EN ESTA PÁGINA
Traducción de protocolos NAT
Configuración de NAT-PT
Para configurar el tipo de traducción como basic-nat-pt
, debe configurar la aplicación ALG DNS, los grupos y reglas NAT, un conjunto de servicios con una interfaz de servicio y opciones de seguimiento. La configuración de NAT-PT no se admite si utiliza MS-MPC o MS-MIC. En este tema se incluyen las siguientes tareas:
- Configuración de la aplicación DNS ALG
- Configuración del grupo NAT y la regla NAT
- Configuración del conjunto de servicios para NAT
- Configuración de opciones de seguimiento
Configuración de la aplicación DNS ALG
Para configurar la aplicación ALG de DNS:
Configuración del grupo NAT y la regla NAT
Para configurar el grupo de NAT y la regla de NAT:
Configuración del conjunto de servicios para NAT
Para configurar el conjunto de servicios para NAT:
Configuración de opciones de seguimiento
Para configurar las opciones de seguimiento:
En el ejemplo siguiente se configura el tipo de traducción como basic-nat-pt.
[edit] user@host# show services service-set ss_dns { nat-rules rule-basic-nat-pt; interface-service { service-interface sp-1/2/0; } } nat { pool p1 { address 10.10.10.2/32; } pool src_pool0 { address 20.1.1.1/32; } pool dst_pool0 { address 50.1.1.2/32; } rule rule-basic-nat-pt { match-direction input; term t1 { from { source-address { 2000::2/128; } destination-address { 4000::2/128; } applications dns_alg; } then { translated { source-pool src_pool0; destination-pool dst_pool0; dns-alg-prefix 2001:db8:10::0/96; translation-type { basic-nat-pt; } } } } term t2 { from { source-address { 2000::2/128; } destination-address { 2001:db8:10::0/96; } } then { translated { source-prefix 19.19.19.1/32; translation-type { basic-nat-pt; } } } } } } adaptive-services-pics { traceoptions { flag all; } }
Ejemplo: configuración de NAT-PT
Se utiliza una puerta de enlace de nivel de aplicación del Sistema de nombres de dominio (DNS ALG) con la traducción de protocolo de traducción de direcciones de red (NAT-PT) para facilitar la asignación de nombre a dirección. Puede configurar el ALG de DNS para asignar las direcciones devueltas en la respuesta DNS a una dirección IPv6. La configuración de NAT-PT no se admite si utiliza MS-MPC o MS-MIC.
Al configurar NAT-PT con compatibilidad con DNS ALG, debe configurar dos reglas NAT o una regla con dos términos. En este ejemplo, se configuran dos reglas. La primera regla NAT garantiza que los paquetes de consulta y respuesta DNS se traduzcan correctamente. Para que esta regla funcione, debe configurar una aplicación ALG de DNS y hacer referencia a ella en la regla. La segunda regla es necesaria para garantizar que las sesiones NAT estén destinadas a la dirección asignada por el ALG de DNS.
A continuación, debe configurar un conjunto de servicios y, a continuación, aplicar el conjunto de servicios a las interfaces.
En este ejemplo se describe cómo configurar NAT-PT con ALG DNS:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Junos OS versión 11.2
Una interfaz multiservicio (ms-)
Descripción general y topología
El siguiente escenario muestra el proceso de NAT-PT con DNS ALG cuando un equipo portátil en un dominio solo IPv6 solicita acceso a un servidor en un dominio solo IPv4.
Topología

El enrutador de Juniper Networks en el centro de la ilustración realiza la traducción de direcciones en dos pasos. Cuando el portátil solicita una sesión con el servidor www.example.com que se encuentra en un dominio solo IPv4, el enrutador de Juniper Networks realiza lo siguiente:
Traduce las direcciones del portátil IPv6 y del servidor DNS en direcciones IPv4.
Traduce la solicitud AAAA del portátil en una solicitud A para que el servidor DNS pueda proporcionar la dirección IPv4.
Cuando el servidor DNS responde con la solicitud A, el enrutador de Juniper Networks realiza lo siguiente:
Traduce la dirección del servidor DNS IPv4 de nuevo en una dirección IPv6.
Traduce la solicitud A de nuevo en una solicitud AAAA para que el equipo portátil ahora tenga la dirección IPv6 de 96 bits del servidor www.example.com .
Después de que el equipo portátil recibe la versión IPv6 de la dirección del servidor www.example.com , el equipo portátil inicia una segunda sesión utilizando la dirección IPv6 de 96 bits para tener acceso a ese servidor. El enrutador de Juniper Networks realiza lo siguiente:
Traduce la dirección IPv4 del portátil directamente a su dirección IPv4.
Traduce la dirección del servidor www.example.com IPv6 de 96 bits a su dirección IPv4.
Configuración de NAT-PT con ALG DNS
Para configurar NAT-PT con DNS ALG, realice las siguientes tareas:
- Configuración de la puerta de enlace de nivel de aplicación
- Configuración de los grupos NAT
- Configuración de la sesión del servidor DNS: primera regla NAT
- Configuración de la sesión HTTP: segunda regla NAT
- Configuración del conjunto de servicios
- Configuración de la regla de firewall con estado
- Configuración de interfaces
Configuración de la puerta de enlace de nivel de aplicación
Procedimiento paso a paso
Configure la aplicación DNS como el ALG al que se destina el tráfico DNS. El protocolo de aplicación DNS cierra el flujo DNS tan pronto como se recibe la respuesta DNS. Al configurar el protocolo de aplicación DNS, debe especificar el protocolo UDP como protocolo de red para que coincida en la definición de aplicación.
Para configurar la aplicación DNS:
En el modo de configuración, vaya al nivel de
[edit applications]
jerarquía.user@host# edit applications
Defina el nombre de la aplicación y especifique el protocolo de aplicación que se utilizará en condiciones de coincidencia en la primera regla NAT.
[edit applications] user@host# set application application-name application-protocol protocol-name
Por ejemplo:
[edit applications] user@host# set application dns_alg application-protocol dns
Especifique el protocolo que desea que coincida, en este caso UDP.
[edit applications] user@host# set application application-name protocol type
Por ejemplo:
[edit applications] user@host# set application dns_alg protocol udp
Defina el puerto de destino UDP para la coincidencia adicional de paquetes, en este caso el puerto de dominio.
[edit applications] user@host# set application application-name destination-port value
Por ejemplo:
[edit applications] user@host# set application dns_alg destination-port 53
Resultados
[edit applications] user@host# show application dns_alg { application-protocol dns; protocol udp; destination-port 53; }
Configuración de los grupos NAT
Procedimiento paso a paso
En esta configuración, se configuran dos grupos que definen las direcciones (o prefijos) usados para NAT. Estos grupos definen las direcciones IPv4 que se traducen en direcciones IPv6. El primer grupo incluye la dirección IPv4 del origen. El segundo grupo define la dirección IPv4 del servidor DNS. Para configurar grupos NAT:
En el modo de configuración, vaya al nivel de
[edit services nat]
jerarquía.user@host# edit services nat
Especifique el nombre del primer grupo y la dirección de origen IPv4 (portátil).
[edit services nat] user@host# set pool nat-pool-name address ip-prefix
Por ejemplo:
[edit services nat] user@host# set pool pool1 address 40.1.1.1/32
Especifique el nombre del segundo grupo y la dirección IPv4 del servidor DNS.
[edit services nat] user@host# set pool nat-pool-name address ip-prefix
Por ejemplo:
[edit services nat] user@host# set pool pool2 address 50.1.1.1/32
Resultados
El siguiente resultado de ejemplo muestra la configuración de los grupos NAT.
[edit services nat] user@host# show pool pool1 { address 40.1.1.1/32; } pool pool2 { address 50.1.1.1/32; }
Configuración de la sesión del servidor DNS: primera regla NAT
Procedimiento paso a paso
La primera regla NAT se aplica al tráfico DNS que va al servidor DNS. Esta regla garantiza que los paquetes de consulta y respuesta DNS se traduzcan correctamente. Para que esta regla funcione, debe configurar una aplicación ALG de DNS y hacer referencia a ella en la regla. La aplicación DNS se configuró en Configuración de NAT-PT. Además, debe especificar la dirección en la que coincide el tráfico, la dirección de origen del portátil, la dirección de destino del servidor DNS y las acciones que se deben realizar cuando se cumplen las condiciones de coincidencia.
Para configurar la primera regla NAT:
En el modo de configuración, vaya al nivel de
[edit services nat]
jerarquía.user@host# edit services nat
Especifique el nombre de la regla NAT.
[edit services nat] user@host# edit rule rule-name
Por ejemplo:
[edit services nat] user@host# edit rule rule1
Especifique el nombre del término NAT.
[edit services nat rule rule-name] user@host# edit term term-name
Por ejemplo:
[edit services nat rule rule1] user@host# edit term term1
Defina las condiciones de coincidencia para esta regla.
Especifique la dirección de origen IPv6 del dispositivo (portátil) que intenta acceder a una dirección IPv4.
[edit services nat rule rule-name term term-name] user@host# set from source-address source-address
Por ejemplo:
[edit services nat rule rule1 term term1] user@host# set from source-address 2000::2/128
Especifique la dirección de destino IPv6 del servidor DNS.
[edit services nat rule rule-name term term-name] user@host# set from destination-address prefix
Por ejemplo:
[edit services nat rule rule1 term term1] user@host# set from destination-address 4000::2/128
Haga referencia a la aplicación DNS a la que se aplica el tráfico DNS destinado al puerto 53.
[edit services nat rule rule1 term term1] user@host# set from applications application-name
En este ejemplo, el nombre de la aplicación configurado en el paso Configuración de la aplicación DNS es dns_alg:
[edit services nat rule rule1 term term1] user@host# set from applications dns_alg
Defina las acciones que se llevarán a cabo cuando se cumplan las condiciones de coincidencia. Los grupos de origen y destino que configuró en Configuración de los grupos NAT se aplican aquí.
Aplique el grupo NAT configurado para la traducción de código fuente.
[edit services nat rule rule-name term term-name] user@host# set then translated source-pool nat-pool-name
Por ejemplo:
[edit services nat rule rule1 term term1] user@host# set then translated source-pool pool1
Aplique el grupo NAT configurado para la traducción de destino.
[edit services nat rule rule-name term term-name] user@host# set then translated destination-pool nat-pool-name
Por ejemplo:
[edit services nat rule rule1 term term1] user@host# set then translated source-pool pool2
Defina el prefijo DNS ALG de 96 bits para la asignación de direcciones IPv4 a IPv6.
[edit services nat rule rule-name term term-name] user@host# set then translated dns-alg-prefix dns-alg-prefix
Por ejemplo:
[edit services nat rule rule1 term term1] user@host# set then translated dns-alg-prefix 10:10:10::0/96
Especifique el tipo de NAT utilizada para el tráfico de origen y destino.
[edit services nat rule rule-name term term-name] user@host# set then translated translation-type basic-nat-pt
Por ejemplo:
[edit services nat rule rule1 term term1] user@host# set then translated translation-type basic-nat-pt
Nota:En este ejemplo, dado que NAT se logra utilizando la traducción de solo dirección, se usa el tipo de traducción basic-nat-pt . Para lograr NAT mediante la traducción de direcciones y puertos (NAPT), utilice el tipo de traducción napt-pt .
Especifique la dirección en la que desea hacer coincidir el tráfico que cumpla las condiciones de la regla.
[edit services nat rule rule-name] user@host# set match-direction (input | output)
Por ejemplo:
[edit services nat rule rule1] user@host# set match-direction input
Configure el registro del sistema para registrar información de la interfaz de servicios en el directorio /var/log.
[edit services nat rule rule-name term term-name] user@host# set then syslog
Por ejemplo:
[edit services nat rule rule1 term term1] user@host# set then syslog
Resultados
El siguiente resultado de ejemplo muestra la configuración de la primera regla NAT que va al servidor DNS.
[edit services nat] user@host# show rule rule1 { match-direction input; term term1 { from { source-address { 2000::2/128; } destination-address { 4000::2/128; } applications dns_alg; } then { translated { source-pool pool1; destination-pool pool2; dns-alg-prefix 10:10:10::0/96; translation-type { basic-nat-pt; } } syslog; } } }
Configuración de la sesión HTTP: segunda regla NAT
Procedimiento paso a paso
La segunda regla NAT se aplica al tráfico de destino que va al servidor IPv4 (www.example.com). Esta regla garantiza que las sesiones NAT estén destinadas a la dirección asignada por la ALG de DNS. Para que esta regla funcione, debe configurar el mapa de direcciones ALG de DNS que correlacione el procesamiento de consultas o respuestas DNS realizado por la primera regla con las sesiones de datos reales procesadas por la segunda regla. Además, debe especificar la dirección en la que coincide el tráfico: la dirección IPv4 de la dirección de origen IPv6 (portátil), el prefijo de 96 bits que se antepone a la dirección de destino IPv4 (www.example.com) y el tipo de traducción.
Para configurar la segunda regla NAT:
En el modo de configuración, vaya al siguiente nivel de jerarquía.
user@host# edit services nat
Especifique el nombre de la regla NAT y del término.
[edit services nat] user@host# edit rule rule-name term term-name
Por ejemplo:
[edit services nat] user@host# edit rule rule2 term term1
Defina las condiciones de coincidencia para esta regla:
Especifique la dirección IPv6 del dispositivo que intenta acceder al servidor IPv4.
[edit services nat rule rule-name term term-name] user@host# set from source-address source-address
Por ejemplo:
[edit services nat rule rule2 term term1] user@host# set from source-address 2000::2/128
Especifique el prefijo IPv6 de 96 bits que se antepondrá a la dirección del servidor IPv4.
[edit services nat rule rule-name term term-name] user@host# set from destination-address prefix
Por ejemplo:
[edit services nat rule rule2 term term1] user@host# set from destination-address 10:10:10::c0a8:108/128
Defina las acciones que se llevarán a cabo cuando se cumplan las condiciones de coincidencia.
Especifique el prefijo para la traducción de la dirección de origen IPv6.
[edit services nat rule rule-name term term-name] user@host# set then translated source-prefix source-prefix
Por ejemplo:
[edit services nat rule rule2 term term1] user@host# set then translated source-prefix 19.19.19.1/32
Especifique el tipo de NAT utilizada para el tráfico de origen y destino.
[edit services nat rule rule-name term term-name] user@host# set then translated translation-type basic-nat-pt
Por ejemplo:
[edit services nat rule rule2 term term1] user@host# set then translated translation-type basic-nat-pt
Nota:En este ejemplo, dado que NAT se logra utilizando la traducción de solo dirección, se usa el tipo de traducción basic-nat-pt . Para lograr NAT mediante la traducción de direcciones y puertos (NAPT), debe utilizar el tipo de traducción napt-pt .
Especifique la dirección en la que desea hacer coincidir el tráfico que cumpla las condiciones de la regla.
[edit services nat rule rule-name] user@host# set match-direction (input | output)
Por ejemplo:
[edit services nat rule rule2] user@host# set match-direction input
Resultados
El siguiente resultado de ejemplo muestra la configuración de la segunda regla NAT.
[edit services nat] user@host# show rule rule2 { match-direction input; term term1 { from { source-address { 2000::2/128; } destination-address { 10:10:10::c0a8:108/128; } } then { translated { source-prefix 19.19.19.1/32; translation-type { basic-nat-pt; } } } } }
Configuración del conjunto de servicios
Procedimiento paso a paso
Este conjunto de servicios es un conjunto de servicios de interfaz que se utiliza como modificador de acciones en toda la interfaz de servicios (ms-). El firewall con estado y los conjuntos de reglas NAT se aplican al tráfico procesado por la interfaz de servicios.
Para configurar el conjunto de servicios:
En el modo de configuración, vaya al nivel de
[edit services]
jerarquía.user@host# edit services
Defina un conjunto de servicios.
[edit services] user@host# edit service-set service-set-name
Por ejemplo:
[edit services] user@host# edit service-set ss
Especifique las propiedades que controlan cómo se generan los mensajes de registro del sistema para el conjunto de servicios.
[edit services service-set ss] user@host# set syslog host local services severity-level
El siguiente ejemplo incluye todos los niveles de gravedad.
[edit services service-set ss] user@host# set syslog host local services any
Especifique la regla de firewall con estado incluida en este conjunto de servicios.
[edit services service-set ss] user@host# set stateful-firewall-rules rule1 severity-level
En el ejemplo siguiente se hace referencia a la regla de firewall con estado definida en Configuración de la regla de firewall con estado.
[edit services service-set ss] user@host# set stateful-firewall-rules rule1
Defina las reglas NAT incluidas en este conjunto de servicios.
[edit services service-set ss] user@host# set nat-rules rule-name
El ejemplo siguiente hace referencia a las dos reglas definidas en este ejemplo de configuración.
[edit services service-set ss user@host# set nat-rules rule1 user@host# set nat-rules rule2
Configure una interfaz de servicios adaptables en la que se va a realizar el servicio.
[edit services service-set ss] user@host# set interface-service service-interface interface-name
Por ejemplo:
[edit services service-set ss user@host# interface-service service-interface ms-2/0/0
Solo se necesita el nombre del dispositivo, ya que el software del enrutador administra los números de unidad lógica automáticamente. La interfaz de servicios debe ser una interfaz de servicios adaptables para la que haya configurado la familia de unidades 0 inet en el nivel jerárquico en Configuración de
[edit interfaces interface-name]
interfaces.
Resultados
El siguiente resultado de ejemplo muestra la configuración del conjunto de servicios.
[edit services] user@host# show service-set ss { syslog { host local { services any; } } stateful-firewall-rules rule1; nat-rules rule1; nat-rules rule2; interface-service { service-interface ms-2/0/0; } }
Configuración de la regla de firewall con estado
Procedimiento paso a paso
En este ejemplo se usa un firewall con estado para inspeccionar paquetes en busca de información de estado derivada de comunicaciones pasadas y otras aplicaciones. El enrutador NAT-PT comprueba que el flujo de tráfico coincida con la dirección especificada por la regla, en este caso tanto de entrada como de salida. Cuando se envía un paquete a la interfaz de servicios (ms-), la información de dirección se lleva consigo.
Para configurar la regla de firewall con estado:
En el modo de configuración, vaya al nivel de
[edit services stateful firewall]
jerarquía.user@host# edit services stateful firewall
Especifique el nombre de la regla de firewall con estado.
[edit services stateful-firewall] user@host# edit rule rule-name
Por ejemplo:
[edit services stateful-firewall] user@host# edit rule rule1
Especifique la dirección en la que se va a emparejar el tráfico.
[edit services stateful-firewall rule rule-name] user@host# set match-direction (input | input-output | output)
Por ejemplo:
[edit services stateful-firewall rule rule1] user@host# set match-direction input-output
Especifique el nombre del término del firewall con estado.
[edit services stateful-firewall rule rule-name] user@host# edit term term-name
Por ejemplo:
[edit services stateful-firewall rule rule1] user@host# edit term term1
Defina los términos que componen esta regla.
[edit services stateful-firewall rule rule-name term term-name] user@host# set then accept
Por ejemplo:
[edit services stateful-firewall rule rule1 term term1] user@host# set then accept
Resultados
El siguiente resultado de ejemplo muestra la configuración del firewall de estado de los servicios.
[edit services] user@host# show stateful-firewall { rule rule1 { match-direction input-output; term term1 { then { accept; } } } }
Configuración de interfaces
Procedimiento paso a paso
Una vez definido el conjunto de servicios, debe aplicar los servicios a una o varias interfaces instaladas en el enrutador. En este ejemplo, se configura una interfaz en la que se aplica el conjunto de servicios para el tráfico de entrada y salida. Cuando se aplica el conjunto de servicios a una interfaz, se garantiza automáticamente que los paquetes se dirijan a la interfaz de servicios (ms-).
Para configurar las interfaces:
En el modo de configuración, vaya al nivel de
[edit interfaces]
jerarquía.user@host# edit interfaces
Configure la interfaz en la que se aplica el conjunto de servicios para garantizar automáticamente que los paquetes se dirigen a la interfaz de servicios (ms-).
Para el tráfico IPv4, especifique la dirección IPv4.
[edit interfaces] user@host# set ge-1/0/9 unit 0 family inet address 30.1.1.1/24
Aplique el conjunto de servicios definido en Configuración de interfaces.
[edit interfaces] user@host# set ge-1/0/9 unit 0 family inet6 service input service-set ss user@host# set ge-1/0/9 unit 0 family inet6 service output service-set ss
Para el tráfico IPv6, especifique la dirección IPv6.
[edit interfaces] user@host# set ge-1/0/9 unit 0 family inet6 address 2000::1/64
Especifique las propiedades de interfaz para la interfaz de servicios que realiza el servicio.
[edit interfaces] user@host# set ms-2/0/0 services-options syslog host local services any user@host# set ms-2/0/0 unit 0 family inet user@host# set ms-2/0/0 unit 0 family inet6
Resultados
El siguiente resultado de ejemplo muestra la configuración de las interfaces para este ejemplo.
[edit interfaces] user@host# show ge-1/0/9 { unit 0 { family inet { address 30.1.1.1/24; } family inet6 { service { input { service-set ss; } output { service-set ss; } } address 2000::1/64; } } } ms-2/0/0 { services-options { syslog { host local { services any; } } } unit 0 { family inet; family inet6; } }