EN ESTA PÁGINA
Descripción de las mejoras de la arquitectura de Central Point para NAT
Ejemplo: configuración de NAT de origen para la traducción de interfaces de salida
Ejemplo: configuración de TDR de origen para la traducción de direcciones únicas
Ejemplo: configuración de traducciones NAT de origen y destino
Descripción de las direcciones persistentes para grupos NAT de origen
Ejemplo: configuración de la capacidad para grupos NAT de origen con PAT
Descripción de los grupos NAT de origen con la agrupación de direcciones
Descripción de los grupos NAT de origen con el cambio de dirección
Ejemplo: configuración de grupos NAT de origen con desplazamiento de direcciones
Ejemplo: configuración de NAT de origen para varias direcciones con PAT
Ejemplo: configuración de una única dirección IP en un grupo NAT de origen sin PAT
Ejemplo: configuración de varias direcciones en un grupo NAT de origen sin PAT
Descripción de direcciones compartidas en grupos NAT de origen sin PAT
Configuración del tiempo de espera de la sesión NAT y del análisis de persistencia de la sesión NAT
TDR de origen
La NAT de origen se usa más comúnmente para traducir una dirección IP privada a una dirección enrutable pública para comunicarse con el host. La NAT de origen cambia la dirección de origen de los paquetes que pasan por el enrutador. Un grupo NAT es un conjunto de direcciones diseñadas para reemplazar las direcciones IP de cliente. Para obtener más información, consulte los temas siguientes:
Descripción de la NAT de origen
TDR de origen es la traducción de la dirección IP de origen de un paquete que sale del dispositivo de Juniper Networks. La TDR de origen se utiliza para permitir que los hosts con direcciones IP privadas accedan a una red pública.
La TDR de origen permite que las conexiones se inicien solo para conexiones de red salientes, por ejemplo, desde una red privada a Internet. La NAT de origen se utiliza comúnmente para realizar las siguientes traducciones:
Traduzca una sola dirección IP a otra dirección (por ejemplo, para proporcionar acceso a Internet a un único dispositivo de una red privada).
Traducir un bloque contiguo de direcciones a otro bloque de direcciones del mismo tamaño.
Traducir un bloque contiguo de direcciones a otro bloque de direcciones de menor tamaño.
Traduzca un bloque contiguo de direcciones a una sola dirección IP o a un bloque más pequeño de direcciones mediante la traducción de puertos.
Traducir un bloque contiguo de direcciones a la dirección de la interfaz de salida.
La traducción a la dirección de la interfaz de salida no requiere un grupo de direcciones; todas las demás traducciones NAT de origen requieren la configuración de un grupo de direcciones. Las traducciones uno a uno y muchas a varias para bloques de direcciones del mismo tamaño no requieren traducción de puertos porque hay una dirección disponible en el grupo para cada dirección que se traducirá.
Si el tamaño del grupo de direcciones es menor que el número de direcciones que se traducirían, el número total de direcciones simultáneas que se pueden traducir está limitado por el tamaño del grupo de direcciones o se debe usar la traducción de puertos. Por ejemplo, si un bloque de 253 direcciones se traduce a un grupo de direcciones de 10 direcciones, se puede conectar un máximo de 10 dispositivos simultáneamente a menos que se utilice la traducción de puertos.
Se admiten los siguientes tipos de TDR de origen:
Traducción de la dirección IP de origen original a la dirección IP de la interfaz de salida (también denominada interfaz NAT). Siempre se realiza la traducción de direcciones de puertos.
Traducción de la dirección IP de origen original a una dirección IP desde un grupo de direcciones definido por el usuario sin traducción de direcciones de puerto. La asociación entre la dirección IP de origen original y la dirección IP de origen traducida es dinámica. Sin embargo, una vez que hay una asociación, se utiliza la misma asociación para la misma dirección IP de origen original para el tráfico nuevo que coincida con la misma regla NAT.
Traducción de la dirección IP de origen original a una dirección IP desde un grupo de direcciones definido por el usuario con traducción de direcciones de puerto. La asociación entre la dirección IP de origen original y la dirección IP de origen traducida es dinámica. Incluso si existe una asociación, la misma dirección IP de origen original puede traducirse a una dirección diferente para el tráfico nuevo que coincida con la misma regla NAT.
Traducción de la dirección IP de origen original a una dirección IP desde un grupo de direcciones definido por el usuario mediante el desplazamiento de las direcciones IP. Este tipo de traducción es individual, estática y sin traducción de direcciones de puerto. Si el intervalo de direcciones IP de origen original es mayor que el intervalo de direcciones IP del grupo definido por el usuario, se descartarán los paquetes no traducidos.
Descripción de las mejoras de la arquitectura de Central Point para NAT
La capacidad de sesión del sistema y la velocidad de aumento de sesión están limitadas por la capacidad de memoria de punto central y la capacidad de CPU. A partir de Junos OS versión 15.1X49-D30 y Junos OS versión 17.3R1, la arquitectura de punto central para NAT se ha mejorado para manejar una mayor capacidad de sesión del sistema y una tasa de aumento de sesión para la línea SRX5000. Por lo tanto, la carga de trabajo en el punto central se reduce para aumentar la capacidad de la sesión y para soportar más sesiones para lograr conexiones por segundo (CPS) más altas. A partir de Junos OS versión 17.4R1, los recursos NAT de origen manejados por la arquitectura de punto central se descargaron en las SPU cuando el número SPC es más de cuatro, lo que da como resultado una asignación de recursos más eficaz. En la lista siguiente se describen las mejoras de NAT para mejorar el rendimiento:
La arquitectura de punto central ya no admite sesiones de puntos centrales. Por lo tanto, NAT necesita mantener un rastreador NAT para rastrear la dirección IP o la asignación y el uso del puerto. El rastreador NAT es una matriz global para ID de sesión de SPU a IP NAT o mapeo de puertos que se utiliza para administrar los recursos de NAT.
De forma predeterminada, se envía una alarma de regla NAT y un mensaje de actualización del contador de estadísticas de captura desde la unidad de procesamiento de servicios (SPU) al punto central a intervalos de 1 segundo, en lugar de actualizar las estadísticas en función de cada desencadenador de sesión en el sistema de puntos centrales.
Para admitir una dirección IP NAT específica o un puerto asignado de manera que el hash de 5 tuplas después de NAT sea el mismo que el hash original de 5 tuplas antes de NAT, seleccione un puerto NAT que dé como resultado el mismo hash que el hash original según el cálculo específico. Por lo tanto, la sesión de reenvío se reduce. Cuando se usa NAT, el ala inversa se aplica a una SPU diferente. Se debe instalar una sesión de reenvío para reenviar el tráfico inverso a una SPU de sesión. NAT intenta seleccionar un puerto que pueda ser utilizado por el algoritmo hash para hacer que el ala inversa se hashee a la misma SPU que el ala inicial. Por lo tanto, tanto el rendimiento como el rendimiento de NAT se mejoran con este enfoque.
Para mejorar el rendimiento de NAT, la administración del grupo de desplazamiento de IP (grupo que no es PAT) se mueve del punto central a la SPU para que todos los recursos NAT locales de ese grupo se administren localmente en lugar de enviar la solicitud NAT al punto central. Por lo tanto, se mejoran las conexiones por segundo y el rendimiento del conjunto NAT que cambian la dirección IP.
Modo de ráfaga de desbordamiento de puerto
El modo de ráfaga de desbordamiento de puertos le permite utilizar los puertos más allá de los bloques de puertos asignados. Puede configurar un grupo de ráfagas con un rango de puertos en una dirección IP que se reservará para ráfagas.
Hay tipos de grupo primario y ráfaga, el dispositivo utiliza el grupo de ráfaga una vez que los suscriptores alcanzan el límite configurado en el grupo principal.
El modo Brust es compatible con:
Conjunto NAT de origen NAT determinista con conjunto de ráfagas tipo PBA.
Conjunto de NAT de origen determinista con grupo de ráfagas de traducción dinámica de puertos de direcciones de red (NAPT).
Pool NAT de fuente PBA regular con pool de ráfagas tipo PBA.
Conjunto NAT de origen PBA regular con grupo de ráfagas dinámicas de tipo NAPT.
Tipo de NAT |
Antes de que el límite de bloques de puertos configurados no supere |
Después de que el límite de bloqueo de puertos configurado no supere |
---|---|---|
Conjunto de NAT de origen NAT determinista con conjunto de ráfagas tipo PBA |
Se utilizan bloques de puerto del grupo DetNAT principal. |
Bloque de puerto del grupo de ráfagas configurado en PBA. |
Conjunto de TDR de origen determinista con conjunto de ráfagas de traducción dinámica de puertos de direcciones de red (NAPT) |
Se utilizan bloques de puerto del grupo DetNAT principal. |
Bloque de puerto del grupo de ráfagas configurado en NAPT dinámico. |
Conjunto NAT de origen PBA normal con grupo de ráfagas tipo PBA |
Se utilizan bloques de puerto del grupo PBA principal. |
Bloque de puerto del grupo de ráfagas configurado en PBA. |
Conjunto NAT de origen PBA regular con grupo de ráfagas dinámicas de tipo NAPT |
Se utilizan bloques de puerto del grupo PBA principal. |
Bloque de puerto del grupo de ráfagas configurado en NAPT dinámico. |
Método de tipo de ráfaga PBA: PBA admite el modo de operaciones APP y no APP.
-
Modo APP: los puertos se asignan desde el grupo principal. Cuando el límite de suscriptores supera el grupo principal, si hay puertos disponibles para la misma dirección IP del grupo de ráfagas, se crean nuevas sesiones.
-
Modo que no es APP: los puertos se asignan desde el grupo principal. Cuando el límite de suscriptores supera el grupo principal, se crean nuevas sesiones desde el grupo de ráfagas con cualquier dirección IP y puerto disponibles.
Método de tipo de ráfaga DetNAT: los puertos se asignan desde el grupo principal. Si la misma dirección IP del grupo de ráfagas o todos los puertos disponibles no están disponibles desde la misma dirección IP, se crea una nueva sesión con otra dirección IP. Si el grupo de ráfagas está configurado con una IP diferente de la agrupación principal, utilizará otra IP de la agrupación de ráfagas.
Optimización del rendimiento de NAT de origen
La NAT de origen se puede optimizar en función de las necesidades de funcionalidad y rendimiento.
Modo de aleatorización de puertos (predeterminado)
Para NAT de origen basada en grupos y NAT de interfaz, el modo de aleatorización de puertos está habilitado y se usa de forma predeterminada.
En este modo, el dispositivo selecciona direcciones IP por turnos y la selección de puertos es aleatoria. Es decir, cuando el dispositivo realiza la traducción NAT, primero elige la dirección IP por turnos y luego elige el puerto utilizado para esa dirección IP por aleatorización.
Aunque la asignación aleatoria de número de puerto puede proporcionar protección contra amenazas de seguridad como los ataques de envenenamiento de DNS, también puede afectar al rendimiento y al uso de memoria debido a los cálculos y los recursos de la tabla NAT involucrados.
Modo Round-Robin
Un método de traducción NAT que consume menos recursos implica usar solo el método de asignación por turnos. Mientras que la aleatorización requiere trabajo computacional para cada puerto asignado, el método round robin simplemente selecciona los puertos secuencialmente.
En este modo, el dispositivo selecciona tanto las direcciones IP como los puertos de forma rotativa. Es decir, cuando el dispositivo realiza la traducción NAT, primero elige la dirección IP por round robin y, a continuación, elige el puerto utilizado para esa dirección IP por round robin.
Por ejemplo, si el grupo de origen contiene solo una dirección IP:
Cuando llega el primer paquete de un flujo (creando una sesión), se traduce a IP1, puerto N. Los paquetes subsiguientes en ese flujo se asignan a la misma IP/puerto.
Cuando llega el primer paquete de un nuevo flujo, se traduce a IP1, puerto N+1, etc.
Si el grupo de origen contiene dos direcciones IP:
Cuando llega el primer paquete de un flujo (creando una sesión), se traduce a IP1, puerto X. Los paquetes subsiguientes en ese flujo se asignan a la misma IP o puerto.
Cuando llega el primer paquete de un segundo flujo, se traduce a IP2, puerto X.
Cuando llega el primer paquete de un tercer flujo, se traduce a IP1, puerto X+1.
Con los primeros paquetes de un cuarto flujo llega, se traduce a IP2, puerto X+1, y así sucesivamente.
Configuración
El modo round-robin está habilitado de forma predeterminada, sin embargo, el modo de aleatorización de puertos (también habilitado) tiene mayor prioridad. Para usar el modo round-robin, deshabilite el modo de aleatorización de puertos de mayor prioridad, como se indica a continuación:
user@host# set security nat source port-randomization disable
Para deshabilitar el modo por turnos (y volver a habilitar la aleatorización de puertos), elimine la instrucción de configuración como se indica a continuación:
user@host# delete security nat source port-randomization disable
Modo de afinidad de sesión
A partir de Junos OS versión 15.1X49-D30 y Junos OS versión 17.3R1, puede mejorar aún más el rendimiento y el rendimiento de NAT en dispositivos de línea de SRX5000 mediante el modo de "afinidad de sesión".
Con los modos mencionados anteriormente, una sesión dada es procesada por la SPU entrante en función de un hash de 5 tuplas (IP de origen, IP de dest, puerto de origen, puerto de dest, protocolo). Cuando NAT está involucrado, el hash de 5 tuplas será diferente para la parte saliente de la sesión frente a la parte de retorno de la sesión. Por lo tanto, la información de la sesión NAT saliente puede encontrarse en una SPU, mientras que la información de la sesión NAT de retorno (inversa) puede encontrarse en otra SPU. El objetivo del modo de afinidad de sesión es mantener la información de reenvío de la sesión para el tráfico saliente y devuelto en la misma SPU.
En este modo, el dispositivo utiliza un algoritmo de traducción de "mejora NAT inversa" para la selección de IP y puertos, a fin de mejorar el rendimiento de las sesiones NAT y el rendimiento. El módulo NAT intenta seleccionar una dirección IP y un puerto que se pueden utilizar con el algoritmo hash para garantizar que la SPU seleccionada para los elementos de flujo de salida y retorno pueda ser idéntica.
Configuración
El modo de afinidad de sesión está habilitado de forma predeterminada, sin embargo, tanto la aleatorización de puertos como los modos round-robin (también habilitados) tienen mayor prioridad. Para usar el modo de afinidad de sesión, deshabilite los modos de aleatorización de puertos y round-robin, como se indica a continuación:
user@host# set security nat source port-randomization disable user@host# set security nat source port-round-robin disable
Para deshabilitar el modo de afinidad de sesión y volver a habilitar el modo round-robin o aleatorización de puertos, elimine una o ambas instrucciones de configuración, como se indica a continuación:
user@host# delete security nat source port-round-robin disable user@host# delete security nat source port-randomization disable
Notas de uso
Las notas y directrices para el modo de afinidad de sesión incluyen:
Utilice grandes grupos de puertos NAT siempre que sea posible (consulte Consideraciones de seguridad a continuación)
El algoritmo elige un puerto dentro del intervalo de puertos configurado. Si no hay ningún puerto disponible, el puerto NAT se asignará en función de la selección aleatoria.
La NAT estática y la NAT de destino no pueden usar el modo de afinidad.
Consideraciones de seguridad
Aunque la afinidad de sesión mejora el rendimiento al consolidar las sesiones de reenvío, disminuye la seguridad hasta cierto punto, ya que el algoritmo selecciona la dirección IP y el puerto en función de un algoritmo predefinido con parámetros específicos, en lugar de pura aleatorización. Dicho esto, el hecho de que normalmente hay múltiples puertos elegibles para que el algoritmo elija y, por lo tanto, todavía hay cierto grado de aleatorización.
La mejor manera de mitigar el riesgo de seguridad es asegurarse de que el número de puerto de origen utilizado sea menos predecible. Es decir, cuanto mayor sea el rango de recursos del grupo NAT del que se seleccionan los puertos efímeros, menores serán las posibilidades de que un atacante adivine el número de puerto seleccionado. Dado esto, se recomienda configurar grandes grupos de puertos NAT siempre que sea posible.
Información NAT de origen de supervisión
Propósito
Muestra información configurada sobre las reglas de traducción de direcciones de red (NAT) de origen, los grupos, los NAT persistentes y las direcciones emparejadas.
Acción
Seleccione Monitor>NAT>Source NAT en la interfaz de usuario de J-Web o escriba los siguientes comandos de CLI:
Mostrar resumen de origen NAT de seguridad
Mostrar grupo de origen NAT de seguridad pool-name
mostrar seguridad nat source persistent-nat-table
mostrar dirección emparejada de origen NAT de seguridad
En la Tabla 2 se describen las opciones disponibles para supervisar el NAT de origen.
Campo |
Descripción |
Acción |
---|---|---|
Reglas | ||
Nombre del conjunto de reglas |
Nombre del conjunto de reglas. |
Seleccione todos los conjuntos de reglas o un conjunto de reglas específico para mostrar en la lista. |
Total de reglas |
Número de reglas configuradas. |
– |
IDENTIFICACIÓN |
Número de identificación de la regla. |
– |
Nombre |
Nombre de la regla . |
– |
De |
Nombre de la instancia/zona/interfaz de enrutamiento desde la que fluye el paquete. |
– |
Para |
Nombre de la instancia/zona/interfaz de enrutamiento a la que fluye el paquete. |
– |
Intervalo de direcciones de origen |
Intervalo de direcciones IP de origen en el grupo de origen. |
– |
Intervalo de direcciones de destino |
Intervalo de direcciones IP de destino en el grupo de origen. |
– |
Puertos de origen |
Números de puerto de origen. |
– |
Protocolo IP |
Protocolo IP. |
– |
Acción |
Acción realizada para un paquete que coincide con una regla. |
– |
Tipo de NAT persistente |
Tipo de NAT persistente. |
– |
Tiempo de espera de inactividad |
Intervalo de tiempo de espera de inactividad para el enlace NAT persistente. |
– |
Umbral de alarma |
Umbral de alarma de utilización. |
|
Número máximo de sesión |
El número máximo de sesiones. |
– |
Sesiones (Succ/Fallido/Actual) |
Sesiones correctas, fallidas y actuales.
|
– |
Éxitos de traducción |
Número de veces que se utiliza una traducción de la tabla de traducción para una regla NAT de origen. |
– |
Piscinas | ||
Nombre del grupo |
Los nombres de las piscinas. |
Seleccione todos los grupos o un grupo específico para mostrar en la lista. |
Total de piscinas |
Total de grupos agregados. |
– |
IDENTIFICACIÓN |
ID de la piscina. |
– |
Nombre |
Nombre del grupo de origen. |
– |
Intervalo de direcciones |
Intervalo de direcciones IP en el grupo de origen. |
– |
Puertos simples/gemelos |
Número de puertos individuales y gemelos asignados. |
– |
Puerto |
Número de puerto de origen en el grupo. |
– |
Asignación de direcciones |
Muestra el tipo de asignación de direcciones. |
– |
Umbral de alarma |
Umbral de alarma de utilización. |
– |
Factor de sobrecarga de puertos |
Capacidad de sobrecarga de puertos. |
– |
Instancia de enrutamiento |
Nombre de la instancia de enrutamiento. |
– |
Total de direcciones |
Dirección IP total, conjunto de direcciones IP o entrada en la libreta de direcciones. |
– |
Base de direcciones de host |
Dirección base de host del intervalo de direcciones IP de origen original. |
– |
Aciertos de traducción |
Número de veces que se utiliza una traducción de la tabla de traducción para el NAT de origen. |
– |
Top 10 éxitos de traducción | ||
Gráfico |
Muestra el gráfico de los 10 principales resultados de traducción. |
– |
TDR persistente | ||
Estadísticas de tabla NAT persistentes | ||
total de la consolidación |
Muestra el número total de enlaces NAT persistentes para la FPC. |
– |
Uso vinculante |
Número de enlaces NAT persistentes en uso para la FPC. |
– |
total del enodo |
Número total de nodos NAT persistentes para la FPC. |
– |
Enodo en uso |
Número de nodos NAT persistentes que están en uso para la FPC. |
– |
Tabla NAT persistente | ||
Grupo NAT de origen |
Nombre de la piscina. |
Seleccione todos los grupos o un grupo específico para mostrar en la lista. |
IP interna |
Dirección IP interna. |
Seleccione todas las direcciones IP o una dirección IP específica para mostrar en la lista. |
Puerto interno |
Muestra los puertos internos configurados en el sistema. |
Seleccione el puerto que desea mostrar en la lista. |
Protocolo interno |
Protocolos internos. |
Seleccione todos los protocolos o un protocolo específico para mostrar en la lista. |
IP interna |
Dirección IP de transporte interno de la sesión saliente de interna a externa. |
– |
Puerto interno |
Número de puerto de transporte interno de la sesión saliente de interno a externo. |
– |
Protocolo interno |
Protocolo interno de la sesión saliente de interno a externo. |
– |
IP reflexiva |
Dirección IP traducida de la dirección IP de origen. |
– |
Puerto reflectante |
Muestra el número traducido del puerto. |
– |
Protocolo reflexivo |
Protocolo traducido. |
– |
Grupo NAT de origen |
Nombre del grupo NAT de origen donde se usa NAT persistente. |
– |
Tipo |
Tipo de NAT persistente. |
– |
Tiempo de izquierda/tiempo de conf |
Período de tiempo de espera de inactividad que permanece y el valor de tiempo de espera configurado. |
– |
Número de sesión actual/Número máximo de sesión |
Número de sesiones actuales asociadas con el enlace NAT persistente y número máximo de sesiones. |
– |
Regla NAT de origen |
Nombre de la regla NAT de origen a la que se aplica este enlace NAT persistente. |
– |
Tabla de nodos externos | ||
IP interna |
Dirección IP de transporte interno de la sesión saliente de interna a externa. |
– |
Puerto interno |
Número de puerto interno de la sesión saliente de interno a externo. |
– |
IP externa |
Dirección IP externa de la sesión saliente de interna a externa. |
– |
Puerto externo |
Puerto externo de la sesión saliente de interno a externo. |
– |
Zona |
Zona externa de la sesión saliente de interna a externa. |
– |
Dirección pareada | ||
Nombre del grupo |
Nombre de la piscina. |
Seleccione todos los grupos o un grupo específico para mostrar en la lista. |
Dirección especificada |
Dirección IP. |
Seleccione todas las direcciones o seleccione la dirección IP interna o externa que desea mostrar e introduzca la dirección IP. |
Nombre del grupo |
Muestra el grupo o grupos seleccionados. |
– |
Dirección interna |
Muestra la dirección IP interna. |
– |
Dirección externa |
Muestra la dirección IP externa. |
– |
Uso de recursos | ||
Utilización para todos los grupos de origen | ||
Nombre del grupo |
Nombre de la piscina. |
Para ver información de uso adicional para los grupos de traducción de direcciones de puerto (PAT), seleccione un nombre de grupo. La información se muestra en Detalle de la utilización de puertos para un grupo especificado. |
Tipo de piscina |
Tipo de piscina: PAT o Non-PAT. |
– |
Factor de sobrecarga de puertos |
Capacidad de sobrecarga de puertos para grupos PAT. |
– |
Dirección |
Direcciones en la piscina. |
– |
Usado |
Número de recursos utilizados en el grupo. Para los grupos que no son PAT, se muestra el número de direcciones IP utilizadas. Para los grupos PAT, se muestra el número de puertos utilizados. |
– |
Disponible |
Número de recursos disponibles en el grupo. Para grupos que no son PAT, se muestra el número de direcciones IP disponibles. Para los grupos de PAT, se muestra el número de puertos disponibles. |
– |
Total |
Número de recursos usados y disponibles en el grupo. Para grupos que no son PAT, se muestra el número total de direcciones IP utilizadas y disponibles. Para los grupos de PAT, se muestra el número total de puertos utilizados y disponibles. |
– |
Uso |
Porcentaje de recursos utilizados. Para los grupos que no son PAT, se muestra el porcentaje de direcciones IP utilizadas. Para los grupos de PAT, se muestra el porcentaje de puertos, incluidos los puertos simples y dobles. |
– |
Uso máximo |
Porcentaje de recursos utilizados durante la fecha y hora pico. |
– |
Detalle la utilización de puertos para un grupo especificado | ||
Nombre de la dirección |
Direcciones IP en el grupo de PAT. |
Seleccione la dirección IP para la que desea mostrar información de uso detallada. |
Factor-Índice |
Número de índice. |
– |
Rango de puertos |
Muestra el número de puertos asignados a la vez. |
– |
Usado |
Muestra el número de puertos utilizados. |
– |
Disponible |
Muestra el número de puertos disponibles. |
– |
Total |
Muestra el número de puertos usados y disponibles. |
– |
Uso |
Muestra el porcentaje de puertos utilizados durante la fecha y hora pico. |
– |
Descripción general de la configuración de NAT de origen
Las principales tareas de configuración de la TDR de origen son las siguientes:
Ejemplo: configuración de NAT de origen para la traducción de interfaces de salida
En este ejemplo se describe cómo configurar una asignación NAT de origen de direcciones privadas a la dirección pública de una interfaz de salida.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Visión general
En este ejemplo se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 1, los dispositivos con direcciones privadas en la zona de confianza acceden a una red pública a través de la interfaz de salida ge-0/0/0. Para los paquetes que ingresan al dispositivo de seguridad de Juniper Networks desde la zona de confianza con una dirección de destino en la zona que no es de confianza, la dirección IP de origen se traduce a la dirección IP de la interfaz de salida.
No se requiere ningún grupo de NAT de origen para el NAT de origen mediante una interfaz de salida. No es necesario configurar ARP de proxy para la interfaz de salida.
![Source NAT Egress Interface Translation](/documentation/us/en/software/junos/nat/images/g030668.gif)
En este ejemplo se describen las siguientes configuraciones:
Conjunto de reglas
rs1
NAT de origen con una reglar1
para hacer coincidir cualquier paquete de la zona de confianza con la zona de no confianza. Para paquetes coincidentes, la dirección de origen se traduce a la dirección IP de la interfaz de salida.Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat interface set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar una traducción NAT de origen a una interfaz de salida:
Cree un conjunto de reglas NAT de origen.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de origen a la dirección de la interfaz de salida.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat interface
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona que no es de confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security nat
comandos y show security policies
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address 0.0.0.0/0; destination-address 0.0.0.0/0; } then { source-nat { interface; } } } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Comprobación del uso de reglas NAT de origen
Propósito
Compruebe que hay tráfico que coincide con la regla NAT de origen.
Acción
Desde el modo operativo, ingrese el show security nat source rule all
comando. Vea el campo Aciertos de traducción para comprobar el tráfico que coincide con la regla.
Ejemplo: configuración de TDR de origen para la traducción de direcciones únicas
En este ejemplo se describe cómo configurar una asignación NAT de origen de una sola dirección privada a una dirección pública.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Visión general
En este ejemplo se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 2, un dispositivo con la dirección privada 192.168.1.200 en la zona de confianza accede a una red pública. Para los paquetes enviados por el dispositivo a una dirección de destino en la zona que no es de confianza, el dispositivo de seguridad de Juniper Networks traduce la dirección IP de origen a la dirección IP pública 203.0.113.200/32.
![Source NAT Single Address Translation](/documentation/us/en/software/junos/nat/images/g030669.gif)
En este ejemplo se describen las siguientes configuraciones:
Conjunto
src-nat-pool-1
de NAT de origen que contiene la dirección IP 203.0.113.200/32.Conjunto de reglas
rs1
NAT de origen con una reglar1
para hacer coincidir los paquetes de la zona de confianza a la zona que no es de confianza con la dirección IP de origen 192.168.1.200/32. Para paquetes coincidentes, la dirección de origen se traduce a la dirección IP delsrc-nat-pool-1
grupo.ARP de proxy para la dirección 203.0.113.200 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esa dirección.
Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security nat source pool src-nat-pool-1 address 203.0.113.200/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 192.168.1.200/32 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar una traducción NAT de origen para una sola dirección IP:
Cree un grupo NAT de origen.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.200/32
Cree un conjunto de reglas NAT de origen.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de origen a la dirección del grupo.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.168.1.200/32 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure el ARP del proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona que no es de confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security nat
comandos y show security policies
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.200/32; } } rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address 192.168.1.200/32; } then { source-nat { pool { src-nat-pool-1; } } } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.200/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Comprobación del uso del conjunto NAT de origen
- Comprobación del uso de reglas NAT de origen
- Verificación de la aplicación NAT al tráfico
Comprobación del uso del conjunto NAT de origen
Propósito
Compruebe que hay tráfico mediante direcciones IP del grupo NAT de origen.
Acción
Desde el modo operativo, ingrese el show security nat source pool all
comando. Vea el campo Aciertos de traducción para comprobar el tráfico que utiliza las direcciones IP del grupo.
Comprobación del uso de reglas NAT de origen
Propósito
Compruebe que hay tráfico que coincide con la regla NAT de origen.
Acción
Desde el modo operativo, ingrese el show security nat source rule all
comando. Vea el campo Aciertos de traducción para comprobar el tráfico que coincide con la regla.
Ejemplo: configuración de traducciones NAT de origen y destino
En este ejemplo se describe cómo configurar asignaciones NAT de origen y destino.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Visión general
En este ejemplo se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 3, se realizan las siguientes traducciones en el dispositivo de seguridad de Juniper Networks:
La dirección IP de origen en los paquetes enviados por el dispositivo con la dirección privada 192.168.1.200 en la zona de confianza a cualquier dirección en la zona no confiable se traduce a una dirección pública en el intervalo de 203.0.113.10 a 203.0.113.14.
La dirección IP de destino 203.0.113.100/32 en los paquetes enviados desde la zona de confianza a la zona no confiable se traduce a la dirección 10.1.1.200/32.
![Source and Destination NAT Translations](/documentation/us/en/software/junos/nat/images/g043461.png)
En este ejemplo se describen las siguientes configuraciones:
Conjunto
src-nat-pool-1
de NAT de origen que contiene el intervalo de direcciones IP 203.0.113.10 a 203.0.113.14.Conjunto de reglas
rs1
NAT de origen con una reglar1
que debe hacer coincidir los paquetes de la zona de confianza con la zona que no es de confianza. Para paquetes coincidentes, la dirección de origen se traduce a una dirección IP en elsrc-nat-pool-1
grupo.Conjunto
dst-nat-pool-1
de NAT de destino que contiene la dirección IP 10.1.1.200/32.Conjunto de reglas
rs1
NAT de destino con reglar1
para hacer coincidir los paquetes de la zona de confianza con la dirección IP de destino 203.0.113.100. Para paquetes coincidentes, la dirección de destino se traduce a la dirección IP deldst-nat-pool-1
grupo.ARP de proxy para las direcciones 203.0.113.10 a 203.0.113.14 y 203.0.113.100/32 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esas direcciones.
Política de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.
Política de seguridad para permitir el tráfico desde la zona que no es de confianza a las direcciones IP de destino traducidas en la zona de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security nat source pool src-nat-pool-1 address 203.0.113.10/32 to 203.0.113.14/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat destination pool dst-nat-pool-1 address 10.1.1.200/32 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.100/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.10/32 to 203.0.113.24/32 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.100/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security address-book global address dst-nat-pool-1 10.1.1.200/32 set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match destination-address dst-nat-pool-1 set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar las traducciones NAT de origen y destino:
Cree un grupo NAT de origen.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.10 to 203.0.113.14
Cree un conjunto de reglas NAT de origen.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo NAT de origen.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Cree un grupo NAT de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 10.1.1.200/32
Cree un conjunto de reglas NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.100/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configure el ARP del proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.10 to 203.0.113.14 user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.100
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona que no es de confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Configure una dirección en la libreta de direcciones global.
[edit security address-book global] user@host# set address dst-nat-pool-1 10.1.1.200/32
Configure una política de seguridad que permita el tráfico desde la zona que no es de confianza a la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-1-access match source-address any destination-address dst-nat-pool-1 application any user@host# set policy dst-nat-pool-1-access then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security nat
comandos y show security policies
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.10/32 to 203.0.113.14/32; } } rule-set rs1 { to zone untrust; rule r1 { match { source-address 0.0.0.0/0; destination-address 0.0.0.0/0; } then { source-nat { pool { src-nat-pool-1; } } } } } } destination { pool dst-nat-pool-1 { address 10.1.1.200/32; } rule-set rs1 { from zone untrust; rule r1 { match { destination-address 203.0.113.100/32; } then { destination-nat pool dst-nat-pool-1; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.10/32 to 203.0.113.14/32; 203.0.113.100/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } } policy internet-access { then { permit; } } } from-zone untrust to-zone trust { policy dst-nat-pool-1-access { match { source-address any; destination-address dst-nat-pool-1; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Comprobación del uso del conjunto NAT de origen
- Comprobación del uso de reglas NAT de origen
- Comprobación del uso del grupo NAT de destino
- Comprobación del uso de la regla NAT de destino
- Verificación de la aplicación NAT al tráfico
Comprobación del uso del conjunto NAT de origen
Propósito
Compruebe que hay tráfico mediante direcciones IP del grupo NAT de origen.
Acción
Desde el modo operativo, ingrese el show security nat source pool all
comando. Vea el campo Aciertos de traducción para comprobar el tráfico que utiliza las direcciones IP del grupo.
Comprobación del uso de reglas NAT de origen
Propósito
Compruebe que hay tráfico que coincide con la regla NAT de origen.
Acción
Desde el modo operativo, ingrese el show security nat source rule all
comando. Vea el campo Aciertos de traducción para comprobar el tráfico que coincide con la regla.
Comprobación del uso del grupo NAT de destino
Propósito
Compruebe que hay tráfico utilizando direcciones IP del grupo NAT de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination pool all
comando. Vea el campo Aciertos de traducción para comprobar el tráfico que utiliza las direcciones IP del grupo.
Comprobación del uso de la regla NAT de destino
Propósito
Compruebe que hay tráfico que coincida con la regla NAT de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination rule all
comando. Vea el campo Aciertos de traducción para comprobar el tráfico que coincide con la regla.
Descripción de las reglas NAT de origen
Las reglas NAT de origen especifican dos capas de condiciones de coincidencia:
Dirección del tráfico: permite especificar combinaciones de
from interface
, , ofrom routing-instance
yto interface
, oto routing-instance
.to zone
from zone
No puede configurar los mismosfrom
contextos yto
para conjuntos de reglas diferentes.Información de paquetes: pueden ser direcciones o subredes IP de origen y destino, números o rangos de puertos de origen, números de puertos de destino o rangos de puertos, protocolos o aplicaciones.
Para todo el tráfico ALG, excepto FTP, se recomienda no utilizar la opción de source-port
regla. La creación de la sesión de datos puede fallar si se usa esta opción, ya que es posible que la dirección IP y el valor del puerto de origen, que es un valor aleatorio, no coincidan con la regla.
Además, se recomienda no usar la opción o la application
opción como condiciones coincidentes para el destination-port
tráfico de ALG. Si se utilizan estas opciones, es posible que se produzca un error en la traducción porque es posible que el valor de puerto de la carga de la aplicación no coincida con el valor de puerto de la dirección IP.
Si varias reglas NAT de origen se superponen en las condiciones de coincidencia, se elige la regla más específica. Por ejemplo, si las reglas A y B especifican las mismas direcciones IP de origen y destino, pero la regla A especifica el tráfico de la zona 1 a la zona 2 y la regla B especifica el tráfico de la zona 1 a la interfaz ge-0/0/0, la regla B se utiliza para realizar el NAT de origen. Se considera que una coincidencia de interfaz es más específica que una coincidencia de zona, que es más específica que una coincidencia de instancia de enrutamiento.
Las acciones que puede especificar para una regla NAT de origen son:
desactivado: no realice NAT de origen.
pool: utilice el grupo de direcciones definido por el usuario especificado para realizar el NAT de origen.
interfaz: utilice la dirección IP de la interfaz de salida para realizar el NAT de origen.
Las reglas NAT de origen se aplican al tráfico en el primer paquete que se procesa para el flujo o en la ruta rápida para la ALG. Las reglas NAT de origen se procesan después de reglas NAT estáticas, reglas NAT de destino y asignación inversa de reglas NAT estáticas y después de la búsqueda de políticas de ruta y seguridad.
Cuando las zonas no están configuradas bajo el conjunto de reglas y cuando la NAT de origen activa está configurada con la instrucción obligatoria faltante "from", se muestra el siguiente mensaje al realizar la confirmación "Falta la instrucción obligatoria: error 'from': error de desprotección de configuración" y se produce un error en la desprotección de la configuración.
Ejemplo: configuración de NAT de origen con varias reglas
En este ejemplo se describe cómo configurar asignaciones NAT de origen con varias reglas.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Visión general
En este ejemplo se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 4, se realizan las siguientes traducciones en el dispositivo de seguridad de Juniper Networks para la asignación NAT de origen para el tráfico desde la zona de confianza a las zonas que no son de confianza:
La dirección IP de origen en los paquetes enviados por las subredes 10.1.1.0/24 y 10.1.2.0/24 a cualquier dirección de la zona de no confianza se convierte a una dirección pública en el intervalo de 192.0.2.1 a 192.0.2.24 con traducción de puerto.
La dirección IP de origen en los paquetes enviados por la subred 192.168.1.0/24 a cualquier dirección de la zona de no confianza se traduce a una dirección pública en el intervalo de 192.0.2.100 a 192.0.2.249 sin traducción de puerto.
La dirección IP de origen en los paquetes enviados por el dispositivo host 192.168.1.250/32 no se traduce.
![Source NAT with Multiple Translation Rules](/documentation/us/en/software/junos/nat/images/g030673.gif)
En este ejemplo se describen las siguientes configuraciones:
Grupo de NAT
src-nat-pool-1
de origen que contiene el intervalo de direcciones IP 192.0.2.1 a 192.0.2.24.Grupo de NAT
src-nat-pool-2
de origen que contiene el intervalo de direcciones IP 192.0.2.100 a 192.0.2.249, con la traducción de direcciones de puerto deshabilitada.Nota:Cuando la traducción de direcciones de puerto está deshabilitada, el número de traducciones que el grupo NAT de origen puede admitir simultáneamente se limita al número de direcciones del grupo, a menos que la
address-shared
opción esté habilitada. Los paquetes se descartan si no hay direcciones disponibles en el grupo NAT de origen. Opcionalmente, puede especificar un grupo de desbordamiento desde el que se asignen direcciones IP y números de puerto cuando no haya direcciones disponibles en el grupo NAT de origen original.Regla NAT de origen establecida
rs1
para hacer coincidir los paquetes de la zona de confianza con la zona de no confianza. El conjuntors1
de reglas contiene varias reglas:Regla
r1
para hacer coincidir los paquetes con una dirección IP de origen en las subredes 10.1.1.0/24 o 10.1.2.0/24. Para paquetes coincidentes, la dirección de origen se traduce a una dirección IP en elsrc-nat-pool-1
grupo.Regla
r2
para hacer coincidir los paquetes con una dirección IP de origen de 192.168.1.250/32. Para paquetes coincidentes, no se realiza ninguna traducción NAT.Regla
r3
para hacer coincidir los paquetes con una dirección IP de origen en la subred 192.168.1.0/24. Para paquetes coincidentes, la dirección de origen se traduce a una dirección IP en elsrc-nat-pool-2
grupo.Nota:El orden de las reglas en un conjunto de reglas es importante, ya que se usa la primera regla del conjunto de reglas que coincida con el tráfico. Por lo tanto, la regla
r2
para que coincida con una dirección IP específica debe colocarse antes de la reglar3
que coincida con la subred en la que se encuentra el dispositivo.
ARP de proxy para las direcciones 192.0.2.1 a 192.0.2.24 y 192.0.2.100 a 192.0.2.249 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esas direcciones.
Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.
En dispositivos SRX4600, cuando configure la regla o grupo NAT de origen con el nombre de regla o el nombre del grupo como interfaz o conjunto de servicios, recibirá el siguiente mensaje de error: error de sintaxis, esperando <datos>.
Si hay una regla NAT de origen denominada
interface
, la regla no se puede ver con elshow security nat source rule interface
comando.Si hay una regla NAT de origen denominada
service-set
, la regla no se puede ver con elshow security nat source rule service-set
comando.Si hay un grupo NAT de origen denominado
interface
, el grupo no se puede ver con elshow security nat source pool interface
comando.Si hay un grupo NAT de origen denominado
service-set
, el grupo no se puede ver con elshow security nat source pool service-set
comando.Si hay un grupo NAT de origen denominado
interface
, la dirección emparejada no se puede ver con elshow security nat source paired-address pool-name interface
comando.Si hay un grupo NAT de origen denominado
service-set
, la dirección emparejada no se puede ver con elshow security nat source paired-address pool-name service-set
comando.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security nat source pool src-nat-pool-1 address 192.0.2.1/32 to 192.0.2.24/32 set security nat source pool src-nat-pool-2 address 192.0.2.100/32 to 192.0.2.249/32 set security nat source pool src-nat-pool-2 port no-translation set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 10.1.1.0/24 set security nat source rule-set rs1 rule r1 match source-address 10.1.2.0/24 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat source rule-set rs1 rule r2 match source-address 192.168.1.250/32 set security nat source rule-set rs1 rule r2 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r2 then source-nat off set security nat source rule-set rs1 rule r3 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r3 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r3 then source-nat pool src-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 192.0.2.1/32 to 192.0.2.24/32 set security nat proxy-arp interface ge-0/0/0.0 address 192.0.2.100/32 to 192.0.2.249/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar varias reglas NAT de origen en un conjunto de reglas:
Cree un grupo NAT de origen.
[edit security nat source] user@host# set pool src-nat-pool-1 address 192.0.2.1 to 192.0.2.24
Cree un grupo NAT de origen sin traducción de puertos.
[edit security nat source] user@host# set pool src-nat-pool-2 address 192.0.2.100 to 192.0.2.249 user@host# set pool src-nat-pool-2 port no-translation
Nota:Para configurar un grupo de desbordamiento para
src-nat-pool-2
usar la interfaz de salida:[edit security nat source] user@host# set pool src-nat-pool-2 overflow-pool interface
Cree un conjunto de reglas NAT de origen.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address [10.1.1.0/24 10.1.2.0/24] user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure una regla para que coincida con los paquetes para los que no se ha traducido la dirección de origen.
[edit security nat source] user@host# set rule-set rs1 rule r2 match source-address 192.168.1.250/32 user@host# set rule-set rs1 rule r2 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r2 then source-nat off
Configure una regla para que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo sin traducción de puertos.
[edit security nat source] user@host# set rule-set rs1 rule r3 match source-address 192.168.1.0/24 user@host# set rule-set rs1 rule r3 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r3 then source-nat pool src-nat-pool-2
Configure el ARP del proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 192.0.2.1 to 192.0.2.24 user@host# set proxy-arp interface ge-0/0/0.0 address 192.0.2.100 to 192.0.2.249
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona que no es de confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security nat
comandos y show security policies
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 192.0.2.1/32 to 192.0.2.24/32; } } pool src-nat-pool-2 { address { 192.0.2.100/32 to 192.0.2.249/32; } port no-translation; } rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address [ 10.1.1.0/24 10.1.2.0/24 ]; destination-address 0.0.0.0/0; } then { source-nat { pool { src-nat-pool-1; } } } } rule r2 { match { source-address 192.168.1.250/32; destination-address 0.0.0.0/0; } then { source-nat { off; } } } rule r3 { match { source-address 192.168.1.0/24; destination-address 0.0.0.0/0; } then { source-nat { pool { src-nat-pool-2; } } } } } } proxy-arp { interface ge-0/0/0.0 { address { 192.0.2.1/32 to 192.0.2.24/32; 192.0.2.100/32 to 192.0.2.249/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Comprobación del uso del conjunto NAT de origen
- Comprobación del uso de reglas NAT de origen
- Verificación de la aplicación NAT al tráfico
Comprobación del uso del conjunto NAT de origen
Propósito
Compruebe que hay tráfico mediante direcciones IP del grupo NAT de origen.
Acción
Desde el modo operativo, ingrese el show security nat source pool all
comando. Vea el campo Aciertos de traducción para comprobar el tráfico que utiliza las direcciones IP del grupo.
Comprobación del uso de reglas NAT de origen
Propósito
Compruebe que hay tráfico que coincide con la regla NAT de origen.
Acción
Desde el modo operativo, ingrese el show security nat source rule all
comando. Vea el campo Aciertos de traducción para comprobar el tráfico que coincide con la regla.
Descripción de los grupos NAT de origen
Un grupo NAT es un conjunto definido por el usuario de direcciones IP que se utilizan para la traducción. A diferencia de NAT estática, donde hay una asignación uno a uno que incluye la traducción de la dirección IP de destino en una dirección y la traducción de la dirección IP de origen en la dirección inversa, con NAT de origen, se traduce la dirección IP de origen original a una dirección IP en el grupo de direcciones.
Para los grupos de direcciones de traducción de direcciones de red (NAT) de origen, especifique lo siguiente:
Nombre del grupo de direcciones NAT de origen.
Hasta 64 rangos de direcciones.
Nota:No superponga direcciones NAT para NAT de origen, NAT de destino y NAT estática dentro de una instancia de enrutamiento.
Instancia de enrutamiento: instancia de enrutamiento a la que pertenece el grupo (el valor predeterminado es la instancia de enrutamiento inet.0 principal).
Puerto: la traducción de direcciones de puerto (PAT) para un grupo de origen. De forma predeterminada, PAT se realiza con NAT de origen. Si especifica la opción sin traducción , el número de hosts que puede admitir el grupo NAT de origen se limita al número de direcciones del grupo. Si especifica
block-allocation
, se asigna un bloque de puertos para la traducción, en lugar de asignar puertos individuales. Si especificadeterministic
, una dirección IP entrante (origen) y un puerto siempre se asignan a la dirección de destino específica y al bloque de puertos, según un algoritmo NAT determinista y predefinido. Si especificaport-overloading
, puede configurar la capacidad de sobrecarga de puertos en NAT de origen. Si especificarange
, puede proporcionar el intervalo de números de puerto adjunto a cada dirección del grupo y el intervalo de puertos gemelos para los grupos NAT de origen.Grupo de desbordamiento (opcional): los paquetes se descartan si no hay direcciones disponibles en el grupo NAT de origen designado. Para evitar que esto ocurra cuando se configura la opción de puerto sin traducción , puede especificar un grupo de desbordamiento. Una vez que se agotan las direcciones del grupo NAT de origen original, las direcciones IP y los números de puerto se asignan desde el grupo de desbordamiento. Se puede usar un grupo NAT de origen definido por el usuario o una interfaz de salida como grupo de desbordamiento. (Cuando se usa el grupo de desbordamiento, se devuelve el ID del grupo con la dirección).
Cambio de dirección IP (opcional): un rango de direcciones IP de origen originales se puede asignar a otro rango de direcciones IP, o a una sola dirección IP, cambiando las direcciones IP. Especifique la opción host-address-base con la dirección base del intervalo de direcciones IP de origen original.
Uso compartido de direcciones (opcional): se pueden asignar varias direcciones IP internas a la misma dirección IP externa. Esta opción solo se puede usar cuando el grupo NAT de origen está configurado sin traducción de puertos. Especifique la
address-shared
opción cuando un grupo NAT de origen tenga pocas direcciones IP externas disponibles o solo una dirección IP externa. Con una asignación varios a uno, el uso de esta opción aumenta los recursos NAT y mejora el tráfico.Agrupación de direcciones (opcional): la agrupación de direcciones se puede configurar como emparejada o no emparejada. Especifique
address-pooling paired
para las aplicaciones que requieren que todas las sesiones asociadas con una dirección IP interna se asignen a la misma dirección IP externa durante la duración de una sesión. Esto difiere de lapersistent-address
opción, en la que la misma dirección interna se traduce a la misma dirección externa cada vez. Especifiqueaddress-pooling no-paired
para las aplicaciones que se pueden asignar direcciones IP de forma rotativa. Si estáaddress-pooling paired
address-pooling no-paired
configurado para un grupo NAT de origen con PAT, la opción de dirección persistente está deshabilitada. Siaddress-shared
está configurado en un grupo NAT de origen sin PAT, lapersistent-address
opción está habilitada. Ambosaddress-shared
yaddress-pooling paired
se pueden configurar en el mismo grupo NAT de origen sin PAT.Alarma de utilización de agrupación (opcional): cuando la opción de umbral de elevación está configurada para NAT de origen, se activa una captura SNMP si la utilización de la agrupación NAT de origen supera este umbral. Si se configura la opción opcional de umbral claro , se activa una captura SNMP si la utilización del grupo NAT de origen cae por debajo de este umbral. Si no se configura el umbral claro , se establece de forma predeterminada en el 80 por ciento del valor del umbral de elevación .
Puede usar el comando show security nat resource usage source pool para ver el uso de direcciones en un grupo NAT de origen sin PAT y para ver el uso de puertos en un pool NAT de origen con PAT.
Descripción de las capacidades del conjunto NAT de origen
Las capacidades máximas para grupos de origen y direcciones IP en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX650 son las siguientes:
Capacidad máxima de direcciones de grupo/PAT |
SRX300SRX320 |
SRX340SRX345 |
SRX650 |
---|---|---|---|
Grupos NAT de origen |
1024 |
2048 |
1024 |
Direcciones IP compatibles con la traducción de puertos |
1024 |
2048 |
1024 |
Número de puerto PAT |
64 millones |
64 millones |
64 millones |
Las capacidades máximas de los grupos de origen y las direcciones IP en dispositivos SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX5400, SRX5600 y SRX5800 son las siguientes:
Capacidad máxima de direcciones de grupo/PAT |
SRX1400 SRX1500 |
SRX3400 SRX3600 |
SRX4100 SRX4200 |
SRX5400 SRX5600SRX5800 |
---|---|---|---|---|
Grupos NAT de origen |
8192 |
10,240 |
10,240 |
12,288 |
Direcciones IP compatibles con la traducción de puertos |
8192 |
12,288 |
12,288 |
1 M |
Número de puerto PAT |
256 millones |
384 millones |
384 millones |
384 millones |
En la versión 12.3X48-D40 y en la versión 15.1X49-D60 y versiones posteriores, puede aumentar la capacidad del puerto NAT de origen a 2,4G en dispositivos SRX5400, SRX5600 y SRX5800 con tarjetas de procesamiento de servicios (SPC) de próxima generación mediante la port-scaling-enlargement
instrucción en el nivel de jerarquía [edit security nat source
] admitido.
La compatibilidad de plataforma depende de la versión de Junos OS en su instalación.
Aumentar el número total de direcciones IP utilizadas para el NAT de origen, ya sea aumentando el número de agrupaciones en la configuración o aumentando la capacidad o las direcciones IP por agrupación, consume la memoria necesaria para la asignación de puertos. Cuando se alcanzan los límites del grupo NAT de origen y de direcciones IP, se deben reasignar los intervalos de puertos. Es decir, el número de puertos para cada dirección IP debe reducirse cuando aumenta el número de direcciones IP y grupos NAT de origen. Esto garantiza que NAT no consuma demasiada memoria.
Por ejemplo, en un grupo NAT de origen para dispositivos SRX5000, cuando el número de direcciones IP que admiten la traducción de puertos alcanza el límite de 1 M, el número total de puertos PAT es de 64 G, lo que supera la limitación de 384 M. Esto se debe a que, de forma predeterminada, cada dirección IP admite 64.512 puertos. Para garantizar que los números de puerto PAT estén dentro de su capacidad, es necesario configurar el intervalo de puertos para cada IP a fin de reducir el número total de puertos PAT.
Use las range
opciones y range twin-port
en el nivel de [edit security nat source pool port]
jerarquía para asignar un nuevo rango de puertos o un intervalo de puertos dobles para un grupo específico. Use las pool-default-port-range
opciones y en pool-default-twin-port-range
el nivel de [edit security nat source]
jerarquía para especificar el rango de puertos predeterminados global o el rango de puertos gemelos para todos los grupos NAT de origen.
La configuración de la sobrecarga de puertos también debe hacerse con cuidado cuando se aumentan los grupos NAT de origen.
Para un grupo de fuentes con PAT dentro del rango (de 63.488 a 65.535), se asignan dos puertos a la vez para aplicaciones RTP/RTCP, como SIP, H.323 y RTSP. En estos escenarios, cada dirección IP admite PAT, ocupando 2048 puertos (63.488 a 65.535) para el uso del módulo ALG.
Descripción de las direcciones persistentes para grupos NAT de origen
De forma predeterminada, la traducción de direcciones de puerto se realiza con NAT de origen. Sin embargo, es posible que una dirección de origen original no se traduzca a la misma dirección IP para un tráfico diferente que se origine en el mismo host. La opción NAT address-persistent
de origen garantiza que se asigne la misma dirección IP desde el grupo NAT de origen a un host específico para varias sesiones simultáneas.
Esta opción difiere de la opción emparejada de agrupación de direcciones, en la que la dirección interna se asigna a una dirección externa dentro del grupo por orden de llegada, y puede asignarse a una dirección externa diferente para cada sesión.
Ejemplo: configuración de la capacidad para grupos NAT de origen con PAT
En este ejemplo se describe cómo configurar la capacidad de los grupos NAT de origen con la traducción de direcciones de puerto (PAT) si no se establece un intervalo de puertos predeterminado o se desea invalidarlo. Las traducciones se establecen para cada dirección IP. Cuando se aumenta el grupo de origen, los puertos deben reasignarse si el número de puerto actual supera las limitaciones.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Visión general
En este ejemplo se muestra cómo configurar un grupo PAT de 2048 direcciones IP con 32.000 puertos para cada dirección IP.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
[edit security nat source] set pool src-nat-pat-addr address 192.168.0.0/32 to 192.168.3.255/32 set pool src-nat-pat-addr address 192.168.4.0/32 to 192.168.7.255/32 set pool-default-port-range 2001 set pool-default-port-range to 32720
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar la capacidad de un grupo NAT de origen con PAT:
Especifique un grupo NAT de origen con PAT y un intervalo de direcciones IP.
[edit security nat source] user@host# set pool src-nat-pat-addr address 192.168.0.0/32 to 192.168.3.255/32 user@host#set pool src-nat-pat-addr address 192.168.4.0/32 to 192.168.7.255/32
Especifique un intervalo de puertos predeterminado para el grupo de origen.
[edit security nat source] user@host# set pool-default-port-range 2001 user@host# set pool-default-port-range to 32720
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security nat-source-summary
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host> run show security nat source summary Total port number usage for port translation pool: 16515072 Maximum port number for port translation pool: 134217728 Total pools: 1 Pool Address Routing PAT Total Name Range Instance Address pool2 203.0.113.1 - 203.0.113.3 default yes 2048 Name Range Instance Address pool1 198.51.100.0 - 198.51.100.255 default yes 256 Total rules: 1 Rule name Rule set From To Action rule 1 ruleset1 ge-2/2/2.0 ge-2/2/3.0 pool1 rule 1 ge-2/2/4.0 ge-2/2/5.0
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Comprobación de la capacidad de los grupos NAT de origen
Propósito
Ver información de puertos y piscinas. Las limitaciones de puerto se comprueban automáticamente, por lo que la configuración no se confirmará si se superan las limitaciones de puerto.
Acción
Desde el modo operativo, escriba el comando para ver los detalles del puerto y del show security nat source summary
grupo.
Descripción de los grupos NAT de origen con la agrupación de direcciones
Cuando un host inicia varias sesiones que coinciden con una directiva que requiere NAT y se le asigna una dirección IP de un grupo de origen que tiene habilitada la traducción de direcciones de puerto, se utiliza una dirección IP de origen diferente para cada sesión.
Dado que algunas aplicaciones requieren la misma dirección IP de origen para cada sesión, puede utilizar la address-pooling paired
función para permitir que todas las sesiones asociadas con una dirección IP interna se asignen a la misma dirección IP externa durante la duración de las sesiones. Cuando finalizan las sesiones, cesa la asignación entre la dirección IP interna y la dirección IP externa. La próxima vez que el host inicie una sesión, es posible que se le asigne una dirección IP diferente del grupo.
Esto difiere de la función NAT address-persistent
de origen, que mantiene la asignación estática; la misma dirección IP interna se asigna a la misma dirección IP externa cada vez. También difiere de la address-persistent
característica en que address-pooling paired
está configurada para un grupo específico. La address-persistent
característica es una configuración global que se aplica a todos los grupos de origen.
Descripción de los grupos NAT de origen con el cambio de dirección
Las condiciones de coincidencia para un conjunto de reglas NAT de origen no permiten especificar un intervalo de direcciones; Sólo se pueden especificar prefijos de dirección en una regla. Al configurar un grupo NAT de origen, puede especificar la host-base-address
opción; esta opción especifica la dirección IP donde comienza el intervalo de direcciones IP de origen original.
El intervalo de direcciones IP de origen originales que se traducen viene determinado por el número de direcciones del grupo NAT de origen. Por ejemplo, si el grupo NAT de origen contiene un intervalo de diez direcciones IP, se pueden traducir hasta diez direcciones IP de origen originales, empezando por una dirección base especificada. Este tipo de traducción es individual, estática y sin traducción de direcciones de puerto.
La condición de coincidencia en una regla NAT de origen puede definir un intervalo de direcciones mayor que el especificado en el grupo NAT de origen. Por ejemplo, una condición de coincidencia puede especificar un prefijo de dirección que contenga 256 direcciones, pero el grupo NAT de origen puede contener un intervalo de solo unas pocas direcciones IP o solo una dirección IP. La dirección IP de origen de un paquete puede coincidir con una regla NAT de origen, pero si la dirección IP de origen no está dentro del intervalo de direcciones especificado en el grupo NAT de origen, la dirección IP de origen no se traduce.
Ejemplo: configuración de grupos NAT de origen con desplazamiento de direcciones
En este ejemplo se describe cómo configurar una asignación NAT de origen de un intervalo de direcciones privadas a direcciones públicas, con desplazamiento de dirección opcional. Esta asignación es uno a uno entre las direcciones IP de origen originales y las direcciones IP traducidas.
Las condiciones de coincidencia para un conjunto de reglas NAT de origen no permiten especificar un intervalo de direcciones; Sólo se pueden especificar prefijos de dirección en una regla. Al configurar un grupo NAT de origen, puede especificar la opción; esta opción especifica la dirección IP donde comienza el intervalo de direcciones IP de origen original y deshabilita la host-base-address
traducción de puertos.
El intervalo de direcciones IP de origen originales que se traducen viene determinado por el número de direcciones del grupo NAT de origen. Por ejemplo, si el grupo NAT de origen contiene un intervalo de diez direcciones IP, se pueden traducir hasta diez direcciones IP de origen originales, empezando por una dirección base especificada.
La condición de coincidencia en una regla NAT de origen puede definir un intervalo de direcciones mayor que el especificado en el grupo NAT de origen. Por ejemplo, una condición de coincidencia puede especificar un prefijo de dirección que contenga 256 direcciones, pero el grupo NAT de origen contiene un intervalo de solo diez direcciones IP. La dirección IP de origen de un paquete puede coincidir con una regla NAT de origen, pero si la dirección IP de origen no está dentro del intervalo de direcciones especificado en el grupo NAT de origen, la dirección IP de origen no se traduce.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Visión general
En este ejemplo se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 5, un rango de direcciones privadas en la zona de confianza se asigna a un rango de direcciones públicas en la zona de no confianza. Para los paquetes enviados desde la zona de confianza a la zona de no confianza, una dirección IP de origen en el intervalo de 192.168.1.10/32 a 192.168.1.20/32 se traduce a una dirección pública en el intervalo de 203.0.113.30/32 a 203.0.113.40/32.
![Source NAT with Address Shifting](/documentation/us/en/software/junos/nat/images/g030672.gif)
En este ejemplo se describen las siguientes configuraciones:
Conjunto
src-nat-pool-1
de NAT de origen que contiene el intervalo de direcciones IP 203.0.113.30/32 a 203.0.113.40/32. Para este grupo, el comienzo del intervalo de direcciones IP de origen original es 192.168.1.10/32 y se especifica con lahost-address-base
opción.Conjunto de reglas
rs1
NAT de origen con una reglar1
para hacer coincidir los paquetes de la zona de confianza a la zona que no es de confianza con una dirección IP de origen en la subred 192.168.1.0/24. Para los paquetes coincidentes que se encuentran dentro del intervalo de direcciones IP de origen especificado por lasrc-nat-pool-1
configuración, la dirección de origen se traduce a la dirección IP delsrc-nat-pool-1
grupo.ARP de proxy para las direcciones 203.0.113.30/32 a 203.0.113.40/32 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esa dirección.
Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security nat source pool src-nat-pool-1 address 203.0.113.30/32 to 203.0.113.40/32 set security nat source pool src-nat-pool-1 host-address-base 192.168.1.10/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.30/32 to 203.0.113.40/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar una asignación NAT de origen con desplazamiento de direcciones:
Cree un grupo NAT de origen.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.30/32 to 203.0.113.40/32
Especifique el principio del intervalo de direcciones IP de origen original.
[edit security nat source] user@host# set pool src-nat-pool-1 host-address-base 192.168.1.10/32
Cree un conjunto de reglas NAT de origen.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.168.1.0/24 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure el ARP del proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.30/32 to 203.0.113.40/32
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona que no es de confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security nat
comandos y show security policies
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.30/32 to 203.0.113.40/32; } host-address-base 192.168.1.10/32; } rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address 192.168.1.0/24; } then { source-nat { pool { src-nat-pool-1; } } } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.30/32 to 203.0.113.40/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Comprobación del uso del conjunto NAT de origen
- Comprobación del uso de reglas NAT de origen
- Verificación de la aplicación NAT al tráfico
Comprobación del uso del conjunto NAT de origen
Propósito
Compruebe que hay tráfico mediante direcciones IP del grupo NAT de origen.
Acción
Desde el modo operativo, ingrese el show security nat source pool all
comando. Vea el campo Aciertos de traducción para comprobar el tráfico que utiliza las direcciones IP del grupo.
Comprobación del uso de reglas NAT de origen
Propósito
Compruebe que hay tráfico que coincide con la regla NAT de origen.
Acción
Desde el modo operativo, ingrese el show security nat source rule all
comando. Vea el campo Aciertos de traducción para comprobar el tráfico que coincide con la regla.
Descripción de los grupos NAT de origen con PAT
Mediante el uso del grupo de origen con traducción de direcciones de puerto (PAT), Junos OS traduce tanto la dirección IP de origen como el número de puerto de los paquetes. Cuando se utiliza PAT, varios hosts pueden compartir la misma dirección IP.
Junos OS mantiene una lista de números de puerto asignados para distinguir qué sesión pertenece a cada host. Cuando PAT está habilitado, hasta 63.488 hosts pueden compartir una sola dirección IP. Cada grupo de origen puede contener varias direcciones IP, varios intervalos de direcciones IP o ambos. Para un grupo de orígenes con PAT, Junos OS puede asignar diferentes direcciones a un único host para diferentes sesiones simultáneas, a menos que el grupo de origen o Junos OS tengan habilitada la función de dirección persistente o la función de agrupación de direcciones emparejadas.
Para el grupo de orígenes de interfaz y el grupo de orígenes con PAT, el rango (1024, 65535) está disponible para la asignación de número de puerto por dirección IP. Dentro del rango (1024, 63487) se asigna un puerto a la vez, para un total de 62.464 puertos. Dentro del rango (63488, 65535), se asignan dos puertos a la vez para aplicaciones RTP/RTCP como SIP, H.323 y RTSP, para un total de 2.048 puertos.
Cuando un host inicia varias sesiones que coinciden con una política que requiere traducción de direcciones de red y se le asigna una dirección de un grupo de origen que tiene PAT habilitado, el dispositivo asigna una dirección IP de origen diferente para cada sesión. Dicha asignación aleatoria de direcciones puede ser problemática para los servicios que crean varias sesiones que requieren la misma dirección IP de origen para cada sesión. Por ejemplo, es importante tener la misma dirección IP para varias sesiones cuando se utiliza el cliente de mensajería instantánea de AOL (AIM).
Para asegurarse de que el enrutador asigna la misma dirección IP de un grupo de origen a un host para varias sesiones simultáneas, puede habilitar una dirección IP persistente por enrutador. Para asegurarse de que el dispositivo asigna la misma dirección IP de un grupo de origen a un host durante una sola sesión, puede habilitar la agrupación de direcciones emparejadas.
Ejemplo: configuración de NAT de origen para varias direcciones con PAT
En este ejemplo se describe cómo configurar una asignación NAT de origen de un bloque de direcciones privadas a un bloque de direcciones públicas más pequeño mediante la traducción de direcciones de puerto.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Visión general
En este ejemplo se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 6, la dirección IP de origen en los paquetes enviados desde la zona de confianza a la zona de no confianza se asigna a un bloque más pequeño de direcciones públicas en el intervalo de 203.0.113.1/32 a 203.0.113.24/32. Dado que el tamaño del grupo de direcciones NAT de origen es menor que el número de direcciones potenciales que podrían necesitar ser traducidas, se utiliza la traducción de direcciones de puerto.
La traducción de direcciones de puerto incluye un número de puerto de origen con la asignación de dirección IP de origen. Esto permite que varias direcciones en una red privada se asignen a un número menor de direcciones IP públicas. La traducción de direcciones de puerto está habilitada de forma predeterminada para los grupos NAT de origen.
![Source NAT Multiple Addresses with PAT](/documentation/us/en/software/junos/nat/images/g030670.gif)
En este ejemplo se describen las siguientes configuraciones:
Conjunto
src-nat-pool-1
de NAT de origen que contiene el intervalo de direcciones IP 203.0.113.1/32 a 203.0.113.24/32.Regla NAT de origen establecida
rs1
para hacer coincidir todos los paquetes de la zona de confianza a la zona de no confianza. Para paquetes coincidentes, la dirección IP de origen se traduce a una dirección IP en elsrc-nat-pool-1
grupo.ARP de proxy para las direcciones 203.0.113.1/32 a 203.0.113.24/32 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esas direcciones.
Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security nat source pool src-nat-pool-1 address 203.0.113.1/32 to 203.0.113.24/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 10.1.1.0/24 set security nat source rule-set rs1 rule r1 match source-address 10.1.2.0/24 set security nat source rule-set rs1 rule r1 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.24/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar una asignación NAT de origen desde un bloque de direcciones privadas a un bloque de direcciones públicas más pequeño mediante PAT:
Cree un grupo NAT de origen.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1 to 203.0.113.24
Cree un conjunto de reglas NAT de origen.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address [10.1.1.0/24 10.1.2.0/24 192.168.1.0/24] user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure el ARP del proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1 to 203.0.113.24
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona que no es de confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security nat
comandos y show security policies
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.1/32 to 203.0.113.24/32; } } rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address [10.1.1.0/24 10.1.2.0/24 192.168.1.0/24]; destination-address 0.0.0.0/0; } then { source-nat { pool { src-nat-pool-1; } } } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.1/32 to 203.0.113.24/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Comprobación del uso del conjunto NAT de origen
- Comprobación del uso de reglas NAT de origen
- Verificación de la aplicación NAT al tráfico
Comprobación del uso del conjunto NAT de origen
Propósito
Compruebe que hay tráfico mediante direcciones IP del grupo NAT de origen.
Acción
Desde el modo operativo, ingrese el show security nat source pool all
comando. Vea el campo Aciertos de traducción para comprobar el tráfico que utiliza las direcciones IP del grupo.
Comprobación del uso de reglas NAT de origen
Propósito
Compruebe que hay tráfico que coincide con la regla NAT de origen.
Acción
Desde el modo operativo, ingrese el show security nat source rule all
comando. Vea el campo Aciertos de traducción para comprobar el tráfico que coincide con la regla.
Descripción de los grupos NAT de origen sin PAT
Cuando se define un grupo de origen, Junos OS habilita PAT de forma predeterminada. Para deshabilitar PAT, no debe especificar ninguna traducción de puertos al definir un grupo de origen.
Cuando se utiliza un grupo de origen sin PAT, Junos OS realiza la traducción de direcciones de red de origen para la dirección IP sin realizar PAT para el número de puerto de origen. Para las aplicaciones que requieren que un número de puerto de origen determinado permanezca fijo, debe usar el grupo de orígenes sin PAT.
El grupo de origen puede contener varias direcciones IP, varios intervalos de direcciones IP o ambos. Para el grupo de orígenes sin PAT, Junos OS asigna una dirección de origen traducida al mismo host para todas sus sesiones simultáneas, a menos que la opción de agrupación de direcciones sin pares esté habilitada.
El número de hosts que puede admitir un grupo NAT de origen sin PAT está limitado al número de direcciones del grupo. Cuando tiene un grupo con una sola dirección IP, solo se puede admitir un host y el tráfico de otros hosts se bloquea porque no hay recursos disponibles. Si se configura una sola dirección IP para un grupo NAT de origen sin PAT cuando la asignación de recursos NAT no está en modo de copia de seguridad activa en un clúster de chasis, se bloqueará el tráfico que pase por el nodo 1.
Se calcula la utilización del grupo para cada grupo de origen sin PAT. Puede activar la alarma de utilización del grupo configurando umbrales de alarma. Se activa una captura SNMP cada vez que la utilización del grupo supera un umbral y pasa por debajo de un umbral.
Si una regla NAT estática es para la traducción IP uno a uno, evite dividir la regla en una regla de destino y una regla de origen cuando se use un grupo de no pat de origen sin compartir direcciones. Si elige dividir la regla, tendrá que usar un conjunto de pat-pool de origen con IP única o un grupo sin pat de origen con múltiples IP.
Ejemplo: configuración de una única dirección IP en un grupo NAT de origen sin PAT
En este ejemplo se describe cómo configurar un bloque de direcciones privadas para una única dirección pública en un grupo NAT de origen sin traducción de direcciones de puerto.
PAT está habilitado de forma predeterminada para los grupos NAT de origen. Cuando PAT está deshabilitado, el número de traducciones que el grupo NAT de origen puede admitir simultáneamente se limita al número de direcciones del grupo. Los paquetes se descartan si no hay direcciones disponibles en el grupo NAT de origen. Sin embargo, al usar la address-shared
opción, puede asignar más de una dirección IP privada a una sola dirección IP pública siempre que el tráfico provenga de diferentes puertos de origen.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Visión general
En este ejemplo se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. La dirección IP de origen de los paquetes enviados desde la zona de confianza a la zona de no confianza se asigna a una única dirección pública.
En este ejemplo se describen las siguientes configuraciones:
Grupo NAT
src-nat-pool-1
de origen que contiene la dirección IP 203.0.113.1/30. Laport no-translation
opción y laaddress shared
opción se especifican para el grupo.Regla NAT de origen establecida
rs1
para hacer coincidir todos los paquetes de la zona de confianza a la zona de no confianza. Para paquetes coincidentes, la dirección IP de origen se traduce a una dirección IP en elsrc-nat-pool-1
grupo.Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security nat source pool src-nat-pool-1 address 203.0.113.1/30 set security nat source pool src-nat-pool-1 port no-translation set security nat source pool-src-nat-pool-1 address-shared set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule1 match source address 192.0.2.0/24 set security nat source rule-set rs1 rule r1 then source src-nat-pool-1
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar una asignación NAT de origen desde un bloque de direcciones privadas a una única dirección pública sin PAT:
Cree un grupo NAT de origen con una sola dirección IP para la dirección compartida.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1/30
Especifique la
port no-translation
opción.[edit security nat source] user@host# set pool src-nat-pool-1 port no-translation
Especifique la
address-shared
opción.[edit security nat source] user@host# set pool pool-src-nat-pool-1 address-shared
Cree un conjunto de reglas NAT de origen.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.0.2.0/24 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona que no es de confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security nat source pool
comandos y show security policies
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.1/30 } port no-translation; } address-shared; rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address [192.0.2.0/24] } then { source-nat { pool { src-nat-pool-1; } } } } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificación de la dirección compartida
- Comprobación de la aplicación de dirección compartida para el tráfico
Verificación de la dirección compartida
Propósito
Compruebe que dos direcciones IP internas, con puertos de origen diferentes, comparten una dirección IP externa.
Acción
Desde el modo operativo, ingrese el show security nat source pool
comando. Vea el campo Asignación de dirección para comprobar que está compartido.
Ejemplo: configuración de varias direcciones en un grupo NAT de origen sin PAT
En este ejemplo se describe cómo configurar una asignación NAT de origen de un bloque de direcciones privadas a un bloque de direcciones públicas más pequeño sin traducción de direcciones de puerto.
La traducción de direcciones de puerto está habilitada de forma predeterminada para los grupos NAT de origen. Cuando la traducción de direcciones de puerto está deshabilitada, el número de traducciones que el grupo NAT de origen puede admitir simultáneamente está limitado al número de direcciones del grupo. Los paquetes se descartan si no hay direcciones disponibles en el grupo NAT de origen. Opcionalmente, puede especificar un grupo de desbordamiento desde el que se asignen direcciones IP y números de puerto cuando no haya direcciones disponibles en el grupo NAT de origen original.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Visión general
En este ejemplo se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 7, la dirección IP de origen en los paquetes enviados desde la zona de confianza a la zona de no confianza se asigna a un bloque más pequeño de direcciones públicas en el intervalo de 203.0.113.1/32 a 203.0.113.24/32.
![Source NAT Multiple Addresses Without PAT](/documentation/us/en/software/junos/nat/images/g030671.gif)
En este ejemplo se describen las siguientes configuraciones:
Conjunto
src-nat-pool-1
de NAT de origen que contiene el intervalo de direcciones IP 203.0.113.1/32 a 203.0.113.24/32. Laport no-translation
opción se especifica para el grupo.Regla NAT de origen establecida
rs1
para hacer coincidir todos los paquetes de la zona de confianza a la zona de no confianza. Para paquetes coincidentes, la dirección IP de origen se traduce a una dirección IP en elsrc-nat-pool-1
grupo.ARP de proxy para las direcciones 203.0.113.1/32 a 203.0.113.24/32 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esas direcciones.
Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security nat source pool src-nat-pool-1 address 203.0.113.1/32 to 203.0.113.24/32 set security nat source pool src-nat-pool-1 port no-translation set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.24/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar una asignación NAT de origen desde un bloque de direcciones privadas a un bloque de direcciones públicas más pequeño sin PAT:
Cree un grupo NAT de origen.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1 to 203.0.113.24
Especifique la
port no-translation
opción.[edit security nat source] user@host# set pool src-nat-pool-1 port no-translation
Cree un conjunto de reglas NAT de origen.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure el ARP del proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1 to 203.0.113.24
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona que no es de confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security nat
comandos y show security policies
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.1/32 to 203.0.113.24/32; } port no-translation; } rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address 0.0.0.0/0; destination-address 0.0.0.0/0; } then { source-nat { pool { src-nat-pool-1; } } } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.1/32 to 203.0.113.24/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Comprobación del uso del conjunto NAT de origen
- Comprobación del uso de reglas NAT de origen
- Verificación de la aplicación NAT al tráfico
Comprobación del uso del conjunto NAT de origen
Propósito
Compruebe que hay tráfico mediante direcciones IP del grupo NAT de origen.
Acción
Desde el modo operativo, ingrese el show security nat source pool all
comando. Vea el campo Aciertos de traducción para comprobar el tráfico que utiliza las direcciones IP del grupo.
Comprobación del uso de reglas NAT de origen
Propósito
Compruebe que hay tráfico que coincide con la regla NAT de origen.
Acción
Desde el modo operativo, ingrese el show security nat source rule all
comando. Vea el campo Aciertos de traducción para comprobar el tráfico que coincide con la regla.
Descripción de la persistencia de la sesión NAT
La persistencia de la sesión de traducción de direcciones de red (NAT) proporciona un medio para conservar las sesiones existentes, en lugar de borrarlas, cuando hay cambios en la configuración de NAT. Si la persistencia de la sesión está habilitada, las sesiones retenidas continúan procesando y reenviando paquetes a medida que el tiempo y los recursos se utilizan de manera óptima para reconstruir las sesiones afectadas. Por lo tanto, el reenvío de paquetes no se detiene incluso si se cambia la configuración NAT para algunas o todas las sesiones.
A partir de la versión 18.3R1 de Junos OS, con la compatibilidad con la persistencia de sesiones NAT, el motor de reenvío de paquetes analiza las sesiones y decide si desea mantener las sesiones o borrarlas. En versiones anteriores a Junos OS versión 18.3R1, las sesiones NAT se borran si hay un cambio en la configuración de NAT.
El motor de reenvío de paquetes realiza los dos tipos de exámenes siguientes para decidir si se deben conservar o descartar sesiones:
Source NAT pool session persistence scan: el motor de reenvío de paquetes compara la dirección IP de la sesión existente con el intervalo de direcciones del grupo de origen. Si la dirección IP de la sesión existente se encuentra en el intervalo de direcciones del grupo de origen especificado, la sesión se mantiene activa y, de lo contrario, la sesión se borra.
Source NAT rule session persistence scan: el motor de reenvío de paquetes utiliza el ID de regla para comparar la dirección IP de origen, el puerto de origen, la dirección IP de destino y el puerto de destino entre las configuraciones antigua y nueva. Si las configuraciones nuevas y antiguas son las mismas, la sesión se mantiene viva; de lo contrario, la sesión se borra.
La persistencia de sesión NAT no es compatible con NAT estática ni NAT de destino.
La persistencia de sesión NAT no se admite si el grupo de PAT está configurado con los campos dirección persistente, agrupación de direcciones emparejada, dirección de origen persistente, asignación de bloques de puertos, determinista de puerto, NAT persistente y factor de sobrecarga de puertos.
La persistencia de sesión NAT solo se admite para NAT de origen en los siguientes escenarios:
Grupo de origen: cambio en un intervalo de direcciones en un grupo de traducción de direcciones de puerto (PAT).
Regla de origen: cambio en las condiciones de coincidencia para la libreta de direcciones, la aplicación, la dirección IP de destino, el puerto de destino, la dirección IP de origen y la información del puerto de destino.
Para habilitar el análisis de persistencia de la sesión NAT, incluya la session-persistence-scan
instrucción en el nivel jerárquico [edit security nat source]
.
También puede configurar un valor de tiempo de espera para conservar las sesiones durante el período de tiempo especificado mediante el comando de la set security nat source session-drop-hold-down
CLI. El valor de la session-drop-hold-down
opción oscila entre 30 y 28.800 segundos (ocho horas). La sesión expira después del período de tiempo de espera configurado.
Limitaciones de la persistencia de la sesión NAT
Cuando se produce un cambio en las direcciones IP en el grupo de origen NAT, las direcciones IP recién configuradas se anexan al grupo de origen NAT. Después de reconstruir el grupo de origen NAT, las nuevas direcciones IP no son las mismas que las direcciones IP existentes. Las diferencias en las direcciones IP en el grupo de origen NAT afectan el modo round-robin de seleccionar direcciones IP del grupo de origen NAT.
Si los tipos de análisis identifican sesiones que nunca se agotarán (es decir, las sesiones para las que el
session-drop-hold-down
valor no está configurado o está configurado como 8 horas), el motor de reenvío de paquetes omite esas sesiones y las sesiones se conservan.
Configurar el tamaño de asignación de bloques de puertos
Antes de empezar:
Comprender las directrices para configurar la asignación de bloques de puertos. Lea las Directrices para configurar la asignación de bloques de puertos protegidos.
Puede configurar la asignación segura de bloques de puertos, que asigna bloques de puertos a un suscriptor de NAT. Con la asignación de bloques de puertos, generamos un registro syslog por conjunto de puertos asignados para un suscriptor. Utilice este procedimiento para configurar el tamaño de asignación de bloques de puertos.
Configuración del tiempo de espera de la sesión NAT y del análisis de persistencia de la sesión NAT
Esta configuración muestra cómo configurar el tiempo de espera de la sesión NAT y la persistencia de la sesión NAT.
Configuring NAT Session Hold Timeout
La siguiente configuración muestra cómo configurar el tiempo de espera de la sesión NAT.
Para establecer el período de tiempo de espera de la sesión NAT:
[edit security nat source] user@host#
set session-drop-hold-down time;
El valor de la variable de tiempo oscila entre 30 y 28.800 segundos (ocho horas). La sesión expira después del período de tiempo de espera configurado.
Results
Desde el modo de configuración, confirme la configuración introduciendo el show security
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat { source { session-drop-hold-down 28800; } }
Configuring NAT Session Persistence Scan
La siguiente configuración muestra cómo configurar el análisis de persistencia de sesión NAT.
Para habilitar el análisis de persistencia de sesión NAT:
[edit security nat source] user@host#
set session-persistence-scan
Results
Desde el modo de configuración, confirme la configuración introduciendo el show security
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat { source { session-persistence-scan; } }
Descripción de la comprobación de la configuración de NAT en interfaces de salida después del reenrutamiento
La configuración de traducción de direcciones de red (NAT) suele cambiar para dar cabida a más usuarios y mejorar la ruta más corta para transferir el tráfico. Si se produce un cambio en la interfaz de salida debido al reenrutamiento del tráfico, puede usar el set security flow enable-reroute-uniform-link-check nat
comando para conservar la configuración y la regla de NAT existentes.
Cuando el enable-reroute-uniform-link-check nat
comando está habilitado:
La sesión se conserva con la regla NAT existente si la nueva interfaz de salida y la interfaz de salida anterior se encuentran en la misma zona de seguridad y no hay ningún cambio en la regla NAT coincidente o si no se aplica ninguna regla antes y después del reenrutamiento.
La sesión expira si la nueva interfaz de salida y la interfaz de salida anterior se encuentran en la misma zona de seguridad y se cambia la regla NAT coincidente.
Cuando el enable-reroute-uniform-link-check nat
comando está deshabilitado:
El tráfico se reenvía a la nueva interfaz de salida si la nueva interfaz de salida y la interfaz de salida anterior se encuentran en la misma zona de seguridad.
Configuration
Para habilitar la configuración de NAT para una sesión existente cuando hay un cambio en la interfaz de salida debido al reenrutamiento, utilice el siguiente comando:
[edit]
user@host# set security flow enable-reroute-uniform-link-check nat
La nueva configuración se aplica cuando se confirman los cambios de configuración.
El enable-reroute-uniform-link-check nat command
está deshabilitado de forma predeterminada.
Limitations
Conservar la configuración de NAT mediante el set security flow enable-reroute-uniform-link-check nat
comando tiene las siguientes limitaciones:
La sincronización TCP no permite que la nueva sesión transfiera el tráfico. Debe deshabilitar la sincronización TCP para permitir la transferencia de tráfico en nuevas sesiones.
La información del paquete podría perderse si se inicia el reenrutamiento después de un protocolo de enlace de tres vías para inicializar la comunicación. Debe deshabilitar Junos OS Services Framework (JSF) como Application Layer Gateway (ALG) para permitir la transferencia de tráfico en nuevas sesiones.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
port-scaling-enlargement
instrucción en el nivel de jerarquía [
edit security nat source
] admitido