Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

NAT-Übersicht

Network Address Translation (NAT) ist ein Mechanismus, um die IP-Adresse eines Computers oder einer Gruppe von Computern in eine einzige öffentliche Adresse zu übersetzen, wenn die Pakete an das Internet gesendet werden. Durch die Übersetzung der IP-Adresse wird nur eine IP-Adresse für das externe Netzwerk veröffentlicht. Da nur eine IP-Adresse für die Außenwelt sichtbar ist, bietet NAT zusätzliche Sicherheit und kann nur eine öffentliche Adresse für das gesamte Netzwerk haben, anstatt mehrere IP-Adressen zu haben.

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen. Möglicherweise werden weitere Plattformen unterstützt.

Einführung in NAT

Network Address Translation (NAT) ist eine Methode zum Ändern oder Übersetzen von Netzwerkadressinformationen in Paketheadern. Eine oder beide Quell- und Zieladressen in einem Paket können übersetzt werden. NAT kann sowohl die Übersetzung von Portnummern als auch von IP-Adressen umfassen.

NAT wird in RFC 1631 beschrieben, um IP-Adressprobleme (Version 4) zu lösen. Seitdem hat sich NAT als nützliches Tool für Firewalls, Datenverkehrsumleitungen, Lastverteilung, Netzwerkmigrationen usw. erwiesen.

Die folgenden Arten von NAT werden auf Geräten von Juniper Networks unterstützt:

  • Statische NAT

  • Ziel-NAT

  • Quellen-NAT

Firewalls der SRX-Serie führen sowohl eine Richtlinien- als auch eine Servicesuche basierend auf dem übersetzten Zielport durch.

Sie können den NAT-Assistenten verwenden, um die grundlegende NAT-Konfiguration durchzuführen. Für eine erweiterte Konfiguration verwenden Sie die J-Web-Schnittstelle oder die CLI.

Siehe auch

Grundlegendes zu NAT-Regelsätzen und -Regeln

Im Mittelpunkt der NAT-Verarbeitung steht die Auswertung von NAT-Regelsätzen und -Regeln. Ein Regelsatz bestimmt die Gesamtrichtung des zu verarbeitenden Datenverkehrs. Ein Regelsatz kann z. B. Datenverkehr von einer bestimmten Schnittstelle oder zu einer bestimmten Zone auswählen. Ein Regelsatz kann mehrere Regeln enthalten. Sobald ein Regelsatz gefunden wurde, der mit einem bestimmten Datenverkehr übereinstimmt, wird jede Regel im Regelsatz auf eine Übereinstimmung ausgewertet. Jede Regel im Regelsatz gibt außerdem den Datenverkehr an, der abgeglichen werden soll, und die Aktion, die ausgeführt werden soll, wenn der Datenverkehr mit der Regel übereinstimmt.

Dieses Thema enthält die folgenden Abschnitte:

NAT-Regelsätze

Ein Regelsatz gibt einen allgemeinen Satz von übereinstimmenden Bedingungen für den Datenverkehr an. Für statische NAT und Ziel-NAT gibt ein Regelsatz eine der folgenden Optionen an:

  • Quellschnittstelle

  • Quellzone

  • Quell-Routing-Instanz

Für Quell-NAT-Regelsätze konfigurieren Sie sowohl Quell- als auch Zielbedingungen:

  • Quellschnittstelle, -zone oder -routing-Instanz

  • Zielschnittstelle, -zone oder -routing-Instanz

Es ist möglich, dass ein Paket mit mehr als einem Regelsatz übereinstimmt. In diesem Fall wird der Regelsatz mit der spezifischeren Übereinstimmung verwendet. Eine Schnittstellenübereinstimmung wird als spezifischer angesehen als eine Zonenübereinstimmung, die spezifischer ist als eine Routinginstanzübereinstimmung. Wenn ein Paket sowohl mit einem Ziel-NAT-Regelsatz übereinstimmt, der eine Quellzone angibt, als auch mit einem Ziel-NAT-Regelsatz, der eine Quellschnittstelle angibt, ist der Regelsatz, der die Quellschnittstelle angibt, die spezifischere Übereinstimmung.

Der Abgleich von Quell-NAT-Regelsätzen ist komplexer, da Sie sowohl Quell- als auch Zielbedingungen in einem Quell-NAT-Regelsatz angeben. Für den Fall, dass ein Paket mit mehr als einem Quell-NAT-Regelsatz übereinstimmt, basiert der ausgewählte Regelsatz auf den folgenden Quell-/Zielbedingungen (in der Reihenfolge ihrer Priorität):

  1. Quellschnittstelle/Zielschnittstelle

  2. Quellzone/Zielschnittstelle

  3. Quell-Routing-Instanz/Zielschnittstelle

  4. Quellschnittstelle/Zielzone

  5. Quellzone/Zielzone

  6. Quell-Routing-Instanz/Zielzone

  7. Quellschnittstelle/Ziel-Routing-Instanz

  8. Quellzone/Ziel-Routing-Instanz

  9. Quell-Routing-Instanz/Ziel-Routing-Instanz

Sie können z. B. den Regelsatz A konfigurieren, der eine Quellschnittstelle und eine Zielzone angibt, sowie den Regelsatz B, der eine Quellzone und eine Zielschnittstelle angibt. Wenn ein Paket mit beiden Regelsätzen übereinstimmt, ist Regelsatz B die spezifischere Übereinstimmung.

Sie können nicht die gleichen Quell- und Zielbedingungen für Quell-NAT-Regelsätze angeben.

NAT-Regeln

Sobald ein Regelsatz gefunden wurde, der mit dem Datenverkehr übereinstimmt, wird jede Regel im Regelsatz in der Reihenfolge auf eine Übereinstimmung ausgewertet. NAT-Regeln können mit den folgenden Paketinformationen übereinstimmen:

  • Quell- und Zieladresse

  • Quellport (nur für Quell- und statische NAT)

  • Zielport

Die erste Regel im Regelsatz, die mit dem Datenverkehr übereinstimmt, wird verwendet. Wenn ein Paket während des Sitzungsaufbaus mit einer Regel in einem Regelsatz übereinstimmt, wird der Datenverkehr gemäß der durch diese Regel angegebenen Aktion verarbeitet.

Sie können die Befehle show security nat source rule und show security nat destination rule sowie show security nat static rule verwenden, um die Anzahl der Sitzungen für eine bestimmte Regel anzuzeigen.

Regelverarbeitung

Der NAT-Typ bestimmt die Reihenfolge, in der NAT-Regeln verarbeitet werden. Bei der ersten Paketverarbeitung für einen Datenstrom werden NAT-Regeln in der folgenden Reihenfolge angewendet:

  1. Statische NAT-Regeln

  2. Ziel-NAT-Regeln

  3. Routensuche

  4. Suche nach Sicherheitsrichtlinien

  5. Reverse Mapping von statischen NAT-Regeln

  6. Quell-NAT-Regeln

Abbildung 1 veranschaulicht die Reihenfolge für die Verarbeitung von NAT-Regeln.

Abbildung 1: Verarbeitung NAT Rule Processing von NAT-Regeln

Statische NAT- und Ziel-NAT-Regeln werden vor der Routen- und Sicherheitsrichtliniensuche verarbeitet. Statische NAT-Regeln haben Vorrang vor Ziel-NAT-Regeln. Die umgekehrte Zuordnung statischer NAT-Regeln erfolgt nach der Routen- und Sicherheitsrichtliniensuche und hat Vorrang vor Quell-NAT-Regeln. Quell-NAT-Regeln werden nach der Suche nach Routen und Sicherheitsrichtlinien und nach der umgekehrten Zuordnung statischer NAT-Regeln verarbeitet.

Die Konfiguration von Regeln und Regelsätzen ist im Grunde für jeden NAT-Typ (Quelle, Ziel oder statisch) gleich. Da jedoch sowohl die Ziel- als auch die statische NAT vor der Routensuche verarbeitet werden, können Sie die Zielzone, Schnittstelle oder Routinginstanz nicht im Regelsatz angeben.

Kapazität der NAT-Regel

Die Kapazitätsanforderung für NAT-Regeln hängt von der Firewall der SRX-Serie und der Junos OS-Version ab.

Die Beschränkung auf die Anzahl der Regeln pro Regelsatz ist eine geräteweite Begrenzung der Anzahl der Regeln, die ein Gerät unterstützen kann. Diese Einschränkung wird bereitgestellt, um Ihnen zu helfen, die NAT-Regeln für das Gerät besser zu planen und zu konfigurieren.

Für den Speicherverbrauch gibt es keine Garantie dafür, dass diese Zahlen unterstützt werden (maximale Quellregel oder maximaler Regelsatz + maximale Zielregel oder Regelsatz + maximale statische Regel oder Regelsatz).

Die Kapazitätsanforderung für NAT-Regeln hängt von der Firewall der SRX-Serie und der Junos OS-Version ab.

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen. Weitere Plattformen können unterstützt werden.

Weitere Informationen finden Sie im Abschnitt Zusätzliche Plattforminformationen .

Zusätzliche Plattforminformationen

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen. Weitere Plattformen können unterstützt werden.

NAT-Regeltyp

SRX300, SRX320

SRX340, SRX345

SRX1500 SRX1600

SRX2300 SRX4100SRX4200

SRX4600 SRX5400SRX5600SRX5800

Quell-NAT-Regel

1024

2048

8192

20,480

30,720

Ziel-NAT-Regel

1024

2048

8192

20,480

30,720

Statische NAT-Regel

1024

2048

8192

20,480

30,720

Objekte

SRX1600 SRX2300

SRX4600 SRX5400SRX5600SRX5800

NAT-Regelsätze pro System insgesamt

10,000

30,720

Gesamtzahl der NAT-Regeln pro Regelsatz

10,000

30,720

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
19.3R1
Ab Junos OS Version 19.3R1 unterstützen SRX5000-Reihe Geräte mit SRX5K-SPC3-Karte, SRX4100, SRX4200 und Virtuelle Firewall vSRX-Instances NAT-Funktionen wie Quell-NAT, Ziel-NAT und statische NAT für IPv4- und IPv6-Datenverkehr im PowerMode IPsec (PMI)-Modus. NAT64 wird im PMI-Modus nicht unterstützt. NAT64 funktioniert jedoch im normalen Modus ordnungsgemäß, wenn PMI aktiviert ist.