Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Traducción de protocolos NAT

Configuración de NAT-PT

Para configurar el tipo de traducción como basic-nat-pt, debe configurar la aplicación ALG DNS, los grupos y reglas NAT, un conjunto de servicios con una interfaz de servicio y opciones de seguimiento. La configuración de NAT-PT no se admite si utiliza MS-MPC o MS-MIC. En este tema se incluyen las siguientes tareas:

Configuración de la aplicación DNS ALG

Para configurar la aplicación ALG de DNS:

  1. En el modo de configuración, vaya al nivel de [edit applications] jerarquía.
  2. Configure el ALG al que se destina el tráfico DNS en el nivel jerárquico [edit applications] . Defina el nombre de la aplicación y especifique el protocolo de aplicación que se utilizará en condiciones de coincidencia en la primera regla o término de NAT.

    En el ejemplo siguiente, el nombre de la aplicación es dns-alg y el protocolo de aplicación es dns.

  3. Compruebe la configuración mediante el comando en el show nivel de [edit applications] jerarquía.

Configuración del grupo NAT y la regla NAT

Para configurar el grupo de NAT y la regla de NAT:

  1. En el modo de configuración, vaya al nivel de [edit services nat] jerarquía.
  2. Configure el grupo NAT y su dirección.

    En el ejemplo siguiente, el nombre del grupo NAT es p1 y la dirección es 10.10.10.2/32.

  3. Configure el grupo de origen y su dirección.

    En el ejemplo siguiente, el nombre del grupo de origen es src_pool0 y la dirección del grupo de origen es 20.1.1.1/32.

  4. Configure el grupo de destino y su dirección.

    En el ejemplo siguiente, el nombre del grupo de destino es dst_pool0 y la dirección del grupo de destino es 50.1.1.2/32.

  5. Configure la regla y la dirección de coincidencia.

    En el ejemplo siguiente, el nombre de la regla es rule-basic-nat-pt y la dirección de coincidencia es input.

  6. Configure el término y las condiciones de entrada para el término NAT.

    En el ejemplo siguiente, el término es t1 y las condiciones de entrada son la dirección de origen 2000::2/128, la dirección de destino 4000::2/128 y las aplicaciones dns_alg.

  7. Configure la acción de término NAT y las propiedades del tráfico traducido.

    En el ejemplo siguiente, se traduce el término acción y las propiedades del tráfico traducido son source-pool src_pool0, destination-pool dst_pool0 y dns-alg-prefix 2001:db8:10::0/96.

  8. Configure el tipo de traducción.

    En el ejemplo siguiente, el tipo de traducción es basic-nat-pt.

  9. Configure otro término y las condiciones de entrada para el término NAT.

    En el ejemplo siguiente, el término name es t2 y las condiciones de entrada son source-address 2000::2/128 y destination-address 2001:db8:10::0/96.

  10. Configure la acción de término NAT y la propiedad del tráfico traducido.

    En el ejemplo siguiente, el término acción se traduce y la propiedad del tráfico traducido es source-prefijo 19.19.19.1/32.

  11. Configure el tipo de traducción.

    En el ejemplo siguiente, el tipo de traducción es basic-nat-pt.

  12. Compruebe la configuración mediante el comando en el show nivel de [edit services nat] jerarquía.

Configuración del conjunto de servicios para NAT

Para configurar el conjunto de servicios para NAT:

  1. En el modo de configuración, vaya al nivel de [edit services] jerarquía.
  2. Configure el conjunto de servicios.

    En el ejemplo siguiente, el nombre del conjunto de servicios es ss_dns.

  3. Configure el conjunto de servicios con reglas NAT.

    En el ejemplo siguiente, el nombre de la regla es rule-basic-nat-pt.

  4. Configure la interfaz de servicio.

    En el ejemplo siguiente, el nombre de la interfaz de servicio es sp-1/2/0.

  5. Compruebe la configuración mediante el comando desde el show services [edit] nivel de jerarquía.

Configuración de opciones de seguimiento

Para configurar las opciones de seguimiento:

  1. En el modo de configuración, vaya al nivel de [edit services adaptive-services-pics] jerarquía.
  2. Configure las opciones de seguimiento.

    En el ejemplo siguiente, el parámetro de seguimiento es todo.

  3. Compruebe la configuración mediante el comando en el show nivel de [edit services] jerarquía.

En el ejemplo siguiente se configura el tipo de traducción como basic-nat-pt.

Ejemplo: configuración de NAT-PT

Se utiliza una puerta de enlace de nivel de aplicación del Sistema de nombres de dominio (DNS ALG) con la traducción de protocolo de traducción de direcciones de red (NAT-PT) para facilitar la asignación de nombre a dirección. Puede configurar el ALG de DNS para asignar las direcciones devueltas en la respuesta DNS a una dirección IPv6. La configuración de NAT-PT no se admite si utiliza MS-MPC o MS-MIC.

Al configurar NAT-PT con compatibilidad con DNS ALG, debe configurar dos reglas NAT o una regla con dos términos. En este ejemplo, se configuran dos reglas. La primera regla NAT garantiza que los paquetes de consulta y respuesta DNS se traduzcan correctamente. Para que esta regla funcione, debe configurar una aplicación ALG de DNS y hacer referencia a ella en la regla. La segunda regla es necesaria para garantizar que las sesiones NAT estén destinadas a la dirección asignada por el ALG de DNS.

A continuación, debe configurar un conjunto de servicios y, a continuación, aplicar el conjunto de servicios a las interfaces.

En este ejemplo se describe cómo configurar NAT-PT con ALG DNS:

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 11.2

  • Una interfaz multiservicio (ms-)

Descripción general y topología

El siguiente escenario muestra el proceso de NAT-PT con DNS ALG cuando un equipo portátil en un dominio solo IPv6 solicita acceso a un servidor en un dominio solo IPv4.

Topología

Figura 1: Configuración de ALG DNS con topología Configuring DNS ALGs with NAT-PT Network Topology de red NAT-PT

El enrutador de Juniper Networks en el centro de la ilustración realiza la traducción de direcciones en dos pasos. Cuando el portátil solicita una sesión con el servidor www.example.com que se encuentra en un dominio solo IPv4, el enrutador de Juniper Networks realiza lo siguiente:

  • Traduce las direcciones del portátil IPv6 y del servidor DNS en direcciones IPv4.

  • Traduce la solicitud AAAA del portátil en una solicitud A para que el servidor DNS pueda proporcionar la dirección IPv4.

Cuando el servidor DNS responde con la solicitud A, el enrutador de Juniper Networks realiza lo siguiente:

  • Traduce la dirección del servidor DNS IPv4 de nuevo en una dirección IPv6.

  • Traduce la solicitud A de nuevo en una solicitud AAAA para que el equipo portátil ahora tenga la dirección IPv6 de 96 bits del servidor www.example.com .

Después de que el equipo portátil recibe la versión IPv6 de la dirección del servidor www.example.com , el equipo portátil inicia una segunda sesión utilizando la dirección IPv6 de 96 bits para tener acceso a ese servidor. El enrutador de Juniper Networks realiza lo siguiente:

  • Traduce la dirección IPv4 del portátil directamente a su dirección IPv4.

  • Traduce la dirección del servidor www.example.com IPv6 de 96 bits a su dirección IPv4.

Configuración de NAT-PT con ALG DNS

Para configurar NAT-PT con DNS ALG, realice las siguientes tareas:

Configuración de la puerta de enlace de nivel de aplicación

Procedimiento paso a paso

Configure la aplicación DNS como el ALG al que se destina el tráfico DNS. El protocolo de aplicación DNS cierra el flujo DNS tan pronto como se recibe la respuesta DNS. Al configurar el protocolo de aplicación DNS, debe especificar el protocolo UDP como protocolo de red para que coincida en la definición de aplicación.

Para configurar la aplicación DNS:

  1. En el modo de configuración, vaya al nivel de [edit applications] jerarquía.

  2. Defina el nombre de la aplicación y especifique el protocolo de aplicación que se utilizará en condiciones de coincidencia en la primera regla NAT.

    Por ejemplo:

  3. Especifique el protocolo que desea que coincida, en este caso UDP.

    Por ejemplo:

  4. Defina el puerto de destino UDP para la coincidencia adicional de paquetes, en este caso el puerto de dominio.

    Por ejemplo:

Resultados

Configuración de los grupos NAT

Procedimiento paso a paso

En esta configuración, se configuran dos grupos que definen las direcciones (o prefijos) usados para NAT. Estos grupos definen las direcciones IPv4 que se traducen en direcciones IPv6. El primer grupo incluye la dirección IPv4 del origen. El segundo grupo define la dirección IPv4 del servidor DNS. Para configurar grupos NAT:

  1. En el modo de configuración, vaya al nivel de [edit services nat] jerarquía.

  2. Especifique el nombre del primer grupo y la dirección de origen IPv4 (portátil).

    Por ejemplo:

  3. Especifique el nombre del segundo grupo y la dirección IPv4 del servidor DNS.

    Por ejemplo:

Resultados

El siguiente resultado de ejemplo muestra la configuración de los grupos NAT.

Configuración de la sesión del servidor DNS: primera regla NAT

Procedimiento paso a paso

La primera regla NAT se aplica al tráfico DNS que va al servidor DNS. Esta regla garantiza que los paquetes de consulta y respuesta DNS se traduzcan correctamente. Para que esta regla funcione, debe configurar una aplicación ALG de DNS y hacer referencia a ella en la regla. La aplicación DNS se configuró en Configuración de NAT-PT. Además, debe especificar la dirección en la que coincide el tráfico, la dirección de origen del portátil, la dirección de destino del servidor DNS y las acciones que se deben realizar cuando se cumplen las condiciones de coincidencia.

Para configurar la primera regla NAT:

  1. En el modo de configuración, vaya al nivel de [edit services nat] jerarquía.

  2. Especifique el nombre de la regla NAT.

    Por ejemplo:

  3. Especifique el nombre del término NAT.

    Por ejemplo:

  4. Defina las condiciones de coincidencia para esta regla.

    • Especifique la dirección de origen IPv6 del dispositivo (portátil) que intenta acceder a una dirección IPv4.

      Por ejemplo:

    • Especifique la dirección de destino IPv6 del servidor DNS.

      Por ejemplo:

    • Haga referencia a la aplicación DNS a la que se aplica el tráfico DNS destinado al puerto 53.

      En este ejemplo, el nombre de la aplicación configurado en el paso Configuración de la aplicación DNS es dns_alg:

  5. Defina las acciones que se llevarán a cabo cuando se cumplan las condiciones de coincidencia. Los grupos de origen y destino que configuró en Configuración de los grupos NAT se aplican aquí.

    • Aplique el grupo NAT configurado para la traducción de código fuente.

      Por ejemplo:

    • Aplique el grupo NAT configurado para la traducción de destino.

      Por ejemplo:

  6. Defina el prefijo DNS ALG de 96 bits para la asignación de direcciones IPv4 a IPv6.

    Por ejemplo:

  7. Especifique el tipo de NAT utilizada para el tráfico de origen y destino.

    Por ejemplo:

    Nota:

    En este ejemplo, dado que NAT se logra utilizando la traducción de solo dirección, se usa el tipo de traducción basic-nat-pt . Para lograr NAT mediante la traducción de direcciones y puertos (NAPT), utilice el tipo de traducción napt-pt .

  8. Especifique la dirección en la que desea hacer coincidir el tráfico que cumpla las condiciones de la regla.

    Por ejemplo:

  9. Configure el registro del sistema para registrar información de la interfaz de servicios en el directorio /var/log.

    Por ejemplo:

Resultados

El siguiente resultado de ejemplo muestra la configuración de la primera regla NAT que va al servidor DNS.

Configuración de la sesión HTTP: segunda regla NAT

Procedimiento paso a paso

La segunda regla NAT se aplica al tráfico de destino que va al servidor IPv4 (www.example.com). Esta regla garantiza que las sesiones NAT estén destinadas a la dirección asignada por la ALG de DNS. Para que esta regla funcione, debe configurar el mapa de direcciones ALG de DNS que correlacione el procesamiento de consultas o respuestas DNS realizado por la primera regla con las sesiones de datos reales procesadas por la segunda regla. Además, debe especificar la dirección en la que coincide el tráfico: la dirección IPv4 de la dirección de origen IPv6 (portátil), el prefijo de 96 bits que se antepone a la dirección de destino IPv4 (www.example.com) y el tipo de traducción.

Para configurar la segunda regla NAT:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía.

  2. Especifique el nombre de la regla NAT y del término.

    Por ejemplo:

  3. Defina las condiciones de coincidencia para esta regla:

    • Especifique la dirección IPv6 del dispositivo que intenta acceder al servidor IPv4.

      Por ejemplo:

    • Especifique el prefijo IPv6 de 96 bits que se antepondrá a la dirección del servidor IPv4.

      Por ejemplo:

  4. Defina las acciones que se llevarán a cabo cuando se cumplan las condiciones de coincidencia.

    • Especifique el prefijo para la traducción de la dirección de origen IPv6.

      Por ejemplo:

  5. Especifique el tipo de NAT utilizada para el tráfico de origen y destino.

    Por ejemplo:

    Nota:

    En este ejemplo, dado que NAT se logra utilizando la traducción de solo dirección, se usa el tipo de traducción basic-nat-pt . Para lograr NAT mediante la traducción de direcciones y puertos (NAPT), debe utilizar el tipo de traducción napt-pt .

  6. Especifique la dirección en la que desea hacer coincidir el tráfico que cumpla las condiciones de la regla.

    Por ejemplo:

Resultados

El siguiente resultado de ejemplo muestra la configuración de la segunda regla NAT.

Configuración del conjunto de servicios

Procedimiento paso a paso

Este conjunto de servicios es un conjunto de servicios de interfaz que se utiliza como modificador de acciones en toda la interfaz de servicios (ms-). El firewall con estado y los conjuntos de reglas NAT se aplican al tráfico procesado por la interfaz de servicios.

Para configurar el conjunto de servicios:

  1. En el modo de configuración, vaya al nivel de [edit services] jerarquía.

  2. Defina un conjunto de servicios.

    Por ejemplo:

  3. Especifique las propiedades que controlan cómo se generan los mensajes de registro del sistema para el conjunto de servicios.

    El siguiente ejemplo incluye todos los niveles de gravedad.

  4. Especifique la regla de firewall con estado incluida en este conjunto de servicios.

    En el ejemplo siguiente se hace referencia a la regla de firewall con estado definida en Configuración de la regla de firewall con estado.

  5. Defina las reglas NAT incluidas en este conjunto de servicios.

    El ejemplo siguiente hace referencia a las dos reglas definidas en este ejemplo de configuración.

  6. Configure una interfaz de servicios adaptables en la que se va a realizar el servicio.

    Por ejemplo:

    Solo se necesita el nombre del dispositivo, ya que el software del enrutador administra los números de unidad lógica automáticamente. La interfaz de servicios debe ser una interfaz de servicios adaptables para la que haya configurado la familia de unidades 0 inet en el nivel jerárquico en Configuración de [edit interfaces interface-name] interfaces.

Resultados

El siguiente resultado de ejemplo muestra la configuración del conjunto de servicios.

Configuración de la regla de firewall con estado

Procedimiento paso a paso

En este ejemplo se usa un firewall con estado para inspeccionar paquetes en busca de información de estado derivada de comunicaciones pasadas y otras aplicaciones. El enrutador NAT-PT comprueba que el flujo de tráfico coincida con la dirección especificada por la regla, en este caso tanto de entrada como de salida. Cuando se envía un paquete a la interfaz de servicios (ms-), la información de dirección se lleva consigo.

Para configurar la regla de firewall con estado:

  1. En el modo de configuración, vaya al nivel de [edit services stateful firewall] jerarquía.

  2. Especifique el nombre de la regla de firewall con estado.

    Por ejemplo:

  3. Especifique la dirección en la que se va a emparejar el tráfico.

    Por ejemplo:

  4. Especifique el nombre del término del firewall con estado.

    Por ejemplo:

  5. Defina los términos que componen esta regla.

    Por ejemplo:

Resultados

El siguiente resultado de ejemplo muestra la configuración del firewall de estado de los servicios.

Configuración de interfaces

Procedimiento paso a paso

Una vez definido el conjunto de servicios, debe aplicar los servicios a una o varias interfaces instaladas en el enrutador. En este ejemplo, se configura una interfaz en la que se aplica el conjunto de servicios para el tráfico de entrada y salida. Cuando se aplica el conjunto de servicios a una interfaz, se garantiza automáticamente que los paquetes se dirijan a la interfaz de servicios (ms-).

Para configurar las interfaces:

  1. En el modo de configuración, vaya al nivel de [edit interfaces] jerarquía.

  2. Configure la interfaz en la que se aplica el conjunto de servicios para garantizar automáticamente que los paquetes se dirigen a la interfaz de servicios (ms-).

    • Para el tráfico IPv4, especifique la dirección IPv4.

    • Aplique el conjunto de servicios definido en Configuración de interfaces.

    • Para el tráfico IPv6, especifique la dirección IPv6.

  3. Especifique las propiedades de interfaz para la interfaz de servicios que realiza el servicio.

Resultados

El siguiente resultado de ejemplo muestra la configuración de las interfaces para este ejemplo.