NAT für Multicast-Datenströme
Zum Implementieren der Adressübersetzung von Multicastgruppen wird entweder eine statische NAT oder eine Ziel-NAT verwendet. Mit Hilfe von NAT werden Quelladressen in IPv4 in IPv4-Multicast-Gruppenzieladressen übersetzt.
Grundlegendes zu NAT für Multicast-Datenströme
Network Address Translation (NAT) kann verwendet werden, um Quelladressen in IPv4-Multicast-Datenströmen und IPv4-Multicast-Gruppenzieladressen zu übersetzen.
Entweder statische NAT oder Ziel-NAT kann verwendet werden, um eine Multicast-Gruppenadressübersetzung durchzuführen. Statische NAT ermöglicht Verbindungen von beiden Seiten des Netzwerks, aber die Übersetzung ist auf Eins-zu-Eins-Adressen oder zwischen Adressblöcken gleicher Größe beschränkt. Es sind keine Adresspools notwendig. Verwenden Sie die static Konfigurationsanweisung auf der Hierarchieebene [edit security nat], um statische NAT-Regelsätze für Multicastdatenverkehr zu konfigurieren. Mit der Ziel-NAT können Verbindungen nur für eingehende Netzwerkverbindungen initiiert werden, z. B. vom Internet zu einem privaten Netzwerk. Verwenden Sie die destination Konfigurationsanweisung auf der Hierarchieebene [edit security nat], um Ziel-NAT-Pools und -Regelsätze zu konfigurieren.
Die Quell-NAT für Multicastdatenverkehr wird nur unterstützt, wenn die ursprüngliche Quell-IP-Adresse mithilfe der IP-Adressverschiebung in eine IP-Adresse aus einem benutzerdefinierten Adresspool übersetzt wird. Diese Art der Übersetzung erfolgt eins zu eins, statisch und ohne Portadressübersetzung. Wenn der ursprüngliche Quelladressbereich größer ist als der IP-Adressbereich im benutzerdefinierten Pool, werden nicht übersetzte Pakete verworfen. Die Zuordnung bietet keine bidirektionale Zuordnung, die von statischer NAT bereitgestellt wird. Verwenden Sie die source Konfigurationsanweisung auf der Hierarchieebene [edit security nat], um NAT-Quellpools und -Regelsätze zu konfigurieren. Wenn Sie den Quell-NAT-Pool für diesen Quell-NAT-Typ definieren, verwenden Sie die host-address-base Option, um den Anfang des ursprünglichen Quell-IP-Adressbereichs anzugeben.
Siehe auch
Beispiel: Konfigurieren von NAT für Multicast-Datenflüsse
Dieses Beispiel zeigt, wie ein Gerät von Juniper Networks für die Adressübersetzung von Multicast-Flows konfiguriert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Netzwerkschnittstellen auf dem Gerät. Weitere Informationen finden Sie im Benutzerhandbuch für Sicherheitsgeräte der Schnittstelle.
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitszonen.
-
Konfigurieren Sie das Gerät für die Multicastweiterleitung. Weitere Informationen finden Sie in der Multicast-Übersicht.
Überblick
In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die nicht vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. Abbildung 1 zeigt eine typische Bereitstellung des Geräts von Juniper Networks für die Multicastweiterleitung. Der Quellrouter R1 sendet Multicast-Pakete mit Quelladressen im Bereich 203.0.113.100 bis 203.0.113.110 und der Gruppenadresse 233.252.0.1/32 an das Gerät von Juniper Networks. Der Quellrouter R1 befindet sich im privaten Netzwerk (Vertrauenszone), das dem Gerät von Juniper Networks vorgeschaltet ist. Es gibt mehrere Empfänger im öffentlichen Netzwerk (nicht vertrauenswürdige Zone), das dem Gerät nachgeschaltet ist.
Das Gerät von Juniper Networks übersetzt eingehende Multicast-Pakete von R1 und leitet sie dann an die nachgeschalteten Schnittstellen weiter. Folgende Übersetzungen werden verwendet:
Für die Schnittstelle zu R2 wird die Quelladresse nicht übersetzt, und die Gruppenadresse wird in 233.252.0.2/32 übersetzt.
Für die Schnittstelle zu R3 wird die Quelladresse in eine Adresse im Bereich 198.51.100.200 bis 198.51.100.210 und die Gruppenadresse in 233.252.0.2/32 übersetzt.
Für die Schnittstelle zu R4 wird die Quelladresse in eine Adresse im Bereich 10.10.10.100 bis 10.10.10.110 und die Gruppenadresse in 233.252.0.2/32 übersetzt.
In diesem Beispiel werden die folgenden Konfigurationen beschrieben:
Ziel-NAT-Pool
dst-nat-pool, der die IP-Adresse 233.252.0.2/32 enthält.Ziel-NAT-Regelsatz
rs1mit Regelr1zum Abgleich von Paketen, die an der Schnittstelle xe-2/0/1.0 mit der Ziel-IP-Adresse 233.252.0.1/32 ankommen. Bei übereinstimmenden Paketen wird die Zieladresse in die IP-Adresse imdst-nat-poolPool übersetzt.Quell-NAT-Pool
src-nat-shift-1, der den IP-Adressbereich 198.51.100.200/32 bis 198.51.100.210/32 enthält. Für diesen Pool ist der Anfang des ursprünglichen Quell-IP-Adressbereichs 203.0.113.100/32 und wird mit derhost-address-baseOption angegeben.Quell-NAT-Regelsatz
rs-shift1mit Regelr1zum Abgleich von Paketen aus der Vertrauenszone mit Schnittstelle xe-1/0/1.0 mit einer Quell-IP-Adresse im Subnetz 203.0.113.96/28. Bei übereinstimmenden Paketen, die in den durch diesrc-nat-shift-1Konfiguration angegebenen Quelladressbereich fallen, wird die Quelladresse in die IP-Adresse imsrc-nat-shift-1Pool übersetzt.Quell-NAT-Pool
src-nat-shift-2, der den IP-Adressbereich 10.10.10.100/32 bis 10.10.10.110/32 enthält. Für diesen Pool ist der Anfang des ursprünglichen Quell-IP-Adressbereichs 203.0.113.100/32 und wird mit derhost-address-baseOption angegeben.Quell-NAT-Regelsatz
rs-shift2mit Regelr1zum Abgleich von Paketen aus der Vertrauenszone mit Schnittstelle xe-2/0/0.0 mit einer Quell-IP-Adresse im Subnetz 203.0.113.96/28. Bei übereinstimmenden Paketen, die in den durch diesrc-nat-shift-2Konfiguration angegebenen Quelladressbereich fallen, wird die Quelladresse in die IP-Adresse imsrc-nat-shift-2Pool übersetzt.Proxy-ARP für die Adressen 203.0.113.100 bis 203.0.113.110 auf der Schnittstelle xe-1/0/0.0, die Adressen 198.51.100.200 bis 198.51.100.210 auf der Schnittstelle xe-1/0/1.0 und die Adressen 10.10.10.100 bis 10.10.10.110 auf der Schnittstelle xe-2/0/0.0. Auf diese Weise kann das Sicherheitsgerät von Juniper Networks auf ARP-Anfragen reagieren, die über die Schnittstelle für diese Adressen empfangen werden.
Sicherheitsrichtlinie, um Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zuzulassen.
Sicherheitsrichtlinie, um Datenverkehr von der nicht vertrauenswürdigen Zone zur übersetzten Ziel-IP-Adresse in der Vertrauenszone zuzulassen.
Topologie
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security nat source pool src-nat-shift-1 address 198.51.100.200/32 to 198.51.100.210/32 set security nat source pool src-nat-shift-1 host-address-base 203.0.113.100/32 set security nat source pool src-nat-shift-2 address 10.10.10.100/32 to 10.10.10.110/32 set security nat source pool src-nat-shift-2 host-address-base 203.0.113.100/32 set security nat source rule-set rs-shift1 from zone trust set security nat source rule-set rs-shift1 to interface xe-1/0/1.0 set security nat source rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1 set security nat source rule-set rs-shift2 from zone trust set security nat source rule-set rs-shift2 to interface xe-2/0/0.0 set security nat source rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2 set security nat destination pool dst-nat-pool address 233.252.0.2/32 set security nat destination rule-set rs1 from interface xe-2/0/1.0 set security nat destination rule-set rs1 rule r1 match destination-address 233.252.0.1/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool set security nat proxy-arp interface xe-1/0/0.0 address 203.0.113.100/32 to 203.0.113.110/32 set security nat proxy-arp interface xe-1/0/1.0 address 198.51.100.200/32 to 198.51.100.210/32 set security nat proxy-arp interface xe-2/0/0.0 address 10.10.10.100/32 to 10.10.10.110/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match destination-address 233.252.0.1/21 set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie die Ziel- und Quell-NAT-Übersetzungen für Multicast-Flows:
Erstellen Sie einen Ziel-NAT-Pool.
[edit security nat destination] user@host# set pool dst-nat-pool address 233.252.0.2/32
Erstellen Sie einen Ziel-NAT-Regelsatz.
[edit security nat destination] user@host# set rule-set rs1 from interface xe-2/0/1.0
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in die Adresse im Ziel-NAT-Pool übersetzt.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 233.252.0.1/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool
Erstellen Sie einen Quell-NAT-Pool.
[edit security nat source] user@host# set pool src-nat-shift-1 address 198.51.100.200 to 198.51.100.210
Geben Sie den Anfang des ursprünglichen Quell-IP-Adressbereichs an.
[edit security nat source] user@host# set pool src-nat-shift-1 host-address-base 203.0.113.100
Erstellen Sie einen Quell-NAT-Regelsatz.
[edit security nat source] user@host# set rule-set rs-shift1 from zone trust user@host# set rule-set rs-shift1 to interface xe-1/0/1.0
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in die Adresse im Quell-NAT-Pool übersetzt.
[edit security nat source] user@host# set rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1
Erstellen Sie einen Quell-NAT-Pool.
[edit security nat source] user@host# set pool src-nat-shift-2 address 10.10.10.100 to 10.10.10.110
Geben Sie den Anfang des ursprünglichen Quell-IP-Adressbereichs an.
[edit security nat source] user@host# set pool src-nat-shift-2 host-address-base 203.0.113.100/32
Erstellen Sie einen Quell-NAT-Regelsatz.
[edit security nat source] user@host# set rule-set rs-shift2 from zone trust user@host# set rule-set rs-shift2 to interface xe-2/0/0.0
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in die Adresse im Quell-NAT-Pool übersetzt.
[edit security nat source] user@host# set rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2
Konfigurieren Sie Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface xe-1/0/0.0 address 203.0.113.100 to 203.0.113.110 user@host# set proxy-arp interface xe-1/0/1.0 address 198.51.100.200 to 198.51.100.210 user@host# set proxy-arp interface xe-2/0/0.0 address 10.10.10.100 to 10.10.10.110
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zulässt.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der nicht vertrauenswürdigen Zone in die Vertrauenszone zulässt.
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-access match source-address any destination-address 233.252.0.1/32 application any user@host# set policy dst-nat-pool-access then permit
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security nat Befehle und show security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
source {
pool src-nat-shift-1 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
host-address-base 203.0.113.100/32;
}
pool src-nat-shift-2 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
host-address-base 203.0.113.100/32;
}
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
rule-set rs-shift1 {
from zone trust;
to interface xe-1/0/1.0;
rule r1 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift1;
}
}
}
}
}
rule-set rs-shift2 {
from zone trust;
to interface xe-2/0/0.0;
rule r2 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift2;
}
}
}
}
}
}
destination {
pool dst-nat-pool {
address 233.252.0.1/32;
}
rule-set rs1 {
from interface xe-2/0/1.0;
rule r1 {
match {
destination-address 233.252.0.1/32;
}
then {
destination-nat pool dst-nat-pool;
}
}
}
}
proxy-arp {
interface xe-1/0/0.0 {
address {
203.0.113.100/32 to 203.0.113.110/32;
}
}
interface xe-1/0/1.0 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
}
interface xe-2/0/0.0 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen der Nutzung des Ziel-NAT-Pools
- Überprüfen der Verwendung von Ziel-NAT-Regeln
- Überprüfen der Nutzung des Quell-NAT-Pools
- Überprüfen der Verwendung von Quell-NAT-Regeln
- Verifizieren der NAT-Anwendung auf Datenverkehr
Überprüfen der Nutzung des Ziel-NAT-Pools
Zweck
Stellen Sie sicher, dass Datenverkehr mit IP-Adressen aus dem Ziel-NAT-Pool vorhanden ist.
Aktion
Geben Sie im Betriebsmodus den show security nat destination pool all Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Datenverkehr mit IP-Adressen aus dem Pool zu suchen.
Überprüfen der Verwendung von Ziel-NAT-Regeln
Zweck
Vergewissern Sie sich, dass Datenverkehr vorhanden ist, der der Ziel-NAT-Regel entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat destination rule all Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Traffic zu suchen, der der Regel entspricht.
Überprüfen der Nutzung des Quell-NAT-Pools
Zweck
Stellen Sie sicher, dass Datenverkehr mit IP-Adressen aus dem NAT-Quellpool vorhanden ist.
Aktion
Geben Sie im Betriebsmodus den show security nat source pool all Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Datenverkehr mit IP-Adressen aus dem Pool zu suchen.
Überprüfen der Verwendung von Quell-NAT-Regeln
Zweck
Vergewissern Sie sich, dass Datenverkehr vorhanden ist, der der Quell-NAT-Regel entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat source rule all Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Traffic zu suchen, der der Regel entspricht.