Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

NAT – Überblick

Network Address Translation (NAT) ist ein Mechanismus, um die IP-Adresse eines Computers oder einer Gruppe von Computern in eine einzige öffentliche Adresse zu übersetzen, wenn die Pakete ins Internet gesendet werden. Durch die Übersetzung der IP-Adresse wird nur eine IP-Adresse an das externe Netzwerk weitergegeben. Da nur eine IP-Adresse für die Außenwelt sichtbar ist, bietet NAT zusätzliche Sicherheit und kann nur eine öffentliche Adresse für das gesamte Netzwerk haben, anstatt mehrere IP-Adressen zu haben.

Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen. Möglicherweise werden zusätzliche Plattformen unterstützt.

Einführung in NAT

Network Address Translation (NAT) ist eine Methode zum Ändern oder Übersetzen von Netzwerkadressinformationen in Paket-Headern. Eine oder beide Quell- und Zieladressen in einem Paket können übersetzt werden. NAT kann die Übersetzung von Portnummern sowie IP-Adressen umfassen.

NAT wird in RFC 1631 beschrieben, um Probleme mit der Erschöpfung von IP (Version 4) zu lösen. Seitdem hat sich NAT als nützliches Tool für Firewalls, Datenverkehrsumleitung, Lastausgleich, Netzwerkmigrationen usw. erwiesen.

Die folgenden Arten von NAT werden auf Geräten von Juniper Networks unterstützt:

  • Statische NAT

  • Zielort NAT

  • Quelle: NAT

Firewalls der SRX-Serie führen sowohl eine Richtliniensuche als auch eine Servicesuche basierend auf dem übersetzten Zielport durch.

Sie können den NAT-Assistenten verwenden, um eine grundlegende NAT-Konfiguration durchzuführen. Um eine erweiterte Konfiguration durchzuführen, verwenden Sie die J-Web-Schnittstelle oder die CLI.

Siehe auch

Grundlegendes zu NAT-Regelsätzen und -Regeln

Die NAT-Verarbeitung konzentriert sich auf die Bewertung von NAT-Regelsätzen und -Regeln. Ein Regelsatz bestimmt die Gesamtrichtung des zu verarbeitenden Datenverkehrs. Ein Regelsatz kann beispielsweise Datenverkehr von einer bestimmten Schnittstelle oder zu einer bestimmten Zone auswählen. Ein Regelsatz kann mehrere Regeln enthalten. Sobald ein Regelsatz gefunden wird, der mit einem bestimmten Datenverkehr übereinstimmt, wird jede Regel im Regelsatz auf eine Übereinstimmung überprüft. Jede Regel im Regelsatz spezifiziert außerdem den abzugleichen Datenverkehr und die Aktion, die ausgeführt werden soll, wenn der Datenverkehr mit der Regel übereinstimmt.

Dieses Thema enthält die folgenden Abschnitte:

NAT-Regelsätze

Ein Regelsatz gibt einen allgemeinen Satz von Übereinstimmungsbedingungen für Datenverkehr an. Für statische NAT und Ziel-NAT gibt ein Regelsatz eine der folgenden Optionen an:

  • Quellschnittstelle

  • Quellzone

  • Quell-Routing-Instanz

Für Quell-NAT-Regelsätze konfigurieren Sie sowohl Quell- als auch Zielbedingungen:

  • Quellschnittstelle, Zone oder Routing-Instanz

  • Zielschnittstelle, -zone oder -routing-Instanz

Es ist möglich, dass ein Paket mit mehr als einem Regelsatz übereinstimmt. In diesem Fall wird der Regelsatz mit der spezifischeren Übereinstimmung verwendet. Eine Schnittstellenübereinstimmung wird als spezifischer angesehen als eine Zonenübereinstimmung, die spezifischer ist als eine Übereinstimmung mit einer Routing-Instanz. Wenn ein Paket sowohl mit einem Ziel-NAT-Regelsatz, der eine Quellzone angibt, als auch mit einem Ziel-NAT-Regelsatz, der eine Quellschnittstelle angibt, übereinstimmt, ist der Regelsatz, der die Quellschnittstelle angibt, die spezifischere Übereinstimmung.

Der Abgleich von Quell-NAT-Regelsätzen ist komplexer, da Sie sowohl Quell- als auch Zielbedingungen in einem Quell-NAT-Regelsatz angeben. Falls ein Paket mit mehr als einem Quell-NAT-Regelsatz übereinstimmt, basiert der gewählte Regelsatz auf den folgenden Quell-/Zielbedingungen (in der Reihenfolge ihrer Priorität):

  1. Quellschnittstelle/Zielschnittstelle

  2. Quellzone/Zielschnittstelle

  3. Quell-Routing-Instanz/Zielschnittstelle

  4. Quellschnittstelle/Zielzone

  5. Quell-/Zielzone

  6. Quell-Routing-Instanz/Zielzone

  7. Quellschnittstelle/Ziel-Routing-Instanz

  8. Quellzone/Ziel-Routing-Instanz

  9. Quell-Routing-Instanz/Ziel-Routing-Instanz

Sie können z. B. Regelsatz A konfigurieren, der eine Quellschnittstelle und eine Zielzone angibt, und Regelsatz B, der eine Quellzone und eine Zielschnittstelle angibt. Wenn ein Paket mit beiden Regelsätzen übereinstimmt, ist Regelsatz B die spezifischere Übereinstimmung.

Sie können nicht dieselben Quell- und Zielbedingungen für Quell-NAT-Regelsätze angeben.

NAT-Regeln

Sobald ein Regelsatz gefunden wurde, der mit dem Datenverkehr übereinstimmt, wird jede Regel im Regelsatz der Reihe nach einer Übereinstimmung ausgewertet. NAT-Regeln können mit den folgenden Paketinformationen übereinstimmen:

  • Quell- und Zieladresse

  • Quellport (nur für Quell- und statisches NAT)

  • Zielhafen

Es wird die erste Regel im Regelsatz verwendet, die mit dem Datenverkehr übereinstimmt. Wenn ein Paket während des Sitzungsaufbaus mit einer Regel in einem Regelsatz übereinstimmt, wird der Datenverkehr gemäß der in dieser Regel angegebenen Aktion verarbeitet.

Sie können die Befehle show security nat source rule und show security nat destination rule sowie die show security nat static rule verwenden, um die Anzahl der Sitzungen für eine bestimmte Regel anzuzeigen.

Verarbeitung von Regeln

Der NAT-Typ bestimmt die Reihenfolge, in der NAT-Regeln verarbeitet werden. Während der ersten Paketverarbeitung für einen Datenfluss werden die NAT-Regeln in der folgenden Reihenfolge angewendet:

  1. Statische NAT-Regeln

  2. Ziel-NAT-Regeln

  3. Routensuche

  4. Suche nach Sicherheitsrichtlinien

  5. Reverse Mapping statischer NAT-Regeln

  6. Quell-NAT-Regeln

Abbildung 1 veranschaulicht die Reihenfolge für die Verarbeitung von NAT-Regeln.

Abbildung 1: Verarbeitung Flowchart showing packet processing in a network device focusing on NAT and policy checks: Static NAT, Destination NAT, Route/Zone Lookup, Reverse Static NAT, Policy Lookup, Source NAT, Permit Packet. von NAT-Regeln

Statische NAT- und Ziel-NAT-Regeln werden vor der Suche nach Routen und Sicherheitsrichtlinien verarbeitet. Statische NAT-Regeln haben Vorrang vor Ziel-NAT-Regeln. Die umgekehrte Zuordnung statischer NAT-Regeln erfolgt nach der Suche nach Routen und Sicherheitsrichtlinien und hat Vorrang vor den NAT-Quellregeln. Quell-NAT-Regeln werden nach der Suche nach Routen und Sicherheitsrichtlinien und nach der umgekehrten Zuordnung statischer NAT-Regeln verarbeitet.

Die Konfiguration von Regeln und Regelsätzen ist im Grunde für jeden NAT-Typ gleich – Quelle, Ziel oder statisch. Da jedoch sowohl Ziel- als auch statische NAT vor der Routensuche verarbeitet werden, können Sie die Zielzone, Schnittstelle oder Routinginstanz nicht im Regelsatz angeben.

Kapazität der NAT-Regel

Die Kapazitätsanforderung für die NAT-Regel hängt von der Firewall der SRX-Serie und der Version von Junos OS ab.

Die Beschränkung der Anzahl der Regeln pro Regelsatz ist eine geräteweite Begrenzung der Anzahl der Regeln, die ein Gerät unterstützen kann. Diese Einschränkung soll Ihnen helfen, die NAT-Regeln für das Gerät besser zu planen und zu konfigurieren.

Für den Speicherverbrauch gibt es keine Garantie für die Unterstützung dieser Zahlen (maximale Quellregel oder Regelsatz + maximale Zielregel oder Regelsatz + maximale statische Regel oder Regelsatz).

Die Kapazitätsanforderung für die NAT-Regel hängt von der Firewall der SRX-Serie und der Version von Junos OS ab.

Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen. Weitere Plattformen können unterstützt werden.

Weitere Informationen finden Sie im Abschnitt Zusätzliche Plattforminformationen .

Zusätzliche Informationen zur Plattform

Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen. Weitere Plattformen können unterstützt werden.

NAT-Regeltyp

SRX300, SRX320

SRX340, SRX345

SRX1500 SRX1600

SRX2300 SRX4120SRX4100SRX4200

SRX4600, SRX5400, SRX5600, SRX5800

SRX4700

Quell-NAT-Regel

1024

2048

8192

20,480

30,720

51200

Ziel-NAT-Regel

1024

2048

8192

20,480

30,720

51200

Statische NAT-Regel

1024

2048

8192

20,480

30,720

51200

Objekte

SRX1600 SRX2300, SRX4120

SRX4600, SRX5400, SRX5600, SRX5800

SRX4700

Gesamtzahl der NAT-Regelsätze pro System

10,000

30,720

51200

Gesamtzahl der NAT-Regeln pro Regelsatz

10,000

30,720

51200
werden
Plattform Anzahl der IPs, die von OL unterstützt
vSRX klein VSRX-2CPU-4G 1
SRX1600 2
SRX2300, SRX4120 16
SRX4300 16
vSRX XL VSRX-17CPU-32G 64
SRX4700 128
Geräte der SRX5000-Reihe 128

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung
Beschreibung
19.3R1
Ab Junos OS Version 19.3R1 unterstützen Geräte der SRX5000-Reihe mit SRX5K-SPC3-Karte, SRX4100, SRX4200 und Virtuelle Firewall vSRX-Instanzen NAT-Funktionen wie Quell-NAT, Ziel-NAT und statische NAT für IPv4- und IPv6-Datenverkehr im PowerMode IPsec (PMI)-Modus. NAT64 wird im PMI-Modus nicht unterstützt. NAT64 funktioniert jedoch im normalen Modus ordnungsgemäß, wenn PMI aktiviert ist.