Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de la configuración de NAT

En este tema se describe cómo configurar la traducción de direcciones de red (NAT) y varios ISP. Además, este tema ayuda a comprobar el tráfico NAT mediante la configuración de las opciones de seguimiento y la supervisión de la tabla NAT.

Configuración de NAT mediante el Asistente para NAT

Puede utilizar el Asistente para NAT para realizar la configuración básica de NAT. Para realizar una configuración más avanzada, utilice la interfaz J-Web o la CLI.

Para configurar NAT mediante el Asistente para NAT:

  1. Seleccione Configure>Tasks>Configure NAT esta opción en la interfaz de J-Web.
  2. Haga clic en el botón Iniciar asistente para NAT.
  3. Siga las indicaciones del asistente.

El área superior izquierda de la página del asistente muestra dónde se encuentra en el proceso de configuración. El área inferior izquierda de la página muestra ayuda sensible al campo. Al hacer clic en un vínculo bajo el encabezado Recursos, el documento se abre en el explorador. Si el documento se abre en una pestaña nueva, asegúrese de cerrar solo la pestaña (no la ventana del explorador) cuando cierre el documento.

Ejemplo: configuración de NAT para varios ISP

En este ejemplo, se muestra cómo configurar un dispositivo de Juniper Networks para la traducción de direcciones de varios ISP.

Requisitos

Antes de empezar:

  1. Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.

Visión general

En este ejemplo, puede configurar un firewall de la serie SRX conectando la LAN a Internet mediante la función NAT a través de dos conexiones ISP. En esta configuración, la confianza es la zona de seguridad para el espacio de direcciones privadas y las dos zonas de seguridad no confiables para el espacio de direcciones públicas se utilizan para conectarse desde LAN a los dos ISP y viceversa. El ejemplo es una combinación de reglas NAT de origen para conectarse a Internet desde la LAN y reglas NAT estáticas y de destino para conectarse a la LAN desde Internet.

Configuración

Configuración de NAT para varios ISP

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.

  1. Configure instancias de enrutamiento.

  2. Configure grupos de costillas y opciones de enrutamiento.

  3. Configurar políticas de seguridad.

  4. Configure las reglas y los grupos NAT de origen.

  5. Configure reglas y grupos NAT de destino.

  6. Configure reglas NAT estáticas.

Resultados

Desde el modo de configuración, confirme su configuración ingresando el comando show configuration . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Comprobación de interfaces

Propósito

Compruebe que las interfaces estén configuradas correctamente.

Acción

Desde el modo operativo, ingrese los siguientes comandos:

  • show interfaces

  • show zones

  • show routing-instances

  • show routing-options

  • show policies

  • show source nat

  • show destination nat

  • show static nat

Configuración de ARP de proxy para NAT (procedimiento de CLI)

Utilice la funcionalidad ARP de proxy NAT para configurar entradas ARP de proxy para direcciones IP que requieren NAT de origen o destino y que se encuentran en la misma subred que la interfaz de entrada. En los firewalls de la serie SRX, debe configurar explícitamente el ARP del proxy NAT.

Al configurar ARP de proxy NAT, debe especificar la interfaz lógica en la que configurar ARP de proxy. A continuación, introduzca una dirección o intervalo de direcciones.

El dispositivo realiza ARP de proxy para las siguientes condiciones:

  • Cuando las direcciones definidas en la NAT estática y el grupo NAT de origen se encuentran en la misma subred que la de la interfaz de entrada

  • Cuando las direcciones de la dirección de destino original ingresan en las reglas NAT de destino están en la misma subred que la de la interfaz de entrada

Configuración de las opciones de seguimiento de NAT

Propósito

La jerarquía de opciones de seguimiento NAT configura el archivo de seguimiento y los indicadores con fines de verificación.

Los firewalls de la serie SRX tienen dos componentes principales: el motor de enrutamiento (RE) y el motor de reenvío de paquetes (PFE). El PFE se divide en la parte ukernel y la parte en tiempo real.

Cuando se confirma una configuración NAT, primero se comprueba y valida la configuración en el RE. Después de la validación, la configuración se inserta en el PFE. La configuración se instala en el PFE de ukernel y, a continuación, se realiza una acción en cada paquete que coincida con las reglas NAT del PFE en tiempo real.

Para la verificación, puede activar los indicadores individualmente para depurar la funcionalidad NAT en el RE, ukernel PFE o PFE en tiempo real:

  • El nat-re indicador registra el seguimiento de la validación de la configuración NAT en el RE y la inserción de configuración en el PFE.

  • El nat-pfe indicador registra el seguimiento de la instalación de configuración NAT en el PFE de ukernel.

  • El nat-rt indicador registra el seguimiento de la coincidencia de la regla NAT y la acción posterior en el PFE en tiempo real.

Los datos de seguimiento se escriben en /var/log/security-trace de forma predeterminada y se pueden ver mediante el comando show log security-trace.

Si el registro de sesión se ha habilitado en las configuraciones de políticas del dispositivo, los registros de sesión incluirán detalles NAT específicos para cada sesión. Consulte Estadísticas de supervisión de políticas de seguridad para obtener información sobre cómo habilitar el registro de sesión e Información proporcionada en las entradas del registro de sesión para puertas de enlace de servicios de la serie SRX para obtener una descripción de la información proporcionada en los registros de sesión.

Acción

Para comprobar que las configuraciones de NAT se actualizan correctamente en el dispositivo al confirmar y que la coincidencia de la regla NAT y las acciones posteriores son correctas, utilice la security nat traceoptions instrucción.

Para comprobar que las traducciones de NAT se están aplicando al tráfico y para ver el procesamiento de flujo de tráfico individual con traducciones NAT, use el comando y el security nat traceoptions security flow traceoptions comando juntos. Los comandos se usan juntos porque la traza NAT, configurada mediante el security nat traceoptions comando, no se registra a menos que flow traceoptions el comando también esté configurado.

Para filtrar un flujo específico, puede definir un filtro de paquetes y utilizarlo como traceoption :

Para comprobar el tráfico NAT y habilitar todo el seguimiento de tráfico en el plano de datos, use el comando traceoptions set security flow traceoptions flag basic-datapath , como se muestra en el ejemplo siguiente con un filtro de paquetes simple:

Supervisión de la información de la tabla entrante de NAT

Propósito

Ver información de la tabla NAT.

Acción

Seleccione Tabla Monitor>NAT>Incoming en la interfaz de usuario de J-Web o escriba el siguiente comando de CLI:

show security nat incoming-table

En la tabla 1 se resumen los campos de salida clave en la visualización de la tabla entrante.

Tabla 1: Resumen de los campos clave de salida de la tabla entrante

Campo

Valores
Estadística

En uso

Número de entradas en la tabla NAT.

Máximo

Número máximo de entradas posibles en la tabla NAT.

Error en la asignación de entrada

Número de entradas fallidas para la asignación.
Tabla entrante

Claro

Destino

Dirección IP de destino y número de puerto.

Anfitrión

Dirección IP del host y número de puerto al que está asignada la dirección IP de destino.

Referencias

Número de sesiones que hacen referencia a la entrada.

Interrupción

Tiempo de espera, en segundos, de la entrada en la tabla NAT.

Grupo de fuentes

Nombre del grupo de fuentes donde se asigna la traducción.

Información del puerto NAT de la interfaz de supervisión

Propósito

Ver el uso del puerto para obtener información del grupo de orígenes de la interfaz.

Acción

Para supervisar la información del puerto NAT de la interfaz, siga uno de estos procedimientos:

  • Seleccione Monitor>Firewall/NAT>Interface NAT o Monitor>NAT>Interface NAT Ports en la interfaz de usuario de J-Web o escriba el comando show security nat interface-nat-portsCLI.

En la tabla 2 se resumen los campos de salida clave en la pantalla NAT de la interfaz.

Tabla 2: Resumen de los campos de salida NAT de interfaz clave

Campo

Valores

Información adicional
Tabla resumen de NAT de interfaz

Índice de Pool

Índice de conjunto de puertos.

Total de puertos

Número total de puertos en un grupo de puertos.

Puertos únicos asignados

Número de puertos asignados de uno en uno que están en uso.

Puertos únicos disponibles

Número de puertos asignados de uno en uno que están libres para su uso.

Puertos gemelos asignados

Número de puertos asignados de dos en dos que están en uso.

Puertos gemelos disponibles

Número de puertos asignados dos a la vez que están libres para su uso.