EN ESTA PÁGINA
Descripción de las mejoras de la arquitectura de punto central para TDR
Ejemplo: Configurar TDR de origen para la traducción de interfaz de salida
Ejemplo: Configurar TDR de origen para la traducción de direcciones únicas
Ejemplo: Configuración de traducciones TDR de origen y destino
Descripción de direcciones persistentes para grupos TDR de origen
Ejemplo: Configuración de la capacidad para grupos TDR de origen con PAT
Descripción de los conjuntos TDR de origen con agrupación de direcciones
Descripción de los grupos de TDR de origen con cambios de direcciones
Ejemplo: Configuración de grupos TDR de origen con cambio de direcciones
Ejemplo: Configurar TDR de origen para varias direcciones con PAT
Ejemplo: Configurar una sola dirección IP en un grupo TDR de origen sin PAT
Ejemplo: Configuración de varias direcciones en un grupo TDR de origen sin PAT
Descripción de direcciones compartidas en grupos TDR de origen sin PAT
Configuración del tiempo de espera de sesión TDR y el análisis de persistencia de sesión TDR
Descripción de la comprobación de configuración de TDR en interfaces de salida después de reenrutar
TDR de origen
El TDR de origen se utiliza con mayor frecuencia para traducir la dirección IP privada a una dirección pública enrutable para comunicarse con el host. TDR de origen cambia la dirección de origen de los paquetes que pasan por el enrutador. Un conjunto TDR es un conjunto de direcciones diseñado como reemplazo de las direcciones IP del cliente. Para obtener más información, consulte los temas siguientes:
Descripción de TDR de origen
TDR de origen es la traducción de la dirección IP de origen de un paquete que sale del dispositivo de Juniper Networks. El TDR de origen se utiliza para permitir que los hosts con direcciones IP privadas accedan a una red pública.
El TDR de origen permite que las conexiones se inicien solo para conexiones de red de salida, por ejemplo, desde una red privada hasta Internet. El TDR fuente se utiliza comúnmente para realizar las siguientes traducciones:
Traducir una sola dirección IP a otra dirección (por ejemplo, para proporcionar un solo dispositivo en una red privada con acceso a Internet).
Traduzca un bloque contigua de direcciones a otro bloque de direcciones del mismo tamaño.
Traduzca un bloque contigua de direcciones a otro bloque de direcciones de menor tamaño.
Traduzca un bloque contigua de direcciones a una sola dirección IP o a un bloque más pequeño de direcciones mediante la traducción de puertos.
Traduzca un bloque contigua de direcciones a la dirección de la interfaz de salida.
La traducción a la dirección de la interfaz de salida no requiere un conjunto de direcciones; el resto de las traducciones TDR de origen requieren la configuración de un conjunto de direcciones. Las traducciones uno a uno y muchas a muchas para bloques de direcciones del mismo tamaño no requieren traducción de puerto, ya que hay una dirección disponible en el grupo para cada dirección que se traduciría.
Si el tamaño del conjunto de direcciones es menor que el número de direcciones que se traducirían, el número total de direcciones simultáneas que se pueden traducir está limitado por el tamaño del conjunto de direcciones o la traducción de puertos que se deben utilizar. Por ejemplo, si un bloque de 253 direcciones se traduce a un conjunto de direcciones de 10 direcciones, se pueden conectar simultáneamente un máximo de 10 dispositivos, a menos que se utilice la traducción de puertos.
Se admiten los siguientes tipos de TDR de origen:
Traducción de la dirección IP original de origen a la dirección IP de la interfaz de salida (también llamada TDR de interfaz). La traducción de direcciones de puerto siempre se realiza.
Traducción de la dirección IP original a una dirección IP desde un conjunto de direcciones definidas por el usuario sin traducción de direcciones de puerto. La asociación entre la dirección IP de origen original con la dirección IP de origen traducida es dinámica. Sin embargo, una vez que hay una asociación, se utiliza la misma asociación para la misma dirección IP de origen original para el tráfico nuevo que coincide con la misma regla TDR.
Traducción de la dirección IP original a una dirección IP desde un conjunto de direcciones definidas por el usuario con traducción de direcciones de puerto. La asociación entre la dirección IP de origen original con la dirección IP de origen traducida es dinámica. Incluso si existe una asociación, la misma dirección IP de origen original se puede traducir a una dirección diferente para tráfico nuevo que coincida con la misma regla TDR.
Traducción de la dirección IP original a una dirección IP desde un conjunto de direcciones definidas por el usuario mediante el cambio de las direcciones IP. Este tipo de traducción es uno a uno, estática y sin traducción de direcciones de puerto. Si el rango de direcciones IP de origen original es mayor que el intervalo de direcciones IP del grupo definido por el usuario, se pierden los paquetes no traducidos.
Descripción de las mejoras de la arquitectura de punto central para TDR
La capacidad de sesión del sistema y la velocidad de aumento de sesión están limitadas por la capacidad de memoria de punto central y la capacidad de LA CPU. A partir de Junos OS versión 15.1X49-D30 y Junos OS versión 17.3R1, la arquitectura de punto central para TDR se ha mejorado para manejar una mayor capacidad de sesión del sistema y una velocidad de aumento de sesión para la línea SRX5000. Por lo tanto, la carga de trabajo en el punto central se reduce para aumentar la capacidad de sesión y para admitir más sesiones para lograr conexiones por segundo más altas (CPS). A partir de Junos OS versión 17.4R1, los recursos TDR de origen gestionados por la arquitectura del punto central se descargaron a las SPU cuando el número de SPC es más de cuatro, lo que resulta en una asignación de recursos más eficiente. En la siguiente lista se describen las mejoras de TDR para mejorar el rendimiento:
La arquitectura de punto central ya no admite sesiones de punto central. Por lo tanto, TDR necesita mantener un rastreador TDR para rastrear la dirección IP o la asignación y el uso de puertos. El rastreador TDR es una matriz global para el ID de sesión de SPU a la IP o a la asignación de puertos TDR que se utiliza para administrar los recursos de TDR.
De forma predeterminada, se envía una alarma de regla TDR y un mensaje de actualización del contador de estadísticas de captura desde la Unidad de procesamiento de servicios (SPU) al punto central en intervalos de 1 segundo, en lugar de actualizar las estadísticas según cada desencadenador de sesión en el sistema de puntos central.
Para admitir una dirección IP TDR específica o un puerto asignado de tal manera que el hash de 5-tupla después de TDR sea el mismo que el hash original de 5-tupla antes de TDR, seleccione un puerto TDR que resulte en el mismo hash que el hash original mediante el cálculo específico. Por lo tanto, se reduce la sesión de reenvío. Cuando se utiliza TDR, el ala inversa se hasha a una SPU diferente. Se debe instalar una sesión de reenvío para reenviar tráfico inverso a una SPU de sesión. TDR intenta seleccionar un puerto que puede usar el algoritmo hash para hacer que el ala inversa se hashe a la misma SPU que el ala inicial. Por lo tanto, tanto el rendimiento de TDR como la transferencia de datos mejoran con este enfoque.
Para mejorar el rendimiento de TDR, la administración del conjunto de cambios de IP (conjunto que no es PAT) se mueve del punto central a la SPU, de modo que todos los recursos TDR locales para ese grupo se administren localmente en lugar de enviar la solicitud TDR al punto central. Por lo tanto, se mejoran las conexiones del grupo TDR que cambian de dirección IP por segundo y la transferencia de datos.
Optimización del rendimiento de TDR de origen
El TDR de origen se puede optimizar según las necesidades de funcionalidad y rendimiento.
- Modo de aleatorización de puertos (predeterminado)
- Modo de 400 millones de personas
- Modo de afinidad de sesión
Modo de aleatorización de puertos (predeterminado)
Para TDR de origen basado en agrupación y TDR de interfaz, el modo de aleatorización de puerto se habilita y se usa de forma predeterminada.
En este modo, el dispositivo selecciona las direcciones IP en una base de rotación y la selección de puerto es aleatoria. Es decir, cuando el dispositivo realiza la traducción TDR, primero elige la dirección IP por round robin y, luego, elige el puerto utilizado para esa dirección IP mediante aleatorización.
Aunque la asignación aleatoria de números de puerto puede proporcionar protección contra amenazas de seguridad, como ataques venenosos de DNS, también puede afectar el rendimiento y el uso de memoria debido a los cálculos y los recursos de tabla TDR involucrados.
Modo de 400 millones de personas
Un método de traducción TDR que consume menos recursos implica usar solo el método de asignación de round-robin. Mientras que la aleatorización requiere trabajo computacional para cada puerto asignado, el método de round robin simplemente selecciona puertos secuencialmente.
En este modo, el dispositivo selecciona tanto las direcciones IP como los puertos en una base de round-robin. Es decir, cuando el dispositivo realiza la traducción TDR, primero elige la dirección IP por round robin, luego elige el puerto utilizado para esa dirección IP por round robin.
Por ejemplo, si el grupo de origen contiene solo una dirección IP:
Cuando llega el primer paquete de un flujo (creando una sesión), se traduce a IP1, puerto N. Los paquetes subsiguientes en ese flujo se asignan al mismo IP/puerto.
Cuando llega el primer paquete de un nuevo flujo, se traduce a IP1, el puerto N+1, etc.
Si el grupo de origen contiene dos direcciones IP:
Cuando llega el primer paquete de un flujo (creando una sesión), se traduce a IP1, puerto X. Los paquetes subsiguientes en ese flujo se asignan al mismo IP/puerto.
Cuando llega el primer paquete de un segundo flujo, se traduce a IP2, puerto X.
Cuando llega el primer paquete de un tercer flujo, se traduce a IP1, puerto X+1.
Con los primeros paquetes de un cuarto flujo llega, se traduce a IP2, puerto X+ 1, etc.
Configuración
El modo de round-robin está habilitado de forma predeterminada, sin embargo, el modo de aleatorización de puertos (también habilitado) tiene mayor prioridad. Para usar el modo de rotación, desactive el modo de aleatorización de puertos de mayor prioridad, de la siguiente manera:
user@host# set security nat source port-randomization disable
Para deshabilitar el modo de round-robin (y volver a habilitar la aleatorización de puertos), elimine la instrucción de configuración de la siguiente manera:
user@host# delete security nat source port-randomization disable
Modo de afinidad de sesión
A partir de Junos OS versión 15.1X49-D30 y Junos OS versión 17.3R1, puede mejorar aún más el rendimiento y la transferencia de datos de TDR en dispositivos de la serie SRX5000 mediante el modo de "afinidad de sesión".
Con los modos señalados anteriormente, una sesión determinada es procesada por la SPU entrante basada en un hash de 5 tuplas (IP de origen, IP dest, puerto fuente, puerto dest, protocolo). Cuando se trata de TDR, el hash de 5 tuplas será diferente para la parte saliente de la sesión en comparación con la parte de retorno de la sesión. Por lo tanto, la información de la sesión TDR saliente puede encontrarse en una SPU, mientras que la información de sesión TDR de retorno (inversa) puede encontrarse en otra SPU. El objetivo del modo de afinidad de sesión es mantener la información de la sesión de reenvío tanto para el tráfico saliente como para el de retorno en la misma SPU.
En este modo, el dispositivo utiliza un algoritmo de traducción de "mejora de TDR inverso" para la selección de IP y puerto, para mejorar el rendimiento de las sesiones de TDR y la transferencia de datos. El módulo TDR intenta seleccionar una dirección IP y un puerto que se pueden usar con el algoritmo hash para garantizar que la SPU seleccionada para los elementos de flujo de salida y retorno pueda ser idéntica.
Configuración
El modo de afinidad de sesión está habilitado de forma predeterminada, sin embargo, tanto la aleatorización de puertos como los modos de rotación (también habilitados) tienen mayor prioridad. Para usar el modo de afinidad de sesión, desactive los modos de aleatorización de puertos y de rotación, de la siguiente manera:
user@host# set security nat source port-randomization disable user@host# set security nat source port-round-robin disable
Para deshabilitar el modo de afinidad de sesión y volver a habilitar el modo de round-robin o de aleatorización de puertos, elimine una o ambas instrucciones de configuración, de la siguiente manera:
user@host# delete security nat source port-round-robin disable user@host# delete security nat source port-randomization disable
Notas de uso
Las notas y pautas para el modo de afinidad de sesión incluyen:
Utilice grupos de puertos TDR grandes siempre que sea posible (consulte Consideraciones de seguridad a continuación)
El algoritmo elige un puerto dentro del intervalo de puertos configurado. Si no hay ningún puerto disponible, el puerto TDR se asignará según la selección aleatoria.
TDR estático y TDR de destino no pueden usar el modo de afinidad.
Consideraciones de seguridad
Aunque la afinidad de sesión mejora el rendimiento al consolidar las sesiones de reenvío, disminuye la seguridad hasta cierto punto, ya que el algoritmo selecciona la dirección IP y el puerto en función de un algoritmo predefinido con parámetros específicos, en lugar de la aleatorización pura. Dicho esto, el hecho de que generalmente haya varios puertos elegibles para que el algoritmo elija, por lo que todavía hay algún grado de aleatorización.
La mejor manera de mitigar el riesgo de seguridad es asegurarse de que el número de puerto de origen utilizado sea menos predecible. Es decir, cuanto mayor sea el intervalo de recursos del grupo TDR del que se seleccionan los puertos efímeros, menores son las posibilidades de que un atacante adivine el número de puerto seleccionado. Dado esto, se recomienda configurar grupos de puertos TDR grandes siempre que sea posible.
Monitoreo de la información de TDR de origen
Propósito
Muestra información configurada sobre las reglas de traducción de direcciones de red (TDR) de origen, conjuntos, TDR persistente y direcciones emparejadas.
Acción
Seleccione Monitor>NAT>Source TDR en la interfaz de usuario de J-Web o escriba los siguientes comandos de CLI:
muestra el resumen de origen de nat de seguridad
muestra el conjunto de fuentes nat de seguridad pool-name
mostrar seguridad nat fuente persistente-nat-table
muestra la dirección emparejada de origen NAT de seguridad
En la tabla 1 se describen las opciones disponibles para supervisar TDR de origen.
Campo |
Descripción |
Acción |
---|---|---|
Reglas | ||
Nombre del conjunto de reglas |
Nombre del conjunto de reglas. |
Seleccione todos los conjuntos de reglas o un conjunto de reglas específico para mostrar en la lista. |
Reglas totales |
Número de reglas configuradas. |
– |
ID |
Número de ID de regla. |
– |
Nombre |
Nombre de la regla . |
– |
De |
Nombre de la instancia/zona/interfaz de enrutamiento desde la que fluye el paquete. |
– |
Para |
Nombre de la instancia/zona/interfaz de enrutamiento a la que fluye el paquete. |
– |
Rango de direcciones de origen |
Rango de direcciones IP de origen en el grupo de origen. |
– |
Rango de direcciones de destino |
Rango de direcciones IP de destino en el grupo de origen. |
– |
Puertos de origen |
Números de puerto de origen. |
– |
Protocolo IP |
Protocolo IP. |
– |
Acción |
Acción realizada para un paquete que coincide con una regla. |
– |
Tipo TDR persistente |
Tipo TDR persistente. |
– |
Tiempo de espera de inactividad |
Intervalo de tiempo de espera de inactividad para el enlace TDR persistente. |
– |
Umbral de alarma |
Umbral de alarma de utilización. |
|
Número máximo de sesión |
Número máximo de sesiones. |
– |
Sesiones (Succ/Failed/Current) |
Sesiones exitosas, fallidas y actuales.
|
– |
Éxitos de la traducción |
Número de veces que se utiliza una traducción en la tabla de traducción para una regla TDR de origen. |
– |
Piscinas | ||
Nombre del grupo |
Los nombres de los grupos. |
Seleccione todos los grupos o una agrupación específica para mostrar en la lista. |
Total de grupos |
Total de conjuntos agregados. |
– |
ID |
ID del grupo. |
– |
Nombre |
Nombre del grupo de origen. |
– |
Rango de direcciones |
Rango de direcciones IP en el grupo de origen. |
– |
Puertos únicos o gemelos |
Número de puertos únicos y gemelos asignados. |
– |
Puerto |
Número de puerto de origen en el grupo. |
– |
Asignación de direcciones |
Muestra el tipo de asignación de direcciones. |
– |
Umbral de alarma |
Umbral de alarma de utilización. |
– |
Factor de sobrecarga de puertos |
Capacidad de sobrecarga de puertos. |
– |
Instancia de enrutamiento |
Nombre de la instancia de enrutamiento. |
– |
Direcciones totales |
Dirección IP total, conjunto de direcciones IP o entrada de la libreta de direcciones. |
– |
Base de direcciones de host |
Dirección de base de host del intervalo de direcciones IP de origen original. |
– |
Éxitos de la traducción |
Número de veces que se utiliza una traducción en la tabla de traducción para TDR de origen. |
– |
Los 10 principales éxitos de traducción | ||
Gráfico |
Muestra el gráfico de los 10 principales aciertos de la traducción. |
– |
TDR persistente | ||
Estadísticas de tabla TDR persistente | ||
total de enlace |
Muestra el número total de enlaces TDR persistentes para la FPC. |
– |
enlace en uso |
Número de enlaces TDR persistentes que están en uso para la FPC. |
– |
enode total |
Número total de enodos TDR persistentes para la FPC. |
– |
enode en uso |
Número de enodos TDR persistentes que están en uso para la FPC. |
– |
Tabla TDR persistente | ||
Grupo TDR de origen |
Nombre del grupo. |
Seleccione todos los grupos o una agrupación específica para mostrar en la lista. |
IP interna |
Dirección IP interna. |
Seleccione todas las direcciones IP o una dirección IP específica para mostrar en la lista. |
Puerto interno |
Muestra los puertos internos configurados en el sistema. |
Seleccione el puerto que desea mostrar en la lista. |
Protocolo interno |
Protocolos internos . |
Seleccione todos los protocolos o un protocolo específico para mostrar en la lista. |
IP interna |
Dirección IP de transporte interno de la sesión saliente de interna a externa. |
– |
Puerto interno |
Número de puerto de transporte interno de la sesión saliente de interna a externa. |
– |
Protocolo interno |
Protocolo interno de la sesión saliente de interna a externa. |
– |
IP reflectiva |
Dirección IP traducida de la dirección IP de origen. |
– |
Puerto reflectante |
Muestra el número traducido del puerto. |
– |
Protocolo reflectivo |
Protocolo traducido. |
– |
Grupo TDR de origen |
Nombre del grupo TDR de origen en el que se utiliza TDR persistente. |
– |
Tipo |
Tipo TDR persistente. |
– |
Tiempo de izquierda/Tiempo de conf |
Tiempo de espera de inactividad que permanece y el valor configurado del tiempo de espera. |
– |
Número de sesión actual/Número máximo de sesión |
Número de sesiones actuales asociadas con el enlace TDR persistente y el número máximo de sesiones. |
– |
Regla TDR de origen |
Nombre de la regla TDR de origen a la que se aplica este enlace TDR persistente. |
– |
Tabla de nodos externos | ||
IP interna |
Dirección IP de transporte interno de la sesión saliente de interna a externa. |
– |
Puerto interno |
Número de puerto interno de la sesión saliente de interno a externo. |
– |
IP externa |
Dirección IP externa de la sesión saliente de interna a externa. |
– |
Puerto externo |
Puerto externo de la sesión saliente de interna a externa. |
– |
Zona |
Zona externa de la sesión saliente de interna a externa. |
– |
Dirección emparejada | ||
Nombre del grupo |
Nombre del grupo. |
Seleccione todos los grupos o una agrupación específica para mostrar en la lista. |
Dirección especificada |
Dirección IP. |
Seleccione todas las direcciones, o seleccione la dirección IP interna o externa que se mostrará, y escriba la dirección IP. |
Nombre del grupo |
Muestra el grupo o agrupaciones seleccionados. |
– |
Dirección interna |
Muestra la dirección IP interna. |
– |
Dirección externa |
Muestra la dirección IP externa. |
– |
Uso de recursos | ||
Utilización de todos los grupos de origen | ||
Nombre del grupo |
Nombre del grupo. |
Para ver información de uso adicional para conjuntos de traducción de direcciones de puerto (PAT), seleccione un nombre de grupo. La información se muestra en Detalle de la utilización del puerto para el grupo especificado. |
Tipo de piscina |
Tipo de piscina: PAT o No PAT. |
– |
Factor de sobrecarga de puertos |
Capacidad de sobrecarga de puertos para grupos DE PAT. |
– |
Dirección |
Direcciones en el grupo. |
– |
Utilizado |
Número de recursos utilizados en el grupo. Para grupos no PAT, se muestra el número de direcciones IP usadas. En el caso de los grupos de PAT, se muestra el número de puertos utilizados. |
– |
Disponible |
Número de recursos disponibles en el grupo. En el caso de los grupos que no son PAT, se muestra la cantidad de direcciones IP disponibles. En el caso de los conjuntos de PAT, se muestra la cantidad de puertos disponibles. |
– |
Total |
Número de recursos utilizados y disponibles en el grupo. Para grupos no PAT, se muestra la cantidad total de direcciones IP usadas y disponibles. En el caso de los conjuntos de PAT, se muestra la cantidad total de puertos utilizados y disponibles. |
– |
Uso |
Porcentaje de recursos utilizados. En el caso de los grupos que no son PAT, se muestra el porcentaje de direcciones IP utilizadas. En el caso de los conjuntos de PAT, se muestra el porcentaje de puertos, incluidos los puertos únicos y gemelos. |
– |
Uso máximo |
Porcentaje de recursos utilizados durante la fecha y hora pico. |
– |
Detalle de la utilización del puerto para un grupo especificado | ||
Nombre de la dirección |
Direcciones IP en el conjunto de PAT. |
Seleccione la dirección IP para la que desea mostrar información de uso detallada. |
Índice de factores |
Número de índice. |
– |
Rango de puertos |
Muestra el número de puertos asignados a la vez. |
– |
Utilizado |
Muestra el número de puertos utilizados. |
– |
Disponible |
Muestra la cantidad de puertos disponibles. |
– |
Total |
Muestra el número de puertos utilizados y disponibles. |
– |
Uso |
Muestra el porcentaje de puertos utilizados durante la fecha y hora máxima. |
– |
Descripción general de la configuración de TDR de origen
Las principales tareas de configuración de TDR de origen son las siguientes:
Ejemplo: Configurar TDR de origen para la traducción de interfaz de salida
En este ejemplo se describe cómo configurar una asignación TDR de origen de direcciones privadas a la dirección pública de una interfaz de salida.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asigne interfaces. Consulte Descripción de zonas de seguridad.
Visión general
En este ejemplo, se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 1, los dispositivos con direcciones privadas en la zona de confianza acceden a una red pública a través de la interfaz de salida ge-0/0/0. Para los paquetes que ingresan al dispositivo de seguridad de Juniper Networks desde la zona de confianza con una dirección de destino en la zona de no confianza, la dirección IP de origen se traduce a la dirección IP de la interfaz de salida.
No se requiere ningún grupo TDR de origen para el uso de una interfaz de salida. No es necesario configurar el ARP de proxy para la interfaz de salida.
En este ejemplo, se describen las siguientes configuraciones:
Conjunto de reglas TDR de origen
rs1
con una reglar1
que coincida con cualquier paquete de la zona de confianza a la zona de no confianza. Para los paquetes coincidentes, la dirección de origen se traduce a la dirección IP de la interfaz de salida.Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat interface set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar una traducción TDR de origen en una interfaz de salida:
Cree un conjunto de reglas TDR de origen.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de origen a la dirección de la interfaz de salida.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat interface
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies
para confirmar la show security nat
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address 0.0.0.0/0; destination-address 0.0.0.0/0; } then { source-nat { interface; } } } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar el uso de la regla de TDR de origen
Propósito
Compruebe que el tráfico coincide con la regla TDR de origen.
Acción
Desde el modo operativo, ingrese el show security nat source rule all
comando. Vea el campo de impactos de traducción para comprobar si el tráfico coincide con la regla.
Ejemplo: Configurar TDR de origen para la traducción de direcciones únicas
En este ejemplo se describe cómo configurar una asignación TDR de origen de una única dirección privada a una dirección pública.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asigne interfaces. Consulte Descripción de zonas de seguridad.
Visión general
En este ejemplo, se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 2, un dispositivo con la dirección privada 192.168.1.200 en la zona de confianza accede a una red pública. Para los paquetes enviados por el dispositivo a una dirección de destino en la zona de no confianza, el dispositivo de seguridad de Juniper Networks traduce la dirección IP de origen a la dirección IP pública 203.0.113.200/32.
En este ejemplo, se describen las siguientes configuraciones:
Grupo TDR de origen
src-nat-pool-1
que contiene la dirección IP 203.0.113.200/32.Conjunto de reglas TDR de origen
rs1
con reglar1
para hacer coincidir paquetes de la zona de confianza con la zona de no confianza con la dirección IP de origen 192.168.1.200/32. Para los paquetes coincidentes, la dirección de origen se traduce a la dirección IP delsrc-nat-pool-1
grupo.ARP de proxy para la dirección 203.0.113.200 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esa dirección.
Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security nat source pool src-nat-pool-1 address 203.0.113.200/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 192.168.1.200/32 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar una traducción TDR de origen para una única dirección IP:
Cree un grupo TDR de origen.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.200/32
Cree un conjunto de reglas TDR de origen.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de origen a la dirección del grupo.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.168.1.200/32 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure el ARP de proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies
para confirmar la show security nat
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.200/32; } } rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address 192.168.1.200/32; } then { source-nat { pool { src-nat-pool-1; } } } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.200/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar el uso del grupo TDR de origen
- Verificar el uso de la regla de TDR de origen
- Verificar la aplicación TDR al tráfico
Verificar el uso del grupo TDR de origen
Propósito
Compruebe que hay tráfico que usa direcciones IP del grupo TDR de origen.
Acción
Desde el modo operativo, ingrese el show security nat source pool all
comando. Vea el campo de impactos de traducción para comprobar si hay tráfico que usa direcciones IP del grupo.
Verificar el uso de la regla de TDR de origen
Propósito
Compruebe que el tráfico coincide con la regla TDR de origen.
Acción
Desde el modo operativo, ingrese el show security nat source rule all
comando. Vea el campo de impactos de traducción para comprobar si el tráfico coincide con la regla.
Ejemplo: Configuración de traducciones TDR de origen y destino
En este ejemplo se describe cómo configurar las asignaciones TDR de origen y destino.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asigne interfaces. Consulte Descripción de zonas de seguridad.
Visión general
En este ejemplo, se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 3, se realizan las siguientes traducciones en el dispositivo de seguridad de Juniper Networks:
La dirección IP de origen en paquetes enviados por el dispositivo con la dirección privada 192.168.1.200 en la zona de confianza a cualquier dirección en la zona de no confianza se traduce a una dirección pública en el intervalo de 203.0.113.10 a 203.0.113.14.
La dirección IP de destino 203.0.113.100/32 en paquetes enviados desde la zona de confianza a la zona de no confianza se traduce a la dirección 10.1.1.200/32.
En este ejemplo, se describen las siguientes configuraciones:
Agrupación TDR de
src-nat-pool-1
origen que contiene el intervalo de direcciones IP 203.0.113.10 a 203.0.113.14.Conjunto de reglas TDR de origen
rs1
con reglar1
que coincide con cualquier paquete de la zona de confianza a la zona de no confianza. Para los paquetes coincidentes, la dirección de origen se traduce a una dirección IP en elsrc-nat-pool-1
grupo.Grupo TDR de
dst-nat-pool-1
destino que contiene la dirección IP 10.1.1.200/32.Conjunto
rs1
de reglas TDR de destino con reglar1
para hacer coincidir paquetes de la zona de confianza con la dirección IP de destino 203.0.113.100. Para los paquetes coincidentes, la dirección de destino se traduce a la dirección IP deldst-nat-pool-1
grupo.ARP de proxy para las direcciones 203.0.113.10 a 203.0.113.14 y 203.0.113.100/32 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes de ARP recibidas en la interfaz para esas direcciones.
Política de seguridad para permitir el tráfico desde la zona de confianza hasta la zona de no confianza.
Política de seguridad para permitir el tráfico desde la zona de no confianza hasta las direcciones IP de destino traducidas en la zona de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security nat source pool src-nat-pool-1 address 203.0.113.10/32 to 203.0.113.14/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat destination pool dst-nat-pool-1 address 10.1.1.200/32 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.100/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.10/32 to 203.0.113.24/32 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.100/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security address-book global address dst-nat-pool-1 10.1.1.200/32 set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match destination-address dst-nat-pool-1 set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar las traducciones TDR de origen y destino:
Cree un grupo TDR de origen.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.10 to 203.0.113.14
Cree un conjunto de reglas TDR de origen.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure una regla que coincida con paquetes y traduzca la dirección de origen a una dirección del conjunto TDR de origen.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Cree un grupo TDR de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 10.1.1.200/32
Cree un conjunto de reglas TDR de destino.
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
Configure una regla que coincida con paquetes y traduzca la dirección de destino a la dirección del grupo TDR de destino.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.100/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configure el ARP de proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.10 to 203.0.113.14 user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.100
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Configure una dirección en la libreta de direcciones global.
[edit security address-book global] user@host# set address dst-nat-pool-1 10.1.1.200/32
Configure una política de seguridad que permita el tráfico desde la zona de no confianza a la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-1-access match source-address any destination-address dst-nat-pool-1 application any user@host# set policy dst-nat-pool-1-access then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies
para confirmar la show security nat
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.10/32 to 203.0.113.14/32; } } rule-set rs1 { to zone untrust; rule r1 { match { source-address 0.0.0.0/0; destination-address 0.0.0.0/0; } then { source-nat { pool { src-nat-pool-1; } } } } } } destination { pool dst-nat-pool-1 { address 10.1.1.200/32; } rule-set rs1 { from zone untrust; rule r1 { match { destination-address 203.0.113.100/32; } then { destination-nat pool dst-nat-pool-1; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.10/32 to 203.0.113.14/32; 203.0.113.100/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } } policy internet-access { then { permit; } } } from-zone untrust to-zone trust { policy dst-nat-pool-1-access { match { source-address any; destination-address dst-nat-pool-1; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar el uso del grupo TDR de origen
- Verificar el uso de la regla de TDR de origen
- Verificar el uso del grupo de TDR de destino
- Verificar el uso de la regla de TDR de destino
- Verificar la aplicación TDR al tráfico
Verificar el uso del grupo TDR de origen
Propósito
Compruebe que hay tráfico que usa direcciones IP del grupo TDR de origen.
Acción
Desde el modo operativo, ingrese el show security nat source pool all
comando. Vea el campo de impactos de traducción para comprobar si hay tráfico que usa direcciones IP del grupo.
Verificar el uso de la regla de TDR de origen
Propósito
Compruebe que el tráfico coincide con la regla TDR de origen.
Acción
Desde el modo operativo, ingrese el show security nat source rule all
comando. Vea el campo de impactos de traducción para comprobar si el tráfico coincide con la regla.
Verificar el uso del grupo de TDR de destino
Propósito
Compruebe que hay tráfico mediante direcciones IP del grupo TDR de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination pool all
comando. Vea el campo de impactos de traducción para comprobar si hay tráfico que usa direcciones IP del grupo.
Verificar el uso de la regla de TDR de destino
Propósito
Compruebe que hay tráfico que coincide con la regla TDR de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination rule all
comando. Vea el campo de impactos de traducción para comprobar si el tráfico coincide con la regla.
Descripción de las reglas de TDR de origen
Las reglas TDR de origen especifican dos capas de condiciones de coincidencia:
Dirección de tráfico: le permite especificar combinaciones de
from interface
,from zone
ofrom routing-instance
yto interface
,to zone
, oto routing-instance
. No puede configurar los mismos contextos yto
los contextosfrom
para diferentes conjuntos de reglas.Información de paquetes: puede ser direcciones o subredes IP de origen y destino, números de puerto de origen o rangos de puertos, números de puerto de destino o rangos de puertos, protocolos o aplicaciones.
Para todo el tráfico ALG, excepto FTP, recomendamos no usar la source-port
opción de regla. La creación de la sesión de datos puede fallar si se utiliza esta opción porque la dirección IP y el valor del puerto de origen, que es un valor aleatorio, pueden no coincidir con la regla.
Además, recomendamos que no utilice la opción o la destination-port
opción como condiciones coincidentes para el application
tráfico ALG. Si se utilizan estas opciones, la traducción puede fallar porque el valor de puerto en la carga de la aplicación puede no coincidir con el valor de puerto en la dirección IP.
Si varias reglas TDR de origen se superponen en las condiciones de coincidencia, se elige la regla más específica. Por ejemplo, si las reglas A y B especifican las mismas direcciones IP de origen y destino, pero la regla A especifica el tráfico de la zona 1 a la zona 2 y la regla B especifica el tráfico de la zona 1 a la interfaz ge-0/0/0, la regla B se utiliza para realizar TDR de origen. Se considera que una coincidencia de interfaz es más específica que una coincidencia de zona, que es más específica que una coincidencia de instancia de enrutamiento.
Las acciones que puede especificar para una regla TDR de origen son:
off— No realice TDR de origen.
agrupación: utilice el conjunto de direcciones definidas por el usuario especificado para realizar TDR de origen.
interfaz: utilice la dirección IP de la interfaz de salida para realizar TDR de origen.
Las reglas TDR de origen se aplican al tráfico del primer paquete que se procesa para el flujo o en la ruta rápida para ALG. Las reglas de TDR de origen se procesan después de las reglas TDR estáticas, las reglas de TDR de destino y la asignación inversa de reglas TDR estáticas y después de la búsqueda de las políticas de ruta y seguridad.
Cuando las zonas no están configuradas bajo el conjunto de reglas y cuando el TDR de origen activo está configurado con la instrucción obligatoria "desde" faltante, se muestra el siguiente mensaje al realizar la confirmación "Falta instrucción obligatoria: 'desde' error: error: error de salida de configuración" y la desprotegida de configuración falla.
Ejemplo: Configurar TDR de origen con varias reglas
En este ejemplo se describe cómo configurar asignaciones TDR de origen con varias reglas.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asigne interfaces. Consulte Descripción de zonas de seguridad.
Visión general
En este ejemplo, se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 4, se realizan las siguientes traducciones en el dispositivo de seguridad de Juniper Networks para la asignación TDR de origen para el tráfico desde la zona de confianza a las zonas de no confianza:
La dirección IP de origen de los paquetes enviados por las subredes 10.1.1.0/24 y 10.1.2.0/24 a cualquier dirección de la zona de no confianza se traduce a una dirección pública en el rango de 192.0.2.1 a 192.0.2.24 con traducción de puerto.
La dirección IP de origen de los paquetes enviados por la subred 192.168.1.0/24 a cualquier dirección en la zona de no confianza se traduce a una dirección pública en el rango de 192.0.2.100 a 192.0.2.249 sin traducción de puerto.
La dirección IP de origen en paquetes enviados por el dispositivo host 192.168.1.250/32 no se traduce.
En este ejemplo, se describen las siguientes configuraciones:
Grupo TDR de origen
src-nat-pool-1
que contiene el intervalo de direcciones IP 192.0.2.1 a 192.0.2.24.Grupo TDR de origen
src-nat-pool-2
que contiene el intervalo de direcciones IP 192.0.2.100 a 192.0.2.249, con traducción de dirección de puerto deshabilitada.Nota:Cuando la traducción de direcciones de puerto está deshabilitada, el número de traducciones que el grupo TDR de origen puede admitir al mismo tiempo se limita al número de direcciones del grupo, a menos que la
address-shared
opción esté habilitada. Los paquetes se pierden si no hay direcciones disponibles en el conjunto TDR de origen. Opcionalmente, puede especificar un conjunto de desbordamientos desde el cual se asignan direcciones IP y números de puerto cuando no hay direcciones disponibles en el grupo TDR de origen original.Conjunto de reglas TDR de origen
rs1
para que coincidan con paquetes de la zona de confianza con la zona de no confianza. El conjuntors1
de reglas contiene varias reglas:Regla
r1
para hacer coincidir paquetes con una dirección IP de origen en las subredes 10.1.1.0/24 o 10.1.2.0/24. Para los paquetes coincidentes, la dirección de origen se traduce a una dirección IP en elsrc-nat-pool-1
grupo.Regla
r2
para hacer coincidir paquetes con una dirección IP de origen de 192.168.1.250/32. Para los paquetes coincidentes, no se realiza ninguna traducción TDR.Regla
r3
para hacer coincidir paquetes con una dirección IP de origen en la subred 192.168.1.0/24. Para los paquetes coincidentes, la dirección de origen se traduce a una dirección IP en elsrc-nat-pool-2
grupo.Nota:El orden de las reglas de un conjunto de reglas es importante, ya que se utiliza la primera regla del conjunto de reglas que coincide con el tráfico. Por lo tanto, la regla
r2
para que coincida con una dirección IP específica debe colocarse antes de la reglar3
que coincida con la subred en la que se encuentra el dispositivo.
ARP de proxy para las direcciones 192.0.2.1 a 192.0.2.24 y 192.0.2.100 a 192.0.2.249 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes de ARP recibidas en la interfaz para esas direcciones.
Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.
En dispositivos SRX4600, cuando configure la regla o agrupación TDR de origen con nombre de regla o nombre de agrupación como interfaz o service-set, recibirá el siguiente mensaje de error: error de sintaxis, esperando <data>.
Si hay una regla TDR de origen denominada
interface
, la regla no se puede ver mediante elshow security nat source rule interface
comando.Si hay una regla TDR de origen denominada
service-set
, la regla no se puede ver mediante elshow security nat source rule service-set
comando.Si hay un grupo TDR de origen denominado
interface
, el grupo no se puede ver con elshow security nat source pool interface
comando.Si hay un grupo TDR de origen denominado
service-set
, el grupo no se puede ver con elshow security nat source pool service-set
comando.Si hay un grupo TDR de origen denominado
interface
, la dirección emparejada no se puede ver con elshow security nat source paired-address pool-name interface
comando.Si hay un grupo TDR de origen denominado
service-set
, la dirección emparejada no se puede ver con elshow security nat source paired-address pool-name service-set
comando.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security nat source pool src-nat-pool-1 address 192.0.2.1/32 to 192.0.2.24/32 set security nat source pool src-nat-pool-2 address 192.0.2.100/32 to 192.0.2.249/32 set security nat source pool src-nat-pool-2 port no-translation set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 10.1.1.0/24 set security nat source rule-set rs1 rule r1 match source-address 10.1.2.0/24 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat source rule-set rs1 rule r2 match source-address 192.168.1.250/32 set security nat source rule-set rs1 rule r2 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r2 then source-nat off set security nat source rule-set rs1 rule r3 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r3 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r3 then source-nat pool src-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 192.0.2.1/32 to 192.0.2.24/32 set security nat proxy-arp interface ge-0/0/0.0 address 192.0.2.100/32 to 192.0.2.249/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar varias reglas TDR de origen en un conjunto de reglas:
Cree un grupo TDR de origen.
[edit security nat source] user@host# set pool src-nat-pool-1 address 192.0.2.1 to 192.0.2.24
Cree un grupo TDR de origen sin traducción de puerto.
[edit security nat source] user@host# set pool src-nat-pool-2 address 192.0.2.100 to 192.0.2.249 user@host# set pool src-nat-pool-2 port no-translation
Nota:Para configurar un grupo de desbordamiento para
src-nat-pool-2
usar la interfaz de salida:[edit security nat source] user@host# set pool src-nat-pool-2 overflow-pool interface
Cree un conjunto de reglas TDR de origen.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address [10.1.1.0/24 10.1.2.0/24] user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure una regla para que coincida con paquetes para los que no se traduce la dirección de origen.
[edit security nat source] user@host# set rule-set rs1 rule r2 match source-address 192.168.1.250/32 user@host# set rule-set rs1 rule r2 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r2 then source-nat off
Configure una regla para que coincida con paquetes y traduzca la dirección de origen a una dirección del grupo sin traducción de puerto.
[edit security nat source] user@host# set rule-set rs1 rule r3 match source-address 192.168.1.0/24 user@host# set rule-set rs1 rule r3 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r3 then source-nat pool src-nat-pool-2
Configure el ARP de proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 192.0.2.1 to 192.0.2.24 user@host# set proxy-arp interface ge-0/0/0.0 address 192.0.2.100 to 192.0.2.249
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies
para confirmar la show security nat
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 192.0.2.1/32 to 192.0.2.24/32; } } pool src-nat-pool-2 { address { 192.0.2.100/32 to 192.0.2.249/32; } port no-translation; } rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address [ 10.1.1.0/24 10.1.2.0/24 ]; destination-address 0.0.0.0/0; } then { source-nat { pool { src-nat-pool-1; } } } } rule r2 { match { source-address 192.168.1.250/32; destination-address 0.0.0.0/0; } then { source-nat { off; } } } rule r3 { match { source-address 192.168.1.0/24; destination-address 0.0.0.0/0; } then { source-nat { pool { src-nat-pool-2; } } } } } } proxy-arp { interface ge-0/0/0.0 { address { 192.0.2.1/32 to 192.0.2.24/32; 192.0.2.100/32 to 192.0.2.249/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar el uso del grupo TDR de origen
- Verificar el uso de la regla de TDR de origen
- Verificar la aplicación TDR al tráfico
Verificar el uso del grupo TDR de origen
Propósito
Compruebe que hay tráfico que usa direcciones IP del grupo TDR de origen.
Acción
Desde el modo operativo, ingrese el show security nat source pool all
comando. Vea el campo de impactos de traducción para comprobar si hay tráfico que usa direcciones IP del grupo.
Verificar el uso de la regla de TDR de origen
Propósito
Compruebe que el tráfico coincide con la regla TDR de origen.
Acción
Desde el modo operativo, ingrese el show security nat source rule all
comando. Vea el campo de impactos de traducción para comprobar si el tráfico coincide con la regla.
Descripción de los grupos TDR de origen
Un conjunto TDR es un conjunto de direcciones IP definidas por el usuario que se utilizan para la traducción. A diferencia de la TDR estática, en la que hay una asignación uno a uno que incluye la traducción de la dirección IP de destino en una dirección y la traducción de la dirección IP de origen en la dirección inversa, con TDR de origen, se traduce la dirección IP original a una dirección IP del conjunto de direcciones.
Para los grupos de direcciones de traducción de direcciones de red (TDR) de origen, especifique lo siguiente:
Nombre del conjunto de direcciones TDR de origen.
Hasta ocho rangos de direcciones o direcciones.
Nota:No superponga direcciones TDR de origen, TDR de destino y TDR estático dentro de una instancia de enrutamiento.
Instancia de enrutamiento: instancia de enrutamiento a la que pertenece el grupo (el valor predeterminado es la instancia de enrutamiento principal inet.0 ).
Puerto: la traducción de direcciones de puerto (PAT) para un grupo de origen. De forma predeterminada, PAT se realiza con TDR de origen. Si especifica la opción de no traducción , el número de hosts que puede admitir el grupo TDR de origen se limita al número de direcciones del grupo. Si especifica
block-allocation
, se asigna un bloque de puertos para la traducción, en lugar de puertos individuales. Si especificadeterministic
, una dirección IP entrante (fuente) y un puerto siempre se asignan a la dirección de destino y el bloque de puerto específicos, según el algoritmo TDR predefinido y determinista. Si especificaport-overloading
, puede configurar la capacidad de sobrecarga de puerto en TDR de origen. Si especificarange
, puede proporcionar el intervalo de números de puerto adjunto a cada dirección del grupo y el intervalo de puertos gemelos para grupos TDR de origen.Grupo de desbordamiento (opcional): los paquetes se pierden si no hay direcciones disponibles en el grupo TDR de origen designado. Para evitar que eso suceda cuando se configura la opción de no traducción de puerto , puede especificar un conjunto de desbordamientos. Una vez que se agotan las direcciones del grupo TDR de origen original, las direcciones IP y los números de puerto se asignan desde el conjunto de desbordamiento. Se puede usar un grupo TDR de origen definido por el usuario o una interfaz de salida como agrupación de desbordamiento. (Cuando se utiliza el grupo de desbordamiento, el ID del grupo se devuelve con la dirección.)
Cambio de dirección IP (opcional): un rango de direcciones IP de origen original se puede asignar a otro rango de direcciones IP o a una sola dirección IP, cambiando las direcciones IP. Especifique la opción host-address-base con la dirección base del intervalo de direcciones IP de origen original.
Uso compartido de direcciones (opcional): se pueden asignar varias direcciones IP internas a la misma dirección IP externa. Esta opción solo se puede usar cuando el conjunto TDR de origen está configurado sin traducción de puerto. Especifique la
address-shared
opción cuando un grupo TDR de origen tenga pocas direcciones IP externas disponibles o solo una dirección IP externa. Con una asignación varios a uno, el uso de esta opción aumenta los recursos TDR y mejora el tráfico.Agrupación de direcciones (opcional): la agrupación de direcciones se puede configurar como emparejada o no emparejada. Especifique
address-pooling paired
para las aplicaciones que requieren que todas las sesiones asociadas con una dirección IP interna se asignen a la misma dirección IP externa durante la duración de una sesión. Esto difiere de lapersistent-address
opción, en la que la misma dirección interna se traduce a la misma dirección externa cada vez. Especifiqueaddress-pooling no-paired
para las aplicaciones que se pueden asignar direcciones IP de forma rotativa. Si oaddress-pooling paired
address-pooling no-paired
está configurado para un grupo TDR de origen con PAT, la opción dirección persistente está deshabilitada. Siaddress-shared
está configurado en un grupo TDR de origen sin PAT, lapersistent-address
opción está habilitada. Ambosaddress-shared
yaddress-pooling paired
se pueden configurar en el mismo grupo TDR de origen sin PAT.Alarma de utilización de la agrupación (opcional): cuando la opción de elevación de umbral está configurada para TDR de origen, se activa una captura SNMP si la utilización del grupo TDR de origen supera este umbral. Si se configura la opción de umbral de claridad opcional, se activa una captura SNMP si la utilización del grupo TDR de origen cae por debajo de este umbral. Si el umbral sin borrar no está configurado, se establece de forma predeterminada en el 80 % del valor del umbral elevado.
Puede usar el comando show security nat resource use source pool para ver el uso de dirección en un grupo TDR de origen sin PAT, y para ver el uso del puerto en un grupo de TDR de origen con PAT.
Descripción de las capacidades del grupo de TDR de origen
Las capacidades máximas para grupos de origen y direcciones IP en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX650 son las siguientes:
Capacidad máxima de dirección del grupo/PAT |
SRX300SRX320 |
SRX340SRX345 |
SRX650 |
---|---|---|---|
Grupos TDR de origen |
1024 |
2048 |
1024 |
Direcciones IP que admiten la traducción de puertos |
1024 |
2048 |
1024 |
Número de puerto PAT |
64 millones |
64 millones |
64 millones |
Las capacidades máximas para grupos de origen y direcciones IP en dispositivos SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX5400, SRX5600 y SRX5800 son las siguientes:
Capacidad máxima de dirección del grupo/PAT |
SRX1400SRX1500 |
SRX3400SRX3600 |
SRX4100SRX4200 |
SRX5400SRX5600SRX5800 |
---|---|---|---|---|
Grupos TDR de origen |
8192 |
10,240 |
10,240 |
12,288 |
Direcciones IP que admiten la traducción de puertos |
8192 |
12,288 |
12,288 |
1 millón |
Número de puerto PAT |
256 Mb |
384 MILLONES |
384 MILLONES |
384 MILLONES |
En la versión 12.3X48-D40, y en la versión 15.1X49-D60 y versiones posteriores, puede aumentar la capacidad del puerto TDR de origen a 2,4G en dispositivos SRX5400, SRX5600 y SRX5800 con tarjetas de procesamiento de servicios (SPC) de última generación mediante la port-scaling-enlargement
instrucción en el nivel de jerarquía [edit security nat source
] admitido.
La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación.
El aumento del número total de direcciones IP utilizadas para TDR de origen, ya sea aumentando el número de conjuntos en la configuración o aumentando la capacidad o las direcciones IP por agrupación, consume la memoria necesaria para la asignación de puertos. Cuando se alcancen los límites del grupo TDR de origen y de la dirección IP, se deben reasignar los rangos de puertos. Es decir, se debe reducir el número de puertos para cada dirección IP cuando aumenta el número de direcciones IP y grupos TDR de origen. Esto garantiza que TDR no consuma demasiada memoria.
Por ejemplo, en un conjunto TDR de origen para dispositivos SRX5000, cuando el número de direcciones IP que admiten la traducción de puertos alcanza el límite de 1M, el número total de puertos PAT es 64G, lo que supera la limitación de 384M. Esto se debe a que, de forma predeterminada, cada dirección IP admite 64 512 puertos. Para garantizar que los números de puerto PAT estén dentro de la capacidad, el rango de puertos para cada IP debe configurarse para reducir el número total de puertos PAT.
Use las range
opciones y range twin-port
en el [edit security nat source pool port]
nivel de jerarquía para asignar un nuevo intervalo de puertos o un intervalo de puertos gemelos para un grupo específico. Use las pool-default-port-range
opciones y las pool-default-twin-port-range
del [edit security nat source]
nivel jerárquico para especificar el intervalo de puertos predeterminado global o el intervalo de dos puertos para todos los grupos TDR de origen.
La configuración de la sobrecarga de puertos también se debe hacer con cuidado cuando se aumentan los grupos TDR de origen.
Para un grupo de origen con PAT en el rango (63,488 a 65,535), se asignan dos puertos a la vez para aplicaciones RTP/RTCP, como SIP, H.323 y RTSP. En estas situaciones, cada dirección IP admite PAT, que ocupa 2048 puertos (de 63,488 a 65,535) para el uso del módulo ALG.
Descripción de direcciones persistentes para grupos TDR de origen
De forma predeterminada, la traducción de direcciones de puerto se realiza con TDR de origen. Sin embargo, no es posible que una dirección de origen original se traduzca a la misma dirección IP para tráfico diferente que se origina en el mismo host. La opción TDR address-persistent
de origen garantiza que la misma dirección IP se asigne desde el grupo TDR de origen a un host específico para varias sesiones simultáneas.
Esta opción difiere de la opción emparejada de agrupación de direcciones, en la que la dirección interna se asigna a una dirección externa del grupo por pedido, y se puede asignar a una dirección externa diferente para cada sesión.
Ejemplo: Configuración de la capacidad para grupos TDR de origen con PAT
En este ejemplo se describe cómo configurar la capacidad de los grupos TDR de origen con traducción de direcciones de puerto (PAT) si no se establece un rango de puerto predeterminado o si desea reemplazarlo. Las traducciones se establecen para cada dirección IP. Cuando se aumenta el grupo de origen, los puertos se deben reasignar si el número de puerto actual supera las limitaciones.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asigne interfaces. Consulte Descripción de zonas de seguridad.
Visión general
En este ejemplo, se muestra cómo configurar un conjunto de PAT de 2048 direcciones IP con 32 000 puertos para cada dirección IP.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
[edit security nat source] set pool src-nat-pat-addr address 192.168.0.0/32 to 192.168.3.255/32 set pool src-nat-pat-addr address 192.168.4.0/32 to 192.168.7.255/32 set pool-default-port-range 2001 set pool-default-port-range to 32720
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar la capacidad de un grupo TDR de origen con PAT:
Especifique un grupo TDR de origen con PAT y un intervalo de direcciones IP.
[edit security nat source] user@host# set pool src-nat-pat-addr address 192.168.0.0/32 to 192.168.3.255/32 user@host#set pool src-nat-pat-addr address 192.168.4.0/32 to 192.168.7.255/32
Especifique un rango de puertos predeterminado para el grupo de origen.
[edit security nat source] user@host# set pool-default-port-range 2001 user@host# set pool-default-port-range to 32720
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security nat-source-summary
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host> run show security nat source summary Total port number usage for port translation pool: 16515072 Maximum port number for port translation pool: 134217728 Total pools: 1 Pool Address Routing PAT Total Name Range Instance Address pool2 203.0.113.1 - 203.0.113.3 default yes 2048 Name Range Instance Address pool1 198.51.100.0 - 198.51.100.255 default yes 256 Total rules: 1 Rule name Rule set From To Action rule 1 ruleset1 ge-2/2/2.0 ge-2/2/3.0 pool1 rule 1 ge-2/2/4.0 ge-2/2/5.0
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Verificar la capacidad de los grupos de TDR de origen
Propósito
Vea la información del puerto y del grupo. Las limitaciones de puerto se comprueban automáticamente, por lo que la configuración no se confirma si se superan las limitaciones de puerto.
Acción
Desde el modo operativo, ingrese el show security nat source summary
comando para ver los detalles del puerto y del grupo.
Descripción de los conjuntos TDR de origen con agrupación de direcciones
Cuando un host inicia varias sesiones que coincidan con una política que requiere TDR y se le asigna una dirección IP desde un grupo de origen que tiene habilitada la traducción de dirección de puerto, se utiliza una dirección IP de origen diferente para cada sesión.
Dado que algunas aplicaciones requieren la misma dirección IP de origen para cada sesión, puede usar la address-pooling paired
función para habilitar que todas las sesiones asociadas con una dirección IP interna se asignen a la misma dirección IP externa durante la duración de las sesiones. Cuando finalizan las sesiones, la asignación entre la dirección IP interna y la dirección IP externa deja de ser. La próxima vez que el host inicie una sesión, es posible que se le asigne una dirección IP diferente del grupo.
Esto difiere de la función TDR address-persistent
de origen, que mantiene la asignación estática; la misma dirección IP interna se asigna a la misma dirección IP externa cada vez. También difiere de la función en la address-persistent
que address-pooling paired
está configurada para un grupo específico. La address-persistent
característica es una configuración global que se aplica a todos los grupos de origen.
Descripción de los grupos de TDR de origen con cambios de direcciones
Las condiciones de coincidencia para un conjunto de reglas de TDR de origen no permiten especificar un rango de direcciones; solo se pueden especificar prefijos de dirección en una regla. Al configurar un grupo TDR de origen, puede especificar la host-base-address
opción; esta opción especifica la dirección IP donde comienza el intervalo de direcciones IP de origen original.
El intervalo de direcciones IP de origen originales que se traducen está determinado por el número de direcciones del grupo TDR de origen. Por ejemplo, si el grupo TDR de origen contiene un rango de diez direcciones IP, entonces se pueden traducir hasta diez direcciones IP de origen original, a partir de una dirección base especificada. Este tipo de traducción es uno a uno, estática y sin traducción de direcciones de puerto.
La condición de coincidencia en una regla TDR de origen puede definir un rango de direcciones mayor que el especificado en el grupo TDR de origen. Por ejemplo, una condición de coincidencia puede especificar un prefijo de dirección que contenga 256 direcciones, pero el conjunto TDR de origen puede contener un rango de solo unas pocas direcciones IP o solo una dirección IP. La dirección IP de origen de un paquete puede coincidir con una regla TDR de origen, pero si la dirección IP de origen no está dentro del intervalo de direcciones especificado en el conjunto TDR de origen, la dirección IP de origen no se traduce.
Ejemplo: Configuración de grupos TDR de origen con cambio de direcciones
En este ejemplo, se describe cómo configurar una asignación TDR de origen de un intervalo de direcciones privadas a direcciones públicas, con un cambio de dirección opcional. Esta asignación es uno a uno entre las direcciones IP de origen originales y las direcciones IP traducidas.
Las condiciones de coincidencia para un conjunto de reglas de TDR de origen no permiten especificar un rango de direcciones; solo se pueden especificar prefijos de dirección en una regla. Al configurar un grupo TDR de origen, puede especificar la host-base-address
opción; esta opción especifica la dirección IP donde comienza el intervalo de direcciones IP de origen original y deshabilita la traducción de puerto.
El intervalo de direcciones IP de origen originales que se traducen está determinado por el número de direcciones del grupo TDR de origen. Por ejemplo, si el grupo TDR de origen contiene un rango de diez direcciones IP, entonces se pueden traducir hasta diez direcciones IP de origen original, a partir de una dirección base especificada.
La condición de coincidencia en una regla TDR de origen puede definir un rango de direcciones mayor que el especificado en el grupo TDR de origen. Por ejemplo, una condición de coincidencia puede especificar un prefijo de dirección que contenga 256 direcciones, pero el conjunto TDR de origen contiene un intervalo de solo diez direcciones IP. La dirección IP de origen de un paquete puede coincidir con una regla TDR de origen, pero si la dirección IP de origen no está dentro del intervalo de direcciones especificado en el conjunto TDR de origen, la dirección IP de origen no se traduce.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asigne interfaces. Consulte Descripción de zonas de seguridad.
Visión general
En este ejemplo, se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 5, un rango de direcciones privadas en la zona de confianza se asigna a un rango de direcciones públicas en la zona de no confianza. Para los paquetes enviados desde la zona de confianza a la zona de no confianza, una dirección IP fuente en el rango de 192.168.1.10/32 a 192.168.1.20/32 se traduce a una dirección pública en el rango de 203.0.113.30/32 a 203.0.113.40/32.
En este ejemplo, se describen las siguientes configuraciones:
Grupo TDR de origen
src-nat-pool-1
que contiene el intervalo de direcciones IP 203.0.113.30/32 a 203.0.113.40/32. Para este grupo, el comienzo del intervalo de direcciones IP de origen original es 192.168.1.10/32 y se especifica con lahost-address-base
opción.Conjunto de reglas TDR de origen
rs1
con reglar1
para hacer coincidir paquetes de la zona de confianza con la zona de no confianza con una dirección IP de origen en la subred 192.168.1.0/24. Para los paquetes coincidentes que se encuentran dentro del intervalo de direcciones IP de origen especificado por lasrc-nat-pool-1
configuración, la dirección de origen se traduce a la dirección IP delsrc-nat-pool-1
grupo.ARP de proxy para las direcciones 203.0.113.30/32 a 203.0.113.40/32 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esa dirección.
Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security nat source pool src-nat-pool-1 address 203.0.113.30/32 to 203.0.113.40/32 set security nat source pool src-nat-pool-1 host-address-base 192.168.1.10/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.30/32 to 203.0.113.40/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar una asignación TDR de origen con cambio de direcciones:
Cree un grupo TDR de origen.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.30/32 to 203.0.113.40/32
Especifique el principio del intervalo de direcciones IP de origen original.
[edit security nat source] user@host# set pool src-nat-pool-1 host-address-base 192.168.1.10/32
Cree un conjunto de reglas TDR de origen.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.168.1.0/24 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure el ARP de proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.30/32 to 203.0.113.40/32
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies
para confirmar la show security nat
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.30/32 to 203.0.113.40/32; } host-address-base 192.168.1.10/32; } rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address 192.168.1.0/24; } then { source-nat { pool { src-nat-pool-1; } } } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.30/32 to 203.0.113.40/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar el uso del grupo TDR de origen
- Verificar el uso de la regla de TDR de origen
- Verificar la aplicación TDR al tráfico
Verificar el uso del grupo TDR de origen
Propósito
Compruebe que hay tráfico que usa direcciones IP del grupo TDR de origen.
Acción
Desde el modo operativo, ingrese el show security nat source pool all
comando. Vea el campo de impactos de traducción para comprobar si hay tráfico que usa direcciones IP del grupo.
Verificar el uso de la regla de TDR de origen
Propósito
Compruebe que el tráfico coincide con la regla TDR de origen.
Acción
Desde el modo operativo, ingrese el show security nat source rule all
comando. Vea el campo de impactos de traducción para comprobar si el tráfico coincide con la regla.
Descripción de los grupos TDR de origen con PAT
Mediante el uso del grupo de origen con traducción de direcciones de puerto (PAT), Junos OS traduce tanto la dirección IP de origen como el número de puerto de los paquetes. Cuando se utiliza PAT, varios hosts pueden compartir la misma dirección IP.
Junos OS mantiene una lista de números de puerto asignados para distinguir qué sesión pertenece a qué host. Cuando pat está habilitado, hasta 63 488 hosts pueden compartir una sola dirección IP. Cada grupo de origen puede contener varias direcciones IP, varios rangos de direcciones IP o ambos. Para un grupo de origen con PAT, Junos OS puede asignar direcciones diferentes a un solo host para diferentes sesiones simultáneas, a menos que el grupo de origen o Junos OS tenga habilitada la característica de dirección persistente o la característica de agrupación de direcciones emparejada.
Para el grupo de origen de interfaz y el grupo de origen con PAT, el rango (1024, 65535) está disponible para la asignación de números de puerto por dirección IP. Dentro del rango (1024, 63487) se asigna un puerto a la vez, para un total de 62 464 puertos. En el rango (63488, 65535), se asignan dos puertos a la vez para aplicaciones RTP/RTCP, como SIP, H.323 y RTSP, para un total de 2048 puertos.
Cuando un host inicia varias sesiones que coincidan con una política que requiere traducción de direcciones de red y se le asigna una dirección de un grupo de origen que tiene PAT habilitado, el dispositivo asigna una dirección IP de origen diferente para cada sesión. Esta asignación aleatoria de direcciones puede ser problemática para los servicios que crean varias sesiones que requieren la misma dirección IP de origen para cada sesión. Por ejemplo, es importante tener la misma dirección IP para varias sesiones cuando se utiliza el cliente de mensaje instantáneo AOL (AIM).
Para asegurarse de que el enrutador asigne la misma dirección IP desde un grupo de origen a un host para varias sesiones simultáneas, puede habilitar una dirección IP persistente por enrutador. Para asegurarse de que el dispositivo asigne la misma dirección IP desde un grupo de origen a un host durante la duración de una sola sesión, puede habilitar la agrupación de direcciones emparejadas.
Ejemplo: Configurar TDR de origen para varias direcciones con PAT
En este ejemplo, se describe cómo configurar una asignación TDR de origen de un bloque de dirección privada a un bloque de dirección pública más pequeño mediante la traducción de direcciones de puerto.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asigne interfaces. Consulte Descripción de zonas de seguridad.
Visión general
En este ejemplo, se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 6, la dirección IP de origen de los paquetes enviados desde la zona de confianza a la zona de no confianza se asigna a un bloque más pequeño de direcciones públicas en el intervalo de 203.0.113.1/32 a 203.0.113.24/32. Dado que el tamaño del conjunto de direcciones TDR de origen es menor que el número de direcciones potenciales que podrían ser necesario traducir, se utiliza la traducción de direcciones de puerto.
La traducción de direcciones de puerto incluye un número de puerto de origen con la asignación de direcciones IP de origen. Esto permite que varias direcciones en una red privada se asignen a un número menor de direcciones IP públicas. La traducción de direcciones de puerto está habilitada de forma predeterminada para los grupos TDR de origen.
En este ejemplo, se describen las siguientes configuraciones:
Grupo TDR de origen
src-nat-pool-1
que contiene el intervalo de direcciones IP 203.0.113.1/32 a 203.0.113.24/32.Conjunto de reglas TDR de origen
rs1
para que coincidan con todos los paquetes desde la zona de confianza hasta la zona de no confianza. Para los paquetes coincidentes, la dirección IP de origen se traduce a una dirección IP delsrc-nat-pool-1
grupo.ARP de proxy para las direcciones 203.0.113.1/32 a 203.0.113.24/32 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes de ARP recibidas en la interfaz para esas direcciones.
Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security nat source pool src-nat-pool-1 address 203.0.113.1/32 to 203.0.113.24/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 10.1.1.0/24 set security nat source rule-set rs1 rule r1 match source-address 10.1.2.0/24 set security nat source rule-set rs1 rule r1 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.24/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar una asignación TDR de origen desde un bloque de dirección privada a un bloque de dirección pública más pequeño mediante PAT:
Cree un grupo TDR de origen.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1 to 203.0.113.24
Cree un conjunto de reglas TDR de origen.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address [10.1.1.0/24 10.1.2.0/24 192.168.1.0/24] user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure el ARP de proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1 to 203.0.113.24
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies
para confirmar la show security nat
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.1/32 to 203.0.113.24/32; } } rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address [10.1.1.0/24 10.1.2.0/24 192.168.1.0/24]; destination-address 0.0.0.0/0; } then { source-nat { pool { src-nat-pool-1; } } } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.1/32 to 203.0.113.24/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar el uso del grupo TDR de origen
- Verificar el uso de la regla de TDR de origen
- Verificar la aplicación TDR al tráfico
Verificar el uso del grupo TDR de origen
Propósito
Compruebe que hay tráfico que usa direcciones IP del grupo TDR de origen.
Acción
Desde el modo operativo, ingrese el show security nat source pool all
comando. Vea el campo de impactos de traducción para comprobar si hay tráfico que usa direcciones IP del grupo.
Verificar el uso de la regla de TDR de origen
Propósito
Compruebe que el tráfico coincide con la regla TDR de origen.
Acción
Desde el modo operativo, ingrese el show security nat source rule all
comando. Vea el campo de impactos de traducción para comprobar si el tráfico coincide con la regla.
Descripción de los grupos TDR de origen sin PAT
Cuando se define un grupo de origen, Junos OS habilita PAT de forma predeterminada. Para deshabilitar PAT, no debe especificar ninguna traducción de puerto cuando esté definiendo un grupo de origen.
Cuando se utiliza un grupo de origen sin PAT, Junos OS realiza la traducción de direcciones de red de origen para la dirección IP sin realizar PAT para el número de puerto de origen. En el caso de las aplicaciones que requieren que un número de puerto de origen determinado permanezca fijo, debe usar un grupo de origen sin PAT.
El grupo de origen puede contener varias direcciones IP, varios rangos de direcciones IP o ambos. Para el grupo de origen sin PAT, Junos OS asigna una dirección de origen traducida al mismo host para todas sus sesiones simultáneas, a menos que la opción de agrupación de direcciones sin emparejamiento esté habilitada.
El número de hosts que puede admitir un grupo TDR de origen sin PAT está limitado al número de direcciones del grupo. Cuando tiene un grupo con una única dirección IP, solo se puede admitir un host y el tráfico de otros hosts se bloquea porque no hay recursos disponibles. Si se configura una sola dirección IP para un grupo TDR de origen sin PAT cuando la asignación de recursos TDR no está en modo de copia de seguridad activa en un clúster de chasis, se bloqueará el tráfico a través del nodo 1.
La utilización del grupo para cada agrupación de origen sin PAT se calcula. Puede activar la alarma de uso de la agrupación configurando umbrales de alarma. Una captura SNMP se activa cada vez que la utilización del grupo supera un umbral y pasa por debajo de un umbral.
Si una regla TDR estática es para la traducción de IP uno a uno, evite dividir la regla en una regla de destino y una regla de origen cuando se usa un grupo de no pat de origen sin uso compartido de direcciones. Si elige dividir la regla, tendrá que usar el conjunto de pat-pool de origen con una sola IP o el grupo de origen sin pat con varias IP.
Ejemplo: Configurar una sola dirección IP en un grupo TDR de origen sin PAT
En este ejemplo, se describe cómo configurar un bloque de direcciones privadas en una única dirección pública en un grupo TDR de origen sin traducción de direcciones de puerto.
PAT está habilitado de forma predeterminada para los grupos TDR de origen. Cuando PAT está deshabilitado, el número de traducciones que el grupo TDR de origen puede admitir al mismo tiempo se limita al número de direcciones del grupo. Los paquetes se pierden si no hay direcciones disponibles en el conjunto TDR de origen. Sin embargo, con la address-shared
opción, puede asignar más de una dirección IP privada a una única dirección IP pública, siempre y cuando el tráfico provena de puertos de origen diferentes.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asigne interfaces. Consulte Descripción de zonas de seguridad.
Visión general
En este ejemplo, se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. La dirección IP de origen de los paquetes enviados desde la zona de confianza a la zona de no confianza se asignan a una sola dirección pública.
En este ejemplo, se describen las siguientes configuraciones:
Grupo TDR de origen
src-nat-pool-1
que contiene la dirección IP 203.0.113.1/30. Laport no-translation
opción y laaddress shared
opción se especifican para el grupo.Conjunto de reglas TDR de origen
rs1
para que coincidan con todos los paquetes desde la zona de confianza hasta la zona de no confianza. Para los paquetes coincidentes, la dirección IP de origen se traduce a una dirección IP delsrc-nat-pool-1
grupo.Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security nat source pool src-nat-pool-1 address 203.0.113.1/30 set security nat source pool src-nat-pool-1 port no-translation set security nat source pool-src-nat-pool-1 address-shared set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule1 match source address 192.0.2.0/24 set security nat source rule-set rs1 rule r1 then source src-nat-pool-1
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar una asignación TDR de origen desde un bloque de dirección privada a una única dirección pública sin PAT:
Cree un grupo TDR de origen con una única dirección IP para la dirección compartida.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1/30
Especifique la
port no-translation
opción.[edit security nat source] user@host# set pool src-nat-pool-1 port no-translation
Especifique la
address-shared
opción.[edit security nat source] user@host# set pool pool-src-nat-pool-1 address-shared
Cree un conjunto de reglas TDR de origen.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.0.2.0/24 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies
para confirmar la show security nat source pool
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.1/30 } port no-translation; } address-shared; rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address [192.0.2.0/24] } then { source-nat { pool { src-nat-pool-1; } } } } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar la dirección compartida
Propósito
Compruebe que dos direcciones IP internas, con puertos de origen diferentes, comparten una dirección IP externa.
Acción
Desde el modo operativo, ingrese el show security nat source pool
comando. Vea el campo asignación de dirección para comprobar que se comparte.
Ejemplo: Configuración de varias direcciones en un grupo TDR de origen sin PAT
En este ejemplo se describe cómo configurar una asignación TDR de origen de un bloque de dirección privada a un bloque de dirección pública más pequeño sin traducción de dirección de puerto.
La traducción de direcciones de puerto está habilitada de forma predeterminada para los grupos TDR de origen. Cuando la traducción de direcciones de puerto está deshabilitada, el número de traducciones que el grupo TDR de origen puede admitir al mismo tiempo se limita al número de direcciones del grupo. Los paquetes se pierden si no hay direcciones disponibles en el conjunto TDR de origen. Opcionalmente, puede especificar un conjunto de desbordamientos desde el cual se asignan direcciones IP y números de puerto cuando no hay direcciones disponibles en el grupo TDR de origen original.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asigne interfaces. Consulte Descripción de zonas de seguridad.
Visión general
En este ejemplo, se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 7, la dirección IP de origen de los paquetes enviados desde la zona de confianza a la zona de no confianza se asigna a un bloque más pequeño de direcciones públicas en el intervalo de 203.0.113.1/32 a 203.0.113.24/32.
En este ejemplo, se describen las siguientes configuraciones:
Grupo TDR de origen
src-nat-pool-1
que contiene el intervalo de direcciones IP 203.0.113.1/32 a 203.0.113.24/32. Laport no-translation
opción se especifica para el grupo.Conjunto de reglas TDR de origen
rs1
para que coincidan con todos los paquetes desde la zona de confianza hasta la zona de no confianza. Para los paquetes coincidentes, la dirección IP de origen se traduce a una dirección IP delsrc-nat-pool-1
grupo.ARP de proxy para las direcciones 203.0.113.1/32 a 203.0.113.24/32 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes de ARP recibidas en la interfaz para esas direcciones.
Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security nat source pool src-nat-pool-1 address 203.0.113.1/32 to 203.0.113.24/32 set security nat source pool src-nat-pool-1 port no-translation set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.24/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar una asignación TDR de origen desde un bloque de dirección privada a un bloque de dirección pública más pequeño sin PAT:
Cree un grupo TDR de origen.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1 to 203.0.113.24
Especifique la
port no-translation
opción.[edit security nat source] user@host# set pool src-nat-pool-1 port no-translation
Cree un conjunto de reglas TDR de origen.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure el ARP de proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1 to 203.0.113.24
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies
para confirmar la show security nat
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.1/32 to 203.0.113.24/32; } port no-translation; } rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address 0.0.0.0/0; destination-address 0.0.0.0/0; } then { source-nat { pool { src-nat-pool-1; } } } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.1/32 to 203.0.113.24/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar el uso del grupo TDR de origen
- Verificar el uso de la regla de TDR de origen
- Verificar la aplicación TDR al tráfico
Verificar el uso del grupo TDR de origen
Propósito
Compruebe que hay tráfico que usa direcciones IP del grupo TDR de origen.
Acción
Desde el modo operativo, ingrese el show security nat source pool all
comando. Vea el campo de impactos de traducción para comprobar si hay tráfico que usa direcciones IP del grupo.
Verificar el uso de la regla de TDR de origen
Propósito
Compruebe que el tráfico coincide con la regla TDR de origen.
Acción
Desde el modo operativo, ingrese el show security nat source rule all
comando. Vea el campo de impactos de traducción para comprobar si el tráfico coincide con la regla.
Descripción de la persistencia de sesión TDR
La persistencia de sesión de traducción de direcciones de red (TDR) proporciona un medio para conservar las sesiones existentes, en lugar de borrarlas, cuando hay cambios en la configuración de TDR. Si se habilita la persistencia de sesión, las sesiones retenidas continúan procesando y reenviando paquetes a medida que el tiempo y los recursos se utilizan de manera óptima para reconstruir las sesiones afectadas. Por lo tanto, el reenvío de paquetes no se detiene incluso si la configuración de TDR cambia para algunas o todas las sesiones.
Desde la versión 18.3R1 de Junos OS en adelante, con la compatibilidad con la persistencia de sesión TDR, el motor de reenvío de paquetes escanea las sesiones y decide si mantener las sesiones o borrar las sesiones. En las versiones anteriores a Junos OS versión 18.3R1, las sesiones TDR se borran si hay un cambio en la configuración de TDR.
El motor de reenvío de paquetes realiza los dos tipos de análisis siguientes para decidir si se conservan o se pierden las sesiones:
Source NAT pool session persistence scan— El motor de reenvío de paquetes compara la dirección IP de sesión existente con el rango de direcciones del grupo de origen. Si la dirección IP de la sesión existente se encuentra en el intervalo de direcciones del grupo de origen especificado, la sesión se mantiene viva, de lo contrario, la sesión se borra.
Source NAT rule session persistence scan— El motor de reenvío de paquetes utiliza el ID de regla para comparar la dirección IP de origen, el puerto de origen, la dirección IP de destino y el puerto de destino entre las configuraciones antigua y nueva. Si las configuraciones nueva y antigua son las mismas, entonces la sesión se mantiene viva, de lo contrario, la sesión está despejada.
La persistencia de sesión TDR no se admite para TDR estático y TDR de destino.
No se admite la persistencia de sesión TDR si el conjunto de PAT está configurado con los campos de factor de sobrecarga de puertos, agrupación de direcciones persistente, dirección de origen persistente, asignación de bloque de puerto, determinista de puerto, nat persistente y factor de sobrecarga de puertos.
La persistencia de sesión TDR solo se admite para TDR de origen en los siguientes escenarios:
Grupo de origen: cambia un intervalo de direcciones en un conjunto de traducción de direcciones de puerto (PAT).
Regla de origen: cambia las condiciones de coincidencia para la libreta de direcciones, la aplicación, la dirección IP de destino, el puerto de destino, la dirección IP de origen y la información del puerto de destino.
Para habilitar el análisis de persistencia de sesión TDR, incluya la session-persistence-scan
instrucción en el [edit security nat source]
nivel jerárquico.
También puede configurar un valor de tiempo de espera para conservar las sesiones durante el período de tiempo especificado mediante el comando de CLI set security nat source session-drop-hold-down
. El valor de la session-drop-hold-down
opción oscila entre 30 y 28 800 segundos (ocho horas). La sesión caduca después del período de tiempo de espera configurado.
Limitaciones de la persistencia de sesión TDR
Cuando se produce un cambio en las direcciones IP en el grupo de origen TDR, las direcciones IP recién configuradas se anexan al grupo de origen TDR. Después de que se reconstruye el grupo de origen TDR, las nuevas direcciones IP no son las mismas que las direcciones IP existentes. Las diferencias en las direcciones IP en el grupo de origen TDR afectan al modo de rotación de selección de direcciones IP del grupo de origen TDR.
Si los tipos de análisis identifican sesiones que nunca se interrumpirán (es decir, las sesiones para las que el
session-drop-hold-down
valor no está configurado o está configurado como 8 horas), el motor de reenvío de paquetes ignora esas sesiones y las sesiones se conservan.
Configurar el tamaño de asignación de bloque de puerto
Antes de empezar:
Comprenda las pautas para configurar la asignación de bloques de puerto. Lea las pautas para configurar la asignación de bloques de puerto seguro.
Puede configurar la asignación de bloques de puerto seguro, que asigna bloques de puertos a un suscriptor TDR. Con la asignación de bloques de puertos, generamos un registro de syslog por conjunto de puertos asignados para un suscriptor. Utilice este procedimiento para configurar el tamaño de asignación de bloque de puerto.
Configuración del tiempo de espera de sesión TDR y el análisis de persistencia de sesión TDR
Esta configuración muestra cómo configurar el tiempo de espera de sesión TDR y la persistencia de sesión TDR.
Configuring NAT Session Hold Timeout
La siguiente configuración muestra cómo configurar el tiempo de espera de sesión TDR.
Para establecer el período de espera de la sesión TDR:
[edit security nat source] user@host#
set session-drop-hold-down time;
El valor de la variable de tiempo oscila entre 30 y 28 800 segundos (ocho horas). La sesión caduca después del período de tiempo de espera configurado.
Results
Desde el modo de configuración, ingrese el comando para confirmar la show security
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat { source { session-drop-hold-down 28800; } }
Configuring NAT Session Persistence Scan
La siguiente configuración muestra cómo configurar el análisis de persistencia de sesión TDR.
Para habilitar el análisis de persistencia de sesión TDR:
[edit security nat source] user@host#
set session-persistence-scan
Results
Desde el modo de configuración, ingrese el comando para confirmar la show security
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat { source { session-persistence-scan; } }
Descripción de la comprobación de configuración de TDR en interfaces de salida después de reenrutar
La configuración de la traducción de direcciones de red (TDR) suele cambiar para dar cabida a más usuarios y mejorar la ruta más corta para transferir el tráfico. Si se produce un cambio en la interfaz de salida debido al reenrutamiento del tráfico, puede usar el comando para conservar la set security flow enable-reroute-uniform-link-check nat
configuración y la regla de TDR existentes.
Cuando el enable-reroute-uniform-link-check nat
comando está habilitado:
La sesión se mantiene con la regla TDR existente, si la nueva interfaz de salida y la interfaz de salida anterior se encuentran en la misma zona de seguridad y no se produce ningún cambio en la regla TDR coincidente o si no se aplica ninguna regla antes y después del reenrutamiento.
La sesión caduca si la nueva interfaz de salida y la interfaz de salida anterior se encuentran en la misma zona de seguridad y se cambia la regla TDR coincidente.
Cuando el enable-reroute-uniform-link-check nat
comando está deshabilitado:
El tráfico se reenvía a la nueva interfaz de salida si la nueva interfaz de salida y la interfaz de salida anterior se encuentran en la misma zona de seguridad.
Configuration
Para habilitar la configuración TDR para una sesión existente cuando se produce un cambio en la interfaz de salida debido al reenrutamiento, utilice el siguiente comando:
[edit]
user@host# set security flow enable-reroute-uniform-link-check nat
La nueva configuración se aplica cuando confirma los cambios de configuración.
La enable-reroute-uniform-link-check nat command
opción está deshabilitada de forma predeterminada.
Limitations
Conservar la configuración TDR mediante el set security flow enable-reroute-uniform-link-check nat
comando tiene las siguientes limitaciones:
La sincronización TCP no permite que la nueva sesión transfiera el tráfico. Debe deshabilitar la sincronización TCP para permitir la transferencia de tráfico en sesiones nuevas.
La información del paquete podría perderse si se inicia el reenrutamiento después de un apretón de manos de tres vías para inicializar la comunicación. Debe deshabilitar el Marco de servicios (JSF) de Junos OS, como la puerta de enlace de capa de aplicación (ALG) para permitir la transferencia de tráfico en sesiones nuevas.
port-scaling-enlargement
instrucción en el nivel de jerarquía compatible
edit security nat source