Ziel-NAT
Die Ziel-NAT ändert die Zieladresse von Paketen, die den Router passieren. Es bietet auch die Möglichkeit, die Portübersetzung in den TCP/UDP-Headern durchzuführen. Ziel-NAT wird hauptsächlich verwendet, um eingehende Pakete mit einer externen Adresse oder einem Portziel an eine interne IP-Adresse oder einen Port innerhalb des Netzwerks umzuleiten.
Grundlegendes zur Ziel-NAT
Ziel-NAT ist die Übersetzung der Ziel-IP-Adresse eines Pakets, das in das Gerät von Juniper Networks eingeht. Die Ziel-NAT wird verwendet, um Datenverkehr, der für einen virtuellen Host (identifiziert durch die ursprüngliche Ziel-IP-Adresse) bestimmt ist, an den tatsächlichen Host (identifiziert durch die übersetzte Ziel-IP-Adresse) umzuleiten.
Wenn die Ziel-NAT ausgeführt wird, wird die Ziel-IP-Adresse gemäß den konfigurierten Ziel-NAT-Regeln übersetzt und anschließend werden Sicherheitsrichtlinien angewendet.
Mit der Ziel-NAT können Verbindungen nur für eingehende Netzwerkverbindungen initiiert werden, z. B. vom Internet zu einem privaten Netzwerk. Die Ziel-NAT wird üblicherweise verwendet, um die folgenden Aktionen auszuführen:
Übersetzen einer einzelnen IP-Adresse in eine andere Adresse (z. B. um einem Gerät im Internet die Verbindung zu einem Host in einem privaten Netzwerk zu ermöglichen).
Übersetzen Sie einen zusammenhängenden Adressblock in einen anderen Adressblock gleicher Größe (z. B. um den Zugriff auf eine Gruppe von Servern zu ermöglichen).
Übersetzen einer Ziel-IP-Adresse und eines anderen Zielports in eine andere Ziel-IP-Adresse und einen anderen Port (z. B. um den Zugriff auf mehrere Dienste mit derselben IP-Adresse, aber unterschiedlichen Ports zu ermöglichen).
Die folgenden Arten von Ziel-NAT werden unterstützt:
Übersetzung der ursprünglichen Ziel-IP-Adresse in eine IP-Adresse aus einem benutzerdefinierten Pool. Diese Art der Übersetzung umfasst nicht die Port Address Translation (PAT). Wenn der ursprüngliche IP-Zieladressbereich größer ist als der Adressbereich im benutzerdefinierten Adresspool, werden alle nicht übersetzten Pakete verworfen.
Übersetzung der ursprünglichen Ziel-IP-Adresse (und optionalen Portnummer) in eine bestimmte IP-Adresse (und Portnummer) aus einem benutzerdefinierten Pool.
Grundlegendes zu Ziel-NAT-Adresspools
Ein NAT-Pool ist ein benutzerdefinierter Satz von IP-Adressen, die für die Übersetzung verwendet werden. Im Gegensatz zu statischem NAT, bei dem es eine Eins-zu-Eins-Zuordnung gibt, die die Übersetzung der Ziel-IP-Adresse in eine Richtung und die Übersetzung der Quell-IP-Adresse in die umgekehrte Richtung umfasst, übersetzen Sie bei der Ziel-NAT die ursprüngliche Zieladresse in eine IP-Adresse im Adresspool.
Geben Sie für Ziel-NAT-Adresspools Folgendes an:
Name des Ziel-NAT-Adresspools
Zieladresse oder Adressbereich
Überlappen Sie nicht die NAT-Adressen für Quell-NAT, Ziel-NAT und statische NAT innerhalb einer Routing-Instanz.
Zielport, der für die Portweiterleitung verwendet wird
Routing-Instanz, zu der der Pool gehört: Ein Ziel-NAT-Pool, der keine bestimmte Routing-Instanz angibt, verwendet standardmäßig die Routing-Instanz der Eingangszone.
Sie können einen NAT-Pool so konfigurieren, dass er in der Standardroutinginstanz vorhanden ist. Konfigurationsoption zum Angeben, dass ein NAT-Pool in der Standardrouting-Instanz vorhanden ist, ist verfügbar. Daher ist der NAT-Pool von Zonen in der Standardroutinginstanz und von Zonen in anderen Routinginstanzen aus erreichbar.
Grundlegendes zu Ziel-NAT-Regeln
Ziel-NAT-Regeln spezifizieren zwei Ebenen von Übereinstimmungsbedingungen:
Datenverkehrsrichtung: Hier können Sie ,
from zoneoderfrom routing-instanceangebenfrom interface.Paketinformationen: Dies können Quell-IP-Adressen, Ziel-IP-Adressen oder -Subnetze, Zielportnummern oder -bereiche, Protokolle oder Anwendungen sein.
Für ALG-Datenverkehr wird empfohlen, die destination-port Option oder die Option nicht als übereinstimmende application Bedingungen zu verwenden. Wenn diese Optionen verwendet werden, kann die Übersetzung fehlschlagen, da der Portwert in der Anwendungsnutzlast möglicherweise nicht mit dem Portwert in der IP-Adresse übereinstimmt.
Wenn sich mehrere Ziel-NAT-Regeln in den Übereinstimmungsbedingungen überschneiden, wird die spezifischste Regel ausgewählt. Wenn z. B. die Regeln A und B die gleichen Quell- und Ziel-IP-Adressen angeben, Regel A jedoch den Datenverkehr von Zone 1 und Regel B den Datenverkehr von der Schnittstelle ge-0/0/0, wird Regel B zum Ausführen der Ziel-NAT verwendet. Eine Schnittstellenübereinstimmung gilt als spezifischer als eine Zonenübereinstimmung, die wiederum spezifischer ist als eine Routinginstanzübereinstimmung.
Die Aktionen, die Sie für eine Ziel-NAT-Regel angeben können, sind:
off – Es wird keine Ziel-NAT ausgeführt.
pool: Verwenden Sie den angegebenen benutzerdefinierten Adresspool, um die Ziel-NAT auszuführen.
Ziel-NAT-Regeln werden auf den Datenverkehr im ersten Paket angewendet, das für den Datenfluss oder im schnellen Pfad für den ALG verarbeitet wird. Ziel-NAT-Regeln werden nach statischen NAT-Regeln, aber vor Quell-NAT-Regeln verarbeitet.
Übersicht über die Ziel-NAT-Konfiguration
Die wichtigsten Konfigurationsaufgaben für die Ziel-NAT lauten wie folgt:
- Konfigurieren Sie einen Ziel-NAT-Adresspool, der Ihren Netzwerk- und Sicherheitsanforderungen entspricht.
- Konfigurieren Sie Ziel-NAT-Regeln, die auf Ihr Netzwerk und Ihre Sicherheitsanforderungen abgestimmt sind.
- Konfigurieren Sie NAT-Proxy-ARP-Einträge für IP-Adressen im selben Subnetz der Eingangsschnittstelle.
Beispiel: Konfigurieren der Ziel-NAT für die Übersetzung einer einzelnen Adresse
In diesem Beispiel wird beschrieben, wie eine Ziel-NAT-Zuordnung einer einzelnen öffentlichen Adresse zu einer privaten Adresse konfiguriert wird.
Die Zuordnung einer Ziel-IP-Adresse zu einer anderen kann auch mit statischem NAT durchgeführt werden. Bei der statischen NAT-Zuordnung können Verbindungen von beiden Seiten des Gateway-Geräts hergestellt werden, während bei der Ziel-NAT nur Verbindungen von einer Seite hergestellt werden können. Statische NAT erlaubt jedoch nur Übersetzungen von einer Adresse zu einer anderen oder zwischen Adressblöcken gleicher Größe.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Firewalls der SRX-Serie
Server
Bevor Sie beginnen:
Konfigurieren Sie die Netzwerkschnittstellen auf dem Gerät. Weitere Informationen finden Sie im Benutzerhandbuch für Sicherheitsgeräte der Schnittstelle.
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitszonen.
Überblick
Ziel-NAT wird üblicherweise verwendet, um einen Dienst zu verteilen, der sich in einem privaten Netzwerk mit einer öffentlich zugänglichen IP-Adresse befindet. Auf diese Weise können Benutzer den privaten Dienst mit der öffentlichen IP-Adresse verwenden. Die Konfigurationen für den Ziel-NAT-Adresspool und die Ziel-NAT-Regeln dienen der Ausrichtung Ihres Netzwerks und der Verbesserung der Sicherheitsanforderungen.
In diesem Beispiel konfigurieren Sie zuerst die vertrauenswürdige Sicherheitszone für den privaten Adressraum und dann die nicht vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum. In Abbildung 1 greifen Geräte in der nicht vertrauenswürdigen Zone über die öffentliche Adresse 203.0.113.200/32 auf einen Server in der Vertrauenszone zu. Bei Paketen, die aus der nicht vertrauenswürdigen Zone mit der Ziel-IP-Adresse 203.0.113.200/32 in das Sicherheitsgerät von Juniper Networks gelangen, wird die Ziel-IP-Adresse in die private Adresse 192.168.1.200/32 übersetzt.
Topologie
Tabelle 1 zeigt die in diesem Beispiel konfigurierten Parameter.
Parameter |
Beschreibung |
|---|---|
Trust-Zone |
Sicherheitszone für den privaten Adressraum. |
Nicht vertrauenswürdige Zone |
Sicherheitszone für den öffentlichen Beschallungsraum. |
192.168.1.200/32 |
Übersetzte Ziel-NAT-IP-Adresse. |
192.168.1.0/24 |
Privates Subnetz in privater Zone. |
203.0.113.200/32 |
Öffentliche Adresse des Servers. |
Server |
Serveradresse des privaten Adressraums. |
GE-0/0/0 und GE-1/0/0 |
NAT-Schnittstellen für die Datenverkehrsrichtung. |
In diesem Beispiel werden die folgenden Konfigurationen beschrieben:
Ziel-NAT-Pool
dst-nat-pool-1, der die IP-Adresse 192.168.1.200/32 enthält.Ziel-NAT-Regelsatz
rs1mit Regelr1zum Abgleich von Paketen, die von der ge-0/0/0.0-Schnittstelle mit der Ziel-IP-Adresse 203.0.113.200/32 empfangen werden. Bei übereinstimmenden Paketen wird die Zieladresse in die Adresse imdst-nat-pool-1Pool übersetzt.Proxy-ARP für die Adresse 203.0.113.200/32 auf der Schnittstelle ge-0/0/0.0. Auf diese Weise kann das Sicherheitsgerät von Juniper Networks auf ARP-Anforderungen reagieren, die über die Schnittstelle für diese Adresse empfangen werden.
Sicherheitsrichtlinien, um Datenverkehr von der nicht vertrauenswürdigen Zone zur übersetzten Ziel-IP-Adresse in der Vertrauenszone zuzulassen.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eine Ziel-NAT-Zuordnung von einer öffentlichen Adresse zu einer privaten Adresse:
Erstellen Sie den Ziel-NAT-Pool.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200/32
Erstellen Sie einen Ziel-NAT-Regelsatz.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in die Adresse im Pool übersetzt.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Konfigurieren Sie Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Konfigurieren Sie eine Adresse im globalen Adressbuch.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der nicht vertrauenswürdigen Zone zum Server in der Vertrauenszone zulässt.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any user@host# set policy server-access match destination-address server-1 user@host# set policy server-access match application any user@host# set policy server-access then permit
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show interfacesshow security zonesshow bridge-domains Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
[edit]
user@host# show security address-book
global {
address server-1 192.168.1.200/32;
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der Nutzung des Ziel-NAT-Pools
- Überprüfen der Verwendung von Ziel-NAT-Regeln
- Überprüfen der Ziel-NAT für eine einzelne Adressübersetzung
- Verifizieren der NAT-Anwendung auf Datenverkehr
Überprüfen der Nutzung des Ziel-NAT-Pools
Zweck
Stellen Sie sicher, dass Datenverkehr mit IP-Adressen aus dem Ziel-NAT-Pool vorhanden ist.
Aktion
Geben Sie im Betriebsmodus den show security nat destination pool all Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Datenverkehr mit IP-Adressen aus dem Pool zu suchen.
user@host>show security nat destination pool all
Total destination-nat pools: 1
Pool name : dst-nat-pool-1
Pool id : 1
Total address : 1
Translation hits: 71
Address range Port
192.168.1.200 - 192.168.1.200 0
Bedeutung
Der show security nat destination pool all Befehl zeigt den Pool der übersetzten Adressen an. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Datenverkehr mit IP-Adressen aus dem Pool zu suchen.
Überprüfen der Verwendung von Ziel-NAT-Regeln
Zweck
Vergewissern Sie sich, dass Datenverkehr vorhanden ist, der der Ziel-NAT-Regel entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat destination rule all Befehl ein.
user@host>show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
Destination NAT rule: r1 Rule-set: rs1
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/0.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : dst-nat-pool-1
Translation hits : 75
Successful sessions : 75
Failed sessions : 0
Number of sessions : 4
Bedeutung
Der show security nat destination rule all Befehl zeigt die Ziel-NAT-Regel an. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Datenverkehr zu suchen, der der Zielregel entspricht.
Überprüfen der Ziel-NAT für eine einzelne Adressübersetzung
Zweck
Überprüfen Sie die Konfiguration der Ziel-NAT für eine einzelne Adressübersetzung.
Aktion
Geben Sie im Betriebsmodus den show security nat destination summary Befehl ein.
user@host>show security nat destination summary
Total pools: 1
Pool name Address Range Routing Port Total
Instance Address
dst-nat-pool-1 192.168.1.200 - 192.168.1.200 0 1
Total rules: 1
Rule name Rule set From Action
r1 rs1 ge-0/0/0.0 dst-nat-pool-1
Bedeutung
Der show security nat destination summary Befehl zeigt Informationen zur Ziel-NAT-Konfiguration an. Sie können die folgenden Informationen überprüfen:
Regelsätze
Regeln
Adressbereich
NAT-Pool
Portdetails
Verifizieren der NAT-Anwendung auf Datenverkehr
Zweck
Vergewissern Sie sich, dass NAT auf den angegebenen Datenverkehr angewendet wird.
Aktion
Geben Sie im Betriebsmodus den show security flow session Befehl ein.
user@host>show security flow session Session ID: 26415, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/30 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/30;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26420, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/31 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/31;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26425, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/32 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/32;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26431, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/33 --> 203.0.113.200/54850 ;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/33;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Total sessions: 9
Bedeutung
Der show security flow session Befehl zeigt aktive Sitzungen auf dem Gerät und die jeder Sitzung zugeordnete Sicherheitsrichtlinie an. Die Ausgabe zeigt den Datenverkehr, der in das Gerät eingeht, das für einen öffentlichen Host bei 203.0.113.200 bestimmt ist und in die private Ziel-IP-Adresse 192.168.1.200 übersetzt wird.
Session ID: Nummer, die die Sitzung identifiziert. Verwenden Sie diese ID, um weitere Informationen über die Sitzung zu erhalten, z. B. den Richtliniennamen oder die Anzahl der ein- und ausgehenden Pakete.
server-access– Richtlinienname, der den Datenverkehr von der nicht vertrauenswürdigen Zone zur übersetzten Ziel-IP-Adresse in der Vertrauenszone zugelassen hat.
In- Eingehender Datenstrom (Quell- und Ziel-IP-Adressen mit ihren jeweiligen Quell- und Zielportnummern, die Sitzung ist ICMP und die Quellschnittstelle für diese Sitzung ist ge-0/0/0.0).
Out- Reverse Flow (Quell- und Ziel-IP-Adressen mit ihren jeweiligen Quell- und Zielportnummern, die Sitzung ist ICMP und die Zielschnittstelle für diese Sitzung ist ge-0/0/1.0).
Beispiel: Konfigurieren der Ziel-NAT für IP-Adressen- und Portübersetzung
In diesem Beispiel wird beschrieben, wie Ziel-NAT-Zuordnungen einer öffentlichen Adresse zu privaten Adressen in Abhängigkeit von der Portnummer konfiguriert werden.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Netzwerkschnittstellen auf dem Gerät. Weitere Informationen finden Sie im Benutzerhandbuch für Schnittstellen für Sicherheitsgeräte.
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitszonen.
Überblick
In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die nicht vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. In Abbildung 2 greifen Geräte in der nicht vertrauenswürdigen Zone über die öffentliche Adresse 203.0.113.200 an Port 80 oder 8000 auf Server in der Vertrauenszone zu. Pakete, die aus der nicht vertrauenswürdigen Zone in das Sicherheitsgerät von Juniper Networks gelangen, werden den privaten Adressen der Server wie folgt zugeordnet:
Die Ziel-IP-Adresse 203.0.113.200 und Port 80 werden in die private Adresse 192.168.1.200 und Port 80 übersetzt.
Die Ziel-IP-Adresse 203.0.113.200 und Port 8000 werden in die private Adresse 192.168.1.220 und Port 8000 übersetzt.
In diesem Beispiel werden die folgenden Konfigurationen beschrieben:
Ziel-NAT-Pool
dst-nat-pool-1, der die IP-Adresse 192.168.1.200 Port 80 enthält.Ziel-NAT-Pool
dst-nat-pool-2, der die IP-Adresse 192.168.1.220 und Port 8000 enthält.Ziel-NAT-Regelsatz
rs1mit Regelr1zum Abgleich von Paketen, die von der nicht vertrauenswürdigen Zone mit der Ziel-IP-Adresse 203.0.113.200 und dem Zielport 80 empfangen werden. Bei übereinstimmenden Paketen wird die Zieladresse in die Adresse imdst-nat-pool-1Pool übersetzt.Ziel-NAT-Regelsatz
rs1mit einer Regelr2zum Abgleich von Paketen, die von der nicht vertrauenswürdigen Zone mit der Ziel-IP-Adresse 203.0.113.200 und dem Zielport 8000 empfangen wurden. Bei übereinstimmenden Paketen werden die IP-Adresse und der Port des Ziels in die Adresse und den Port imdst-nat-pool-2Pool übersetzt.Proxy-ARP für die Adresse 203.0.113.200/32. Auf diese Weise kann das Sicherheitsgerät von Juniper Networks auf ARP-Anforderungen reagieren, die über die Schnittstelle für diese Adresse empfangen werden.
Sicherheitsrichtlinien, um Datenverkehr von der nicht vertrauenswürdigen Zone zu den übersetzten Ziel-IP-Adressen in der Vertrauenszone zuzulassen.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination pool dst-nat-pool-1 address port 80 set security nat destination pool dst-nat-pool-2 address 192.168.1.220/32 set security nat destination pool dst-nat-pool-2 address port 8000 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 match destination-port 80 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat destination rule-set rs1 rule r2 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r2 match destination-port 8000 set security nat destination rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-2 192.168.1.220/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match destination-address server-2 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine Ziel-NAT-Zuordnung von einer öffentlichen Adresse zu einer privaten Adresse:
Erstellen Sie Ziel-NAT-Pools.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200 port 80 user@host# set pool dst-nat-pool-2 address 192.168.1.220 port 8000
Erstellen Sie einen Ziel-NAT-Regelsatz.
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in die Adresse im Pool übersetzt.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r1 match destination-port 80 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in die Adresse im Pool übersetzt.
[edit security nat destination] user@host# set rule-set rs1 rule r2 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r2 match destination-port 8000 user@host# set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
Konfigurieren Sie Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Konfigurieren Sie Adressen im globalen Adressbuch.
[edit security address-book global] user@host# set address server-2 192.168.1.220/32 user@host# set address server-1 192.168.1.200/32
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der nicht vertrauenswürdigen Zone zu den Servern in der Vertrauenszone zulässt.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address [server-1 server-2] application any user@host# set policy server-access then permit
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security nat Befehle und show security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32 port 80;
}
pool dst-nat-pool-2 {
address 192.168.1.220/32 port 8000;
}
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
destination-port 80;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
rule r2 {
match {
destination-address 203.0.113.200/32;
destination-port 8000;
}
then {
destination-nat pool dst-nat-pool-2;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address [ server-1 server-2 ];
application any;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen der Nutzung des Ziel-NAT-Pools
- Überprüfen der Verwendung von Ziel-NAT-Regeln
- Verifizieren der NAT-Anwendung auf Datenverkehr
Überprüfen der Nutzung des Ziel-NAT-Pools
Zweck
Stellen Sie sicher, dass Datenverkehr mit IP-Adressen aus dem Ziel-NAT-Pool vorhanden ist.
Aktion
Geben Sie im Betriebsmodus den show security nat destination pool all Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Datenverkehr mit IP-Adressen aus dem Pool zu suchen.
Überprüfen der Verwendung von Ziel-NAT-Regeln
Zweck
Vergewissern Sie sich, dass Datenverkehr vorhanden ist, der der Ziel-NAT-Regel entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat destination rule all Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Traffic zu suchen, der der Regel entspricht.
Beispiel: Konfigurieren der Ziel-NAT für die Subnetzübersetzung
In diesem Beispiel wird beschrieben, wie eine Ziel-NAT-Zuordnung einer öffentlichen Subnetzadresse zu einer privaten Subnetzadresse konfiguriert wird.
Die Zuordnung von Adressen von einem Subnetz zu einem anderen kann auch mit statischem NAT durchgeführt werden. Bei der statischen NAT-Zuordnung können Verbindungen von beiden Seiten des Gateway-Geräts hergestellt werden, während bei der Ziel-NAT Verbindungen nur von einer Seite hergestellt werden können. Statische NAT erlaubt jedoch nur Übersetzungen zwischen Adressblöcken gleicher Größe.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Netzwerkschnittstellen auf dem Gerät. Weitere Informationen finden Sie im Benutzerhandbuch für Schnittstellen für Sicherheitsgeräte.
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitszonen.
Überblick
In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die nicht vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. In Abbildung 3 greifen Geräte in der nicht vertrauenswürdigen Zone über die öffentliche Subnetzadresse 203.0.113.0/24 auf Geräte in der Vertrauenszone zu. Bei Paketen, die aus der nicht vertrauenswürdigen Zone mit einer Ziel-IP-Adresse im Subnetz 203.0.113.0/24 in das Sicherheitsgerät von Juniper Networks gelangen, wird die Ziel-IP-Adresse in eine private Adresse im Subnetz 192.168.1.0/24 übersetzt.
In diesem Beispiel werden die folgenden Konfigurationen beschrieben:
Ziel-NAT-Pool
dst-nat-pool-1, der die IP-Adresse 192.168.1.0/24 enthält.Ziel-NAT-Regelsatz
rs1mit Regelr1zum Abgleich von Paketen, die von der ge-0/0/0.0-Schnittstelle mit der Ziel-IP-Adresse im Subnetz 203.0.113.0/24 empfangen werden. Bei übereinstimmenden Paketen wird die Zieladresse in die Adresse imdst-nat-pool-1Pool übersetzt.Proxy-ARP für die Adressen 203.0.113.1/32 bis 203.0.113.62/32 auf der Schnittstelle ge-0/0/0.0; Dies sind die IP-Adressen der Hosts, die aus dem Subnetz 203.0.113.0/24 übersetzt werden sollen. Auf diese Weise kann das Sicherheitsgerät von Juniper Networks auf ARP-Anfragen reagieren, die über die Schnittstelle für diese Adressen empfangen werden. Die Adresse 203.0.113.0/24 ist der Schnittstelle selbst zugewiesen, so dass diese Adresse nicht in der Proxy-ARP-Konfiguration enthalten ist. Die Adressen, die sich nicht im Bereich von 203.0.113.1/32 bis 203.0.113.62/32 befinden, werden voraussichtlich nicht im Netzwerk vorhanden sein und nicht übersetzt.
Sicherheitsrichtlinien, um Datenverkehr von der nicht vertrauenswürdigen Zone zu den übersetzten Ziel-IP-Adressen in der Vertrauenszone zuzulassen.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security nat destination pool dst-nat-pool-1 address 192.168.1.0/24 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32 set security address-book global address internal-net 192.168.1.0/24 set security policies from-zone untrust to-zone trust policy internal-access match source-address any set security policies from-zone untrust to-zone trust policy internal-access match destination-address internal-net set security policies from-zone untrust to-zone trust policy internal-access match application any set security policies from-zone untrust to-zone trust policy internal-access then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine Ziel-NAT-Zuordnung von einer öffentlichen Subnetzadresse zu einer privaten Subnetzadresse:
Erstellen Sie den Ziel-NAT-Pool.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.0/24
Erstellen Sie einen Ziel-NAT-Regelsatz.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in eine Adresse im Pool übersetzt.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Konfigurieren Sie Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32
Konfigurieren Sie eine Adresse im globalen Adressbuch.
[edit security address-book global] user@host# set address internal-net 192.168.1.0/24
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der nicht vertrauenswürdigen Zone zu den Geräten in der Vertrauenszone zulässt.
[edit security policies from-zone untrust to-zone trust] user@host# set policy internal-access match source-address any destination-address internal-net application any user@host# set policy internal-access then permit
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security nat Befehle und show security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.0/24;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.62/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy internal-access {
match {
source-address any;
destination-address internal-net;
application any;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen der Nutzung des Ziel-NAT-Pools
- Überprüfen der Verwendung von Ziel-NAT-Regeln
- Verifizieren der NAT-Anwendung auf Datenverkehr
Überprüfen der Nutzung des Ziel-NAT-Pools
Zweck
Stellen Sie sicher, dass Datenverkehr mit IP-Adressen aus dem Ziel-NAT-Pool vorhanden ist.
Aktion
Geben Sie im Betriebsmodus den show security nat destination pool all Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Datenverkehr mit IP-Adressen aus dem Pool zu suchen.
Überprüfen der Verwendung von Ziel-NAT-Regeln
Zweck
Vergewissern Sie sich, dass Datenverkehr vorhanden ist, der der Ziel-NAT-Regel entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat destination rule all Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Traffic zu suchen, der der Regel entspricht.
Überwachen von Ziel-NAT-Informationen
Zweck
Zeigen Sie die Übersichtstabelle für die Ziel-Network Address Translation (NAT) und die Details der angegebenen NAT-Zieladresspoolinformationen an.
Aktion
Wählen Sie Monitor>NAT> Destination NAT in der J-Web-Benutzeroberfläche aus, oder geben Sie die folgenden CLI-Befehle ein:
show security nat destination summaryshow security nat destination pool pool-name
Tabelle 2 fasst die wichtigsten Ausgabefelder in der Ziel-NAT-Anzeige zusammen.
Feld |
Werte |
Aktion |
|---|---|---|
| Regeln | ||
Name des Regelsatzes |
Name des Regelsatzes. |
Wählen Sie alle Regelsätze oder einen bestimmten Regelsatz aus, der in der Liste angezeigt werden soll. |
Regeln insgesamt |
Anzahl der konfigurierten Regeln. |
– |
ID |
Regel-ID-Nummer. |
– |
Name |
Name der Regel . |
– |
Name des Regelsatzes |
Name des Regelsatzes. |
– |
Von |
Name der Routing-Instanz/-Zone/Schnittstelle, von der das Paket fließt. |
– |
Quelladressbereich |
Quell-IP-Adressbereich im Quellpool. |
– |
Zieladressbereich |
Ziel-IP-Adressbereich im Quellpool. |
– |
Zielport |
Zielport im Zielpool. |
– |
IP-Protokoll |
IP-Protokoll. |
– |
Aktion |
Aktion, die für ein Paket ausgeführt wird, das einer Regel entspricht. |
– |
Alarmschwelle |
Schwellenwert für den Auslastungsalarm. |
– |
Sitzungen (Succ/Fehlgeschlagen/Aktuell) |
Erfolgreiche, fehlgeschlagene und aktuelle Sitzungen.
|
– |
Übersetzungstreffer |
Gibt an, wie oft eine Übersetzung in der Übersetzungstabelle für eine Ziel-NAT-Regel verwendet wird. |
– |
| Toto | ||
Name des Pools |
Die Namen der Pools. |
Wählen Sie alle Pools oder einen bestimmten Pool aus, der aus der Liste angezeigt werden soll. |
Pools insgesamt |
Gesamtzahl der hinzugefügten Pools. |
– |
ID |
ID des Pools. |
– |
Name |
Name des Zielpools. |
– |
Adressbereich |
IP-Adressbereich im Zielpool. |
– |
Hafen |
Zielportnummer im Pool. |
– |
Routing-Instanz |
Name der Routinginstanz. |
– |
Adressen insgesamt |
Gesamtzahl der IP-Adressen, IP-Adresssätze oder Adressbucheinträge. |
– |
Übersetzungstreffer |
Gibt an, wie oft eine Übersetzung in der Übersetzungstabelle für die Ziel-NAT verwendet wird. |
– |
| Top 10 Übersetzungstreffer | ||
Graph |
Zeigt das Diagramm der 10 wichtigsten Übersetzungstreffer an. |
– |