TDR de destino
TDR de destino cambia la dirección de destino de los paquetes que pasan por el enrutador. También ofrece la opción de realizar la traducción de puerto en los encabezados TCP/UDP. TDR de destino se utiliza principalmente para redirigir los paquetes entrantes con una dirección externa o destino de puerto a una dirección IP interna o un puerto dentro de la red.
Descripción de TDR de destino
TDR de destino es la traducción de la dirección IP de destino de un paquete que ingresa en el dispositivo de Juniper Networks. El TDR de destino se utiliza para redirigir el tráfico destinado a un host virtual (identificado por la dirección IP de destino original) al host real (identificado por la dirección IP de destino traducida).
Cuando se realiza TDR de destino, la dirección IP de destino se traduce de acuerdo con las reglas TDR de destino configuradas y, luego, se aplican políticas de seguridad.
El TDR de destino permite que las conexiones se inicien solo para conexiones de red entrantes, por ejemplo, desde Internet hasta una red privada. TDR de destino se utiliza comúnmente para realizar las siguientes acciones:
Traducir una sola dirección IP a otra dirección (por ejemplo, para permitir que un dispositivo en Internet se conecte a un host en una red privada).
Traducir un bloque contigua de direcciones a otro bloque de direcciones del mismo tamaño (por ejemplo, para permitir el acceso a un grupo de servidores).
Traduzca una dirección IP de destino y un puerto a otro puerto y dirección IP de destino (por ejemplo, para permitir el acceso a varios servicios mediante la misma dirección IP, pero diferentes puertos).
Se admiten los siguientes tipos de TDR de destino:
Traducción de la dirección IP de destino original a una dirección IP desde un grupo definido por el usuario. Este tipo de traducción no incluye la traducción de direcciones de puerto (PAT). Si el intervalo de direcciones IP de destino original es mayor que el intervalo de direcciones del grupo de direcciones definidas por el usuario, se pierden los paquetes no traducidos.
Traducción de la dirección IP de destino original (y número de puerto opcional) a una dirección IP específica (y número de puerto) desde un grupo definido por el usuario.
Descripción de los grupos de direcciones TDR de destino
Un conjunto TDR es un conjunto de direcciones IP definidas por el usuario que se utilizan para la traducción. A diferencia de la TDR estática, en la que hay una asignación uno a uno que incluye la traducción de la dirección IP de destino en una dirección y la traducción de la dirección IP de origen en la dirección inversa, con el TDR de destino, se traduce la dirección de destino original a una dirección IP en el conjunto de direcciones.
Para los grupos de direcciones TDR de destino, especifique lo siguiente:
Nombre del conjunto de direcciones TDR de destino
Dirección de destino o rango de direcciones
Nota:No superponga direcciones TDR de origen, TDR de destino y TDR estático dentro de una instancia de enrutamiento.
Puerto de destino que se utiliza para el reenvío de puertos
Instancia de enrutamiento a la que pertenece el grupo: una agrupación TDR de destino que no especifique una instancia de enrutamiento específica será predeterminada para la instancia de enrutamiento de la zona de entrada.
Nota:Puede configurar un grupo TDR para que exista en la instancia de enrutamiento predeterminada. Opción de configuración para especificar que existe un grupo TDR en la instancia de enrutamiento predeterminada está disponible. Como resultado, se puede acceder al grupo TDR desde zonas en la instancia de enrutamiento predeterminada y desde zonas en otras instancias de enrutamiento.
Descripción de las reglas de TDR de destino
Las reglas TDR de destino especifican dos capas de condiciones de coincidencia:
Dirección de tráfico: le permite especificar
from interface
,from zone
ofrom routing-instance
.Información de paquetes: puede ser direcciones IP de origen, dirección IP de destino o subred, números de puerto de destino o rangos de puertos, protocolos o aplicaciones.
En el caso del tráfico ALG, recomendamos que no utilice la destination-port
opción ni la application
opción como condiciones coincidentes. Si se utilizan estas opciones, la traducción puede fallar porque el valor de puerto en la carga de la aplicación puede no coincidir con el valor de puerto en la dirección IP.
Si varias reglas TDR de destino se superponen en las condiciones de coincidencia, se elige la regla más específica. Por ejemplo, si las reglas A y B especifican las mismas direcciones IP de origen y destino, pero la regla A especifica el tráfico de la zona 1 y la regla B especifica el tráfico de la interfaz ge-0/0/0
, la regla B se utiliza para realizar TDR de destino. Se considera que una coincidencia de interfaz es más específica que una coincidencia de zona, que es más específica que una coincidencia de instancia de enrutamiento.
Las acciones que puede especificar para una regla TDR de destino son:
off — No realice TDR de destino.
agrupación: utilice el conjunto de direcciones definidas por el usuario especificado para realizar TDR de destino.
Las reglas TDR de destino se aplican al tráfico del primer paquete que se procesa para el flujo o en la ruta rápida para alg. Las reglas TDR de destino se procesan después de las reglas TDR estáticas, pero antes de las reglas TDR de origen.
Descripción general de la configuración de TDR de destino
Las tareas principales de configuración para TDR de destino son las siguientes:
- Configure un grupo de direcciones TDR de destino que se alinee con sus requisitos de red y seguridad.
- Configure las reglas de TDR de destino que se alinean con sus requisitos de red y seguridad.
- Configure entradas ARP de proxy TDR para direcciones IP en la misma subred de la interfaz de entrada.
Ejemplo: Configurar TDR de destino para la traducción de una sola dirección
En este ejemplo, se describe cómo configurar una asignación TDR de destino de una sola dirección pública a una dirección privada.
La asignación de una dirección IP de destino a otra también se puede lograr con TDR estático. La asignación TDR estática permite establecer conexiones desde ambos lados del dispositivo de puerta de enlace, mientras que el TDR de destino solo permite establecer conexiones desde un lado. Sin embargo, la TDR estática solo permite traducciones de una dirección a otra o entre bloques de direcciones del mismo tamaño.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dispositivo serie SRX
Servidor
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asigne interfaces. Consulte Descripción de zonas de seguridad.
Visión general
TDR de destino se utiliza comúnmente para distribuir un servicio ubicado en una red privada con una dirección IP de acceso público. Esto permite a los usuarios usar el servicio privado con la dirección IP pública. Las configuraciones del conjunto de direcciones TDR de destino y las reglas de TDR de destino se utilizan para alinear su red y mejorar los requisitos de seguridad.
En este ejemplo, primero configure la zona de seguridad de confianza para el espacio de direcciones privadas y, luego, configure la zona de seguridad de no confianza para el espacio de dirección pública. En la figura 1, los dispositivos de la zona de no confianza acceden a un servidor de la zona de confianza mediante la dirección pública 203.0.113.200/32. Para los paquetes que ingresan al dispositivo de seguridad de Juniper Networks desde la zona de no confianza con la dirección IP de destino 203.0.113.200/32, la dirección IP de destino se traduce a la dirección privada 192.168.1.200/32.
Topología

En la tabla 1 se muestran los parámetros configurados en este ejemplo.
Parámetro |
Descripción |
---|---|
Zona de confianza |
Zona de seguridad para el espacio de direcciones privadas. |
Zona de no confianza |
Zona de seguridad para el espacio de la dirección pública. |
192.168.1.200/32 |
Dirección IP TDR de destino traducida. |
192.168.1.0/24 |
Subred privada en zona privada. |
203.0.113.200/32 |
Dirección pública del servidor. |
Servidor |
Dirección del servidor del espacio de direcciones privadas. |
ge-0/0/0 y ge-1/0/0 |
Interfaces TDR para la dirección del tráfico. |
En este ejemplo, se describen las siguientes configuraciones:
Grupo TDR de
dst-nat-pool-1
destino que contiene la dirección IP 192.168.1.200/32.Conjunto
rs1
de reglas TDR de destino con reglar1
para coincidir con los paquetes recibidos de la interfaz ge-0/0/0.0 con la dirección IP de destino 203.0.113.200/32. Para los paquetes coincidentes, la dirección de destino se traduce a la dirección deldst-nat-pool-1
grupo.ARP de proxy para la dirección 203.0.113.200/32 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esa dirección.
Políticas de seguridad para permitir el tráfico desde la zona de no confianza hasta la dirección IP de destino traducida en la zona de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar una asignación TDR de destino desde una dirección pública a una dirección privada:
Cree el grupo TDR de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200/32
Cree un conjunto de reglas TDR de destino.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configure el ARP de proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Configure una dirección en la libreta de direcciones global.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
Configure una política de seguridad que permita el tráfico desde la zona de no confianza al servidor en la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any user@host# set policy server-access match destination-address server-1 user@host# set policy server-access match application any user@host# set policy server-access then permit
Resultados
Desde el modo de configuración, ingrese el comando , show security zones
y show bridge-domains
para confirmar la show interfaces
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit] user@host# show security nat destination { pool dst-nat-pool-1 { address 192.168.1.200/32; } rule-set rs1 { from interface ge-0/0/0.0; rule r1 { match { destination-address 203.0.113.200/32; } then { destination-nat pool dst-nat-pool-1; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.200/32; } } } [edit] user@host# show security address-book global { address server-1 192.168.1.200/32; } user@host# show security policies from-zone untrust to-zone trust { policy server-access { match { source-address any; destination-address server-1; application any; } then { permit; } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Verificar el uso del grupo de TDR de destino
- Verificar el uso de la regla de TDR de destino
- Verificar TDR de destino para una traducción de una sola dirección
- Verificar la aplicación TDR al tráfico
Verificar el uso del grupo de TDR de destino
Propósito
Compruebe que hay tráfico mediante direcciones IP del grupo TDR de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination pool all
comando. Vea el campo de impactos de traducción para comprobar si hay tráfico que usa direcciones IP del grupo.
user@host>show security nat destination pool all Total destination-nat pools: 1 Pool name : dst-nat-pool-1 Pool id : 1 Total address : 1 Translation hits: 71 Address range Port 192.168.1.200 - 192.168.1.200 0
Significado
El show security nat destination pool all
comando muestra el conjunto de direcciones traducidas. Vea el campo de impactos de traducción para comprobar si hay tráfico que usa direcciones IP del grupo.
Verificar el uso de la regla de TDR de destino
Propósito
Compruebe que hay tráfico que coincide con la regla TDR de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination rule all
comando.
user@host>show security nat destination rule all Total destination-nat rules: 1 Total referenced IPv4/IPv6 ip-prefixes: 1/0 Destination NAT rule: r1 Rule-set: rs1 Rule-Id : 1 Rule position : 1 From interface : ge-0/0/0.0 Destination addresses : 203.0.113.200 - 203.0.113.200 Action : dst-nat-pool-1 Translation hits : 75 Successful sessions : 75 Failed sessions : 0 Number of sessions : 4
Significado
El show security nat destination rule all
comando muestra la regla TDR de destino. Vea el campo de aciertos de traducción para comprobar si el tráfico coincide con la regla de destino.
Verificar TDR de destino para una traducción de una sola dirección
Propósito
Compruebe la configuración del TDR de destino para una traducción de una sola dirección.
Acción
Desde el modo operativo, ingrese el show security nat destination summary
comando.
user@host>show security nat destination summary Total pools: 1 Pool name Address Range Routing Port Total Instance Address dst-nat-pool-1 192.168.1.200 - 192.168.1.200 0 1 Total rules: 1 Rule name Rule set From Action r1 rs1 ge-0/0/0.0 dst-nat-pool-1
Significado
El show security nat destination summary
comando muestra información acerca de la configuración de TDR de destino. Puede verificar la siguiente información:
Conjuntos de reglas
Reglas
Rango de direcciones
Conjunto TDR
Detalles del puerto
Verificar la aplicación TDR al tráfico
Propósito
Compruebe que se está aplicando TDR al tráfico especificado.
Acción
Desde el modo operativo, ingrese el show security flow session
comando.
user@host>show security flow session Session ID: 26415, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/30 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/30;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26420, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/31 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/31;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26425, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/32 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/32;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26431, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/33 --> 203.0.113.200/54850 ;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/33;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Total sessions: 9
Significado
El show security flow session
comando muestra las sesiones activas en el dispositivo y la política de seguridad asociada de cada sesión. El resultado muestra el tráfico que ingresa en el dispositivo destinado a un host público en 203.0.113.200 que se traduce a la dirección IP de destino privado 192.168.1.200.
Session ID—Número que identifica la sesión. Utilice este ID para obtener más información sobre la sesión, como el nombre de la política o el número de paquetes de in y fuera.
server-access: nombre de política que permitió el tráfico desde la zona de no confianza hasta la dirección IP de destino traducida en la zona de confianza.
In—Flujo de entrada (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP y la interfaz de origen para esta sesión es ge-0/0/0.0).
Out—Flujo inverso (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP y la interfaz de destino de esta sesión es ge-0/0/1.0).
Ejemplo: Configurar TDR de destino para la traducción de puertos y direcciones IP
En este ejemplo, se describe cómo configurar las asignaciones TDR de destino de una dirección pública a direcciones privadas, según el número de puerto.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asigne interfaces. Consulte Descripción de zonas de seguridad.
Visión general
En este ejemplo, se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 2, los dispositivos de los servidores de acceso a la zona de no confianza en la zona de confianza a través de la dirección pública 203.0.113.200 en el puerto 80 o 8000. Los paquetes que ingresan al dispositivo de seguridad de Juniper Networks desde la zona de no confianza se asignan a las direcciones privadas de los servidores de la siguiente manera:
La dirección IP de destino 203.0.113.200 y el puerto 80 se traducen a la dirección privada 192.168.1.200 y el puerto 80.
La dirección IP de destino 203.0.113.200 y el puerto 8000 se traducen a la dirección privada 192.168.1.220 y el puerto 8000.

En este ejemplo, se describen las siguientes configuraciones:
Grupo TDR de
dst-nat-pool-1
destino que contiene la dirección IP 192.168.1.200 puerto 80.Grupo TDR de
dst-nat-pool-2
destino que contiene la dirección IP 192.168.1.220 y el puerto 8000.Conjunto
rs1
de reglas TDR de destino con reglar1
para hacer coincidir los paquetes recibidos de la zona de no confianza con la dirección IP de destino 203.0.113.200 y el puerto de destino 80. Para los paquetes coincidentes, la dirección de destino se traduce a la dirección deldst-nat-pool-1
grupo.Conjunto
rs1
de reglas TDR de destino con reglar2
para hacer coincidir los paquetes recibidos de la zona de no confianza con la dirección IP de destino 203.0.113.200 y el puerto de destino 8000. Para los paquetes coincidentes, la dirección IP de destino y el puerto se traducen a la dirección y el puerto deldst-nat-pool-2
grupo.ARP de proxy para la dirección 203.0.113.200/32. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esa dirección.
Políticas de seguridad para permitir el tráfico desde la zona de no confianza hasta las direcciones IP de destino traducidas en la zona de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination pool dst-nat-pool-1 address port 80 set security nat destination pool dst-nat-pool-2 address 192.168.1.220/32 set security nat destination pool dst-nat-pool-2 address port 8000 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 match destination-port 80 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat destination rule-set rs1 rule r2 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r2 match destination-port 8000 set security nat destination rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-2 192.168.1.220/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match destination-address server-2 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar una asignación TDR de destino desde una dirección pública a una dirección privada:
Cree grupos TDR de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200 port 80 user@host# set pool dst-nat-pool-2 address 192.168.1.220 port 8000
Cree un conjunto de reglas TDR de destino.
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r1 match destination-port 80 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo.
[edit security nat destination] user@host# set rule-set rs1 rule r2 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r2 match destination-port 8000 user@host# set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
Configure el ARP de proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Configure direcciones en la libreta de direcciones global.
[edit security address-book global] user@host# set address server-2 192.168.1.220/32 user@host# set address server-1 192.168.1.200/32
Configure una política de seguridad que permita el tráfico desde la zona de no confianza a los servidores de la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address [server-1 server-2] application any user@host# set policy server-access then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies
para confirmar la show security nat
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat destination { pool dst-nat-pool-1 { address 192.168.1.200/32 port 80; } pool dst-nat-pool-2 { address 192.168.1.220/32 port 8000; } rule-set rs1 { from zone untrust; rule r1 { match { destination-address 203.0.113.200/32; destination-port 80; } then { destination-nat pool dst-nat-pool-1; } } rule r2 { match { destination-address 203.0.113.200/32; destination-port 8000; } then { destination-nat pool dst-nat-pool-2; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.200/32; } } } user@host# show security policies from-zone untrust to-zone trust { policy server-access { match { source-address any; destination-address [ server-1 server-2 ]; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar el uso del grupo de TDR de destino
- Verificar el uso de la regla de TDR de destino
- Verificar la aplicación TDR al tráfico
Verificar el uso del grupo de TDR de destino
Propósito
Compruebe que hay tráfico mediante direcciones IP del grupo TDR de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination pool all
comando. Vea el campo de impactos de traducción para comprobar si hay tráfico que usa direcciones IP del grupo.
Verificar el uso de la regla de TDR de destino
Propósito
Compruebe que hay tráfico que coincide con la regla TDR de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination rule all
comando. Vea el campo de impactos de traducción para comprobar si el tráfico coincide con la regla.
Ejemplo: Configurar TDR de destino para la traducción de subred
En este ejemplo se describe cómo configurar una asignación TDR de destino de una dirección de subred pública a una dirección de subred privada.
La asignación de direcciones de una subred a otra también se puede realizar con TDR estático. La asignación TDR estática permite establecer conexiones desde cualquier lado del dispositivo de puerta de enlace, mientras que el TDR de destino permite establecer conexiones desde un solo lado. Sin embargo, la TDR estática solo permite traducciones entre bloques de direcciones del mismo tamaño.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asigne interfaces. Consulte Descripción de zonas de seguridad.
Visión general
En este ejemplo, se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 3, los dispositivos de los dispositivos de acceso a la zona de no confianza en la zona de confianza a través de la dirección de subred pública 203.0.113.0/24. Para los paquetes que ingresan al dispositivo de seguridad de Juniper Networks desde la zona de no confianza con una dirección IP de destino en la subred 203.0.113.0/24, la dirección IP de destino se traduce a una dirección privada en la subred 192.168.1.0/24.

En este ejemplo, se describen las siguientes configuraciones:
Grupo TDR de
dst-nat-pool-1
destino que contiene la dirección IP 192.168.1.0/24.Conjunto
rs1
de reglas TDR de destino con reglar1
que coincide con los paquetes recibidos de la interfaz ge-0/0/0.0 con la dirección IP de destino en la subred 203.0.113.0/24. Para los paquetes coincidentes, la dirección de destino se traduce a la dirección deldst-nat-pool-1
grupo.ARP de proxy para las direcciones 203.0.113.1/32 a 203.0.113.62/32 en la interfaz ge-0/0/0.0; estas son las direcciones IP de los hosts que se deben traducir desde la subred 203.0.113.0/24. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes de ARP recibidas en la interfaz para esas direcciones. La dirección 203.0.113.0/24 se asigna a la interfaz en sí, por lo que esta dirección no se incluye en la configuración del ARP de proxy. No se espera que las direcciones que no estén en el rango 203.0.113.1/32 hasta 203.0.113.62/32 estén presentes en la red y no se traducirán.
Políticas de seguridad para permitir el tráfico desde la zona de no confianza hasta las direcciones IP de destino traducidas en la zona de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set security nat destination pool dst-nat-pool-1 address 192.168.1.0/24 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32 set security address-book global address internal-net 192.168.1.0/24 set security policies from-zone untrust to-zone trust policy internal-access match source-address any set security policies from-zone untrust to-zone trust policy internal-access match destination-address internal-net set security policies from-zone untrust to-zone trust policy internal-access match application any set security policies from-zone untrust to-zone trust policy internal-access then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar una asignación TDR de destino desde una dirección de subred pública a una dirección de subred privada:
Cree el grupo TDR de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.0/24
Cree un conjunto de reglas TDR de destino.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Configure una regla que coincida con paquetes y traduzca la dirección de destino a una dirección del grupo.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configure el ARP de proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32
Configure una dirección en la libreta de direcciones global.
[edit security address-book global] user@host# set address internal-net 192.168.1.0/24
Configure una política de seguridad que permita el tráfico desde la zona de no confianza a los dispositivos de la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy internal-access match source-address any destination-address internal-net application any user@host# set policy internal-access then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies
para confirmar la show security nat
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat destination { pool dst-nat-pool-1 { address 192.168.1.0/24; } rule-set rs1 { from interface ge-0/0/0.0; rule r1 { match { destination-address 203.0.113.0/24; } then { destination-nat pool dst-nat-pool-1; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.1/32 to 203.0.113.62/32; } } } user@host# show security policies from-zone untrust to-zone trust { policy internal-access { match { source-address any; destination-address internal-net; application any; } then { permit; } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar el uso del grupo de TDR de destino
- Verificar el uso de la regla de TDR de destino
- Verificar la aplicación TDR al tráfico
Verificar el uso del grupo de TDR de destino
Propósito
Compruebe que hay tráfico mediante direcciones IP del grupo TDR de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination pool all
comando. Vea el campo de impactos de traducción para comprobar si hay tráfico que usa direcciones IP del grupo.
Verificar el uso de la regla de TDR de destino
Propósito
Compruebe que hay tráfico que coincide con la regla TDR de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination rule all
comando. Vea el campo de impactos de traducción para comprobar si el tráfico coincide con la regla.
Monitoreo de la información de TDR de destino
Propósito
Vea la tabla de resumen de traducción de direcciones de red (TDR) de destino y los detalles de la información del conjunto de direcciones TDR especificada.
Acción
Seleccione Monitor>NAT> TDR de destino en la interfaz de usuario de J-Web o escriba los siguientes comandos de CLI:
show security nat destination summary
show security nat destination pool pool-name
La tabla 2 resume los campos de salida clave en la visualización TDR de destino.
Campo |
Valores |
Acción |
---|---|---|
Reglas | ||
Nombre del conjunto de reglas |
Nombre del conjunto de reglas. |
Seleccione todos los conjuntos de reglas o un conjunto de reglas específico para mostrar en la lista. |
Reglas totales |
Número de reglas configuradas. |
– |
ID |
Número de ID de regla. |
– |
Nombre |
Nombre de la regla . |
– |
Nombre del conjunto de reglas |
Nombre del conjunto de reglas. |
– |
De |
Nombre de la instancia/zona/interfaz de enrutamiento desde la que fluye el paquete. |
– |
Rango de direcciones de origen |
Rango de direcciones IP de origen en el grupo de origen. |
– |
Rango de direcciones de destino |
Rango de direcciones IP de destino en el grupo de origen. |
– |
Puerto de destino |
Puerto de destino en el grupo de destinos. |
– |
Protocolo IP |
Protocolo IP. |
– |
Acción |
Acción realizada para un paquete que coincide con una regla. |
– |
Umbral de alarma |
Umbral de alarma de utilización. |
– |
Sesiones (Succ/Failed/Current) |
Sesiones exitosas, fallidas y actuales.
|
– |
Éxitos de la traducción |
Número de veces que se utiliza una traducción en la tabla de traducción para una regla TDR de destino. |
– |
Piscinas | ||
Nombre del grupo |
Los nombres de los grupos. |
Seleccione todos los grupos o una agrupación específica para mostrar en la lista. |
Total de grupos |
Total de conjuntos agregados. |
– |
ID |
ID del grupo. |
– |
Nombre |
Nombre del grupo de destino. |
– |
Rango de direcciones |
Rango de direcciones IP en el grupo de destinos. |
– |
Puerto |
Número de puerto de destino en el grupo. |
– |
Instancia de enrutamiento |
Nombre de la instancia de enrutamiento. |
– |
Direcciones totales |
Dirección IP total, conjunto de direcciones IP o entrada de la libreta de direcciones. |
– |
Éxitos de la traducción |
Número de veces que se utiliza una traducción en la tabla de traducción para el TDR de destino. |
– |
Los 10 principales éxitos de traducción | ||
Gráfico |
Muestra el gráfico de los 10 principales aciertos de la traducción. |
– |