umzuleiten.
Grundlegendes zu Ziel-NAT
Ziel-NAT ist die Übersetzung der Ziel-IP-Adresse eines Pakets, das das Gerät von Juniper Networks eindringt. Ziel-NAT wird verwendet, um Datenverkehr, der für einen virtuellen Host bestimmt ist (identifiziert durch die ursprüngliche Ziel-IP-Adresse) an den tatsächlichen Host (identifiziert durch die übersetzte Ziel-IP-Adresse).
Wenn die Ziel-NAT durchgeführt wird, wird die Ziel-IP-Adresse entsprechend den konfigurierten Ziel-NAT-Regeln übersetzt und dann Sicherheitsrichtlinien angewendet.
Ziel-NAT ermöglicht es, Verbindungen nur für eingehende Netzwerkverbindungen zu initiieren, z. B. vom Internet zu einem privaten Netzwerk. Ziel-NAT wird häufig verwendet, um die folgenden Aktionen auszuführen:
Übersetzen Sie eine einzelne IP-Adresse in eine andere Adresse (z. B. damit ein Gerät im Internet eine Verbindung zu einem Host in einem privaten Netzwerk herstellen kann).
Übersetzen Sie einen zusammenhängenden Adressblock in einen anderen Adressblock derselben Größe (z. B. um den Zugriff auf eine Gruppe von Servern zu ermöglichen).
Übersetzen Sie eine Ziel-IP-Adresse und einen Port in eine andere Ziel-IP-Adresse und einen anderen Port (z. B. um den Zugriff auf mehrere Services zu ermöglichen, die dieselbe IP-Adresse, aber unterschiedliche Ports verwenden).
Die folgenden Arten von Ziel-NAT werden unterstützt:
Übersetzung der ursprünglichen Ziel-IP-Adresse in eine IP-Adresse aus einem benutzerdefinierten Pool. Diese Art von Übersetzung umfasst nicht Port Address Translation (PAT). Wenn der ursprüngliche IP-Adressbereich des Ziels größer ist als der Adressbereich im benutzerdefinierten Adresspool, werden alle nicht übersetzten Pakete gelöscht.
Übersetzung der ursprünglichen ZIEL-IP-Adresse (und optionaler Portnummer) auf eine bestimmte IP-Adresse (und Portnummer) aus einem benutzerdefinierten Pool.
Grundlegendes zu Ziel-NAT-Adresspools
Ein NAT-Pool ist eine benutzerdefinierte Gruppe von IP-Adressen, die für die Übersetzung verwendet werden. Im Gegensatz zu statischer NAT, bei der es eine 1-zu-eins-Zuordnung gibt, die die Ziel-IP-Adressübersetzung in einer Richtung und die Übersetzung der Quell-IP-Adressen in umgekehrter Richtung umfasst, übersetzen Sie bei Ziel-NAT die ursprüngliche Zieladresse in eine IP-Adresse im Adresspool.
Geben Sie für NAT-Adresspools des Ziels Folgendes an:
Name des Ziel-NAT-Adresspools
Zieladresse oder Adressbereich
Hinweis:Nat-Adressen für Quell-NAT, Ziel-NAT und statische NAT innerhalb einer Routing-Instanz dürfen nicht überschneiden.
Zielport, der für die Portweiterleitung verwendet wird
Routing-Instanz, zu der der Pool gehört– Ein Ziel-NAT-Pool, der keine bestimmte Routing-Instanz angibt, wird standardmäßig zur Routing-Instanz der Eingangszone verwendet.
Hinweis:Sie können einen NAT-Pool so konfigurieren, dass er in der Standard-Routing-Instanz vorhanden ist. Konfigurationsoption zur Angabe, dass ein NAT-Pool in der Standard-Routing-Instanz vorhanden ist, ist verfügbar. Dadurch ist der NAT-Pool von Zonen in der Standard-Routing-Instanz und von Zonen in anderen Routing-Instanzen erreichbar.
Grundlegendes zu Ziel-NAT-Regeln
Ziel-NAT-Regeln legen zwei Ebenen der Übereinstimmungsbedingungen fest:
Datenverkehrsrichtung: Sie können angeben
from interface
,from zone
oderfrom routing-instance
.Paketinformationen: Es kann sich um Quell-IP-Adressen, Ziel-IP-Adresse oder Subnetz, Ziel-Portnummern oder Portbereiche, Protokolle oder Anwendungen sein.
Für ALG-Datenverkehr empfehlen wir, die Option bzw. option destination-port
application
nicht als passende Bedingungen zu verwenden. Wenn diese Optionen verwendet werden, kann die Übersetzung fehlschlagen, weil der Portwert in der Anwendungsnutzlast möglicherweise nicht mit dem Portwert in der IP-Adresse übereinstimmt.
Wenn sich mehrere Ziel-NAT-Regeln in den Übereinstimmungsbedingungen überschneiden, wird die spezifischste Regel ausgewählt. Wenn z. B. die Regeln A und B dieselben Quell- und Ziel-IP-Adressen angeben, Aber Regel A den Datenverkehr aus Zone 1 und Regel B den Datenverkehr von der Schnittstelle ge-0/0/0
angibt, wird Regel B verwendet, um Ziel-NAT durchzuführen. Eine Schnittstellen-Übereinstimmung wird als spezifischer als eine Zonen-Übereinstimmung angesehen, die spezifischer ist als eine Übereinstimmung mit einer Routing-Instanz.
Die Aktionen, die Sie für eine Ziel-NAT-Regel angeben können, sind:
off– Führen Sie keine Ziel-NAT durch.
pool: Verwenden Sie den angegebenen benutzerdefinierten Adressenpool, um Ziel-NAT durchzuführen.
Ziel-NAT-Regeln werden auf den Datenverkehr im ersten Paket angewendet, das für den Datenstrom oder im Schnellen Pfad für die ALG verarbeitet wird. Ziel-NAT-Regeln werden nach statischen NAT-Regeln, aber vor Quell-NAT-Regeln verarbeitet.
Übersicht über die Nat-Konfiguration des Ziels
Die wichtigsten Konfigurationsaufgaben für Ziel-NAT sind wie folgt:
- Konfigurieren Sie einen NAT-Adresspool, der auf Ihre Netzwerk- und Sicherheitsanforderungen abgestimmt ist.
- Konfigurieren Sie Ziel-NAT-Regeln, die auf Ihre Netzwerk- und Sicherheitsanforderungen abgestimmt sind.
- Konfigurieren Sie NAT-Proxy-ARP-Einträge für IP-Adressen im selben Subnetz der Eingangsschnittstelle.
Beispiel: Konfigurieren von Ziel-NAT für Single Address Translation
In diesem Beispiel wird die Konfiguration einer Ziel-NAT-Zuordnung einer einzelnen öffentlichen Adresse zu einer privaten Adresse beschrieben.
Die Zuordnung einer Ziel-IP-Adresse zu einer anderen kann auch mit statischer NAT durchgeführt werden. Mit der statischen NAT-Zuordnung können Verbindungen von beiden Seiten des Gateway-Geräts hergestellt werden, während ziel-NAT nur verbindungen von einer Seite aus hergestellt werden können. Statische NAT erlaubt jedoch nur Übersetzungen von einer Adresse zur anderen oder zwischen Adressblöcken derselben Größe.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Gerät der SRX-Serie
Server
Bevor Sie beginnen:
Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Siehe Schnittstellen-Benutzerhandbuch für Sicherheitsgeräte.
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Siehe Verstehen von Sicherheitszonen.
Übersicht
Ziel-NAT wird üblicherweise verwendet, um einen Service in einem privaten Netzwerk mit einer öffentlich zugänglichen IP-Adresse zu verteilen. Auf diese Weise können Benutzer den privaten Service mit der öffentlichen IP-Adresse nutzen. Ziel-NAT-Adresspool und Ziel-NAT-Regeln werden verwendet, um Ihr Netzwerk auszurichten und die Sicherheitsanforderungen zu verbessern.
In diesem Beispiel konfigurieren Sie zunächst die vertrauenswürdige Sicherheitszone für den privaten Adressraum und dann die nicht vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum. In Abbildung 1 greifen Geräte in der nicht vertrauenswürdigen Zone über die öffentliche Adresse 203.0.113.200/32 auf einen Server in der Vertrauenszone zu. Bei Paketen, die das Sicherheitsgerät von Juniper Networks aus der nicht vertrauenswürdigen Zone mit der Ziel-IP-Adresse 203.0.113.200/32 betreten, wird die Ziel-IP-Adresse in die private Adresse 192.168.1.200/32 übersetzt.
Topologie
Tabelle 1 zeigt die parameter, die in diesem Beispiel konfiguriert wurden.
Parameter |
Beschreibung |
---|---|
Trust Zone |
Sicherheitszone für den privaten Adressraum. |
Nicht vertrauenswürdige Zone |
Sicherheitszone für den öffentlichen Adressraum. |
192.168.1.200/32 |
Übersetzte NAT-IP-Adresse des Ziels. |
192.168.1.0/24 |
Privates Subnetz in einer privaten Zone. |
203.0.113.200/32 |
Öffentliche Adresse des Servers. |
Server |
Serveradresse des privaten Adressraums. |
ge-0/0/0 und Ge-1/0/0 |
NAT-Schnittstellen für die Richtung des Datenverkehrs. |
In diesem Beispiel werden die folgenden Konfigurationen beschrieben:
Ziel-NAT-Pool
dst-nat-pool-1
, der die IP-Adresse 192.168.1.200/32 enthält.Ziel-NAT-Regelsatz
rs1
mit Regelr1
zur Übereinstimmung der Pakete, die von der ge-0/0/0.0-Schnittstelle mit der Ziel-IP-Adresse 203.0.113.200/32 empfangen werden. Für übereinstimmende Pakete wird die Zieladresse in die Adresse imdst-nat-pool-1
Pool übersetzt.Proxy-ARP für die Adresse 203.0.113.200/32 auf Schnittstelle ge-0/0/0.0. Auf diese Weise kann das Sicherheitsgerät von Juniper Networks auf ARP-Anfragen reagieren, die über die Schnittstelle für diese Adresse eingehen.
Sicherheitsrichtlinien, um Datenverkehr von der nicht vertrauenswürdigen Zone zur übersetzten Ziel-IP-Adresse in der Vertrauenszone zuzulassen.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit]
CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit
.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eine ZIEL-NAT-Zuordnung von einer öffentlichen zu einer privaten Adresse:
Erstellen Sie den NAT-Zielpool.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200/32
Erstellen Sie einen Nat-Regelsatz des Ziels.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Konfigurieren Sie eine Regel, die Pakete abschließt und die Zieladresse in die Adresse im Pool übersetzt.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Konfigurieren Sie Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Konfigurieren Sie eine Adresse im globalen Adressbuch.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der nicht vertrauenswürdigen Zone zum Server in der Vertrauenszone zulässt.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any user@host# set policy server-access match destination-address server-1 user@host# set policy server-access match application any user@host# set policy server-access then permit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl und show bridge-domains
show security zones
den show interfaces
Befehl eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit] user@host# show security nat destination { pool dst-nat-pool-1 { address 192.168.1.200/32; } rule-set rs1 { from interface ge-0/0/0.0; rule r1 { match { destination-address 203.0.113.200/32; } then { destination-nat pool dst-nat-pool-1; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.200/32; } } } [edit] user@host# show security address-book global { address server-1 192.168.1.200/32; } user@host# show security policies from-zone untrust to-zone trust { policy server-access { match { source-address any; destination-address server-1; application any; } then { permit; } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit
.
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfung der Nat-Pool-Nutzung des Ziels
- Überprüfung der Nat-Regelnutzung des Ziels
- Verifizieren der Ziel-NAT für eine Single Address Translation
- Überprüfung der NAT-Anwendung bis zum Datenverkehr
Überprüfung der Nat-Pool-Nutzung des Ziels
Zweck
Stellen Sie sicher, dass datenverkehrsbezogene IP-Adressen aus dem NAT-Zielpool verwendet werden.
Aktion
Geben Sie im Betriebsmodus den show security nat destination pool all
Befehl ein. Sehen Sie sich das Feld "Übersetzungstreffer" an, um mithilfe von IP-Adressen aus dem Pool auf Datenverkehr zu prüfen.
user@host>show security nat destination pool all Total destination-nat pools: 1 Pool name : dst-nat-pool-1 Pool id : 1 Total address : 1 Translation hits: 71 Address range Port 192.168.1.200 - 192.168.1.200 0
Bedeutung
Der show security nat destination pool all
Befehl zeigt den Pool der übersetzten Adressen an. Sehen Sie sich das Feld "Übersetzungstreffer" an, um mithilfe von IP-Adressen aus dem Pool auf Datenverkehr zu prüfen.
Überprüfung der Nat-Regelnutzung des Ziels
Zweck
Stellen Sie sicher, dass Datenverkehr vorhanden ist, der der NAT-Regel des Ziels entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat destination rule all
Befehl ein.
user@host>show security nat destination rule all Total destination-nat rules: 1 Total referenced IPv4/IPv6 ip-prefixes: 1/0 Destination NAT rule: r1 Rule-set: rs1 Rule-Id : 1 Rule position : 1 From interface : ge-0/0/0.0 Destination addresses : 203.0.113.200 - 203.0.113.200 Action : dst-nat-pool-1 Translation hits : 75 Successful sessions : 75 Failed sessions : 0 Number of sessions : 4
Bedeutung
Der show security nat destination rule all
Befehl zeigt die NAT-Regel des Ziels an. Zeigen Sie das Feld "Übersetzung trifft" an, um nach Datenverkehr zu suchen, der der Zielregel entspricht.
Verifizieren der Ziel-NAT für eine Single Address Translation
Zweck
Überprüfen Sie die Konfiguration der Ziel-NAT für eine Single Address Translation.
Aktion
Geben Sie im Betriebsmodus den show security nat destination summary
Befehl ein.
user@host>show security nat destination summary Total pools: 1 Pool name Address Range Routing Port Total Instance Address dst-nat-pool-1 192.168.1.200 - 192.168.1.200 0 1 Total rules: 1 Rule name Rule set From Action r1 rs1 ge-0/0/0.0 dst-nat-pool-1
Bedeutung
Der show security nat destination summary
Befehl zeigt Informationen zur Ziel-NAT-Konfiguration an. Sie können die folgenden Informationen überprüfen:
Regelsätze
Regeln
Adressbereich
NAT-Pool
Portdetails
Überprüfung der NAT-Anwendung bis zum Datenverkehr
Zweck
Stellen Sie sicher, dass NAT auf den angegebenen Datenverkehr angewendet wird.
Aktion
Geben Sie im Betriebsmodus den show security flow session
Befehl ein.
user@host>show security flow session Session ID: 26415, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/30 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/30;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26420, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/31 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/31;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26425, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/32 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/32;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26431, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/33 --> 203.0.113.200/54850 ;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/33;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Total sessions: 9
Bedeutung
Der show security flow session
Befehl zeigt aktive Sitzungen auf dem Gerät und die zugehörige Sicherheitsrichtlinie jeder Sitzung an. Die Ausgabe zeigt den Datenverkehr, der das Gerät eingibt, an einen öffentlichen Host unter 203.0.113.200, der in die private IP-Adresse 192.168.1.200 übersetzt wird.
Session ID— Nummer, die die Sitzung identifiziert. Verwenden Sie diese ID, um weitere Informationen zur Sitzung zu erhalten, z. B. Den Richtliniennamen oder die Anzahl der ein- und ausgehenden Pakete.
server-access— Richtlinienname, der den Datenverkehr von der nicht vertrauenswürdigen Zone zur übersetzten Ziel-IP-Adresse in der Vertrauenszone zugelassen hat.
In— Eingehender Datenfluss (Quell- und Ziel-IP-Adressen mit ihren jeweiligen Quell- und Ziel-Portnummern, die Sitzung ist ICMP, und die Quellschnittstelle für diese Sitzung ist ge-0/0/0.0).
Out— Reverse Flow (Quell- und Ziel-IP-Adressen mit ihren jeweiligen Quell- und Ziel-Portnummern, die Sitzung ist ICMP, und die Zielschnittstelle für diese Sitzung ist ge-0/0/1.0).
Beispiel: Konfigurieren von Ziel-NAT für IP-Adresse und Port-Übersetzung
In diesem Beispiel wird beschrieben, wie Sie je nach Portnummer ziel-NAT-Zuordnungen einer öffentlichen Adresse zu privaten Adressen konfigurieren.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Siehe Schnittstellen-Benutzerhandbuch für Sicherheitsgeräte.
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Siehe Verstehen von Sicherheitszonen.
Übersicht
In diesem Beispiel werden die Vertrauenssicherheitszone für den privaten Adressraum und die nicht vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. In Abbildung 2 werden Geräte in den nicht vertrauenswürdigen Zonen-Zugriffsservern in der Vertrauenszone über die öffentliche Adresse 203.0.113.200 auf Port 80 oder 8000. Pakete, die das Sicherheitsgerät von Juniper Networks aus der nicht vertrauenswürdigen Zone betreten, werden den privaten Adressen der Server wie folgt zugeordnet:
Die Ziel-IP-Adresse 203.0.113.200 und Port 80 wird in die private Adresse 192.168.1.200 und Port 80 übersetzt.
Die Ziel-IP-Adresse 203.0.113.200 und Port 8000 wird in die private Adresse 192.168.1.220 und Port 8000 übersetzt.
In diesem Beispiel werden die folgenden Konfigurationen beschrieben:
Ziel-NAT-Pool
dst-nat-pool-1
, der die IP-Adresse 192.168.1.200 Port 80 enthält.Ziel-NAT-Pool
dst-nat-pool-2
, der die IP-Adresse 192.168.1.220 und Port 8000 enthält.Ziel-NAT-Regelsatz
rs1
mit Regelr1
zur Übereinstimmung der Pakete, die von der nicht vertrauenswürdigen Zone empfangen werden, mit der Ziel-IP-Adresse 203.0.113.200 und Dem Ziel-Port 80. Für übereinstimmende Pakete wird die Zieladresse in die Adresse imdst-nat-pool-1
Pool übersetzt.Ziel-NAT-Regelsatz
rs1
mit Regelr2
zur Übereinstimmung der Pakete, die von der nicht vertrauenswürdigen Zone empfangen werden, mit der Ziel-IP-Adresse 203.0.113.200 und Dem Ziel-Port 8000. Für übereinstimmende Pakete werden die ZIEL-IP-Adresse und der Port in die Adresse und den Port imdst-nat-pool-2
Pool übersetzt.Proxy-ARP für die Adresse 203.0.113.200/32. Auf diese Weise kann das Sicherheitsgerät von Juniper Networks auf ARP-Anfragen reagieren, die über die Schnittstelle für diese Adresse eingehen.
Sicherheitsrichtlinien, um Datenverkehr von der nicht vertrauenswürdigen Zone zu den übersetzten Ziel-IP-Adressen in der Vertrauenszone zu erlauben.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit]
CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit
.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination pool dst-nat-pool-1 address port 80 set security nat destination pool dst-nat-pool-2 address 192.168.1.220/32 set security nat destination pool dst-nat-pool-2 address port 8000 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 match destination-port 80 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat destination rule-set rs1 rule r2 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r2 match destination-port 8000 set security nat destination rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-2 192.168.1.220/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match destination-address server-2 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie über verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine ZIEL-NAT-Zuordnung von einer öffentlichen zu einer privaten Adresse:
Erstellen Sie ZIEL-NAT-Pools.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200 port 80 user@host# set pool dst-nat-pool-2 address 192.168.1.220 port 8000
Erstellen Sie einen Nat-Regelsatz des Ziels.
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
Konfigurieren Sie eine Regel, die Pakete abschließt und die Zieladresse in die Adresse im Pool übersetzt.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r1 match destination-port 80 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Konfigurieren Sie eine Regel, die Pakete abschließt und die Zieladresse in die Adresse im Pool übersetzt.
[edit security nat destination] user@host# set rule-set rs1 rule r2 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r2 match destination-port 8000 user@host# set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
Konfigurieren Sie Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Konfigurieren Sie Adressen im globalen Adressbuch.
[edit security address-book global] user@host# set address server-2 192.168.1.220/32 user@host# set address server-1 192.168.1.200/32
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der nicht vertrauenswürdigen Zone zu den Servern in der Vertrauenszone zulässt.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address [server-1 server-2] application any user@host# set policy server-access then permit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show security nat
befehle eingeben show security policies
. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show security nat destination { pool dst-nat-pool-1 { address 192.168.1.200/32 port 80; } pool dst-nat-pool-2 { address 192.168.1.220/32 port 8000; } rule-set rs1 { from zone untrust; rule r1 { match { destination-address 203.0.113.200/32; destination-port 80; } then { destination-nat pool dst-nat-pool-1; } } rule r2 { match { destination-address 203.0.113.200/32; destination-port 8000; } then { destination-nat pool dst-nat-pool-2; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.200/32; } } } user@host# show security policies from-zone untrust to-zone trust { policy server-access { match { source-address any; destination-address [ server-1 server-2 ]; application any; } then { permit; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit
.
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfung der Nat-Pool-Nutzung des Ziels
- Überprüfung der Nat-Regelnutzung des Ziels
- Überprüfung der NAT-Anwendung bis zum Datenverkehr
Überprüfung der Nat-Pool-Nutzung des Ziels
Zweck
Stellen Sie sicher, dass datenverkehrsbezogene IP-Adressen aus dem NAT-Zielpool verwendet werden.
Aktion
Geben Sie im Betriebsmodus den show security nat destination pool all
Befehl ein. Sehen Sie sich das Feld "Übersetzungstreffer" an, um mithilfe von IP-Adressen aus dem Pool auf Datenverkehr zu prüfen.
Überprüfung der Nat-Regelnutzung des Ziels
Zweck
Stellen Sie sicher, dass Datenverkehr vorhanden ist, der der NAT-Regel des Ziels entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat destination rule all
Befehl ein. Zeigen Sie das Feld "Übersetzung trifft" an, um nach Datenverkehr zu suchen, der der Regel entspricht.
Beispiel: Konfigurieren von Ziel-NAT für Subnet Translation
In diesem Beispiel wird die Konfiguration einer Ziel-NAT-Zuordnung einer öffentlichen Subnetzadresse zu einer privaten Subnetzadresse beschrieben.
Die Zuordnung von Adressen von einem Subnetz zum anderen kann auch mit statischer NAT durchgeführt werden. Mit der statischen NAT-Zuordnung können Verbindungen von beiden Seiten des Gateway-Geräts hergestellt werden, während ziel-NAT ermöglicht, Verbindungen nur von einer Seite aus herzustellen. Statische NAT erlaubt jedoch nur Übersetzungen zwischen Adressblöcken derselben Größe.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Siehe Schnittstellen-Benutzerhandbuch für Sicherheitsgeräte.
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Siehe Verstehen von Sicherheitszonen.
Übersicht
In diesem Beispiel werden die Vertrauenssicherheitszone für den privaten Adressraum und die nicht vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. In Abbildung 3 greifen Geräte in der nicht vertrauenswürdigen Zone in der Vertrauenszone über die öffentliche Subnetzadresse 203.0.113.0/24 zu. Bei Paketen, die das Sicherheitsgerät von Juniper Networks aus der nicht vertrauenswürdigen Zone mit einer Ziel-IP-Adresse im Subnetz 203.0.113.0/24 betreten, wird die Ziel-IP-Adresse in eine private Adresse im Subnetz 192.168.1.0/24 übersetzt.
In diesem Beispiel werden die folgenden Konfigurationen beschrieben:
Ziel-NAT-Pool
dst-nat-pool-1
, der die IP-Adresse 192.168.1.0/24 enthält.Ziel-NAT-Regelsatz
rs1
mit Regelr1
zur Übereinstimmung der Pakete, die von der ge-0/0/0.0-Schnittstelle mit der Ziel-IP-Adresse im Subnetz 203.0.113.0/24 empfangen werden. Für übereinstimmende Pakete wird die Zieladresse in die Adresse imdst-nat-pool-1
Pool übersetzt.Proxy-ARP für die Adressen 203.0.113.1/32 bis 203.0.113.62/32 auf der Schnittstelle ge-0/0/0.0; dies sind die IP-Adressen der Hosts, die aus dem Subnetz 203.0.113.0/24 übersetzt werden sollten. Auf diese Weise kann das Sicherheitsgerät von Juniper Networks auf ARP-Anfragen reagieren, die über die Schnittstelle für diese Adressen eingehen. Die Adresse 203.0.113.0/24 ist der Schnittstelle selbst zugewiesen, sodass diese Adresse nicht in der Proxy-ARP-Konfiguration enthalten ist. Die Adressen, die sich nicht im Bereich 203.0.113.1/32 bis 203.0.113.62/32 befinden, werden nicht erwartet, dass sie im Netzwerk vorhanden sind und nicht übersetzt werden.
Sicherheitsrichtlinien, um Datenverkehr von der nicht vertrauenswürdigen Zone zu den übersetzten Ziel-IP-Adressen in der Vertrauenszone zu erlauben.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit]
CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit
.
set security nat destination pool dst-nat-pool-1 address 192.168.1.0/24 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32 set security address-book global address internal-net 192.168.1.0/24 set security policies from-zone untrust to-zone trust policy internal-access match source-address any set security policies from-zone untrust to-zone trust policy internal-access match destination-address internal-net set security policies from-zone untrust to-zone trust policy internal-access match application any set security policies from-zone untrust to-zone trust policy internal-access then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie über verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine ZIEL-NAT-Zuordnung von einer öffentlichen Subnetzadresse zu einer privaten Subnetzadresse:
Erstellen Sie den NAT-Zielpool.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.0/24
Erstellen Sie einen Nat-Regelsatz des Ziels.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Konfigurieren Sie eine Regel, die Pakete abschließt und die Zieladresse in eine Adresse im Pool übersetzt.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Konfigurieren Sie Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32
Konfigurieren Sie eine Adresse im globalen Adressbuch.
[edit security address-book global] user@host# set address internal-net 192.168.1.0/24
Konfigurieren Sie eine Sicherheitsrichtlinie, die den Datenverkehr von der nicht vertrauenswürdigen Zone zu den Geräten in der Vertrauenszone zulässt.
[edit security policies from-zone untrust to-zone trust] user@host# set policy internal-access match source-address any destination-address internal-net application any user@host# set policy internal-access then permit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show security nat
befehle eingeben show security policies
. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show security nat destination { pool dst-nat-pool-1 { address 192.168.1.0/24; } rule-set rs1 { from interface ge-0/0/0.0; rule r1 { match { destination-address 203.0.113.0/24; } then { destination-nat pool dst-nat-pool-1; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.1/32 to 203.0.113.62/32; } } } user@host# show security policies from-zone untrust to-zone trust { policy internal-access { match { source-address any; destination-address internal-net; application any; } then { permit; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit
.
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfung der Nat-Pool-Nutzung des Ziels
- Überprüfung der Nat-Regelnutzung des Ziels
- Überprüfung der NAT-Anwendung bis zum Datenverkehr
Überprüfung der Nat-Pool-Nutzung des Ziels
Zweck
Stellen Sie sicher, dass datenverkehrsbezogene IP-Adressen aus dem NAT-Zielpool verwendet werden.
Aktion
Geben Sie im Betriebsmodus den show security nat destination pool all
Befehl ein. Sehen Sie sich das Feld "Übersetzungstreffer" an, um mithilfe von IP-Adressen aus dem Pool auf Datenverkehr zu prüfen.
Überprüfung der Nat-Regelnutzung des Ziels
Zweck
Stellen Sie sicher, dass Datenverkehr vorhanden ist, der der NAT-Regel des Ziels entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat destination rule all
Befehl ein. Zeigen Sie das Feld "Übersetzung trifft" an, um nach Datenverkehr zu suchen, der der Regel entspricht.
Überwachung von Ziel-NAT-Informationen
Zweck
Zeigen Sie die Zusammenfassungstabelle für Network Address Translation (NAT) des Ziels und die Details des angegebenen NAT-Zieladressenpools an.
Aktion
Wählen Sie Monitor>NAT> Ziel-NAT in der J-Web-Benutzeroberfläche aus, oder geben Sie die folgenden CLI-Befehle ein:
show security nat destination summary
show security nat destination pool pool-name
Tabelle 2 fasst die wichtigsten Ausgabefelder in der Ziel-NAT-Anzeige zusammen.
Feld |
Werte |
Aktion |
---|---|---|
Regeln | ||
Name des Regelsatzes |
Name des Regelsatzes. |
Wählen Sie alle Regelsätze oder einen bestimmten Regelsatz aus der Liste aus. |
Regeln insgesamt |
Anzahl der konfigurierten Regeln. |
– |
ID |
Regel-ID-Nummer. |
– |
Namen |
Name der Regel . |
– |
Name des Regelsatzes |
Name des Regelsatzes. |
– |
Von |
Name der Routing-Instanz/Zone/Schnittstelle, von der das Paket fließt. |
– |
Quelladressbereich |
Quell-IP-Adressbereich im Quellpool. |
– |
Zieladressbereich |
Ziel-IP-Adressbereich im Quellpool. |
– |
Ziel-Port |
Zielport im Zielpool. |
– |
IP-Protokoll |
IP-Protokoll. |
– |
Aktion |
Aktion für ein Paket, das einer Regel entspricht. |
– |
Schwellwert für Alarme |
Schwellenwert für Nutzungsalarm. |
– |
Sitzungen (Succ/Failed/Current) |
Erfolgreiche, fehlgeschlagene und aktuelle Sitzungen.
|
– |
Übersetzungstreffer |
Oft wird eine Übersetzung in der Übersetzungstabelle für eine Ziel-NAT-Regel verwendet. |
– |
Pools | ||
Poolname |
Die Namen der Pools. |
Wählen Sie alle Pools oder einen bestimmten Pool aus der Liste aus. |
Pools insgesamt |
Hinzugefügte Pools insgesamt. |
– |
ID |
ID des Pools. |
– |
Namen |
Name des Zielpools. |
– |
Adressbereich |
IP-Adressbereich im Zielpool. |
– |
Hafen |
Ziel-Portnummer im Pool. |
– |
Routing-Instanz |
Name der Routing-Instanz. |
– |
Adressen insgesamt |
GESAMT-IP-Adresse, IP-Adresssatz oder Adressbucheintrag. |
– |
Übersetzungstreffer |
Oft wird eine Übersetzung in der Übersetzungstabelle für Ziel-NAT verwendet. |
– |
Top 10 Übersetzungs-Hits | ||
Diagramm |
Zeigt das Diagramm der 10 wichtigsten Übersetzungstreffer an. |
– |