Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

EN ESTA PÁGINA
 

Información de TDR

Los TDR origen se utilizan con más frecuencia para traducir una dirección IP privada a una dirección de enlace en público para comunicarse con el host. El TDR cambia la dirección de origen de los paquetes que pasan por el enrutador. Un TDR grupo de servidores es un conjunto de direcciones que se diseñan como un reemplazo de las direcciones IP del cliente. Para obtener más información, consulte los siguientes temas:

Descripción de las fuentes TDR

El TDR origen es la traducción de la dirección IP de origen de un paquete que sale del Juniper Networks dispositivo. El TDR origen se utiliza para permitir que los hosts con direcciones IP privadas accedan a una red pública.

El TDR permite que las conexiones solo se inicien para conexiones de red salientes, por ejemplo, desde una red privada a Internet. Los TDR origen se utilizan por lo general para llevar a cabo las siguientes traducciones:

  • Traducir una sola dirección IP a otra dirección (por ejemplo, para proporcionar un solo dispositivo en una red privada con acceso a Internet).

  • Traducir un bloque de direcciones contigua a otro bloque de direcciones del mismo tamaño.

  • Traducir un bloque de direcciones contigua a otro bloque de direcciones de menor tamaño.

  • Traducir un bloque de direcciones contigua a una sola dirección IP o un bloque más pequeño de direcciones mediante la traducción del puerto.

  • Traducir un bloque de direcciones contigua a la dirección de la interfaz de salida.

La traducción a la dirección de la interfaz de salida no requiere un grupo de direcciones; el resto de TDR de origen requieren la configuración de un grupo de direcciones. Las traducciones uno a uno y varias para bloques de direcciones del mismo tamaño no requieren traducción de puerto, ya que hay una dirección disponible en el grupo para cada dirección que se traduciría.

Si el tamaño del grupo de direcciones es menor que la cantidad de direcciones que se traducirían, se debe usar la cantidad total de direcciones concurrentes que se pueden traducir está limitada por el tamaño del grupo de direcciones o la traducción de puertos. Por ejemplo, si un bloque de 253 direcciones se traduce a un grupo de direcciones de 10 direcciones, se puede conectar un máximo de 10 dispositivos al mismo tiempo, a menos que se utilice la traducción del puerto.

Se admiten los siguientes tipos TDR fuente:

  • Traducción de la dirección IP de origen original a la dirección IP de la interfaz de salida (también denominada interfaz TDR). La traducción de dirección de puerto siempre se lleva a cabo.

  • Traducción de la dirección IP de origen original a una dirección IP de un grupo de direcciones definido por el usuario sin traducción de dirección de puerto. La asociación entre la dirección IP de origen original con la dirección IP de origen traducida es dinámica. Sin embargo, una vez que hay una asociación, se usa la misma asociación para la misma dirección IP de origen original para un tráfico nuevo que coincide con la misma regla TDR regla.

  • Traducción de la dirección IP de origen original a una dirección IP de un grupo de direcciones definido por el usuario con traducción de dirección de puerto. La asociación entre la dirección IP de origen original con la dirección IP de origen traducida es dinámica. Incluso si existe una asociación, es posible que la misma dirección IP de origen original se traduzca a una dirección diferente para un tráfico nuevo que coincida con la misma regla TDR regla.

  • Traducción de la dirección IP de origen original a una dirección IP desde un grupo de direcciones definido por el usuario cambiando las direcciones IP. Este tipo de traducción es uno a uno, estático y sin traducción de dirección de puerto. Si el intervalo de direcciones IP de origen original es mayor que el intervalo de direcciones IP del grupo definido por el usuario, se descartan paquetes sin traducir.

Descripción de las mejoras de la arquitectura de punto central para TDR

La capacidad de sesión del sistema y la velocidad de aceleración de sesión están limitadas por la capacidad de memoria de punto central y la capacidad de CPU. A partir de Junos OS release 15.1X49-D30 y Junos OS Release 17.3R1, se mejoró la arquitectura de punto central de TDR para manejar una mayor capacidad de sesión del sistema y una tasa de aceleración de sesión para la línea SRX5000. Por lo tanto, la carga de trabajo en el punto central se reduce para aumentar la capacidad de la sesión y para admitir más sesiones para lograr conexiones más altas por segundo (CPS). A partir de la versión 17.4R1 de Junos OS, los recursos de TDR de origen que maneja la arquitectura de punto central se descargan a las SPC cuando el número de SPC es más de cuatro, lo que da como resultado una asignación de recursos más eficiente. En la siguiente lista se describen las mejoras que se TDR mejorar el rendimiento:

  • La arquitectura de punto central ya no admite sesiones de punto central. Por lo tanto, TDR debe mantener un servidor TDR rastreo para rastrear la asignación y el uso de puertos o dirección IP. TDR monitor es un conjunto global para que el ID de sesión de SPU TDR asignación de PUERTO o IP que se usa para administrar TDR recursos.

  • De forma predeterminada, se envía una alarma de regla de TDR y un mensaje de actualización de contador de estadísticas de captura desde la unidad de procesamiento de servicios (SPU) al punto central a intervalos de 1 segundo en lugar de actualizar las estadísticas según cada activador de sesión en el sistema de puntos centrales.

  • Para admitir una dirección IP de TDR o un puerto específico asignado de tal forma que el hash de 5 tuplas después de TDR sea el mismo que el hash de 5 tuplas original antes de TDR, seleccione un puerto TDR que da como resultado el mismo hash que el hash original mediante el cálculo específico. Por lo tanto, la sesión de reenvío se reduce. Cuando TDR se usa, el alerón inverso se aplica un hash a una SPU diferente. Debe instalarse una sesión de reenvío para reenviar el tráfico inverso a una SPU de sesión. TDR intenta seleccionar un puerto que pueda usar el algoritmo de hash para hacer que el ala inversa se hashe a la misma SPU que el alerón inicial. Con este enfoque, TDR mejora el rendimiento y la transferencia de datos.

  • Para mejorar el rendimiento de una TDR, la administración del grupo de cambios IP (grupo no PAT) se mueve del punto central a la SPU para que todos los recursos TDR locales de ese grupo se administran de forma local en lugar de enviar la solicitud de TDR al punto central. Por lo tanto, se mejora el cambio de TDR dirección IP y las conexiones de grupo por segundo y la transferencia de datos.

Optimización del rendimiento TDR fuente

Los TDR fuente se pueden optimizar según las necesidades de funcionalidad y rendimiento.

Modo de aleatorización de puertos (predeterminado)

Para las aplicaciones de origen basadas en TDR grupo TDR interfaz, el modo de aleatorización de puertos se habilita y usa de forma predeterminada.

En este modo, el dispositivo selecciona las direcciones IP por turnos y la selección de puertos es aleatoria. Es decir, cuando el dispositivo realiza TDR traducción, primero elige la dirección IP por round robin y, luego, elige el puerto que se usa para esa dirección IP por aleatoria.

Aunque la asignación aleatoria de números de puerto puede proporcionar protección contra amenazas de seguridad, como ataques con dns, también puede afectar el rendimiento y el uso de memoria debido TDR cálculos y los recursos de la tabla involucrados.

Modo Round-Robin

Un método de traducción con menos TDR de recursos implica usar solo el método de asignación de round robin. Mientras que la aleatorización requiere trabajo computacional para cada puerto asignado, el método de round robin simplemente selecciona los puertos de forma consecutiva.

En este modo, el dispositivo selecciona tanto las direcciones IP como los puertos de forma completa. Es decir, cuando el dispositivo realiza una TDR traducción, primero elige la dirección IP por round robin y, luego, elige el puerto que se usa para esa dirección IP por round robin.

Por ejemplo, si el grupo de origen contiene solo una dirección IP:

  • Cuando llega el primer paquete de un flujo (que crea una sesión), se traduce a IP1, el puerto N. Los paquetes subsiguientes en ese flujo se asignan al mismo IP/puerto.

  • Cuando llega el primer paquete de un nuevo flujo, se traduce a IP1, el puerto N+1, y así sucesivamente.

Si el grupo de origen contiene dos direcciones IP:

  • Cuando llega el primer paquete de un flujo (que crea una sesión), se traduce a IP1, el puerto X. Los paquetes subsiguientes en ese flujo se asignan al mismo IP/puerto.

  • Cuando llega el primer paquete de un segundo flujo, se traduce al IP2, el puerto X.

  • Cuando llega el primer paquete de un tercer flujo, se traduce a IP1, puerto X+ 1.

  • Cuando llegan los primeros paquetes de un cuarto flujo, se traduce a IP2, el puerto X+1, y así sucesivamente.

Configuración

El modo de round-robin está habilitado de forma predeterminada, sin embargo, el modo de aleatorización de puertos (también habilitado) tiene mayor prioridad. Para usar el modo round-robin, desactive el modo de aleatorización de puertos de mayor prioridad, como se muestra a continuación:

Para deshabilitar el modo round-robin (y volver a activar la aleatorización de puertos), elimine la instrucción de configuración como se muestra a continuación:

Modo de afinidad de sesión

A partir de Junos OS versión 15.1X49-D30 y Junos OS versión 17.3R1, puede mejorar aún más el rendimiento y la transferencia de datos de TDR en dispositivos de la serie SRX5000 mediante el modo de "afinidad de sesión".

Con los modos mencionados anteriormente, una sesión determinada se procesa mediante la SPU entrante basada en un hash de 5 tupla (IP de origen, IP dest, puerto de origen, puerto de dest, protocolo). Cuando TDR está involucrado, el hash de 5 tupla será diferente para la parte saliente de la sesión en lugar de la parte de retorno de la sesión. Por lo tanto, la información TDR de sesión de salida puede encontrarse en una SPU, mientras que la información de retorno (inversa) TDR de sesión puede encontrarse en otra SPU. El objetivo del modo de afinidad de sesión es mantener la información de la sesión de reenvío tanto para el tráfico saliente como para el retorno en la misma SPU.

En este modo, el dispositivo utiliza un algoritmo de traducción "reverse TDR enhancement" para la selección de IP y puertos, para mejorar el rendimiento de TDR y la transferencia de datos. El módulo TDR intenta seleccionar una dirección IP y un puerto que se pueden utilizar con el algoritmo hash para garantizar que la SPU seleccionada para los elementos de flujo saliente y de retorno pueda ser idéntica.

Configuración

El modo de afinidad de sesión está habilitado de forma predeterminada, sin embargo, tanto la aleación de puertos como los modos de round-robin (también habilitado) tienen mayor prioridad. Para usar el modo de afinidad de sesión, desactive tanto la aleatorización de puertos como los modos de round-robin, como se muestra a continuación:

Para deshabilitar el modo de afinidad de sesión y volver a activar el modo de aleatoria de puerto o round-robin, elimine una o ambas instrucciones de configuración, como se muestra a continuación:

Notas de uso

Las notas y directrices para el modo de afinidad de sesión incluyen:

  • Utilice grupos de TDR de puertos de gran tamaño siempre que sea posible (consulte las consideraciones de seguridad a continuación)

  • El algoritmo elige un puerto dentro del intervalo de puertos configurado. Si no hay ningún puerto disponible, TDR puerto se asignará según la selección aleatoria.

  • Las TDR estáticas y las TDR destino no pueden usar el modo de afinidad.

Consideraciones de seguridad

Aunque la afinidad de sesión mejora el rendimiento mediante la consolidación de sesiones de reenvío, disminuye la seguridad hasta cierto punto, ya que el algoritmo selecciona la dirección IP y el puerto según un algoritmo predefinido con parámetros específicos, en lugar de una simple aleatorización. Dicho esto, por lo general, hay varios puertos válidos para que el algoritmo elija, por lo que aún hay algún grado de aleatoriedad.

La mejor manera de mitigar los riesgos de seguridad es asegurarse de que el número de puerto de origen utilizado es menos predecible. Es decir, cuanto más grande sea TDR rango de recursos del grupo de servidores desde el cual se seleccionen los puertos efímeros, menor será la probabilidad de que un atacante adivinen el número de puerto seleccionado. Dada esta situación, se recomienda configurar grupos de puertos TDR grande siempre que sea posible.

Monitoreo de información de TDR fuente

Propósito

Muestra información configurada acerca de las reglas Traducción de direcciones de red origen (TDR), los grupos, las TDR persistentes y las direcciones emparejadas.

Acción

Seleccione Supervisar>TDR>Configuración de origen TDR en la interfaz de usuario de J-Web o escriba los siguientes comandos CLI configuración:

  • muestra el resumen de código fuente nat de seguridad

  • muestra el grupo de código fuente nat de seguridad pool-name

  • muestra la tabla persistent-nat del origen del nat de seguridad

  • muestra la dirección de emparejamiento de origen nat de seguridad

En la tabla 1 se describen las opciones disponibles para supervisar el origen TDR.

Tabla 1: Página de supervisión de TDR fuente

Campo

Descripción

Acción

Reglas

Nombre de conjunto de reglas

Nombre del conjunto de reglas.

Seleccione todos los conjuntos de reglas o un conjunto de reglas específico para mostrar en la lista.

Total de reglas

Número de reglas configuradas.

Id

Número de ID de regla.

Nombre

Nombre de la regla .

De

Nombre de la instancia/zona/interfaz de enrutamiento desde la cual fluye el paquete.

Para

Nombre de la instancia/zona/interfaz de enrutamiento a la que fluye el paquete.

Intervalo de direcciones de origen

Intervalo de direcciones IP de origen en el grupo de origen.

Intervalo de direcciones de destino

Intervalo de direcciones IP de destino en el grupo de origen.

Puertos de origen

Números de puerto de origen.

Protocolo Ip

Protocolo IP.

Acción

Medidas realizadas para un paquete que coincida con una regla.

Tipo TDR persistente

Tipo TDR persistente.

Tiempo de espera de inactividad

Intervalo de tiempo de espera de inactividad para el TDR persistente.

Umbral de alarma

Umbral de alarma de utilización.

Número de sesión máximo

La cantidad máxima de sesiones.

Sesiones (Succ/

Error/

Actual)

Sesiones correctas, con errores y actuales.

  • Succ: número de instalaciones de sesión correctas después de que TDR regla de acceso se coincide.

  • Error: número de instalaciones de sesión que no se han podido realizar después TDR coincidencia de la regla de instalación.

  • Actual: número de sesiones que hacen referencia a la regla especificada.

Aciertos de traducción

Número de veces que se utiliza una traducción en la tabla de traducción para una regla de TDR origen.

Piscinas

Nombre del grupo

Los nombres de los grupos.

Seleccione todos los grupos o un grupo específico para mostrar en la lista.

Total de grupos

Total de grupos agregados.

Id

ID del grupo.

Nombre

Nombre del grupo de origen.

Intervalo de direcciones

Intervalo de direcciones IP en el grupo de origen.

Puertos Single/Twin

Número de puertos individuales y dobles asignados.

Puerto

Número de puerto de origen en el grupo.

Asignación de direcciones

Muestra el tipo de asignación de direcciones.

Umbral de alarma

Umbral de alarma de utilización.

Factor de sobrecarga del puerto

Capacidad de sobrecarga de puertos.

Instancia de enrutamiento

Nombre de la instancia de enrutamiento.

Direcciones totales

Dirección IP total, conjunto de direcciones IP o entrada de libreta de direcciones.

Base de direcciones de host

Dirección base de host del intervalo de direcciones IP de origen original.

Aciertos de traducción

Número de veces que se utiliza una traducción en la tabla de traducción para el TDR.

Los 10 principales aciertos de la traducción

Gráfico

Muestra el gráfico de los 10 primeros aciertos de traducción.

Información TDR
Estadísticas TDR tabla persistente

total de vinculación

Muestra el número total de enlaces TDR persistentes para la FPC.

enlace en uso

Número de enlaces TDR persistentes que se utilizan para la FPC.

total de enodo

Número total de TDR persistentes para la FPC.

enodo en uso

Número de TDR persistentes que se utilizan en la FPC.

Tabla de TDR persistente

Grupo de TDR fuente

Nombre del grupo.

Seleccione todos los grupos o un grupo específico para mostrar en la lista.

IP interna

Dirección IP interna.

Seleccione todas las direcciones IP o una dirección IP específica para mostrar en la lista.

Puerto interno

Muestra los puertos internos configurados en el sistema.

Seleccione el puerto que desea mostrar en la lista.

Protocolo interno

Protocolos internos .

Seleccione todos los protocolos o un protocolo específico para mostrar en la lista.

IP interna

Dirección IP de transporte interna de la sesión de salida de interna a externa.

Puerto interno

Número de puerto de transporte interno de la sesión de salida de interna a externa.

Protocolo interno

Protocolo interno de la sesión de salida de interna a externa.

IP reflectante

Dirección IP traducida de la dirección IP de origen.

Puerto reflectante

Muestra el número traducido del puerto.

Protocolo reflectante

Protocolo traducido.

Grupo de TDR fuente

Nombre del grupo de TDR origen en el que se TDR de datos persistentes.

Tipo

Tipo TDR persistente.

Tiempo de la izquierda/Tiempo de confición

Período de tiempo de espera de inactividad que permanece y el valor de tiempo de espera configurado.

Número de sesión actual/Número máximo de sesión

Número de sesiones actuales asociadas con el enlace TDR persistente y la cantidad máxima de sesiones.

Regla de TDR origen

Nombre de la regla de TDR origen a la que se aplica este enlace TDR persistente.

Tabla de nodos externos

IP interna

Dirección IP de transporte interna de la sesión de salida de interna a externa.

Puerto interno

Número de puerto interno de la sesión de salida de interna a externa.

IP externa

Dirección IP externa de la sesión de salida de interna a externa.

Puerto externo

Puerto externo de la sesión de salida de interna a externa.

Zona

Zona externa de la sesión de salida de interna a externa.

Dirección emparejada

Nombre del grupo

Nombre del grupo.

Seleccione todos los grupos o un grupo específico para mostrar en la lista.

Dirección especificada

Dirección IP.

Seleccione todas las direcciones, o seleccione la dirección IP interna o externa que se mostrará e ingrese la dirección IP.

Nombre del grupo

Muestra el grupo o grupos seleccionados.

Dirección interna

Muestra la dirección IP interna.

Dirección externa

Muestra la dirección IP externa.

Uso de recursos
Utilización para todos los grupos de origen

Nombre del grupo

Nombre del grupo.

Para ver información de uso adicional de los grupos de traducción de direcciones de puerto (PAT), seleccione un nombre de grupo. La información se muestra en Uso detallado de puertos para grupo especificado.

Tipo de grupo

Tipo de agrupación: PAT o no PAT.

Factor de sobrecarga del puerto

Capacidad de sobrecarga de puertos para grupos DE PAT.

Dirección

Direcciones del grupo.

Utilizado

Número de recursos utilizados en el grupo.

En el caso de los grupos que no son PAT, se muestra la cantidad de direcciones IP utilizadas.

En el caso de los grupos PAT, se muestra el número de puertos utilizados.

Disponible

Número de recursos disponibles en el grupo.

En el caso de los grupos que no son PAT, se muestra la cantidad de direcciones IP disponibles.

En el caso de los grupos PAT, se muestra la cantidad de puertos disponibles.

Total

Número de recursos utilizados y disponibles en el grupo.

En el caso de los grupos que no son PAT, se muestra la cantidad total de direcciones IP utilizadas y disponibles.

En el caso de los grupos PAT, se muestra el número total de puertos utilizados y disponibles.

Uso

Porcentaje de recursos utilizados.

En el caso de los grupos que no son PAT, se muestra el porcentaje de direcciones IP utilizadas.

En el caso de los grupos de PAT, se muestra el porcentaje de puertos, incluidos puertos individuales y dobles.

Uso máximo

Porcentaje de recursos utilizados durante la fecha y hora punta.

Detalle de la utilización del puerto para un grupo especificado

Nombre de dirección

Direcciones IP en el grupo de PAT.

Seleccione la dirección IP para la que desea mostrar información de uso detallada.

Índice de factores

Número de índice.

Rango de puertos

Muestra el número de puertos asignados a la vez.

Utilizado

Muestra el número de puertos utilizados.

Disponible

Muestra el número de puertos disponibles.

Total

Muestra la cantidad de puertos utilizados y disponibles.

Uso

Muestra el porcentaje de puertos utilizados durante la fecha y hora máximas.

Descripción general TDR configuración de origen

Las tareas principales de configuración para TDR origen son las siguientes:

  1. Configure un grupo de direcciones o una interfaz TDR asignación de direcciones privadas a la dirección pública de una interfaz de salida.

    Para un grupo de direcciones, haga lo siguiente:

    1. Especifique el nombre del grupo, las direcciones o intervalos de direcciones, la instancia de enrutamiento y si se debe realizar la traducción de dirección de puerto (PAT).
    2. (Opcional) Configure opciones de grupo de direcciones, como un grupo de inundación, cambio de dirección IP, uso compartido de direcciones, agrupación de direcciones y alarmas de utilización de grupo.
    3. Configure TDR de ARP de proxy para direcciones IP en la misma subred de la interfaz de entrada.
  2. (Opcional) Configure la dirección persistente.
  3. Configure reglas TDR código fuente que se alineen con sus requisitos de red y seguridad.

Ejemplo: configuración de puertos de TDR para la traducción de interfaz de salida

En este ejemplo, se describe cómo configurar una asignación de TDR de origen de direcciones privadas a la dirección pública de una interfaz de salida.

Requisitos

Antes de comenzar:

  1. Configure interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de zonas de seguridad.

Visión general

En este ejemplo, se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 1,los dispositivos con direcciones privadas en la zona de confianza acceden a una red pública a través de la interfaz de salida ge-0/0/0. Para los paquetes que entran en el dispositivo de seguridad de Juniper Networks desde la zona de confianza con una dirección de destino en la zona de no confianza, la dirección IP de origen se traduce a la dirección IP de la interfaz de salida.

Nota:

No es necesario TDR grupo de datos de origen TDR origen mediante una interfaz de salida. El ARP de proxy no es necesario configurarse para la interfaz de salida.

Gráfico 1: Traducción de interfaz TDR origen de salida Source NAT Egress Interface Translation

En este ejemplo se describen las siguientes configuraciones:

  • Regla TDR de origen establecida con una regla para que coincida con cualquier paquete desde la rs1 zona de confianza a la zona de no r1 confianza. Para paquetes que coincidan, la dirección de origen se traduce a la dirección IP de la interfaz de salida.

  • Políticas de seguridad para permitir tráfico desde la zona de confianza a la zona de no confianza.

Configuración

Procedimiento

CLI configuración rápida

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar una traducción TDR origen a una interfaz de salida:

  1. Cree un conjunto de reglas TDR origen.

  2. Configure una regla que coincida con los paquetes y traduce la dirección de origen a la dirección de la interfaz de salida.

  3. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

Resultados

Desde el modo de configuración, escriba los comandos y para confirmar show security nat show security policies su configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el uso de TDR de origen

Propósito

Compruebe que hay tráfico que coincide con la regla de TDR origen.

Acción

Desde el modo operativo, escriba el show security nat source rule all comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar la aplicación TDR al tráfico

Propósito

Compruebe que TDR se aplica al tráfico especificado.

Acción

Desde el modo operativo, escriba el show security flow session comando.

Ejemplo: configuración de la configuración de TDR para la traducción de direcciones únicas

En este ejemplo, se describe cómo configurar una asignación de TDR origen de una sola dirección privada a una dirección pública.

Requisitos

Antes de comenzar:

  1. Configure interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de zonas de seguridad.

Visión general

En este ejemplo, se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 2,un dispositivo con la dirección privada 192.168.1.200 en la zona de confianza accede a una red pública. Para los paquetes enviados por el dispositivo a una dirección de destino en la zona de no confianza, el dispositivo de seguridad de Juniper Networks traduce la dirección IP de origen a la dirección IP pública 203.0.113.200/32.

Gráfico 2: Traducción TDR dirección única de origen Source NAT Single Address Translation

En este ejemplo se describen las siguientes configuraciones:

  • Grupo TDR src-nat-pool-1 origen que contiene la dirección IP 203.0.113.200/32.

  • Regla de TDR de origen establecida con regla para hacer coincidir los paquetes desde la zona de confianza a la zona de no confianza con la dirección IP de origen rs1 r1 192.168.1.200/32. Para paquetes que coincidan, la dirección de origen se traduce a la dirección IP del src-nat-pool-1 grupo.

  • ARP de proxy para la dirección 203.0.113.200 en la interfaz ge-0/0/0.0. Esto permite que el Juniper Networks de seguridad responda a las solicitudes ARP recibidas en la interfaz para esa dirección.

  • Políticas de seguridad para permitir tráfico desde la zona de confianza a la zona de no confianza.

Configuración

Procedimiento

CLI configuración rápida

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar una traducción de TDR origen para una sola dirección IP:

  1. Cree un grupo de TDR fuente.

  2. Cree un conjunto de reglas TDR origen.

  3. Configure una regla que coincida con los paquetes y traduce la dirección de origen a la dirección del grupo.

  4. Configure ARP de proxy.

  5. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

Resultados

Desde el modo de configuración, escriba los comandos y para confirmar show security nat show security policies su configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el uso del grupo TDR origen

Propósito

Compruebe que hay tráfico que usa direcciones IP del grupo de TDR origen.

Acción

Desde el modo operativo, escriba el show security nat source pool all comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico con direcciones IP del grupo.

Verificar el uso de TDR de origen

Propósito

Compruebe que hay tráfico que coincide con la regla de TDR origen.

Acción

Desde el modo operativo, escriba el show security nat source rule all comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar la aplicación TDR al tráfico

Propósito

Compruebe que TDR se aplica al tráfico especificado.

Acción

Desde el modo operativo, escriba el show security flow session comando.

Ejemplo: configurar las traducciones de origen y TDR destino

En este ejemplo, se describe cómo configurar asignaciones tanto de origen como TDR destino.

Requisitos

Antes de comenzar:

  1. Configure interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de zonas de seguridad.

Visión general

En este ejemplo, se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 3,se realizan las siguientes traducciones en el Juniper Networks de seguridad:

  • La dirección IP de origen en los paquetes enviados por el dispositivo con la dirección privada 192.168.1.200 en la zona de confianza a cualquier dirección en la zona de no confianza se traduce a una dirección pública en el intervalo del 203.0.113.10 al 203.0.113.14.

  • La dirección IP de destino 203.0.113.100/32 en paquetes enviados desde la zona de confianza a la zona de no confianza se traduce a la dirección 10.1.1.200/32.

Gráfico 3: Traducciones de origen y TDR destino Source and Destination NAT Translations

En este ejemplo se describen las siguientes configuraciones:

  • Grupo TDR origen que contiene el intervalo de direcciones src-nat-pool-1 IP 203.0.113.10 a 203.0.113.14.

  • Regla TDR de origen establecida con regla para que coincida con cualquier paquete desde rs1 la zona de confianza a la zona de no r1 confianza. Para paquetes que coincidan, la dirección de origen se traduce a una dirección IP en el src-nat-pool-1 grupo.

  • Grupo TDR destino dst-nat-pool-1 que contiene la dirección IP 10.1.1.200/32.

  • Regla TDR de destino establecida con regla para hacer coincidir paquetes desde la zona de confianza con la dirección IP de destino rs1 r1 203.0.113.100. Para paquetes que coincidan, la dirección de destino se traduce a la dirección IP del dst-nat-pool-1 grupo.

  • ARP de proxy para las direcciones 203.0.113.10 a 203.0.113.14 y 203.0.113.100/32 en la interfaz ge-0/0/0.0. Esto permite que el Juniper Networks de seguridad responda a las solicitudes ARP recibidas en la interfaz para esas direcciones.

  • Política de seguridad para permitir tráfico desde la zona de confianza a la zona de no confianza.

  • Política de seguridad para permitir tráfico desde la zona de no confianza a las direcciones IP de destino traducidas en la zona de confianza.

Configuración

Procedimiento

CLI configuración rápida

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el origen y el destino TDR traducciones:

  1. Cree un grupo de TDR fuente.

  2. Cree un conjunto de reglas TDR origen.

  3. Configure una regla que coincida con los paquetes y traduce la dirección de origen a una dirección en el grupo TDR origen.

  4. Cree un grupo de TDR destino.

  5. Cree un conjunto de TDR destino.

  6. Configure una regla que coincida con los paquetes y traduce la dirección de destino a la dirección del grupo TDR destino.

  7. Configure ARP de proxy.

  8. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

  9. Configure una dirección en la libreta de direcciones global.

  10. Configure una política de seguridad que permita el tráfico desde la zona de no confianza a la zona de confianza.

Resultados

Desde el modo de configuración, escriba los comandos y para confirmar show security nat show security policies su configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el uso del grupo TDR origen

Propósito

Compruebe que hay tráfico que usa direcciones IP del grupo de TDR origen.

Acción

Desde el modo operativo, escriba el show security nat source pool all comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico con direcciones IP del grupo.

Verificar el uso de TDR de origen

Propósito

Compruebe que hay tráfico que coincide con la regla de TDR origen.

Acción

Desde el modo operativo, escriba el show security nat source rule all comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar el uso del TDR de destino

Propósito

Compruebe que hay tráfico que usa direcciones IP del grupo de TDR destino.

Acción

Desde el modo operativo, escriba el show security nat destination pool all comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico con direcciones IP del grupo.

Verificar el uso de TDR de destino

Propósito

Compruebe que hay tráfico que coincida con la regla de TDR destino.

Acción

Desde el modo operativo, escriba el show security nat destination rule all comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar la aplicación TDR al tráfico

Propósito

Compruebe que TDR se aplica al tráfico especificado.

Acción

Desde el modo operativo, escriba el show security flow session comando.

Descripción de las reglas de TDR fuente

Las reglas TDR origen especifican dos capas de condiciones de coincidencia:

  • Dirección del tráfico: permite especificar combinaciones de from interface , o , o , o from zone from routing-instance to interface to zone to routing-instance . No puede configurar los mismos from to contextos y para distintos conjuntos de reglas.

  • Información de paquetes: pueden ser direcciones IP de origen y destino, subredes, números de puertos de origen o rangos de puertos, números de puerto de destino o rangos de puertos, protocolos o aplicaciones.

Para todo el tráfico ALG, excepto FTP, recomendamos que no use la source-port opción de regla. La creación de sesión de datos puede producir un error si se usa esta opción, ya que es posible que la dirección IP y el valor del puerto de origen, que es un valor aleatorio, no coincidan con la regla.

Además, recomendamos que no use la opción o la opción como destination-port condiciones de coincidencia para el tráfico application ALG. Si se utilizan estas opciones, es posible que la traducción no se pueda traducir, ya que es posible que el valor de puerto de la carga de la aplicación no coincida con el valor de puerto en la dirección IP.

Si varias reglas TDR origen se superponen en las condiciones de coincidencia, se elige la regla más específica. Por ejemplo, si las reglas A y B especifican las mismas direcciones IP de origen y destino, pero la regla A especifica el tráfico de la zona 1 a la zona 2 y la regla B especifica el tráfico de la zona 1 a la interfaz ge-0/0/0, la regla B se usa para llevar a cabo funciones de TDR. Una coincidencia de interfaz se considera más específica que una coincidencia de zona, la cual es más específica que una coincidencia de instancia de enrutamiento.

Las acciones que puede especificar para una regla de TDR origen son:

  • desactivado: no realice funciones de TDR.

  • grupo: use el grupo de direcciones definidas por el usuario especificado para llevar a cabo funciones de TDR.

  • interfaz: utilice la dirección IP de la interfaz de salida para realizar funciones de TDR.

Las reglas de TDR de origen se aplican al tráfico del primer paquete que se procesa para el flujo o en la ruta rápida para ALG. Las reglas de TDR de origen se procesan después de reglas de TDR estáticas, reglas de TDR de destino y asignación inversa de reglas de TDR estáticas y después de búsqueda de políticas de ruta y seguridad.

Cuando las zonas no están configuradas bajo un conjunto de reglas y cuando el TDR de origen activo está configurado con la instrucción obligatoria falta "from", entonces se muestra el siguiente mensaje cuando se realiza la confirmación "Falta una instrucción obligatoria: error de": se produjo un error en la comprobación de la configuración" y se produjo un error en la desprotción de configuración.

Ejemplo: configuración de puertos de TDR con varias reglas

En este ejemplo, se describe cómo configurar asignaciones de TDR origen con varias reglas.

Requisitos

Antes de comenzar:

Visión general

En este ejemplo, se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 4,se realizan las siguientes traducciones en el dispositivo de seguridad de Juniper Networks para la asignación de TDR de origen para el tráfico desde la zona de confianza a las zonas de no confianza:

  • La dirección IP de origen en los paquetes enviados por las subredes 10.1.1.0/24 y 10.1.2.0/24 a cualquier dirección en la zona de no confianza se traduce a una dirección pública en el intervalo de 192.0.2.1 a 192.0.2.24 con traducción de puerto.

  • La dirección IP de origen en los paquetes enviados por la subred 192.168.1.0/24 a cualquier dirección en la zona de no confianza se traduce a una dirección pública en el intervalo de 192.0.2.100 a 192.0.2.249 sin traducción de puerto.

  • La dirección IP de origen en los paquetes enviados por el dispositivo host 192.168.1.250/32 no se traduce.

Gráfico 4: Código fuente TDR con varias reglas de traducción Source NAT with Multiple Translation Rules

En este ejemplo se describen las siguientes configuraciones:

  • Grupo TDR origen que contiene el intervalo de direcciones src-nat-pool-1 IP 192.0.2.1 a 192.0.2.24.

  • Grupo TDR origen que contiene el intervalo de direcciones src-nat-pool-2 IP 192.0.2.100 a 192.0.2.249, con la traducción de dirección de puerto deshabilitada.

    Nota:

    Cuando la traducción de dirección de puerto está deshabilitada, la cantidad de traducciones que el grupo de TDR de origen puede admitir al mismo tiempo se limita TDR la cantidad de direcciones del grupo, a menos que la opción esté address-shared habilitada. Los paquetes se descartan si no hay direcciones disponibles en el grupo TDR origen. Opcionalmente, puede especificar un grupo de inundación desde el que se asignan las direcciones IP y los números de puerto cuando no hay direcciones disponibles en el grupo de TDR origen original.

  • Regla TDR de origen establecida rs1 para que coincida con paquetes desde la zona de confianza a la zona de no confianza. El conjunto de rs1 reglas contiene varias reglas:

    • Regla para hacer coincidir paquetes con una dirección IP de origen en las subredes r1 10.1.1.0/24 o 10.1.2.0/24. Para paquetes que coincidan, la dirección de origen se traduce a una dirección IP en el src-nat-pool-1 grupo.

    • Regla para hacer coincidir paquetes con una dirección IP de r2 origen de 192.168.1.250/32. Para paquetes que coincidan, no hay ninguna TDR traducción realizada.

    • Regla para hacer coincidir paquetes con una dirección IP de origen en la r3 subred 192.168.1.0/24. Para paquetes que coincidan, la dirección de origen se traduce a una dirección IP en el src-nat-pool-2 grupo.

      Nota:

      El orden de las reglas en un conjunto de reglas es importante, ya que se utiliza la primera regla del conjunto de reglas que coincide con el tráfico. Por lo tanto, la regla para que coincida con una dirección IP específica se debe colocar antes de una regla que coincida con la subred en la que r2 r3 se encuentra el dispositivo.

  • ARP de proxy para las direcciones 192.0.2.1 a 192.0.2.24 y 192.0.2.100 a 192.0.2.249 en la interfaz ge-0/0/0.0. Esto permite que el Juniper Networks de seguridad responda a las solicitudes ARP recibidas en la interfaz para esas direcciones.

  • Políticas de seguridad para permitir tráfico desde la zona de confianza a la zona de no confianza.

En los dispositivos SRX4600, cuando configure una regla o grupo de TDR de origen con nombre de regla o nombre de grupo como interfaz o conjunto de servicios, recibirá el siguiente mensaje de error: error de sintaxis, expectación <data>.

  • Si hay una regla de TDR de origen denominada, la regla no se puede interface ver con el show security nat source rule interface comando.

  • Si hay una regla de TDR de origen denominada, la regla no se puede service-set ver con el show security nat source rule service-set comando.

  • Si hay un grupo de TDR de origen denominado , el grupo no se puede interface ver con el show security nat source pool interface comando.

  • Si hay un grupo de TDR de origen denominado , el grupo no se puede service-set ver con el show security nat source pool service-set comando.

  • Si hay un grupo de TDR de origen denominado , la dirección emparejada no se puede interface ver con el show security nat source paired-address pool-name interface comando.

  • Si hay un grupo de TDR de origen denominado , la dirección emparejada no se puede service-set ver con el show security nat source paired-address pool-name service-set comando.

Configuración

Procedimiento

CLI configuración rápida

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar varias reglas de TDR fuente en un conjunto de reglas:

  1. Cree un grupo de TDR fuente.

  2. Cree un grupo de TDR fuente sin traducción de puertos.

    Nota:

    Para configurar un grupo de inundación src-nat-pool-2 para usar la interfaz de salida:

  3. Cree un conjunto de reglas TDR origen.

  4. Configure una regla que coincida con los paquetes y traduce la dirección de origen a una dirección del grupo.

  5. Configure una regla para que coincida con paquetes para los cuales no se traduce la dirección de origen.

  6. Configure una regla para que coincida con paquetes y traducir la dirección de origen a una dirección del grupo sin traducción de puerto.

  7. Configure ARP de proxy.

  8. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

Resultados

Desde el modo de configuración, escriba los comandos y para confirmar show security nat show security policies su configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el uso del grupo TDR origen

Propósito

Compruebe que hay tráfico que usa direcciones IP del grupo de TDR origen.

Acción

Desde el modo operativo, escriba el show security nat source pool all comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico con direcciones IP del grupo.

Verificar el uso de TDR de origen

Propósito

Compruebe que hay tráfico que coincide con la regla de TDR origen.

Acción

Desde el modo operativo, escriba el show security nat source rule all comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar la aplicación TDR al tráfico

Propósito

Compruebe que TDR se aplica al tráfico especificado.

Acción

Desde el modo operativo, escriba el show security flow session comando.

Descripción de los grupos TDR fuente

Un TDR grupo de servidores es un conjunto definido por el usuario de direcciones IP que se utilizan para la traducción. A diferencia de los TDR estáticos, en los que hay una asignación uno a uno que incluye la traducción de dirección IP de destino en una dirección y la traducción de dirección IP de origen en la dirección inversa, con TDR de origen, se traduce la dirección IP de origen original a una dirección IP en el grupo de direcciones.

Para grupos de direcciones Traducción de direcciones de red origen (TDR), especifique lo siguiente:

  • Nombre del grupo de direcciones TDR origen.

  • Hasta ocho rangos de direcciones o direcciones.

    Nota:

    No superponga TDR direcciones de origen TDR destino, TDR destino y TDR estática dentro de una instancia de enrutamiento.

  • Instancia de enrutamiento: instancia de enrutamiento a la que pertenece el grupo (el valor predeterminado es la instancia principal de enrutamiento inet.0).

  • Puerto: la traducción de dirección de puerto (PAT) para un grupo de origen. De forma predeterminada, la PAT se realiza con la configuración TDR. Si especifica la opción no traducción, la cantidad de hosts que puede admitir el grupo TDR origen se limita TDR la cantidad de direcciones del grupo. Si especifica, se asigna un bloque de puertos para la traducción, en lugar de los block-allocation puertos individuales que se asignan. Si especifica , una dirección IP entrante (de origen) y un puerto siempre se asignan a la dirección de destino y el bloque de puerto específicos, en función de un algoritmo de TDR deterministic determinista predefinido. Si especifica , puede configurar la capacidad de sobrecarga del puerto port-overloading en el puerto de TDR. Si especifica , puede proporcionar el intervalo de número de puerto asociado a cada dirección del grupo y el intervalo de puertos dobles para los grupos de TDR range fuente.

  • Grupo de desborde (opcional): los paquetes se descartan si no hay direcciones disponibles en el grupo de código fuente TDR designado. Para evitar que eso ocurra cuando se configura la opción de no traducción de puerto, puede especificar un grupo de inundación. Una vez que se agotan las direcciones del TDR de origen original, las direcciones IP y los números de puerto se asignan del grupo de desborde. Se puede usar un grupo de TDR de origen definido por el usuario o una interfaz de salida como grupo de desborde. (Cuando se usa el grupo de inundación, el ID del grupo se devuelve con la dirección.)

  • Cambio de dirección IP (opcional): un rango de direcciones IP de origen originales se puede asignar a otro rango de direcciones IP, o a una sola dirección IP, cambiando las direcciones IP. Especifique la opción base de dirección de host con la dirección base del intervalo de direcciones IP de origen original.

  • Uso compartido de direcciones (opcional): varias direcciones IP internas se pueden asignar a la misma dirección IP externa. Esta opción solo se puede usar cuando el grupo de TDR origen está configurado sin traducción de puerto. Especifique la opción cuando un grupo de TDR origen tiene pocas direcciones IP externas disponibles o solo una address-shared dirección IP externa. Con una asignación varios a uno, el uso de esta opción aumenta TDR recursos y mejora el tráfico.

  • Agrupación de direcciones (opcional): la agrupación de direcciones se puede configurar como emparejada o sin par. Especifique para las aplicaciones que requieren que todas las sesiones asociadas con una dirección IP interna se asignen a la misma dirección IP externa durante address-pooling paired la duración de una sesión. Esto difiere de la opción, en la cual la misma dirección interna se traduce a persistent-address la misma dirección externa cada vez. Especifique para las aplicaciones a las que se pueden asignar direcciones IP de manera address-pooling no-paired completa. Si está configurada para un grupo de TDR origen con PAT, la opción de dirección address-pooling paired address-pooling no-paired persistente está deshabilitada. Si address-shared está configurado en un grupo de TDR fuente sin PAT, entonces persistent-address la opción está habilitada. Ambos address-shared y se pueden configurar en el mismo grupo de TDR fuente sin address-pooling paired PAT.

  • Alarma de utilización de grupo (opcional): cuando la opción de umbral de aumento está configurada para el TDR de origen, se activa una captura SNMP si el uso del grupo de TDR de origen supera este umbral. Si la opción opcional umbral sin formato está configurada, se activa una captura SNMP si el TDR utilización del grupo cae por debajo de este umbral. Si no está configurado clear-threshold, se establece de forma predeterminada en el 80 por ciento del valor de umbral de elevación.

Puede usar el comando mostrar grupo de fuente de uso de recursos nat de seguridad para ver el uso de direcciones en un grupo de TDR de origen sin PAT y para ver el uso de puertos en un grupo de TDR de origen con PAT.

Descripción de las capacidades TDR grupo de fuentes

Las capacidades máximas para grupos de origen y direcciones IP en SRX300, SRX320, SRX340, SRX345 y SRX650 dispositivos son los siguientes:

Capacidad máxima de direcciones de agrupación/PAT

SRX300

SRX320

SRX340

SRX345

SRX650

Grupos de TDR fuente

1024

2048

1024

Direcciones IP compatibles con la traducción de puertos

1024

2048

1024

Número de puerto PAT

64M

64M

64M

Las capacidades máximas para grupos de origen y direcciones IP en dispositivos SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX5400, SRX5600 y SRX5800 son los siguientes:

Capacidad máxima de direcciones de agrupación/PAT

SRX1400

SRX1500

SRX3400

SRX3600

SRX4100

SRX4200

SRX5400

SRX5600

SRX5800

Grupos de TDR fuente

8192

10,240

10,240

12,288

Direcciones IP compatibles con la traducción de puertos

8192

12,288

12,288

1M

Número de puerto PAT

256 mb

384M

384M

384M

Nota:

En la versión 12.3X48-D40, y en la versión 15.1X49-D60 y versiones posteriores, puede aumentar la capacidad de puerto de TDR de origen a 2,4G en dispositivos SRX5400, SRX5600 y SRX5800 con tarjetas de procesamiento de servicios (SPC) de origen mediante la instrucción en el nivel de jerarquía port-scaling-enlargement admitido edit security nat source .

Nota:

La compatibilidad de plataforma depende de Junos OS versión de la instalación.

El aumento de la cantidad total de direcciones IP utilizadas para el TDR de origen, ya sea mediante el aumento de la cantidad de grupos en la configuración o el aumento de la capacidad o las direcciones IP por grupo, consume la memoria necesaria para la asignación de puertos. Cuando se alcanza TDR grupo de servidores y direcciones IP, se deben reasignar los intervalos de puertos. Es decir, se debe reducir la cantidad de puertos para cada dirección IP cuando se aumenta la cantidad de direcciones IP y grupos TDR origen. Esto garantiza que TDR no consuma demasiada memoria.

Por ejemplo, en un grupo de TDR de origen para dispositivos SRX5000, cuando la cantidad de direcciones IP que admiten la traducción de puerto alcanza el límite de 1M, la cantidad total de puertos PAT es 64G, lo que supera la limitación de 384M. Esto se debe a que, de forma predeterminada, cada dirección IP admite 64.512 puertos. Para garantizar que los números de puerto PAT estén dentro de la capacidad, debe configurarse el intervalo de puertos para cada IP para disminuir la cantidad total de puertos PAT.

Utilice las opciones y en el nivel de jerarquía para asignar un nuevo intervalo de puertos o un intervalo de range range twin-port [edit security nat source pool port] puertos dobles para un grupo específico. Utilice las opciones y las del nivel de jerarquía para especificar el intervalo de puertos predeterminados globales o de puertos dobles para todos los grupos TDR pool-default-port-range pool-default-twin-port-range [edit security nat source] fuente.

Cuando se aumenta la sobrecarga de puertos, también se debe configurar detenidamente TDR de origen.

Para un grupo de origen con PAT en rango (del 63.488 al 65.535), se asignan dos puertos a la vez para aplicaciones RTP/RTCP, como SIP, H.323 y RTSP. En estos casos, cada dirección IP es compatible con PAT, ocupando 2048 puertos (del 63.488 al 65.535) para el uso del módulo ALG.

Descripción de direcciones persistentes para grupos de TDR fuente

De forma predeterminada, la traducción de dirección de puerto se lleva a cabo con la configuración TDR. Sin embargo, es posible que una dirección de origen original no se traduzca a la misma dirección IP para un tráfico diferente que se origina en el mismo host. La opción TDR origen garantiza que se asigne la misma dirección IP del grupo de TDR origen a un host específico para varias address-persistent sesiones concurrentes.

Esta opción difiere de la opción de agrupación de direcciones emparejada, en la que la dirección interna se asigna a una dirección externa dentro del grupo por primera vez y por primera vez en servicio, y puede asignarse a una dirección externa diferente para cada sesión.

Ejemplo: configuración de la capacidad para grupos TDR fuente con PAT

En este ejemplo, se describe cómo configurar la capacidad de los grupos de TDR de origen con traducción de dirección de puerto (PAT) si no se establece un intervalo de puertos predeterminado o si desea anularlo. Las traducciones se establecen para cada dirección IP. Cuando se aumenta el grupo de origen, se deben reasignar los puertos si el número de puerto actual supera las limitaciones.

Requisitos

Antes de comenzar:

  1. Configure interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de zonas de seguridad.

Visión general

En este ejemplo, se muestra cómo configurar un grupo de PAT de 2048 direcciones IP con 32 000 puertos para cada dirección IP.

Configuración

Procedimiento

CLI configuración rápida

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar la capacidad para un grupo TDR origen con PAT:

  1. Especifique un grupo de TDR fuente con PAT y un intervalo de direcciones IP.

  2. Especifique un intervalo de puertos predeterminado para el grupo de origen.

Resultados

Desde el modo de configuración, escriba el comando para confirmar su show security nat-source-summary configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Verificar la capacidad de los grupos de TDR fuente

Propósito

Ver información de puertos y agrupaciones. Las limitaciones de puerto se comprueban automáticamente, por lo que no se confirma la configuración si se superan las limitaciones de puerto.

Acción

Desde el modo operativo, escriba el show security nat source summary comando para ver los detalles del puerto y el grupo.

Descripción de los grupos TDR fuente con agrupación de direcciones

Cuando un host inicia varias sesiones que coincidan con una política que requiere TDR y se le asigna una dirección IP de un grupo de origen que tiene habilitada la traducción de dirección de puerto, se usa una dirección IP de origen diferente para cada sesión.

Dado que algunas aplicaciones requieren la misma dirección IP de origen para cada sesión, puede usar la función para habilitar todas las sesiones asociadas con una dirección IP interna para asignar a la misma dirección IP externa durante la duración de las address-pooling paired sesiones. Cuando terminan las sesiones, la asignación entre la dirección IP interna y la dirección IP externa deja de funcionar. La próxima vez que el host inicie una sesión, es posible que se le asigne una dirección IP diferente del grupo.

Esto difiere de la función TDR origen, la cual mantiene la asignación estática; la misma dirección IP interna se asigna a la misma dirección IP externa address-persistent cada vez. También difiere de la función address-persistent en que está configurada para un grupo address-pooling paired específico. La address-persistent función es una configuración global que se aplica a todos los grupos de origen.

Descripción de los grupos TDR origen con cambio de dirección

Las condiciones de coincidencia para un conjunto TDR de reglas de origen no permiten especificar un intervalo de direcciones; solo se pueden especificar prefijos de dirección en una regla. Al configurar un grupo de TDR origen, puede especificar la opción; esta opción especifica la dirección IP en la que comienza el intervalo de direcciones host-base-address IP de origen original.

El intervalo de direcciones IP de origen originales que se traducen viene determinado por el número de direcciones en el grupo TDR origen. Por ejemplo, si el grupo de TDR de origen contiene un intervalo de diez direcciones IP, se pueden traducir hasta diez direcciones IP de origen originales, empezando por una dirección base especificada. Este tipo de traducción es uno a uno, estático y sin traducción de dirección de puerto.

La condición de coincidencia en una regla de TDR origen puede definir un intervalo de direcciones mayor que el especificado en el grupo TDR origen. Por ejemplo, una condición de coincidencia puede especificar un prefijo de dirección que contiene 256 direcciones, pero el grupo de TDR de origen puede contener un intervalo de solo unas cuantas direcciones IP o solo una dirección IP. La dirección IP de origen de un paquete puede coincidir con una regla de TDR de origen, pero si la dirección IP de origen no se encuentra dentro del intervalo de direcciones especificado en el grupo de TDR de origen, no se traducirá la dirección IP de origen.

Ejemplo: configuración de grupos de TDR origen con cambio de dirección

En este ejemplo, se describe cómo configurar una asignación de TDR origen de un intervalo de direcciones privadas a direcciones públicas, con cambio de dirección opcional. Esta asignación es uno a uno entre las direcciones IP de origen originales y las direcciones IP traducidas.

Nota:

Las condiciones de coincidencia para un conjunto TDR de reglas de origen no permiten especificar un intervalo de direcciones; solo se pueden especificar prefijos de dirección en una regla. Cuando configure un grupo TDR origen, puede especificar la opción; esta opción especifica la dirección IP en la que comienza el intervalo de direcciones IP de origen original y deshabilita la traducción host-base-address de puertos.

El intervalo de direcciones IP de origen originales que se traducen viene determinado por el número de direcciones en el grupo TDR origen. Por ejemplo, si el grupo de TDR de origen contiene un intervalo de diez direcciones IP, se pueden traducir hasta diez direcciones IP de origen originales, empezando por una dirección base especificada.

La condición de coincidencia en una regla de TDR origen puede definir un intervalo de direcciones mayor que el especificado en el grupo TDR origen. Por ejemplo, una condición de coincidencia puede especificar un prefijo de dirección que contiene 256 direcciones, pero el grupo de TDR origen contiene un intervalo de solo diez direcciones IP. La dirección IP de origen de un paquete puede coincidir con una regla de TDR de origen, pero si la dirección IP de origen no se encuentra dentro del intervalo de direcciones especificado en el grupo de TDR de origen, no se traducirá la dirección IP de origen.

Requisitos

Antes de comenzar:

Visión general

En este ejemplo, se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 5,un rango de direcciones privadas en la zona de confianza se asigna a un rango de direcciones públicas en la zona de no confianza. Para los paquetes enviados desde la zona de confianza a la zona de no confianza, una dirección IP de origen en el intervalo de 192.168.1.10/32 a 192.168.1.20/32 se traduce a una dirección pública en el intervalo de 203.0.113.30/32 al 203.0.113.40/32.

Gráfico 5: Cambio de TDR origen con cambio de dirección Source NAT with Address Shifting

En este ejemplo se describen las siguientes configuraciones:

  • Grupo TDR origen que contiene el intervalo de direcciones src-nat-pool-1 IP 203.0.113.30/32 a 203.0.113.40/32. Para este grupo, el principio del intervalo de direcciones IP de origen original es 192.168.1.10/32 y se especifica con la host-address-base opción.

  • Regla TDR de origen establecida con regla para hacer coincidir paquetes desde la zona de confianza a la zona de no confianza con una dirección IP de origen en la rs1 r1 subred 192.168.1.0/24. Para paquetes que coincidan dentro del intervalo de direcciones IP de origen especificado por la configuración, la dirección de origen se traduce a la dirección src-nat-pool-1 IP del src-nat-pool-1 grupo.

  • ARP de proxy para las direcciones 203.0.113.30/32 a 203.0.113.40/32 en la interfaz ge-0/0/0.0. Esto permite que el Juniper Networks de seguridad responda a las solicitudes ARP recibidas en la interfaz para esa dirección.

  • Políticas de seguridad para permitir tráfico desde la zona de confianza a la zona de no confianza.

Configuración

Procedimiento

CLI configuración rápida

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar una asignación de TDR origen con cambio de dirección:

  1. Cree un grupo de TDR fuente.

  2. Especifique el principio del intervalo de direcciones IP de origen original.

  3. Cree un conjunto de reglas TDR origen.

  4. Configure una regla que coincida con los paquetes y traduce la dirección de origen a una dirección del grupo.

  5. Configure ARP de proxy.

  6. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

Resultados

Desde el modo de configuración, escriba los comandos y para confirmar show security nat show security policies su configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el uso del grupo TDR origen

Propósito

Compruebe que hay tráfico que usa direcciones IP del grupo de TDR origen.

Acción

Desde el modo operativo, escriba el show security nat source pool all comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico con direcciones IP del grupo.

Verificar el uso de TDR de origen

Propósito

Compruebe que hay tráfico que coincide con la regla de TDR origen.

Acción

Desde el modo operativo, escriba el show security nat source rule all comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar la aplicación TDR al tráfico

Propósito

Compruebe que TDR se aplica al tráfico especificado.

Acción

Desde el modo operativo, escriba el show security flow session comando.

Descripción de los grupos TDR fuente con PAT

Mediante el grupo de origen con traducción de dirección de puerto (PAT), Junos OS traduce tanto la dirección IP de origen como el número de puerto de los paquetes. Cuando se usa PAT, varios hosts pueden compartir la misma dirección IP.

Junos OS mantiene una lista de números de puerto asignados para distinguir qué sesión pertenece a qué host. Cuando se habilita pat, hasta 63 488 hosts pueden compartir una sola dirección IP. Cada grupo de origen puede contener varias direcciones IP, varios intervalos de direcciones IP o ambas. Para un grupo de origen con PAT, Junos OS puede asignar direcciones diferentes a un solo host para diferentes sesiones concurrentes, a menos que el grupo de origen o Junos OS tenga habilitada la función de dirección persistente o la función de agrupación de direcciones par.

Para el grupo de origen de interfaz y el grupo de origen con PAT, el intervalo (1024, 65535) está disponible para la asignación de números de puerto por dirección IP. Dentro del intervalo (1024, 63487) se asigna un puerto a la vez, para un total de 62 464 puertos. En el intervalo (63488, 65535), se asignan dos puertos a la vez para aplicaciones RTP/RTCP como SIP, H.323 y RTSP, para un total de 2048 puertos.

Cuando un host inicia varias sesiones que coincidan con una política que requiere la traducción de direcciones de red y se le asigna una dirección de un grupo de origen que tenga habilitada la PAT, el dispositivo asigna una dirección IP de origen diferente para cada sesión. Esta asignación aleatoria de direcciones puede ser problemática para los servicios que crean varias sesiones que requieren la misma dirección IP de origen para cada sesión. Por ejemplo, es importante tener la misma dirección IP para varias sesiones cuando se usa el cliente de mensajes instantáneas de AOL (AIM).

Para asegurarse de que el enrutador asigna la misma dirección IP de un grupo de origen a un host para varias sesiones concurrentes, puede habilitar una dirección IP persistente por enrutador. Para asegurarse de que el dispositivo asigna la misma dirección IP de un grupo de origen a un host durante la duración de una sola sesión, puede habilitar la agrupación de direcciones emparejadas.

Ejemplo: configuración de puertos TDR para varias direcciones con PAT

En este ejemplo, se describe cómo configurar una asignación de TDR origen de un bloque de direcciones privada a un bloque de direcciones pública más pequeño mediante la traducción de dirección de puerto.

Requisitos

Antes de comenzar:

  1. Configure interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de zonas de seguridad.

Visión general

En este ejemplo, se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 6,la dirección IP de origen de los paquetes enviados desde la zona de confianza a la zona de no confianza se asigna a un bloque más pequeño de direcciones públicas en el intervalo del 203.0.113.1/32 al 203.0.113.24/32. Dado que el tamaño del grupo de TDR de direcciones de origen es menor que la cantidad de direcciones potenciales que podrían ser necesario traducir, se utiliza la traducción de dirección de puerto.

Nota:

La traducción de dirección de puerto incluye un número de puerto de origen con la asignación de dirección IP de origen. Esto permite que varias direcciones en una red privada se asignen a un número más pequeño de direcciones IP públicas. La traducción de dirección de puerto está habilitada de forma predeterminada para los grupos TDR origen.

Gráfico 6: Fuente TDR múltiples direcciones con PAT Source NAT Multiple Addresses with PAT

En este ejemplo se describen las siguientes configuraciones:

  • Grupo TDR origen que contiene el intervalo de direcciones src-nat-pool-1 IP 203.0.113.1/32 a 203.0.113.24/32.

  • Regla TDR de origen establecida para que coincida con todos los paquetes desde rs1 la zona de confianza a la zona de no confianza. Para paquetes que coincidan, la dirección IP de origen se traduce a una dirección IP en el src-nat-pool-1 grupo.

  • ARP de proxy para las direcciones 203.0.113.1/32 a 203.0.113.24/32 en la interfaz ge-0/0/0.0. Esto permite que el Juniper Networks de seguridad responda a las solicitudes ARP recibidas en la interfaz para esas direcciones.

  • Políticas de seguridad para permitir tráfico desde la zona de confianza a la zona de no confianza.

Configuración

Procedimiento

CLI configuración rápida

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar una asignación TDR origen desde un bloque de dirección privada a un bloque de direcciones pública más pequeño mediante PAT:

  1. Cree un grupo de TDR fuente.

  2. Cree un conjunto de reglas TDR origen.

  3. Configure una regla que coincida con los paquetes y traduce la dirección de origen a una dirección del grupo.

  4. Configure ARP de proxy.

  5. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

Resultados

Desde el modo de configuración, escriba los comandos y para confirmar show security nat show security policies su configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el uso del grupo TDR origen

Propósito

Compruebe que hay tráfico que usa direcciones IP del grupo de TDR origen.

Acción

Desde el modo operativo, escriba el show security nat source pool all comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico con direcciones IP del grupo.

Verificar el uso de TDR de origen

Propósito

Compruebe que hay tráfico que coincide con la regla de TDR origen.

Acción

Desde el modo operativo, escriba el show security nat source rule all comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar la aplicación TDR al tráfico

Propósito

Compruebe que TDR se aplica al tráfico especificado.

Acción

Desde el modo operativo, escriba el show security flow session comando.

Descripción de los grupos TDR fuente sin PAT

Cuando defina un grupo de origen, Junos OS activa pat de forma predeterminada. Para deshabilitar PAT, no debe especificar ninguna traducción de puerto cuando defina un grupo de origen.

Cuando se usa un grupo de origen sin PAT, Junos OS realiza un Traducción de direcciones de red de origen para la dirección IP sin realizar pat para el número de puerto de origen. Para las aplicaciones que requieren que un número de puerto de origen determinado permanezca fijo, debe usar un grupo de código fuente sin PAT.

El grupo de origen puede contener varias direcciones IP, varios intervalos de direcciones IP o ambas. Para el grupo de origen sin PAT, Junos OS asigna una dirección de origen traducida al mismo host para todas sus sesiones concurrentes, a menos que la opción no emparejada de agrupación de direcciones esté habilitada.

La cantidad de hosts que puede admitir TDR de origen sin PAT se limita a la cantidad de direcciones en el grupo. Cuando tiene un grupo con una sola dirección IP, solo se puede admite un host y el tráfico de otros hosts se bloquea porque no hay recursos disponibles. Si TDR se configura una sola dirección IP para un grupo de TDR de origen sin PAT cuando una asignación de recursos no está en modo de respaldo activo en un clúster de chasis, se bloqueará el tráfico a través del nodo 1.

Se calcula la utilización del grupo para cada grupo de origen sin PAT. Puede activar la alarma de utilización de grupo mediante la configuración de umbrales de alarma. Una captura SNMP se activa cada vez que el uso del grupo supera un umbral y pasa por debajo de un umbral.

Nota:

Si una regla de TDR estática es para la traducción de IP uno a uno, evite dividir la regla en una regla de destino y una regla de origen cuando se utilice un grupo de no pat de origen sin uso compartido de direcciones. Si elige dividir la regla, entonces tendrá que usar pat-pool de origen con un solo IP o un grupo de no pat de origen con varias IP.

Ejemplo: configurar una sola dirección IP en un grupo de TDR origen sin PAT

En este ejemplo, se describe cómo configurar un bloque de direcciones privadas en una sola dirección pública en un grupo de TDR fuente sin traducción de dirección de puerto.

Nota:

La PAT está habilitada de forma predeterminada para los grupos TDR fuente. Cuando el PAT está deshabilitado, la cantidad de traducciones que el grupo de TDR origen puede admitir al mismo tiempo se limita a la cantidad de direcciones del grupo. Los paquetes se descartan si no hay direcciones disponibles en el grupo TDR origen. Sin embargo, con esta opción, puede asignar más de una dirección IP privada a una sola dirección IP pública, siempre y cuando el tráfico sea desde address-shared distintos puertos de origen.

Requisitos

Antes de comenzar:

  1. Configure interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de zonas de seguridad.

Visión general

En este ejemplo, se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. La dirección IP de origen de los paquetes enviados desde la zona de confianza a la zona de no confianza se asignan a una sola dirección pública.

En este ejemplo se describen las siguientes configuraciones:

  • Grupo TDR origen que contiene la src-nat-pool-1 dirección IP 203.0.113.1/30. La port no-translation opción y la opción se especifican para el address shared grupo.

  • Regla TDR de origen establecida para que coincida con todos los paquetes desde rs1 la zona de confianza a la zona de no confianza. Para paquetes que coincidan, la dirección IP de origen se traduce a una dirección IP en el src-nat-pool-1 grupo.

  • Políticas de seguridad para permitir tráfico desde la zona de confianza a la zona de no confianza.

Configuración

Procedimiento

CLI configuración rápida

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar una asignación TDR origen desde un bloque de dirección privada a una sola dirección pública sin PAT:

  1. Cree un grupo de TDR origen con una sola dirección IP para la dirección compartida.

    Especifique la port no-translation opción.

  2. Especifique la address-shared opción.

  3. Cree un conjunto de reglas TDR origen.

  4. Configure una regla que coincida con los paquetes y traduce la dirección de origen a una dirección del grupo.

  5. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

Resultados

Desde el modo de configuración, escriba los comandos y para confirmar show security nat source pool show security policies su configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar dirección compartida

Propósito

Compruebe que dos direcciones IP internas, con puertos de origen diferentes, compartan una dirección IP externa.

Acción

Desde el modo operativo, escriba el show security nat source pool comando. Vea el campo Asignación de direcciones para comprobar que está compartido.

Verificar aplicación de dirección compartida al tráfico

Propósito

Compruebe que dos sesiones utilizan la misma dirección IP.

Acción

Desde el modo operativo, escriba el show security flow session comando.

Ejemplo: configurar varias direcciones en un grupo de TDR fuente sin PAT

En este ejemplo, se describe cómo configurar una asignación de TDR de origen de un bloque de dirección privada a un bloque de direcciones pública más pequeño sin traducción de dirección de puerto.

Nota:

La traducción de dirección de puerto está habilitada de forma predeterminada para los grupos TDR origen. Cuando la traducción de dirección de puerto está deshabilitada, la cantidad de traducciones que el grupo de TDR origen puede admitir al mismo tiempo se limita TDR la cantidad de direcciones del grupo. Los paquetes se descartan si no hay direcciones disponibles en el grupo TDR origen. Opcionalmente, puede especificar un grupo de inundación desde el que se asignan las direcciones IP y los números de puerto cuando no hay direcciones disponibles en el grupo de TDR origen original.

Requisitos

Antes de comenzar:

  1. Configure interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de zonas de seguridad.

Visión general

En este ejemplo, se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 7,la dirección IP de origen de los paquetes enviados desde la zona de confianza a la zona de no confianza se asigna a un bloque más pequeño de direcciones públicas en el intervalo del 203.0.113.1/32 al 203.0.113.24/32.

Gráfico 7: Fuente TDR múltiples direcciones sin PAT Source NAT Multiple Addresses Without PAT

En este ejemplo se describen las siguientes configuraciones:

  • Grupo TDR origen que contiene el intervalo de direcciones src-nat-pool-1 IP 203.0.113.1/32 a 203.0.113.24/32. La port no-translation opción se especifica para el grupo.

  • Regla TDR de origen establecida para que coincida con todos los paquetes desde rs1 la zona de confianza a la zona de no confianza. Para paquetes que coincidan, la dirección IP de origen se traduce a una dirección IP en el src-nat-pool-1 grupo.

  • ARP de proxy para las direcciones 203.0.113.1/32 a 203.0.113.24/32 en la interfaz ge-0/0/0.0. Esto permite que el Juniper Networks de seguridad responda a las solicitudes ARP recibidas en la interfaz para esas direcciones.

  • Políticas de seguridad para permitir tráfico desde la zona de confianza a la zona de no confianza.

Configuración

Procedimiento

CLI configuración rápida

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar una asignación de TDR origen desde un bloque de dirección privada a un bloque de direcciones pública más pequeño sin PAT:

  1. Cree un grupo de TDR fuente.

  2. Especifique la port no-translation opción.

  3. Cree un conjunto de reglas TDR origen.

  4. Configure una regla que coincida con los paquetes y traduce la dirección de origen a una dirección del grupo.

  5. Configure ARP de proxy.

  6. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

Resultados

Desde el modo de configuración, escriba los comandos y para confirmar show security nat show security policies su configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el uso del grupo TDR origen

Propósito

Compruebe que hay tráfico que usa direcciones IP del grupo de TDR origen.

Acción

Desde el modo operativo, escriba el show security nat source pool all comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico con direcciones IP del grupo.

Verificar el uso de TDR de origen

Propósito

Compruebe que hay tráfico que coincide con la regla de TDR origen.

Acción

Desde el modo operativo, escriba el show security nat source rule all comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar la aplicación TDR al tráfico

Propósito

Compruebe que TDR se aplica al tráfico especificado.

Acción

Desde el modo operativo, escriba el show security flow session comando.

Descripción de direcciones compartidas en grupos TDR fuente sin PAT

Los TDR de origen sin traducción de dirección de puerto realizan mapeos estáticos uno a uno desde una dirección IP de origen a una dirección IP externa. Cuando solo hay una dirección IP externa o muy pocas disponibles en un grupo de no pat de origen, la opción permite asignar muchas direcciones IP de origen a una dirección IP externa, siempre y cuando el tráfico proviene de puertos de origen address-shared diferentes.

Por ejemplo, si hay un grupo de TDR de origen sin traducción de puerto que contenga solo dos direcciones IP, IP 1 e IP 2, cuando un paquete llega de

  1. IP de origen 1, puerto 1, se traduce a IP 1, puerto 1.

  2. IP de origen 2, puerto 2, se traduce a IP 2, puerto 2.

  3. IP de origen 3, puerto 1, se traduce a IP 2, puerto 1. (No se puede traducir al puerto IP 1 1 porque ese puerto ya está usado.

    Sin embargo, si otro paquete llega del IP de origen 3, puerto 1 para un puerto y IP de destino diferentes, no se puede traducir a IP 1, puerto 1 o IP 2, puerto 1 porque el puerto 1 ya está usado para las dos direcciones IP disponibles. La sesión fallará.

Esta opción aumenta TDR recursos y mejora la posibilidad de configurar tráfico traducido exitoso. No se puede usar en grupos de TDR fuente con traducción de dirección de puerto, ya que el uso compartido de direcciones ya es su comportamiento predeterminado.

Descripción de TDR la perseverancia de la sesión

Traducción de direcciones de red (TDR) la perseverancia de la sesión proporciona un medio para conservar las sesiones existentes, en lugar de borrarlas, cuando hay cambios en la TDR configuración. Si se habilita la perseverancia de la sesión, las sesiones retenidas continúan procesando y reenviendo paquetes a medida que el tiempo y los recursos se utilizan de manera óptima para volver a generar las sesiones afectadas. Por lo tanto, el reenvío de paquetes no se detiene incluso si se cambia TDR configuración de la red para algunas o todas las sesiones.

A partir de Junos OS versión 18.3R1 continua, con el soporte para la perseverancia de una sesión TDR, el motor de reenvío de paquetes analiza las sesiones y decide si se mantienen o borrar las sesiones. En las versiones anteriores a Junos OS versión 18.3R1, las TDR activas se borrarán si hay un cambio en la TDR configuración.

El motor de reenvío de paquetes realiza los siguientes dos tipos de análisis para decidir si se conservan o se sueltan las sesiones:

  • Source NAT pool session persistence scan: el motor de reenvío de paquetes compara la dirección IP de sesión existente con el intervalo de direcciones de grupo de origen. Si la dirección IP de la sesión existente se encuentra en el intervalo de direcciones de grupo de origen especificado, la sesión se mantiene activa, de lo contrario, la sesión se borrará.

  • Source NAT rule session persistence scan: el motor de reenvío de paquetes el ID de regla para comparar la dirección IP de origen, el puerto de origen, la dirección IP de destino y el puerto de destino entre las configuraciones antigua y la nueva. Si las configuraciones nueva y antigua son las mismas, entonces la sesión se mantiene activa, de lo contrario, la sesión se borrará.

Nota:
  • TDR la perseverancia de sesión estática no se admite para las TDR estáticas y las rutas de TDR.

  • TDR se admite la perseverancia de la sesión si el grupo PAT está configurado con los campos de factor de sobrecarga de puerto, persistente, de dirección de origen, determinista de puerto, nat persistente y de agrupación de direcciones.

TDR la perseverancia de sesión solo se admite para los TDR origen en los siguientes casos:

  • Grupo de origen:cambio en un intervalo de direcciones en un grupo de traducción de direcciones de puerto (PAT).

  • Regla de origen:cambie en condiciones de coincidencia para la libreta de direcciones, la aplicación, la dirección IP de destino, el puerto de destino, la dirección IP de origen y la información del puerto de destino.

Para habilitar el análisis TDR la perseverancia de la sesión, incluya la session-persistence-scan instrucción en el nivel [edit security nat source] jerárquica.

También puede configurar un valor de tiempo de espera para conservar las sesiones para el período de tiempo especificado mediante set security nat source session-drop-hold-down el CLI comando. El valor de la session-drop-hold-down opción varía de 30 a 28 800 segundos (ocho horas). La sesión caduca después del período de tiempo de espera configurado.

Limitaciones de la TDR persistente de la sesión

  • Cuando hay un cambio en las direcciones IP en el grupo de origen de TDR, las direcciones IP recién configuradas se anexan al TDR de origen. Después de TDR se reconstruyó el grupo de origen, las nuevas direcciones IP no son las mismas que las direcciones IP existentes. Las diferencias en las direcciones IP del grupo de origen TDR afecta al modo de round robin de selección de direcciones IP del TDR de origen.

  • Si los tipos de análisis identifican sesiones que nunca se tendrán en tiempo de espera (es decir, las sesiones para las que el valor no está configurado o está configurado como 8 horas), el motor de reenvío de paquetes omite esas sesiones y se session-drop-hold-down conservan.

Configure el tamaño de asignación de bloques de puertos

Antes de comenzar:

Puede configurar la asignación de bloques de puertos seguros, la cual asigna bloques de puertos a TDR suscriptor. Con la asignación de bloques de puertos, generamos un registro syslog por conjunto de puertos asignados para un suscriptor. Utilice este procedimiento para configurar el tamaño de asignación del bloque de puertos.

  1. Configure las direcciones IPv4.
  2. Configure el valor del puerto inicial y final.
  3. Configure el tamaño de asignación del bloque de puertos.

    Si configura el tamaño de asignación del bloque de puertos menor que 8 en SRX5400, SRX5600 y SRX5800, el sistema mostrará el mensaje de warning: To save system memory, the block size is recommended to be no less than 8 advertencia.

    A partir de la versión 20.3R1 de Junos OS, puede configurar el tamaño de asignación del bloque de puertos en SRX300, SRX320, SRX340, SRX345, SRX380, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600. Para guardar la memoria del sistema, el tamaño recomendado de asignación de bloques de puertos es 64. Si configura el tamaño de asignación del bloque de puertos menor que 64, el sistema mostrará el mensaje de warning: To save system memory, the block size is recommended to be no less than 64 advertencia.

  4. Configure el tiempo de intervalo de registro intermedio.
  5. Configure el último valor de tiempo de espera del bloque de puertos.
  6. Confirmar la configuración
  7. Compruebe el valor de salida para block-size configurado.

Configurar el tiempo de espera TDR sesión y el análisis TDR de la perseverancia de la sesión

Esta configuración muestra cómo configurar el tiempo de espera de TDR sesión y la TDR continua de la sesión.

Configuring NAT Session Hold Timeout

La siguiente configuración muestra cómo configurar el tiempo de espera de TDR sesión.

  • Para establecer el período de TDR de espera de la sesión:

    El valor de la variable de tiempo varía de 30 a 28 800 segundos (ocho horas). La sesión caduca después del período de tiempo de espera configurado.

Results

Desde el modo de configuración, escriba el comando para confirmar su show security configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configuring NAT Session Persistence Scan

En la siguiente configuración, se muestra cómo configurar el análisis TDR de la perseverancia de la sesión.

  • Para habilitar el análisis TDR de la perseverancia de la sesión:

Results

Desde el modo de configuración, escriba el comando para confirmar su show security configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Descripción de TDR configuración de red en interfaces de salida después de reenrutar

La Traducción de direcciones de red configuración (TDR) suele cambiar para acomodar a más usuarios y mejorar la ruta más corta para transferir el tráfico. Si hay un cambio en la interfaz de salida debido a la reencarnación del tráfico, puede usar el comando para conservar los valores TDR set security flow enable-reroute-uniform-link-check nat configuración y regla existentes.

Cuando el enable-reroute-uniform-link-check nat comando está habilitado:

  • La sesión se conserva con la regla de TDR existente, si la nueva interfaz de salida y la interfaz de salida anterior se encuentran en la misma zona de seguridad y no hay ningún cambio en la regla de TDR coincidente o si no se aplica ninguna regla antes y después de volver TDR.

  • La sesión caduca si la nueva interfaz de salida y la interfaz de salida anterior se encuentran en la misma zona de seguridad y se cambia la regla de TDR coincidencia.

Cuando el enable-reroute-uniform-link-check nat comando está deshabilitado:

  • El tráfico se reenvía a la nueva interfaz de salida si la nueva interfaz de salida y la interfaz de salida anterior se encuentran en la misma zona de seguridad.

Configuration

Para habilitar la TDR configuración de una sesión existente cuando hay un cambio en la interfaz de salida debido a la reenlación, utilice el siguiente comando:

[edit]

user@host# set security flow enable-reroute-uniform-link-check nat

La nueva configuración se aplica cuando se confirman los cambios de configuración.

La enable-reroute-uniform-link-check nat command opción está deshabilitada de forma predeterminada.

Limitations

Conservar la configuración TDR con el set security flow enable-reroute-uniform-link-check nat comando tiene las siguientes limitaciones:

  • La sincronización tcp no permite que la nueva sesión transfiera el tráfico. Debe deshabilitar la sincronización TCP para permitir la transferencia de tráfico en nuevas sesiones.

  • Es posible que se pierda la información del paquete si se inicia una reenrutada después de un enlace de tres vías para inicializar la comunicación. Debe deshabilitar el marco de Junos OS services framework (JSF) como Capa de aplicación Gateway (ALG) para permitir la transferencia de tráfico en nuevas sesiones.

Tabla del historial de versiones
Lanzamiento
Descripción
17.4R1
A partir de la versión 17.4R1 de Junos OS, los recursos de TDR de origen que maneja la arquitectura de punto central se descargan a las SPC cuando el número de SPC es más de cuatro, lo que da como resultado una asignación de recursos más eficiente.
15.1X49-D30
A partir de Junos OS release 15.1X49-D30 y Junos OS Release 17.3R1, se mejoró la arquitectura de punto central de TDR para manejar una mayor capacidad de sesión del sistema y una tasa de aceleración de sesión para la línea SRX5000.
12.3X48-D40
En la versión 12.3X48-D40, y en la versión 15.1X49-D60 y versiones posteriores, puede aumentar la capacidad de puerto TDR de origen a 2,4G en dispositivos SRX5400, SRX5600 y SRX5800 con tarjetas de procesamiento de servicios (SPC) de origen mediante la instrucción de ampliación de puertos en el nivel de jerarquía [edit security nat source] compatible