Ayúdenos a mejorar su experiencia.

Háganos saber su opinión.

¿Podría dedicar dos minutos de su tiempo a completar una encuesta?

header-navigation

Solutions

Featured solutions AI Campus and branch Data center WAN Security Service provider Cloud operator Industries
Campus and Branch

Welcome to the NOW Way to Wi-Fi

Take your networking performance to new heights with a modern, cloud-native, AI-Native architecture. Only Juniper can help you unleash the full potential of Wi-Fi 7 with our AI-Native platform for innovation.
Prepare for liftoff
Business intelligence analyst dashboard on virtual screen. Big data Graphs Charts.

AI Data Center Networking

Juniper’s AI data center solution is a quick way to deploy high performing AI training and inference networks that are the most flexible to design and easiest to manage with limited IT resources.
Find out more
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Zero trust security

Ops4AI Lab

Visit our lab in Sunnyvale, CA and see our AI data center solution for yourself. You can try out your own model’s functionality and performance, too.
Visit the lab
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Higher Education

Shaping Student Experiences: The NOW Way to Build Higher Education Networks

Juniper Networks CIO Sharon Mandell and a virtual summit of C-level IT leaders from prestigious institutions discuss ongoing efforts to support digital transformation on campus.
Watch now
Hand on tablet with healthcare overlay of graphics

Security in healthcare

In this IDC Spotlight report, discover how AI networking can automate and strengthen a healthcare ecosystem to defeat criminals and prevent loss. 
Gain insights into ecosystem security
Retail

The Future of In-Store Technologies

Retail experts Kevin McCartan, Senior IT Service Delivery Engineer at Musgrave; Jack Stratten of Insider Trends; and Christian Gilby, Senior Director of Product Marketing at Juniper Networks, discuss customer experiences.
See the future

Products

Wireless access Wired access SD-WAN / SASE Routing and switching Security Mist AI™ Management software Network operating system Blueprint for AI-Native Acceleration Optics
  • Operations
ACX7020 router

Juniper ACX7020 Cloud Metro Access Router

Legacy networks simply cannot meet the demands of today’s rapidly evolving metro landscape. Unlock a new generation of highly scalable architectures and automated operations with the Juniper ACX7020. 
Learn more
EX4000 Ethernet Switch

Next-gen AI-Native EX4000 line of switches

Lack of AI innovation from your current networking vendor slowing you down? Embrace Juniper’s cloud-native, AI-Native access switches that support every level and layer, across nearly every deployment.
Discover how
The Q and AI text with an image of Bob Friday and Kedar Dhuru.

The Q&AI Podcast

Delivering practical solutions and enriching discussions, this podcast series is a vital resource for those seeking an in-depth exploration of AI's transformative potential.
Catch the latest episode

Services

Services
Services AI Care

Juniper AI Care Services Revolutionize Your Service Experience

Our industry-first AI-Native services couple AIOps with our deep expertise across the full network life cycle. You can move from reactive response to proactive insight and action.
Explore AI Care Services
Services AI Data Center

Juniper AI Data Center Deployment Services Optimize Your AI Model Runs

We use our expertise and validated designs to help design, deploy, validate and tune networks, including GPUs and storage, to get the most from your AI infrastructure operation.
Learn about AI Data Center Deployment Services

Partners

Partners

Support and Documentation

Support and Documentation

Learn

About Juniper Training Events The Feed Resources Technology learning topics Thought leadership and insights
Audience raising hands up while businessman is speaking in training at the office.

Juniper certification and training news

See the latest
Ringing of the bell

All global events

See the latest
AI-native-now

AI-Native NOW event series

Register now
Juniper's Christina Hendrix at the head of a conference table. With the text "The NOW Way to Network" overlayed, with "NOW" emphasizing the "O" in green color.

The NOW Way to Network

Watch the video series
AI Native Now

Executive insights

Dive deep with leading experts and thought leaders on all the topics that matter most to your business, from AI to network security to driving rapid, relevant transformation for your business.
Learn more
A keynote speaker giving a presentation at a conference. There are dozens of people sitting around them. The presentation is displayed via projector on all the walls in the room.

Leadership voices

Juniper Networks’ leaders operate on the front lines of creating the network of the future. Take a look around to see what’s on their minds.
Watch now
Bob Friday and Jessica Garrison speaking

Bob Friday Talks

Join Bob as he ventures into all the knowns -- and -- unknowns -- of AI.
Catch the latest episode
Documentation
Menu
License Guide
Quick Starts
Validated Designs
Explore Pathfinder Apps
CLI Explorer
Feature Explorer
Hardware Compatibility Tool
Port Checker
Browse All
Collapse

Pathfinder Apps

All

By Software

By Hardware

Learn More
Pathfinder HomeCLI ExplorerCompliance AdvisorFeature ExplorerHardware Compatibility ToolJunos XML API ExplorerJunos YANG Data Model ExplorerPort CheckerPower CalculatorSNMP MIB ExplorerSystem Log Explorer
CLI ExplorerFeature ExplorerJunos XML API ExplorerJunos YANG Data Model ExplorerSNMP MIB ExplorerSystem Log Explorer
Compliance AdvisorFeature ExplorerHardware Compatibility ToolPort CheckerPower Calculator
Home Documentation Junos OS Guía del usuario de traducción de direcciones de red Opciones de configuración de NAT

Guía del usuario de traducción de direcciones de red

keyboard_arrow_up
close
keyboard_arrow_left
Guía del usuario de traducción de direcciones de red
Table of Contents Expand all
list Table of Contents
EN ESTA PÁGINA
keyboard_arrow_right

¿Fue útil esta traducción automática?

starstarstarstarstar
Go to English page
DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

TDR para flujos de multidifusión

date_range 31-May-23
arrow_backward
arrow_forward

Para implementar la traducción de direcciones de grupo de multidifusión, se utiliza TDR estático o TDR de destino. Con la ayuda de TDR, las direcciones de origen en IPv4 se traducen a direcciones de destino del grupo de multidifusión IPv4.

Descripción de TDR para flujos de multidifusión

La traducción de direcciones de red (TDR) se puede utilizar para traducir direcciones de origen en flujos de multidifusión IPv4 y para traducir direcciones de destino de grupo de multidifusión IPv4.

Se puede usar TDR estático o TDR de destino para realizar la traducción de direcciones de grupo de multidifusión. El TDR estático permite que las conexiones se originen desde cualquier lado de la red, pero la traducción se limita a direcciones uno a uno o entre bloques de direcciones del mismo tamaño. No se necesitan grupos de direcciones. Utilice la static instrucción de configuración en el nivel de jerarquía [edit security nat] para configurar conjuntos de reglas TDR estáticos para el tráfico de multidifusión. El TDR de destino permite que las conexiones se inicien solo para conexiones de red entrantes, por ejemplo, desde Internet hasta una red privada. Utilice la destination instrucción de configuración en el nivel de jerarquía [edit security nat] para configurar grupos de TDR de destino y conjuntos de reglas.

El TDR de origen para el tráfico de multidifusión solo se admite mediante el cambio de dirección IP para traducir la dirección IP de origen original a una dirección IP desde un conjunto de direcciones definidas por el usuario. Este tipo de traducción es uno a uno, estática y sin traducción de direcciones de puerto. Si el rango de direcciones IP de origen original es mayor que el intervalo de direcciones IP del grupo definido por el usuario, se pierden los paquetes no traducidos. La asignación no proporciona asignación bidireccional, que proporciona TDR estático. Utilice la source instrucción de configuración en el nivel de jerarquía [edit security nat] para configurar grupos de TDR de origen y conjuntos de reglas. Cuando defina el grupo TDR de origen para este tipo de TDR de origen, utilice la host-address-base opción para especificar el inicio del intervalo de direcciones IP de origen original.

Ver también

Ejemplo: Configurar TDR para flujos de multidifusión

En este ejemplo, se muestra cómo configurar un dispositivo Juniper Networks para la traducción de direcciones de flujos de multidifusión.

Requisitos

Antes de empezar:

  1. Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asigne interfaces. Consulte Descripción de zonas de seguridad.

  3. Configure el dispositivo para el reenvío de multidifusión. Consulte descripción general de multidifusión.

Visión general

En este ejemplo, se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. La Figura 1 muestra una implementación típica del dispositivo Juniper Networks para el reenvío de multidifusión. El enrutador de origen R1 envía paquetes de multidifusión con direcciones de origen en el rango 203.0.113.100 a 203.0.113.110 y la dirección de grupo 233.252.0.1/32 hacia el dispositivo de Juniper Networks. El enrutador de origen R1 se encuentra en la red privada (zona de confianza) aguas arriba del dispositivo Juniper Networks. Hay varios receptores en la red pública (zona de no confianza) aguas abajo del dispositivo.

El dispositivo Juniper Networks traduce los paquetes de multidifusión entrantes de R1 antes de reenviarlos en las interfaces descendentes. Se aplican las siguientes traducciones:

  • Para la interfaz a R2, la dirección de origen no se traduce y la dirección del grupo se traduce a 233.252.0.2/32.

  • Para la interfaz a R3, la dirección de origen se traduce a una dirección en el intervalo 198.51.100.200 a 198.51.100.210, y la dirección del grupo se traduce a 233.252.0.2/32.

  • Para la interfaz a R4, la dirección de origen se traduce a una dirección en el intervalo 10.10.10.100 a 10.10.10.110, y la dirección del grupo se traduce a 233.252.0.2/32.

Figura 1: Traducciones TDR para flujos NAT Translations for Multicast Flows de multidifusión

En este ejemplo, se describen las siguientes configuraciones:

  • Grupo TDR de dst-nat-pool destino que contiene la dirección IP 233.252.0.2/32.

  • Conjunto rs1 de reglas TDR de destino con regla r1 para coincidir con los paquetes que llegan a la interfaz xe-2/0/1.0 con la dirección IP de destino 233.252.0.1/32. Para los paquetes coincidentes, la dirección de destino se traduce a la dirección IP del dst-nat-pool grupo.

  • Agrupación TDR de src-nat-shift-1 origen que contiene el intervalo de direcciones IP 198.51.100.200/32 a 198.51.100.210/32. Para este grupo, el comienzo del intervalo de direcciones IP de origen original es 203.0.113.100/32 y se especifica con la host-address-base opción.

  • Conjunto de reglas TDR de origen rs-shift1 con regla r1 para hacer coincidir paquetes de la zona de confianza a la interfaz xe-1/0/1.0 con una dirección IP de origen en la subred 203.0.113.96/28. Para los paquetes coincidentes que se encuentran dentro del intervalo de direcciones IP de origen especificado por la src-nat-shift-1 configuración, la dirección de origen se traduce a la dirección IP del src-nat-shift-1 grupo.

  • Grupo TDR de origen src-nat-shift-2 que contiene el intervalo de direcciones IP 10.10.10.100/32 a 10.10.10.110/32. Para este grupo, el comienzo del intervalo de direcciones IP de origen original es 203.0.113.100/32 y se especifica con la host-address-base opción.

  • Conjunto rs-shift2 de reglas TDR fuente con regla r1 para hacer coincidir paquetes de la zona de confianza a la interfaz xe-2/0/0.0 con una dirección IP de origen en la subred 203.0.113.96/28. Para los paquetes coincidentes que se encuentran dentro del intervalo de direcciones IP de origen especificado por la src-nat-shift-2 configuración, la dirección de origen se traduce a la dirección IP del src-nat-shift-2 grupo.

  • ARP de proxy para las direcciones 203.0.113.100 a 203.0.113.110 en la interfaz xe-1/0/0.0, direcciones 198.51.100.200 a 198.51.100.210 en la interfaz xe-1/0/1.0, y direcciones 10.10.10.100 a 10.10.10.110 en la interfaz xe-2/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes de ARP recibidas en la interfaz para esas direcciones.

  • Política de seguridad para permitir el tráfico desde la zona de confianza hasta la zona de no confianza.

  • Política de seguridad para permitir el tráfico desde la zona de no confianza hasta la dirección IP de destino traducida en la zona de confianza.

Topología

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

content_copy zoom_out_map
set security nat source pool src-nat-shift-1 address 198.51.100.200/32 to 198.51.100.210/32 
set security nat source pool src-nat-shift-1 host-address-base 203.0.113.100/32
set security nat source pool src-nat-shift-2 address 10.10.10.100/32 to 10.10.10.110/32 
set security nat source pool src-nat-shift-2 host-address-base 203.0.113.100/32
set security nat source rule-set rs-shift1 from zone trust 
set security nat source rule-set rs-shift1 to interface xe-1/0/1.0 
set security nat source rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 
set security nat source rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1 
set security nat source rule-set rs-shift2 from zone trust 
set security nat source rule-set rs-shift2 to interface xe-2/0/0.0 
set security nat source rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 
set security nat source rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2 
set security nat destination pool dst-nat-pool address 233.252.0.2/32
set security nat destination rule-set rs1 from interface xe-2/0/1.0 
set security nat destination rule-set rs1 rule r1 match destination-address 233.252.0.1/32
set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool 
set security nat proxy-arp interface xe-1/0/0.0 address 203.0.113.100/32 to 203.0.113.110/32
set security nat proxy-arp interface xe-1/0/1.0 address 198.51.100.200/32 to 198.51.100.210/32 
set security nat proxy-arp interface xe-2/0/0.0 address 10.10.10.100/32 to 10.10.10.110/32
set security policies from-zone trust to-zone untrust policy internet-access match source-address any 
set security policies from-zone trust to-zone untrust policy internet-access match destination-address any 
set security policies from-zone trust to-zone untrust policy internet-access match application any 
set security policies from-zone trust to-zone untrust policy internet-access then permit 
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match source-address any 
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match destination-address 233.252.0.1/21 
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match application any 
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access then permit
Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar las traducciones TDR de destino y origen para flujos de multidifusión:

  1. Cree un grupo TDR de destino.

    content_copy zoom_out_map
    [edit security nat destination]
user@host# set pool dst-nat-pool address 233.252.0.2/32

  2. Cree un conjunto de reglas TDR de destino.

    content_copy zoom_out_map
    [edit security nat destination]
user@host# set rule-set rs1 from interface xe-2/0/1.0

  3. Configure una regla que coincida con paquetes y traduzca la dirección de destino a la dirección del grupo TDR de destino.

    content_copy zoom_out_map
    [edit security nat destination]
user@host# set rule-set rs1 rule r1 match destination-address 233.252.0.1/32
user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool

  4. Cree un grupo TDR de origen.

    content_copy zoom_out_map
    [edit security nat source]
user@host# set pool src-nat-shift-1 address 198.51.100.200 to 198.51.100.210

  5. Especifique el principio del intervalo de direcciones IP de origen original.

    content_copy zoom_out_map
    [edit security nat source]
user@host# set pool src-nat-shift-1 host-address-base 203.0.113.100

  6. Cree un conjunto de reglas TDR de origen.

    content_copy zoom_out_map
    [edit security nat source]
user@host# set rule-set rs-shift1 from zone trust
user@host# set rule-set rs-shift1 to interface xe-1/0/1.0

  7. Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo TDR de origen.

    content_copy zoom_out_map
    [edit security nat source]
user@host# set rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28
user@host# set rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1

  8. Cree un grupo TDR de origen.

    content_copy zoom_out_map
    [edit security nat source]
user@host# set pool src-nat-shift-2 address 10.10.10.100 to 10.10.10.110

  9. Especifique el principio del intervalo de direcciones IP de origen original.

    content_copy zoom_out_map
    [edit security nat source]
user@host# set pool src-nat-shift-2 host-address-base 203.0.113.100/32

  10. Cree un conjunto de reglas TDR de origen.

    content_copy zoom_out_map
    [edit security nat source]
user@host# set rule-set rs-shift2 from zone trust
user@host# set rule-set rs-shift2 to interface xe-2/0/0.0

  11. Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo TDR de origen.

    content_copy zoom_out_map
    [edit security nat source]
user@host# set rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28
user@host# set rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2

  12. Configure el ARP de proxy.

    content_copy zoom_out_map
    [edit security nat]
user@host# set proxy-arp interface xe-1/0/0.0 address 203.0.113.100 to 203.0.113.110
user@host# set proxy-arp interface xe-1/0/1.0 address 198.51.100.200 to 198.51.100.210
user@host# set proxy-arp interface xe-2/0/0.0 address 10.10.10.100 to 10.10.10.110

  13. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

    content_copy zoom_out_map
    [edit security policies from-zone trust to-zone untrust]
user@host# set policy internet-access match source-address any destination-address any application any
user@host# set policy internet-access then permit

  14. Configure una política de seguridad que permita el tráfico desde la zona de no confianza a la zona de confianza.

    content_copy zoom_out_map
    [edit security policies from-zone untrust to-zone trust]
user@host# set policy dst-nat-pool-access match source-address any destination-address 233.252.0.1/32 application any
user@host# set policy dst-nat-pool-access then permit
Resultados

Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

content_copy zoom_out_map
[edit]
user@host# show security nat
source {
    pool src-nat-shift-1 {
        address {
            198.51.100.200/32 to 198.51.100.210/32;
        }
        host-address-base 203.0.113.100/32;
    }
    pool src-nat-shift-2 {
        address {
            10.10.10.100/32 to 10.10.10.110/32;
        }
        host-address-base 203.0.113.100/32;
    }
    rule-set trust-to-untrust {
        from zone trust;
        to zone untrust;
        rule source-nat-rule {
            match {
                source-address 0.0.0.0/0;
            }
            then {
                source-nat {
                    interface;
                }
            }
        }
    }
    rule-set rs-shift1 {
        from zone trust;
        to interface xe-1/0/1.0;
        rule r1 {
            match {
                source-address 203.0.113.96/28;
            }
            then {
                source-nat {
                    pool {
                        src-nat-shift1;
                    }
                }
            }
        }
    }
    rule-set rs-shift2 {
        from zone trust;
        to interface xe-2/0/0.0;
        rule r2 {
            match {
                source-address 203.0.113.96/28;
            }
            then {
                source-nat {
                    pool {
                        src-nat-shift2;
                    }
                }
            }
        }
    }
}
destination {
    pool dst-nat-pool {
        address 233.252.0.1/32;
    }
    rule-set rs1 {
        from interface xe-2/0/1.0;
        rule r1 {
            match {
                destination-address 233.252.0.1/32;
            }
            then {
                destination-nat pool dst-nat-pool;
            }
        }
    }
}
proxy-arp {
    interface xe-1/0/0.0 {
        address {
            203.0.113.100/32 to 203.0.113.110/32;
        }
    }
    interface xe-1/0/1.0 {
        address {
            198.51.100.200/32 to 198.51.100.210/32;
        }
    }
    interface xe-2/0/0.0 {
        address {
            10.10.10.100/32 to 10.10.10.110/32;
        }
    }
}
content_copy zoom_out_map
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
    policy trust-to-untrust {
        match {
            source-address any;
            destination-address any;
            application any;
        }
        then {
            permit;
        }
    }
    policy internet-access {
        match {
            source-address any;
            destination-address any;
            application any;
        }
        then {
            permit;
        }
    }
    from-zone untrust to-zone trust {
        policy dst-nat-pool-access {
            match {
                source-address any;
                destination-address 233.252.0.1/21;
                application any;
            }
            then {
                permit;
            }
        }
    }
}

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el uso del grupo de TDR de destino

Propósito

Compruebe que hay tráfico mediante direcciones IP del grupo TDR de destino.

Acción

Desde el modo operativo, ingrese el show security nat destination pool all comando. Vea el campo de impactos de traducción para comprobar si hay tráfico que usa direcciones IP del grupo.

Verificar el uso de la regla de TDR de destino

Propósito

Compruebe que hay tráfico que coincide con la regla TDR de destino.

Acción

Desde el modo operativo, ingrese el show security nat destination rule all comando. Vea el campo de impactos de traducción para comprobar si el tráfico coincide con la regla.

Verificar el uso del grupo TDR de origen

Propósito

Compruebe que hay tráfico mediante direcciones IP del grupo TDR de origen.

Acción

Desde el modo operativo, ingrese el show security nat source pool all comando. Vea el campo de impactos de traducción para comprobar si hay tráfico que usa direcciones IP del grupo.

Verificar el uso de la regla de TDR de origen

Propósito

Compruebe que el tráfico coincide con la regla TDR de origen.

Acción

Desde el modo operativo, ingrese el show security nat source rule all comando. Vea el campo de impactos de traducción para comprobar si el tráfico coincide con la regla.

Verificar la aplicación TDR al tráfico

Propósito

Compruebe que se está aplicando TDR al tráfico especificado.

Acción

Desde el modo operativo, ingrese el show security flow session comando.

arrow_backward PREVIOUS NAT persistente y NAT64
NEXT arrow_forward TDR IPv6
footer-navigation

© 1999 - 2025 Juniper Networks, Inc. All rights reserved.

Scroll to top