AUF DIESER SEITE
Statische NAT
Statische NAT ordnet Netzwerkdatenverkehr von einer statischen externen IP-Adresse einer internen IP-Adresse oder einem internen Netzwerk zu. Es erstellt eine statische Übersetzung von realen Adressen in zugeordnete Adressen. Statische NAT bietet Internetkonnektivität für Netzwerkgeräte über ein privates LAN mit einer nicht registrierten privaten IP-Adresse.
Grundlegendes zu statischer NAT
Statische NAT definiert eine Eins-zu-Eins-Zuordnung von einem IP-Subnetz zu einem anderen IP-Subnetz. Die Zuordnung umfasst die Übersetzung der Ziel-IP-Adresse in eine Richtung und die Übersetzung der Quell-IP-Adresse in die umgekehrte Richtung. Auf dem NAT-Gerät ist die ursprüngliche Zieladresse die IP-Adresse des virtuellen Hosts, während die zugeordnete Adresse die tatsächliche IP-Adresse des Hosts ist.
Statische NAT ermöglicht Verbindungen von beiden Seiten des Netzwerks, aber die Übersetzung ist auf Eins-zu-Eins oder zwischen Adressblöcken gleicher Größe beschränkt. Für jede private Adresse muss eine öffentliche Adresse vergeben werden. Es sind keine Adresspools notwendig.
Statische NAT unterstützt außerdem die folgenden Arten der Übersetzung:
So ordnen Sie mehrere IP-Adressen und angegebene Portbereiche derselben IP-Adresse und unterschiedlichen Portbereichen zu
So ordnen Sie eine bestimmte IP-Adresse und einen bestimmten Port einer anderen IP-Adresse und einem anderen Port zu
Die Port Address Translation (PAT) wird ebenfalls unterstützt, indem eine statische Zuordnung zwischen destination-port (range) und mapped-port (range) gegeben wird.
Die ursprüngliche Zieladresse darf sich zusammen mit anderen Adressen in Quell- und Ziel-NAT-Pools innerhalb derselben Routinginstanz nicht überschneiden.
Bei der Suche nach NAT-Regeln haben statische NAT-Regeln Vorrang vor Ziel-NAT-Regeln, und die umgekehrte Zuordnung statischer NAT-Regeln hat Vorrang vor Quell-NAT-Regeln.
Grundlegendes zu statischen NAT-Regeln
Statische Network Address Translation (NAT)-Regeln spezifizieren zwei Ebenen von Übereinstimmungsbedingungen:
Datenverkehrsrichtung: Hier können Sie von der Schnittstelle, von der Zone oder von der Routing-Instanz angeben.
Paketinformationen: Dies können Quelladressen und Ports sowie Zieladressen und Ports sein.
Für den gesamten ALG-Datenverkehr, mit Ausnahme von FTP, wird empfohlen, die statischen NAT-Regeloptionen source-address
oder source-port
. Bei der Erstellung von Datensitzungen kann ein Fehler auftreten, wenn diese Optionen verwendet werden, da die IP-Adresse und der Wert des Quellports, bei dem es sich um einen Zufallswert handelt, möglicherweise nicht mit der statischen NAT-Regel übereinstimmen. Für FTP-ALG-Datenverkehr kann die source-address
Option verwendet werden, da eine IP-Adresse angegeben werden kann, die mit der Quelladresse einer statischen NAT-Regel übereinstimmt.
Wenn sowohl Quell- als auch Zieladressen als Übereinstimmungsbedingungen für eine Regel konfiguriert sind, wird der Datenverkehr sowohl mit der Quelladresse als auch mit der Zieladresse abgeglichen. Da statische NAT bidirektional ist, stimmt der Datenverkehr in die entgegengesetzte Richtung mit der Regel überein, und die Zieladresse des Datenverkehrs wird mit der konfigurierten Quelladresse abgeglichen.
Wenn sich mehrere statische NAT-Regeln in den Übereinstimmungsbedingungen überlappen, wird die spezifischste Regel ausgewählt. Wenn z. B. in den Regeln A und B die gleichen Quell- und Ziel-IP-Adressen angegeben sind, in Regel A jedoch der Datenverkehr aus Zone 1 und in Regel B der Datenverkehr von der Schnittstelle ge-0/0/0 angegeben ist, wird Regel B zum Ausführen einer statischen NAT verwendet. Eine Schnittstellenübereinstimmung gilt als spezifischer als eine Zonenübereinstimmung, die wiederum spezifischer ist als eine Routinginstanzübereinstimmung.
Da statische NAT-Regeln keine überlappenden Adressen und Ports unterstützen, sollten sie nicht verwendet werden, um eine externe IP-Adresse mehreren internen IP-Adressen für ALG-Datenverkehr zuzuordnen. Wenn verschiedene Websites beispielsweise auf zwei verschiedene FTP-Server zugreifen möchten, sollten die internen FTP-Server zwei verschiedenen externen IP-Adressen zugeordnet werden.
Geben Sie für die statische NAT-Regelaktion die übersetzte Adresse und (optional) die Routing-Instanz an.
Bei der NAT-Suche haben statische NAT-Regeln Vorrang vor Ziel-NAT-Regeln und die umgekehrte Zuordnung statischer NAT-Regeln hat Vorrang vor Quell-NAT-Regeln.
Übersicht über die statische NAT-Konfiguration
Die wichtigsten Konfigurationsaufgaben für statische NAT lauten wie folgt:
- Konfigurieren Sie statische NAT-Regeln, die auf Ihr Netzwerk und Ihre Sicherheitsanforderungen abgestimmt sind.
- Konfigurieren Sie NAT-Proxy-ARP-Einträge für IP-Adressen im selben Subnetz der Eingangsschnittstelle.
Beispiel: Konfigurieren einer statischen NAT für die Übersetzung einer einzelnen Adresse
In diesem Beispiel wird beschrieben, wie eine statische NAT-Zuordnung einer einzelnen privaten Adresse zu einer öffentlichen Adresse konfiguriert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Netzwerkschnittstellen auf dem Gerät. Weitere Informationen finden Sie im Benutzerhandbuch für Schnittstellen für Sicherheitsgeräte.
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitszonen.
Überblick
In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die nicht vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet.
In Abbildung 1 greifen Geräte in der nicht vertrauenswürdigen Zone über die öffentliche Adresse 203.0.113.200/32 auf einen Server in der Vertrauenszone zu. Bei Paketen, die aus der nicht vertrauenswürdigen Zone mit der Ziel-IP-Adresse 203.0.113.200/32 in das Sicherheitsgerät von Juniper Networks gelangen, wird die Ziel-IP-Adresse in die private Adresse 192.168.1.200/32 übersetzt. Bei einer neuen Sitzung, die vom Server ausgeht, wird die Quell-IP-Adresse im ausgehenden Paket in die öffentliche Adresse 203.0.113.200/32 übersetzt.

In diesem Beispiel werden die folgenden Konfigurationen beschrieben:
Statischer NAT-Regelsatz
rs1
mit einer Regelr1
zum Abgleich von Paketen aus der nicht vertrauenswürdigen Zone mit der Zieladresse 203.0.113.200/32. Für übereinstimmende Pakete wird die IP-Adresse des Ziels in die private Adresse 192.168.1.200/32 übersetzt.Proxy-ARP für die Adresse 203.0.113.200 auf der Schnittstelle ge-0/0/0.0. Auf diese Weise kann das Sicherheitsgerät von Juniper Networks auf ARP-Anforderungen reagieren, die über die Schnittstelle für diese Adresse empfangen werden.
Sicherheitsrichtlinien, um Datenverkehr zum und vom Server 192.168.1.200 zuzulassen.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit]
Konfigurationsmodus ein commit
.
set security nat static rule-set rs1 from zone untrust set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-1 set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine statische NAT-Zuordnung von einer privaten Adresse zu einer öffentlichen Adresse:
Erstellen Sie einen statischen NAT-Regelsatz.
[edit security nat static] user@host# set rule-set rs1 from zone untrust
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in den Paketen in eine private Adresse übersetzt.
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32
Konfigurieren Sie Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200
Konfigurieren Sie eine Adresse im globalen Adressbuch.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der nicht vertrauenswürdigen Zone zum Server in der Vertrauenszone zulässt.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-1 application any user@host# set policy server-access then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die den gesamten Datenverkehr vom Server in der Vertrauenszone in die nicht vertrauenswürdige Zone zulässt.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-1 destination-address any application any user@host# set policy permit-all then permit
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security nat
Befehle und show security policies
eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show security nat static { rule-set rs1 { from zone untrust; rule r1 { match { destination-address 203.0.113.200/32; } then { static-nat prefix 192.168.1.200/32; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.200/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy permit-all { match { source-address server-1; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy server-access { match { source-address any; destination-address server-1; application any; } then { permit; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit
Sie aus dem Konfigurationsmodus.
Verifizierung
Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen der statischen NAT-Konfiguration
Zweck
Vergewissern Sie sich, dass Datenverkehr vorhanden ist, der dem statischen NAT-Regelsatz entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat static rule
Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Traffic zu suchen, der der Regel entspricht.
Beispiel: Konfigurieren einer statischen NAT für die Subnetzübersetzung
In diesem Beispiel wird beschrieben, wie eine statische NAT-Zuordnung einer privaten Subnetzadresse zu einer öffentlichen Subnetzadresse konfiguriert wird.
Adressblöcke für die statische NAT-Zuordnung müssen die gleiche Größe haben.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Netzwerkschnittstellen auf dem Gerät. Weitere Informationen finden Sie im Benutzerhandbuch für Schnittstellen für Sicherheitsgeräte.
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitszonen.
Überblick
In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die nicht vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet. In Abbildung 2 greifen Geräte in der nicht vertrauenswürdigen Zone über die öffentliche Subnetzadresse 203.0.113.0/24 auf Geräte in der Vertrauenszone zu. Bei Paketen, die aus der nicht vertrauenswürdigen Zone mit einer Ziel-IP-Adresse im Subnetz 203.0.113.0/24 in das Sicherheitsgerät von Juniper Networks gelangen, wird die Ziel-IP-Adresse in eine private Adresse im Subnetz 192.168.1.0/24 übersetzt. Bei neuen Sitzungen, die aus dem Subnetz 192.168.1.0/24 stammen, wird die Quell-IP-Adresse in ausgehenden Paketen in eine Adresse im öffentlichen Subnetz 203.0.113.0/24 übersetzt.

In diesem Beispiel werden die folgenden Konfigurationen beschrieben:
Statischer NAT-Regelsatz
rs1
mit Regelr1
zum Abgleich von Paketen, die auf der Schnittstelle ge-0/0/0.0 mit einer Ziel-IP-Adresse im Subnetz 203.0.113.0/24 empfangen werden. Bei übereinstimmenden Paketen wird die Zieladresse in eine Adresse im Subnetz 192.168.1.0/24 übersetzt.Proxy-ARP für die Adressbereiche 203.0.113.1/32 bis 203.0.113.249/32 auf der Schnittstelle ge-0/0/0.0. Auf diese Weise kann das Sicherheitsgerät von Juniper Networks auf ARP-Anfragen reagieren, die über die Schnittstelle für diese Adressen empfangen werden. Die Adresse 203.0.113.250/32 ist der Schnittstelle selbst zugewiesen, so dass diese Adresse nicht in der Proxy-ARP-Konfiguration enthalten ist.
Sicherheitsrichtlinien, die Datenverkehr zum und vom Subnetz 192.168.1.0/24 zulassen.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit]
Konfigurationsmodus ein commit
.
set security nat static rule-set rs1 from interface ge-0/0/0.0 set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32 set security address-book global address server-group 192.168.1.0/24 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-group set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-group set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine statische NAT-Zuordnung von einer privaten Subnetzadresse zu einer öffentlichen Subnetzadresse:
Erstellen Sie einen statischen NAT-Regelsatz.
[edit security nat static] user@host# set rule-set rs1 from interface ge-0/0/0.0
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in den Paketen in eine Adresse in einem privaten Subnetz übersetzt.
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24
Konfigurieren Sie Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32
Konfigurieren Sie eine Adresse im globalen Adressbuch.
[edit security address-book global] user@host# set address server-group 192.168.1.0/24
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der nicht vertrauenswürdigen Zone zum Subnetz in der Vertrauenszone zulässt.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-group application any user@host# set policy server-access then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die den gesamten Datenverkehr aus dem Subnetz in der Vertrauenszone in die nicht vertrauenswürdige Zone zulässt.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-group destination-address any application any user@host# set policy permit-all then permit
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security nat
Befehle und show security policies
eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show security nat static { rule-set rs1 { from interface ge-0/0/0.0; rule r1 { match { destination-address 203.0.113.0/24; } then { static-nat prefix 192.168.1.0/24; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.1/32 to 203.0.113.249/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy permit-all { match { source-address server-group; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy server-access { match { source-address any; destination-address server-group; application any; } then { permit; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit
Sie aus dem Konfigurationsmodus.
Verifizierung
Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen der statischen NAT-Konfiguration
Zweck
Vergewissern Sie sich, dass Datenverkehr vorhanden ist, der dem statischen NAT-Regelsatz entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat static rule
Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Traffic zu suchen, der der Regel entspricht.
Beispiel: Konfigurieren von statischem NAT64 für die Subnetzübersetzung
Verwenden Sie dieses Konfigurationsbeispiel, um statisches NAT64 so zu konfigurieren, dass eine nahtlose Übersetzung zwischen IPv6- und IPv4-Adressräumen möglich ist. Sie können statisches NAT64 in Umgebungen verwenden, die von IPv4 auf IPv6 umsteigen, um eine zuverlässige IP-übergreifende Kommunikation zu gewährleisten.
Bewertung der Lesbarkeit |
|
Lesezeit |
Weniger als 15 Minuten. |
Konfigurationszeit |
Weniger als eine Stunde. |
- Beispiel für Voraussetzungen
- Vorbereitungen
- Funktionsübersicht
- Topologieübersicht
- Topologie-Illustration
- Konfiguration von statischem NAT64 auf einem zu testenden Gerät (DUT)
- Verifizierung
- Anhang 1: Festlegen von Befehlen auf allen Geräten
- Anhang 2: Konfigurationsausgabe am Prüfling anzeigen
Beispiel für Voraussetzungen
Verwenden Sie dieses Konfigurationsbeispiel, um statisches NAT64 auf Ihrem Gerät zu konfigurieren und zu überprüfen. Statisches NAT64 ermöglicht die nahtlose Kommunikation zwischen reinen IPv6-Clients und IPv4-Servern, indem IPv6-Adressen unter Verwendung eines bekannten NAT64-Präfixes (64:ff9b::/96) in IPv4 übersetzt werden. Diese Funktion ist besonders nützlich in Umgebungen, die von IPv4 auf IPv6 umsteigen, da sie Dual-Stack-Konfigurationen überflüssig macht und gleichzeitig eine zuverlässige Cross-IP-Versionskommunikation gewährleistet.
Hardwareanforderungen |
Virtuelle Firewall vSRX |
Software-Anforderungen |
Junos OS Version 24.1R1 oder höher |
Lizenzierungsanforderungen |
Aktivieren Sie eine Sicherheitslizenz, um Network Address Translation (NAT) und Sicherheitsfunktionen zu aktivieren. |
Vorbereitungen
Nützt |
|
Nützliche Ressourcen: |
|
Mehr erfahren |
|
Praktische Erfahrung |
|
Weitere Informationen |
Funktionsübersicht
Profile |
|
Übersetzungsprofil | Die NAT64-Konfiguration enthält ein Übersetzungsprofil, um die Zuordnung zwischen IPv6 und IPv4 zu definieren. |
Präfix-Profil | Gibt das bekannte NAT64-Präfix (64:ff9b::/96) für die IPv6-zu-IPv4-Adressübersetzung an. |
Adresszuordnung |
Ordnet bestimmte IPv6-Adressen oder -Subnetze entsprechenden IPv4-Adressen zu, um die Übersetzung zu erleichtern. |
Politik |
|
Inbound-Richtlinie |
Ermöglicht es Nur-IPv6-Clients, Datenverkehr zu IPv4-Servern zu initiieren, indem die NAT64-Übersetzungsregeln abgeglichen werden. |
Outbound-Richtlinie |
Erlaubt den Rückverkehr von IPv4-Servern zurück zu IPv6-Clients basierend auf NAT64-Regeln. |
Sicherheitszonen |
|
|
Netzwerksegment für Nur-IPv6-Clients, die Verbindungen initiieren. |
|
Netzwerksegment, in dem sich IPv4-Server befinden, die auf Clientanforderungen reagieren. |
NAT64-Zone |
Eine dedizierte Zone für die NAT64-Verarbeitung, die eine effiziente Übersetzung und Datenverkehrsverwaltung gewährleistet. |
Topologieübersicht
In dieser statischen NAT64-Topologie kommuniziert ein Nur-IPv6-Client mit einem IPv4-Server über die Firewall der SRX-Serie. Die Firewall übersetzt IPv6-Adressen mithilfe statischer NAT64-Zuordnungen in IPv4, während ein DNS64-Server IPv6-DNS-Antworten für eine nahtlose Adressauflösung synthetisiert. Dieses Setup gewährleistet eine reibungslose Kommunikation zwischen Nur-IPv6-Clients und IPv4-Servern, ohne dass Dual-Stack-Konfigurationen erforderlich sind.
Topologiekomponenten |
Rolle |
Funktion |
---|---|---|
Kunde |
Nur IPv6-Gerät |
Initiiert Anforderungen von einer reinen IPv6-Umgebung zur Kommunikation mit IPv4-Servern. |
Firewall der SRX-Serie |
NAT64-Gateway |
Übersetzt IPv6-Adressen in IPv4-Adressen unter Verwendung der konfigurierten statischen NAT64-Zuordnung, um eine nahtlose Kommunikation zwischen IP-Versionen zu gewährleisten. |
DNS64-Server |
DNS-Übersetzer |
Konvertiert IPv4-DNS-Antworten für den Client und ermöglicht die Adressauflösung. |
IPv4-Server |
Zielserver |
Antwortet auf Clientanfragen mit seiner IPv4-Adresse und ermöglicht so die Interaktion mit Nur-IPv6-Clients über NAT64. |
Topologie-Illustration

Konfiguration von statischem NAT64 auf einem zu testenden Gerät (DUT)
Vollständige Beispielkonfigurationen für den Prüfling finden Sie unter:
Verifizierung
Überprüfen der statischen NAT64-Konfiguration
Zweck
Vergewissern Sie sich, dass Datenverkehr vorhanden ist, der dem statischen NAT64-Regelsatz entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat static rule
Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Traffic zu suchen, der der Regel entspricht.
Bedeutung
Anhang 1: Festlegen von Befehlen auf allen Geräten
Für das folgende Beispiel muss durch verschiedene Ebenen der Junos OS-Konfigurationshierarchie navigiert werden. Ausführliche Informationen zur Navigation in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
set security nat source pool p1 address 10.6.32.0/24 set security nat source rule-set src_rs1 from zone trust set security nat source rule-set src_rs1 to zone untrust set security nat source rule-set src_rs1 rule source_rule match source-address 2001:db8::/96 set security nat source rule-set src_rs1 rule source_rule match destination-address 0.0.0.0/0 set security nat source rule-set src_rs1 rule source_rule then source-nat pool p1 set security nat static rule-set static_rs1 from zone trust set security nat static rule-set static_rs1 rule static_rule match destination-address 64:ff9b::/96 set security nat static rule-set static_rs1 rule static_rule then static-nat inet set security nat proxy-arp interface ge-0/0/2.0 address 10.6.32.1/32 to 10.6.32.249/32 set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/1 unit 0 family inet address 20.20.20.1/24 set interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8::1/96
Anhang 2: Konfigurationsausgabe am Prüfling anzeigen
Zeigen Sie die Befehlsausgabe auf dem Prüfling an.
Überprüfen Sie im Betriebsmodus Ihre Konfiguration mit den folgenden Befehlen. Wenn der Ausgang
user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 20.20.20.1/24; } } } ge-0/0/2 { unit 0 { family inet6 { address 2001:db8::1/96; } } }
user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } }
user@host# show security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit; } } }
user@host# show security nat source { pool p1 { address { 10.6.32.0/24; } } rule-set src_rs1 { from zone trust; to zone untrust; rule source_rule { match { source-address 2001:db8::/96; destination-address 0.0.0.0/0; } then { source-nat { pool { p1; } } } } } } static { rule-set static_rs1 { from zone trust; rule static_rule { match { destination-address 64:ff9b::/96; } then { static-nat { inet; } } } } } proxy-arp { interface ge-0/0/2.0 { address { 10.6.32.1/32 to 10.6.32.249/32; } } }
Beispiel: Konfigurieren einer statischen NAT für die Portzuordnung
In diesem Beispiel wird beschrieben, wie statische NAT-Zuordnungen einer öffentlichen Adresse zu privaten Adressen in einem angegebenen Portbereich konfiguriert werden.
Dieses Thema enthält die folgenden Abschnitte:
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Netzwerkschnittstellen auf dem Gerät. Weitere Informationen finden Sie im Benutzerhandbuch für Schnittstellen für Sicherheitsgeräte.
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Weitere Informationen finden Sie unter Grundlegendes zu Sicherheitszonen.
Überblick
In diesem Beispiel wird die vertrauenswürdige Sicherheitszone für den privaten Adressraum und die nicht vertrauenswürdige Sicherheitszone für den öffentlichen Adressraum verwendet.
In Abbildung 4 greifen Geräte in der nicht vertrauenswürdigen Zone über die öffentlichen Adressen 203.0.113.1/32, 203.0.113.1/32 und 203.0.113.3/32 auf einen Server in der Vertrauenszone zu. Bei Paketen, die aus der nicht vertrauenswürdigen Zone mit den Ziel-IP-Adressen 203.0.113.1/32, 203.0.113.1/32 und 203.0.113.3/32 in das Sicherheitsgerät von Juniper Networks gelangen, wird die Ziel-IP-Adresse in die privaten Adressen 10.1.1.1/32, 10.1.1.2/32 und 10.1.1.2/32 übersetzt.

-
Um den Zielport zu konfigurieren, müssen Sie eine IP-Adresse anstelle eines IP-Adresspräfixes für das Zieladressfeld verwenden.
-
Sie müssen den Zielport konfigurieren, um den zugeordneten Port zu konfigurieren und umgekehrt.
-
Verwenden Sie denselben Nummernbereich für die Ports, wenn Sie den Zielport und den zugeordneten Port konfigurieren.
-
Wenn Sie den Zielport und den zugeordneten Port nicht konfigurieren, erfolgt die IP-Zuordnung als Eins-zu-Eins-Zuordnung.
-
Adressüberschneidungen oder Adress- und Portüberschneidungen sind nicht zulässig.
In diesem Beispiel werden die folgenden Konfigurationen beschrieben:
Statischer NAT-Regelsatz rs1 mit Regel r1, um Pakete aus der nicht vertrauenswürdigen Zone mit der Zieladresse 203.0.113.1/32 und dem Zielport 100 bis 200 abzugleichen. Für übereinstimmende Pakete wird die IP-Adresse des Ziels in die private Adresse 10.1.1.1/32 übersetzt und den Ports 300 bis 400 zugeordnet.
Statischer NAT-Regelsatz rs1 mit Regel r2, um Pakete aus der nicht vertrauenswürdigen Zone mit der Zieladresse 203.0.113.1/32 und dem Zielport 300 bis 400 abzugleichen. Für übereinstimmende Pakete wird die IP-Adresse des Ziels in die private Adresse 10.1.1.2/32 übersetzt und den Ports 300 bis 400 zugeordnet.
Statischer NAT-Regelsatz rs1 mit Regel r3, um Pakete aus der nicht vertrauenswürdigen Zone mit der Zieladresse 203.0.113.3/32 und dem Zielport 300 abzugleichen. Für übereinstimmende Pakete wird die IP-Adresse des Ziels in die private Adresse 10.1.1.2/32 übersetzt und Port 200 zugeordnet.
Konfiguration
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit]
Konfigurationsmodus ein commit
.
set security nat static rule-set rs from zone untrust
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1/32
set security nat static rule-set rs rule r1 match destination-port 100 to 200
set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1/32
set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r2 match destination-address 203.0.113.1/32
set security nat static rule-set rs rule r2 match destination-port 300 to 400
set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2/32
set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r3 match destination-address 203.0.113.3/32
set security nat static rule-set rs rule r3 match destination-port 300
set security nat static rule-set rs rule r3 then static-nat prefix 10.1.1.2/32
set security nat static rule-set rs rule r3 then static-nat prefix mapped-port 200
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie eine statische NAT-Zuordnung von einer privaten Subnetzadresse zu einer öffentlichen Subnetzadresse:
Erstellen Sie einen statischen NAT-Regelsatz.
[edit security nat static]
user@host# set rule-set rs from zone untrust
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in den Paketen in eine private Adresse übersetzt.
[edit security nat static]
user@host# set rule-set rs rule r1 match destination-address 203.0.113.1/32
user@host# set rule-set rs rule r1 match destination-port 100 to 200
user@host# set rule-set rs rule r1 then static-nat prefix 10.1.1.1/32
user@host# set rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in den Paketen in eine private Adresse übersetzt.
[edit security nat static]
user@host# set rule-set rs rule r2 match destination-address 203.0.113.1/32
user@host# set rule-set rs rule r2 match destination-port 300 to 400
user@host# set rule-set rs rule r2 then static-nat prefix 10.1.1.2/32
user@host# set rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in den Paketen in eine private Adresse übersetzt.
[edit security nat static]
user@host# set rule-set rs rule r3 match destination-address 203.0.113.3/32
user@host# set rule-set rs rule r3 match destination-port 300
user@host# set rule-set rs rule r3 then static-nat prefix 10.1.1.2/32
user@host# set rule-set rs rule r3 then static-nat prefix mapped-port 200
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security nat
Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
security { nat { static { rule-set rs { from zone untrust; rule r1 { match { destination-address 203.0.113.1/32; destination-port 100 to 200; } then { static-nat { prefix { 10.1.1.1/32; mapped-port 300 to 400; } } } } rule r2 { match { destination-address 203.0.113.1/32; destination-port 300 to 400; } then { static-nat { prefix { 10.1.1.2/32; mapped-port 300 to 400; } } } } rule r3 { match { destination-address 203.0.113.3/32; destination-port 300; } then { static-nat { prefix { 10.1.1.2/32; mapped-port 200; } } } } } } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit
Sie aus dem Konfigurationsmodus.
Verifizierung
Überprüfen der statischen NAT-Konfiguration
Zweck
Vergewissern Sie sich, dass Datenverkehr vorhanden ist, der dem statischen NAT-Regelsatz entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat static rule
Befehl ein. Zeigen Sie das Feld "Übersetzungstreffer" an, um nach Traffic zu suchen, der der Regel entspricht.
user@host> show security nat static rule all
Total static-nat rules: 3
Static NAT rule: r2 Rule-set: rs
Rule-Id : 3
Rule position : 2
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 300 - 400
Host addresses : 10.1.1.2
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r3 Rule-set: rs
Rule-Id : 4
Rule position : 3
From zone : untrust
Destination addresses : 203.0.113.3
Destination ports : 300 - 300
Host addresses : 10.1.1.2
Host ports : 200 - 200
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r1 Rule-set: rs
Rule-Id : 9
Rule position : 1
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 100 - 200
Host addresses : 10.1.1.1
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Fehlerbehebung
Fehlerbehebung bei statischer NAT-Portkonfiguration
Problem
Fehler bei der Konfiguration statischer NAT-Portzuordnungen treten während eines Commits auf.
Ungültige Konfigurationen mit überlappenden IP-Adressen und Ports führen zu Commit-Fehlern.
Das folgende Beispiel zeigt ungültige Konfigurationen mit überlappenden Adressen und Ports:
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1
set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1
set security nat static rule-set rs rule r2 match destination-address 203.0.113.1
set security nat static rule-set rs rule r2 match destination-port 300 to 400
set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2
set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1
set security nat static rule-set rs rule r1 match destination-port 100 to 200
set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1
set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r2 match destination-address 203.0.113.2
set security nat static rule-set rs rule r2 match destination-port 300 to 400
set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.1
set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 390 to 490
Die folgende Fehlermeldung wurde angezeigt, als die oben genannte Konfiguration zum Commit übermittelt wurde:
error: 'prefix/mapped-port' of static nat rule r2 overlaps with 'prefix/mapped-port' of static nat rule r1 error: configuration check-out failed
Lösung
Um den Zielport zu konfigurieren, müssen Sie jegliche Adressüberschneidungen oder Adress- und Portüberschneidungen vermeiden. Ein Beispiel für eine gültige Konfiguration finden Sie unter Konfiguration
Überwachen statischer NAT-Informationen
Zweck
Zeigen Sie Informationen zu statischen NAT-Regeln an.
Aktion
Wählen Sie Monitor>NAT>Static NAT in der J-Web-Benutzeroberfläche aus, oder geben Sie den folgenden CLI-Befehl ein:
show security nat static rule
Tabelle 3 fasst die wichtigsten Ausgabefelder in der statischen NAT-Anzeige zusammen.
Feld |
Werte |
Aktion |
---|---|---|
Name des Regelsatzes |
Name des Regelsatzes. |
Wählen Sie alle Regelsätze oder einen bestimmten Regelsatz aus, der in der Liste angezeigt werden soll. |
Regeln insgesamt |
Anzahl der konfigurierten Regeln. |
– |
ID |
Regel-ID-Nummer. |
– |
Position |
Position der Regel, die die Reihenfolge angibt, in der sie auf den Datenverkehr angewendet wird. |
– |
Name |
Name der Regel. |
– |
Name des Regelsatzes |
Name des Regelsatzes. |
– |
Von |
Name der Routing-Instanz/Schnittstelle/Zone, aus der das Paket kommt |
– |
Quelladressen |
Quell-IP-Adressen. |
– |
Quell-Ports |
Quellportnummern. |
– |
Zieladressen |
Ziel-IP-Adresse und Subnetzmaske. |
– |
Ziel-Ports |
Zielportnummern . |
– |
Hostadressen |
Name der Hostadressen. |
– |
Host-Ports |
Host-Portnummern. |
|
Netzmaske |
Subnetz-IP-Adresse. |
– |
Host-Routing-Instanz |
Name der Routing-Instanz, von der das Paket stammt. |
– |
Alarmschwelle |
Schwellenwert für den Auslastungsalarm. |
– |
Sitzungen (Succ/Fehlgeschlagen/Aktuell) |
Erfolgreiche, fehlgeschlagene und aktuelle Sitzungen.
|
– |
Übersetzungstreffer |
Gibt an, wie oft eine Übersetzung in der Übersetzungstabelle für eine statische NAT-Regel verwendet wird. |
– |
Top-10-Übersetzungstreffer-Diagramm |
Zeigt das Diagramm der 10 wichtigsten Übersetzungstreffer an. |
– |