Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Statische NAT

Statische NAT ordnet Netzwerkdatenverkehr von einer statischen externen IP-Adresse einer internen IP-Adresse oder einem internen Netzwerk zu. Es erstellt eine statische Übersetzung von realen Adressen in zugeordnete Adressen. Statische NAT bietet Internetkonnektivität für Netzwerkgeräte über ein privates LAN mit einer nicht registrierten privaten IP-Adresse.

Grundlegendes zu statischer NAT

Statische NAT definiert eine Eins-zu-Eins-Zuordnung von einem IP-Subnetz zu einem anderen IP-Subnetz. Die Zuordnung umfasst die Übersetzung der Ziel-IP-Adresse in eine Richtung und die Übersetzung der Quell-IP-Adresse in die umgekehrte Richtung. Auf dem NAT-Gerät ist die ursprüngliche Zieladresse die IP-Adresse des virtuellen Hosts, während die zugeordnete Adresse die tatsächliche IP-Adresse des Hosts ist.

Statische NAT ermöglicht Verbindungen von beiden Seiten des Netzwerks, aber die Übersetzung ist auf Eins-zu-Eins oder zwischen Adressblöcken gleicher Größe beschränkt. Für jede private Adresse muss eine öffentliche Adresse vergeben werden. Es sind keine Adresspools notwendig.

Statische NAT unterstützt außerdem die folgenden Arten der Übersetzung:

  • So ordnen Sie mehrere IP-Adressen und angegebene Portbereiche derselben IP-Adresse und unterschiedlichen Portbereichen zu

  • So ordnen Sie eine bestimmte IP-Adresse und einen bestimmten Port einer anderen IP-Adresse und einem anderen Port zu

Die Port Address Translation (PAT) wird ebenfalls unterstützt, indem eine statische Zuordnung zwischen destination-port (range) und mapped-port (range) gegeben wird.

Die ursprüngliche Zieladresse darf sich zusammen mit anderen Adressen in Quell- und Ziel-NAT-Pools innerhalb derselben Routinginstanz nicht überschneiden.

Bei der Suche nach NAT-Regeln haben statische NAT-Regeln Vorrang vor Ziel-NAT-Regeln, und die umgekehrte Zuordnung statischer NAT-Regeln hat Vorrang vor Quell-NAT-Regeln.

Grundlegendes zu statischen NAT-Regeln

Statische Network Address Translation (NAT)-Regeln spezifizieren zwei Ebenen von Übereinstimmungsbedingungen:

  • Datenverkehrsrichtung: Hier können Sie von der Schnittstelle, von der Zone oder von der Routing-Instanz angeben.

  • Paketinformationen: Dies können Quelladressen und Ports sowie Zieladressen und Ports sein.

Für den gesamten ALG-Datenverkehr, mit Ausnahme von FTP, wird empfohlen, die statischen NAT-Regeloptionen source-address oder source-port. Bei der Erstellung von Datensitzungen kann ein Fehler auftreten, wenn diese Optionen verwendet werden, da die IP-Adresse und der Wert des Quellports, bei dem es sich um einen Zufallswert handelt, möglicherweise nicht mit der statischen NAT-Regel übereinstimmen. Für FTP-ALG-Datenverkehr kann die source-address Option verwendet werden, da eine IP-Adresse angegeben werden kann, die mit der Quelladresse einer statischen NAT-Regel übereinstimmt.

Wenn sowohl Quell- als auch Zieladressen als Übereinstimmungsbedingungen für eine Regel konfiguriert sind, wird der Datenverkehr sowohl mit der Quelladresse als auch mit der Zieladresse abgeglichen. Da statische NAT bidirektional ist, stimmt der Datenverkehr in die entgegengesetzte Richtung mit der Regel überein, und die Zieladresse des Datenverkehrs wird mit der konfigurierten Quelladresse abgeglichen.

Wenn sich mehrere statische NAT-Regeln in den Übereinstimmungsbedingungen überlappen, wird die spezifischste Regel ausgewählt. Wenn z. B. in den Regeln A und B die gleichen Quell- und Ziel-IP-Adressen angegeben sind, in Regel A jedoch der Datenverkehr aus Zone 1 und in Regel B der Datenverkehr von der Schnittstelle ge-0/0/0 angegeben ist, wird Regel B zum Ausführen einer statischen NAT verwendet. Eine Schnittstellenübereinstimmung gilt als spezifischer als eine Zonenübereinstimmung, die wiederum spezifischer ist als eine Routinginstanzübereinstimmung.

Da statische NAT-Regeln keine überlappenden Adressen und Ports unterstützen, sollten sie nicht verwendet werden, um eine externe IP-Adresse mehreren internen IP-Adressen für ALG-Datenverkehr zuzuordnen. Wenn verschiedene Websites beispielsweise auf zwei verschiedene FTP-Server zugreifen möchten, sollten die internen FTP-Server zwei verschiedenen externen IP-Adressen zugeordnet werden.

Geben Sie für die statische NAT-Regelaktion die übersetzte Adresse und (optional) die Routing-Instanz an.

Bei der NAT-Suche haben statische NAT-Regeln Vorrang vor Ziel-NAT-Regeln und die umgekehrte Zuordnung statischer NAT-Regeln hat Vorrang vor Quell-NAT-Regeln.

Übersicht über die statische NAT-Konfiguration

Die wichtigsten Konfigurationsaufgaben für statische NAT lauten wie folgt:

  1. Konfigurieren Sie statische NAT-Regeln, die auf Ihr Netzwerk und Ihre Sicherheitsanforderungen abgestimmt sind.
  2. Konfigurieren Sie NAT-Proxy-ARP-Einträge für IP-Adressen im selben Subnetz der Eingangsschnittstelle.

Beispiel: Konfigurieren einer statischen NAT für die Übersetzung einer einzelnen Adresse

In diesem Beispiel wird beschrieben, wie eine statische NAT-Zuordnung einer einzelnen privaten Adresse zu einer öffentlichen Adresse konfiguriert wird.

Anforderungen

Bevor Sie beginnen:

  1. Konfigurieren Sie die Netzwerkschnittstellen auf dem Gerät. Weitere Informationen finden Sie im Benutzerhandbuch für Schnittstellen für Sicherheitsgeräte.

  2. Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitszonen.

Überblick

In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die nicht vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet.

In Abbildung 1 greifen Geräte in der nicht vertrauenswürdigen Zone über die öffentliche Adresse 203.0.113.200/32 auf einen Server in der Vertrauenszone zu. Bei Paketen, die aus der nicht vertrauenswürdigen Zone mit der Ziel-IP-Adresse 203.0.113.200/32 in das Sicherheitsgerät von Juniper Networks gelangen, wird die Ziel-IP-Adresse in die private Adresse 192.168.1.200/32 übersetzt. Bei einer neuen Sitzung, die vom Server ausgeht, wird die Quell-IP-Adresse im ausgehenden Paket in die öffentliche Adresse 203.0.113.200/32 übersetzt.

Abbildung 1: Statische NAT-Single-Address-Translation Static NAT Single Address Translation

In diesem Beispiel werden die folgenden Konfigurationen beschrieben:

  • Statischer NAT-Regelsatz rs1 mit einer Regel r1 zum Abgleich von Paketen aus der nicht vertrauenswürdigen Zone mit der Zieladresse 203.0.113.200/32. Für übereinstimmende Pakete wird die IP-Adresse des Ziels in die private Adresse 192.168.1.200/32 übersetzt.

  • Proxy-ARP für die Adresse 203.0.113.200 auf der Schnittstelle ge-0/0/0.0. Auf diese Weise kann das Sicherheitsgerät von Juniper Networks auf ARP-Anforderungen reagieren, die über die Schnittstelle für diese Adresse empfangen werden.

  • Sicherheitsrichtlinien, um Datenverkehr zum und vom Server 192.168.1.200 zuzulassen.

Konfiguration

Verfahren

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie eine statische NAT-Zuordnung von einer privaten Adresse zu einer öffentlichen Adresse:

  1. Erstellen Sie einen statischen NAT-Regelsatz.

  2. Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in den Paketen in eine private Adresse übersetzt.

  3. Konfigurieren Sie Proxy-ARP.

  4. Konfigurieren Sie eine Adresse im globalen Adressbuch.

  5. Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der nicht vertrauenswürdigen Zone zum Server in der Vertrauenszone zulässt.

  6. Konfigurieren Sie eine Sicherheitsrichtlinie, die den gesamten Datenverkehr vom Server in der Vertrauenszone in die nicht vertrauenswürdige Zone zulässt.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security nat Befehle und show security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Verifizierung

Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfen der statischen NAT-Konfiguration

Zweck

Vergewissern Sie sich, dass Datenverkehr vorhanden ist, der dem statischen NAT-Regelsatz entspricht.

Aktion

Geben Sie im Betriebsmodus den show security nat static rule Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Traffic zu suchen, der der Regel entspricht.

Verifizieren der NAT-Anwendung auf Datenverkehr

Zweck

Vergewissern Sie sich, dass NAT auf den angegebenen Datenverkehr angewendet wird.

Aktion

Geben Sie im Betriebsmodus den show security flow session Befehl ein.

Beispiel: Konfigurieren einer statischen NAT für die Subnetzübersetzung

In diesem Beispiel wird beschrieben, wie eine statische NAT-Zuordnung einer privaten Subnetzadresse zu einer öffentlichen Subnetzadresse konfiguriert wird.

Adressblöcke für die statische NAT-Zuordnung müssen die gleiche Größe haben.

Anforderungen

Bevor Sie beginnen:

  1. Konfigurieren Sie die Netzwerkschnittstellen auf dem Gerät. Weitere Informationen finden Sie im Benutzerhandbuch für Schnittstellen für Sicherheitsgeräte.

  2. Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitszonen.

Überblick

In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die nicht vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. In Abbildung 2 greifen Geräte in der nicht vertrauenswürdigen Zone über die öffentliche Subnetzadresse 203.0.113.0/24 auf Geräte in der Vertrauenszone zu. Bei Paketen, die aus der nicht vertrauenswürdigen Zone mit einer Ziel-IP-Adresse im Subnetz 203.0.113.0/24 in das Sicherheitsgerät von Juniper Networks gelangen, wird die Ziel-IP-Adresse in eine private Adresse im Subnetz 192.168.1.0/24 übersetzt. Bei neuen Sitzungen, die aus dem Subnetz 192.168.1.0/24 stammen, wird die Quell-IP-Adresse in ausgehenden Paketen in eine Adresse im öffentlichen Subnetz 203.0.113.0/24 übersetzt.

Abbildung 2: Statische NAT-Subnetzübersetzung Static NAT Subnet Translation

In diesem Beispiel werden die folgenden Konfigurationen beschrieben:

  • Statischer NAT-Regelsatz rs1 mit Regel r1 zum Abgleich von Paketen, die auf der Schnittstelle ge-0/0/0.0 mit einer Ziel-IP-Adresse im Subnetz 203.0.113.0/24 empfangen werden. Bei übereinstimmenden Paketen wird die Zieladresse in eine Adresse im Subnetz 192.168.1.0/24 übersetzt.

  • Proxy-ARP für die Adressbereiche 203.0.113.1/32 bis 203.0.113.249/32 auf der Schnittstelle ge-0/0/0.0. Auf diese Weise kann das Sicherheitsgerät von Juniper Networks auf ARP-Anfragen reagieren, die über die Schnittstelle für diese Adressen empfangen werden. Die Adresse 203.0.113.250/32 ist der Schnittstelle selbst zugewiesen, so dass diese Adresse nicht in der Proxy-ARP-Konfiguration enthalten ist.

  • Sicherheitsrichtlinien, die Datenverkehr zum und vom Subnetz 192.168.1.0/24 zulassen.

Konfiguration

Verfahren

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie eine statische NAT-Zuordnung von einer privaten Subnetzadresse zu einer öffentlichen Subnetzadresse:

  1. Erstellen Sie einen statischen NAT-Regelsatz.

  2. Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in den Paketen in eine Adresse in einem privaten Subnetz übersetzt.

  3. Konfigurieren Sie Proxy-ARP.

  4. Konfigurieren Sie eine Adresse im globalen Adressbuch.

  5. Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der nicht vertrauenswürdigen Zone zum Subnetz in der Vertrauenszone zulässt.

  6. Konfigurieren Sie eine Sicherheitsrichtlinie, die den gesamten Datenverkehr aus dem Subnetz in der Vertrauenszone in die nicht vertrauenswürdige Zone zulässt.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security nat Befehle und show security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Verifizierung

Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfen der statischen NAT-Konfiguration

Zweck

Vergewissern Sie sich, dass Datenverkehr vorhanden ist, der dem statischen NAT-Regelsatz entspricht.

Aktion

Geben Sie im Betriebsmodus den show security nat static rule Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Traffic zu suchen, der der Regel entspricht.

Verifizieren der NAT-Anwendung auf Datenverkehr

Zweck

Vergewissern Sie sich, dass NAT auf den angegebenen Datenverkehr angewendet wird.

Aktion

Geben Sie im Betriebsmodus den show security flow session Befehl ein.

Beispiel: Konfigurieren von statischem NAT64 für die Subnetzübersetzung

Verwenden Sie dieses Konfigurationsbeispiel, um statisches NAT64 so zu konfigurieren, dass eine nahtlose Übersetzung zwischen IPv6- und IPv4-Adressräumen möglich ist. Sie können statisches NAT64 in Umgebungen verwenden, die von IPv4 auf IPv6 umsteigen, um eine zuverlässige IP-übergreifende Kommunikation zu gewährleisten.

Trinkgeld:
Tabelle 1: Lesbarkeitsbewertung und Zeitschätzungen

Bewertung der Lesbarkeit

  • Flesch Leseleichtigkeit: 34

  • Flesch-Kincaid Lesenote: 11,9

Lesezeit

Weniger als 15 Minuten.

Konfigurationszeit

Weniger als eine Stunde.

Beispiel für Voraussetzungen

Verwenden Sie dieses Konfigurationsbeispiel, um statisches NAT64 auf Ihrem Gerät zu konfigurieren und zu überprüfen. Statisches NAT64 ermöglicht die nahtlose Kommunikation zwischen reinen IPv6-Clients und IPv4-Servern, indem IPv6-Adressen unter Verwendung eines bekannten NAT64-Präfixes (64:ff9b::/96) in IPv4 übersetzt werden. Diese Funktion ist besonders nützlich in Umgebungen, die von IPv4 auf IPv6 umsteigen, da sie Dual-Stack-Konfigurationen überflüssig macht und gleichzeitig eine zuverlässige Cross-IP-Versionskommunikation gewährleistet.

Hardwareanforderungen

Virtuelle Firewall vSRX

Software-Anforderungen

Junos OS Version 24.1R1 oder höher

Lizenzierungsanforderungen

Aktivieren Sie eine Sicherheitslizenz, um Network Address Translation (NAT) und Sicherheitsfunktionen zu aktivieren.

Vorbereitungen

Nützt

  • Nahtlose Kommunikation: Ermöglicht Nur-IPv6-Clients den Zugriff auf IPv4-Server durch nahtlose Übersetzung von IPv6-Adressen in IPv4.

  • Vereinfachtes Netzwerkdesign: Reduziert den Bedarf an Dual-Stack-Konfigurationen und simplifiziert die Netzwerkarchitektur und den Betrieb.

  • Verbesserte Skalierbarkeit: Unterstützt Umgebungen mit einer wachsenden Anzahl von IPv6-Geräten bei gleichzeitiger Beibehaltung der IPv4-Kompatibilität.

Nützliche Ressourcen:

Mehr erfahren

Statische NAT

Praktische Erfahrung

vLab Sandbox: NAT – Quelle und Ziel

Weitere Informationen

NAT64 mit DNS64 auf der SRX-Serie – Teil 1

Funktionsübersicht

Tabelle 2: Statische Funktionsübersicht von NAT64

Profile

Übersetzungsprofil

Die NAT64-Konfiguration enthält ein Übersetzungsprofil, um die Zuordnung zwischen IPv6 und IPv4 zu definieren.

Präfix-Profil

Gibt das bekannte NAT64-Präfix (64:ff9b::/96) für die IPv6-zu-IPv4-Adressübersetzung an.

Adresszuordnung

Ordnet bestimmte IPv6-Adressen oder -Subnetze entsprechenden IPv4-Adressen zu, um die Übersetzung zu erleichtern.

Politik

Inbound-Richtlinie

Ermöglicht es Nur-IPv6-Clients, Datenverkehr zu IPv4-Servern zu initiieren, indem die NAT64-Übersetzungsregeln abgeglichen werden.

Outbound-Richtlinie

Erlaubt den Rückverkehr von IPv4-Servern zurück zu IPv6-Clients basierend auf NAT64-Regeln.

Sicherheitszonen

trust

Netzwerksegment für Nur-IPv6-Clients, die Verbindungen initiieren.

untrust

Netzwerksegment, in dem sich IPv4-Server befinden, die auf Clientanforderungen reagieren.

NAT64-Zone

Eine dedizierte Zone für die NAT64-Verarbeitung, die eine effiziente Übersetzung und Datenverkehrsverwaltung gewährleistet.

Topologieübersicht

In dieser statischen NAT64-Topologie kommuniziert ein Nur-IPv6-Client mit einem IPv4-Server über die Firewall der SRX-Serie. Die Firewall übersetzt IPv6-Adressen mithilfe statischer NAT64-Zuordnungen in IPv4, während ein DNS64-Server IPv6-DNS-Antworten für eine nahtlose Adressauflösung synthetisiert. Dieses Setup gewährleistet eine reibungslose Kommunikation zwischen Nur-IPv6-Clients und IPv4-Servern, ohne dass Dual-Stack-Konfigurationen erforderlich sind.

Topologiekomponenten

Rolle

Funktion

Kunde

Nur IPv6-Gerät

Initiiert Anforderungen von einer reinen IPv6-Umgebung zur Kommunikation mit IPv4-Servern.

Firewall der SRX-Serie

NAT64-Gateway

Übersetzt IPv6-Adressen in IPv4-Adressen unter Verwendung der konfigurierten statischen NAT64-Zuordnung, um eine nahtlose Kommunikation zwischen IP-Versionen zu gewährleisten.

DNS64-Server

DNS-Übersetzer

Konvertiert IPv4-DNS-Antworten für den Client und ermöglicht die Adressauflösung.

IPv4-Server

Zielserver

Antwortet auf Clientanfragen mit seiner IPv4-Adresse und ermöglicht so die Interaktion mit Nur-IPv6-Clients über NAT64.

Topologie-Illustration

Abbildung 3: Statische NAT64-Subnetzübersetzung

Konfiguration von statischem NAT64 auf einem zu testenden Gerät (DUT)

Vollständige Beispielkonfigurationen für den Prüfling finden Sie unter:

  1. Definieren Sie den Regelsatz für statische NAT und geben Sie die Zone an, aus der der Datenverkehr stammt.
  2. Konfigurieren Sie die Regel so, dass sie mit der Zieladresse innerhalb des NAT64-Präfixes übereinstimmt, und legen Sie die Zieladresse so fest, dass sie in eine IPv4-Adresse übersetzt wird.
  3. Richten Sie einen Quell-NAT-Pool ein, um IPv6-Adressübersetzungen in IPv4-Adressen zu unterstützen.
  4. Aktivieren Sie das Proxy Address Resolution Protocol (ARP), um auf ARP-Anforderungen für NAT-Pooladressen zu reagieren.
  5. Konfigurieren Sie Sicherheitsrichtlinien, um Datenverkehr von der Vertrauenszone in die nicht vertrauenswürdige Zone zuzulassen.
  6. Ordnen Sie die Schnittstellen den jeweiligen Zonen zu und lassen Sie eingehenden Datenverkehr zu.
  7. Konfigurieren Sie IP-Adressen für jede Schnittstelle.

Verifizierung

Überprüfen der statischen NAT64-Konfiguration

Zweck

Vergewissern Sie sich, dass Datenverkehr vorhanden ist, der dem statischen NAT64-Regelsatz entspricht.

Aktion

Geben Sie im Betriebsmodus den show security nat static rule Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Traffic zu suchen, der der Regel entspricht.

Bedeutung

Überprüfen der NAT64-Anwendung für den Datenverkehr

Zweck

Vergewissern Sie sich, dass NAT64 auf den angegebenen Datenverkehr angewendet wird.

Aktion

Geben Sie im Betriebsmodus den show security flow session Befehl ein.

Bedeutung

Anhang 1: Festlegen von Befehlen auf allen Geräten

Für das folgende Beispiel muss durch verschiedene Ebenen der Junos OS-Konfigurationshierarchie navigiert werden. Ausführliche Informationen zur Navigation in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

Anhang 2: Konfigurationsausgabe am Prüfling anzeigen

Zeigen Sie die Befehlsausgabe auf dem Prüfling an.

Überprüfen Sie im Betriebsmodus Ihre Konfiguration mit den folgenden Befehlen. Wenn der Ausgang

Beispiel: Konfigurieren einer statischen NAT für die Portzuordnung

In diesem Beispiel wird beschrieben, wie statische NAT-Zuordnungen einer öffentlichen Adresse zu privaten Adressen in einem angegebenen Portbereich konfiguriert werden.

Dieses Thema enthält die folgenden Abschnitte:

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die nicht vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet.

In Abbildung 4 greifen Geräte in der nicht vertrauenswürdigen Zone über die öffentlichen Adressen 203.0.113.1/32, 203.0.113.1/32 und 203.0.113.3/32 auf einen Server in der Vertrauenszone zu. Bei Paketen, die aus der nicht vertrauenswürdigen Zone mit den Ziel-IP-Adressen 203.0.113.1/32, 203.0.113.1/32 und 203.0.113.3/32 in das Sicherheitsgerät von Juniper Networks gelangen, wird die Ziel-IP-Adresse in die privaten Adressen 10.1.1.1/32, 10.1.1.2/32 und 10.1.1.2/32 übersetzt.

Abbildung 4: Statische NAT für die Portzuordnung Static NAT for Port Mapping
  • Um den Zielport zu konfigurieren, müssen Sie eine IP-Adresse anstelle eines IP-Adresspräfixes für das Zieladressfeld verwenden.

  • Sie müssen den Zielport konfigurieren, um den zugeordneten Port zu konfigurieren und umgekehrt.

  • Verwenden Sie denselben Nummernbereich für die Ports, wenn Sie den Zielport und den zugeordneten Port konfigurieren.

  • Wenn Sie den Zielport und den zugeordneten Port nicht konfigurieren, erfolgt die IP-Zuordnung als Eins-zu-Eins-Zuordnung.

  • Adressüberschneidungen oder Adress- und Portüberschneidungen sind nicht zulässig.

In diesem Beispiel werden die folgenden Konfigurationen beschrieben:

  • Statischer NAT-Regelsatz rs1 mit Regel r1, um Pakete aus der nicht vertrauenswürdigen Zone mit der Zieladresse 203.0.113.1/32 und dem Zielport 100 bis 200 abzugleichen. Für übereinstimmende Pakete wird die IP-Adresse des Ziels in die private Adresse 10.1.1.1/32 übersetzt und den Ports 300 bis 400 zugeordnet.

  • Statischer NAT-Regelsatz rs1 mit Regel r2, um Pakete aus der nicht vertrauenswürdigen Zone mit der Zieladresse 203.0.113.1/32 und dem Zielport 300 bis 400 abzugleichen. Für übereinstimmende Pakete wird die IP-Adresse des Ziels in die private Adresse 10.1.1.2/32 übersetzt und den Ports 300 bis 400 zugeordnet.

  • Statischer NAT-Regelsatz rs1 mit Regel r3, um Pakete aus der nicht vertrauenswürdigen Zone mit der Zieladresse 203.0.113.3/32 und dem Zielport 300 abzugleichen. Für übereinstimmende Pakete wird die IP-Adresse des Ziels in die private Adresse 10.1.1.2/32 übersetzt und Port 200 zugeordnet.

Konfiguration

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Verfahren

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie eine statische NAT-Zuordnung von einer privaten Subnetzadresse zu einer öffentlichen Subnetzadresse:

  1. Erstellen Sie einen statischen NAT-Regelsatz.

  2. Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in den Paketen in eine private Adresse übersetzt.

  3. Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in den Paketen in eine private Adresse übersetzt.

  4. Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in den Paketen in eine private Adresse übersetzt.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security nat Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

[edit]

user@host# show security nat

Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.

Verifizierung

Überprüfen der statischen NAT-Konfiguration

Zweck

Vergewissern Sie sich, dass Datenverkehr vorhanden ist, der dem statischen NAT-Regelsatz entspricht.

Aktion

Geben Sie im Betriebsmodus den show security nat static rule Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Traffic zu suchen, der der Regel entspricht.

Fehlerbehebung

Fehlerbehebung bei statischer NAT-Portkonfiguration

Problem

Fehler bei der Konfiguration statischer NAT-Portzuordnungen treten während eines Commits auf.

Ungültige Konfigurationen mit überlappenden IP-Adressen und Ports führen zu Commit-Fehlern.

Das folgende Beispiel zeigt ungültige Konfigurationen mit überlappenden Adressen und Ports:

  • set security nat static rule-set rs rule r1 match destination-address 203.0.113.1

    set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1

  • set security nat static rule-set rs rule r2 match destination-address 203.0.113.1

    set security nat static rule-set rs rule r2 match destination-port 300 to 400

    set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2

    set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400

  • set security nat static rule-set rs rule r1 match destination-address 203.0.113.1

    set security nat static rule-set rs rule r1 match destination-port 100 to 200

    set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1

    set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400

  • set security nat static rule-set rs rule r2 match destination-address 203.0.113.2

    set security nat static rule-set rs rule r2 match destination-port 300 to 400

    set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.1

    set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 390 to 490

Die folgende Fehlermeldung wurde angezeigt, als die oben genannte Konfiguration zum Commit übermittelt wurde:

Lösung

Um den Zielport zu konfigurieren, müssen Sie jegliche Adressüberschneidungen oder Adress- und Portüberschneidungen vermeiden. Ein Beispiel für eine gültige Konfiguration finden Sie unter Konfiguration

Überwachen statischer NAT-Informationen

Zweck

Zeigen Sie Informationen zu statischen NAT-Regeln an.

Aktion

Wählen Sie Monitor>NAT>Static NAT in der J-Web-Benutzeroberfläche aus, oder geben Sie den folgenden CLI-Befehl ein:

show security nat static rule

Tabelle 3 fasst die wichtigsten Ausgabefelder in der statischen NAT-Anzeige zusammen.

Tabelle 3: Zusammenfassung der wichtigsten statischen NAT-Ausgabefelder

Feld

Werte

Aktion

Name des Regelsatzes

Name des Regelsatzes.

Wählen Sie alle Regelsätze oder einen bestimmten Regelsatz aus, der in der Liste angezeigt werden soll.

Regeln insgesamt

Anzahl der konfigurierten Regeln.

ID

Regel-ID-Nummer.

Position

Position der Regel, die die Reihenfolge angibt, in der sie auf den Datenverkehr angewendet wird.

Name

Name der Regel.

Name des Regelsatzes

Name des Regelsatzes.

Von

Name der Routing-Instanz/Schnittstelle/Zone, aus der das Paket kommt

Quelladressen

Quell-IP-Adressen.

Quell-Ports

Quellportnummern.

Zieladressen

Ziel-IP-Adresse und Subnetzmaske.

Ziel-Ports

Zielportnummern .

Hostadressen

Name der Hostadressen.

Host-Ports

Host-Portnummern.

Netzmaske

Subnetz-IP-Adresse.

Host-Routing-Instanz

Name der Routing-Instanz, von der das Paket stammt.

Alarmschwelle

Schwellenwert für den Auslastungsalarm.

Sitzungen (Succ/Fehlgeschlagen/Aktuell)

Erfolgreiche, fehlgeschlagene und aktuelle Sitzungen.

  • Succ: Anzahl der erfolgreichen Sitzungsinstallationen, nachdem die NAT-Regel abgeglichen wurde.

  • Fehlgeschlagen: Anzahl der fehlgeschlagenen Sitzungsinstallationen, nachdem die NAT-Regel erfüllt wurde.

  • Aktuell: Anzahl der Sitzungen, die auf die angegebene Regel verweisen.

Übersetzungstreffer

Gibt an, wie oft eine Übersetzung in der Übersetzungstabelle für eine statische NAT-Regel verwendet wird.

Top-10-Übersetzungstreffer-Diagramm

Zeigt das Diagramm der 10 wichtigsten Übersetzungstreffer an.