NAT para flujos de multidifusión
Para implementar la traducción de direcciones de grupo de multidifusión, se utiliza NAT estática o NAT de destino. Con la ayuda de NAT, las direcciones de origen en IPv4 se traducen a direcciones de destino de grupo de multidifusión IPv4.
Descripción de NAT para flujos de multidifusión
La traducción de direcciones de red (NAT) se puede utilizar para traducir direcciones de origen en flujos de multidifusión IPv4 y para traducir direcciones de destino de grupos de multidifusión IPv4.
Se puede utilizar la NAT estática o la NAT de destino para realizar la traducción de direcciones de grupos de multidifusión. La NAT estática permite que las conexiones se originen desde cualquier lado de la red, pero la traducción se limita a direcciones uno a uno o entre bloques de direcciones del mismo tamaño. No se necesitan grupos de direcciones. Utilice la instrucción configuration static en el nivel de jerarquía [edit security nat] para configurar conjuntos de reglas NAT estáticas para el tráfico de multidifusión. La TDR de destino permite que las conexiones se inicien solo para las conexiones de red entrantes, por ejemplo, desde Internet a una red privada. Utilice la instrucción de destination configuración en el nivel de jerarquía [edit security nat] para configurar los conjuntos de reglas y los grupos NAT de destino.
La TDR de origen para el tráfico de multidifusión solo se admite mediante el desplazamiento de dirección IP para traducir la dirección IP de origen original a una dirección IP de un grupo de direcciones definido por el usuario. Este tipo de traducción es individual, estática y sin traducción de direcciones de puerto. Si el intervalo de direcciones IP de origen original es mayor que el intervalo de direcciones IP del grupo definido por el usuario, se descartarán los paquetes no traducidos. La asignación no proporciona una asignación bidireccional, que proporciona la NAT estática. Use la instrucción de source configuración en el nivel de jerarquía [edit security nat] para configurar grupos NAT de origen y conjuntos de reglas. Cuando defina el grupo NAT de origen para este tipo de NAT de origen, utilice la host-address-base opción para especificar el inicio del intervalo de direcciones IP de origen original.
Ver también
Ejemplo: configuración de NAT para flujos de multidifusión
En este ejemplo se muestra cómo configurar un dispositivo de Juniper Networks para la traducción de direcciones de flujos de multidifusión.
Requisitos
Antes de empezar:
-
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
-
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
-
Configure el dispositivo para el reenvío de multidifusión. Consulte la descripción general de la multidifusión.
Visión general
En este ejemplo se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. La figura 1 muestra una implementación típica del dispositivo de Juniper Networks para el reenvío de multidifusión. El enrutador de origen R1 envía paquetes de multidifusión con direcciones de origen en el intervalo de 203.0.113.100 a 203.0.113.110 y la dirección de grupo 233.252.0.1/32 hacia el dispositivo de Juniper Networks. El enrutador de origen R1 se encuentra en la red privada (zona de confianza) que precede en la cadena del dispositivo de Juniper Networks. Hay varios receptores en la red pública (zona de no confianza) aguas abajo del dispositivo.
El dispositivo de Juniper Networks traduce los paquetes de multidifusión entrantes desde R1 antes de reenviarlos a las interfaces descendentes. Se aplican las siguientes traducciones:
-
Para la interfaz a R2, la dirección de origen no está traducida y la dirección del grupo se traduce a 233.252.0.2/32.
-
Para la interfaz a R3, la dirección de origen se traduce a una dirección en el intervalo de 198.51.100.200 a 198.51.100.210 y la dirección de grupo se traduce a 233.252.0.2/32.
-
Para la interfaz a R4, la dirección de origen se traduce a una dirección en el intervalo de 10.10.10.100 a 10.10.10.110 y la dirección del grupo se traduce a 233.252.0.2/32.
de multidifusión
En este ejemplo se describen las siguientes configuraciones:
-
Grupo NAT
dst-nat-poolde destino que contiene la dirección IP 233.252.0.2/32. -
Regla NAT de destino establecida
rs1con reglar1para hacer coincidir los paquetes que llegan a la interfaz xe-2/0/1.0 con la dirección IP de destino 233.252.0.1/32. Para paquetes coincidentes, la dirección de destino se traduce a la dirección IP deldst-nat-poolgrupo. -
Conjunto
src-nat-shift-1de NAT de origen que contiene el intervalo de direcciones IP 198.51.100.200/32 a 198.51.100.210/32. Para este grupo, el comienzo del intervalo de direcciones IP de origen original es 203.0.113.100/32 y se especifica con lahost-address-baseopción. -
Conjunto de reglas
rs-shift1NAT de origen con una reglar1para hacer coincidir los paquetes de la zona de confianza con la interfaz xe-1/0/1.0 con una dirección IP de origen en la subred 203.0.113.96/28. Para los paquetes coincidentes que se encuentran dentro del intervalo de direcciones IP de origen especificado por lasrc-nat-shift-1configuración, la dirección de origen se traduce a la dirección IP delsrc-nat-shift-1grupo. -
Grupo NAT
src-nat-shift-2de origen que contiene el intervalo de direcciones IP 10.10.10.100/32 a 10.10.10.110/32. Para este grupo, el comienzo del intervalo de direcciones IP de origen original es 203.0.113.100/32 y se especifica con lahost-address-baseopción. -
Conjunto de reglas
rs-shift2NAT de origen con una reglar1para hacer coincidir los paquetes de la zona de confianza con la interfaz xe-2/0/0.0 con una dirección IP de origen en la subred 203.0.113.96/28. Para los paquetes coincidentes que se encuentran dentro del intervalo de direcciones IP de origen especificado por lasrc-nat-shift-2configuración, la dirección de origen se traduce a la dirección IP delsrc-nat-shift-2grupo. -
ARP de proxy para las direcciones 203.0.113.100 a 203.0.113.110 en la interfaz xe-1/0/0.0, las direcciones 198.51.100.200 a 198.51.100.210 en la interfaz xe-1/0/1.0 y las direcciones 10.10.10.100 a 10.10.10.110 en la interfaz xe-2/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esas direcciones.
-
Política de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.
-
Política de seguridad para permitir el tráfico desde la zona que no es de confianza a la dirección IP de destino traducida en la zona de confianza.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security nat source pool src-nat-shift-1 address 198.51.100.200/32 to 198.51.100.210/32
set security nat source pool src-nat-shift-1 host-address-base 203.0.113.100/32
set security nat source pool src-nat-shift-2 address 10.10.10.100/32 to 10.10.10.110/32
set security nat source pool src-nat-shift-2 host-address-base 203.0.113.100/32
set security nat source rule-set rs-shift1 from zone trust
set security nat source rule-set rs-shift1 to interface xe-1/0/1.0
set security nat source rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28
set security nat source rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1
set security nat source rule-set rs-shift2 from zone trust
set security nat source rule-set rs-shift2 to interface xe-2/0/0.0
set security nat source rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28
set security nat source rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2
set security nat destination pool dst-nat-pool address 233.252.0.2/32
set security nat destination rule-set rs1 from interface xe-2/0/1.0
set security nat destination rule-set rs1 rule r1 match destination-address 233.252.0.1/32
set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool
set security nat proxy-arp interface xe-1/0/0.0 address 203.0.113.100/32 to 203.0.113.110/32
set security nat proxy-arp interface xe-1/0/1.0 address 198.51.100.200/32 to 198.51.100.210/32
set security nat proxy-arp interface xe-2/0/0.0 address 10.10.10.100/32 to 10.10.10.110/32
set security policies from-zone trust to-zone untrust policy internet-access match source-address any
set security policies from-zone trust to-zone untrust policy internet-access match destination-address any
set security policies from-zone trust to-zone untrust policy internet-access match application any
set security policies from-zone trust to-zone untrust policy internet-access then permit
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match source-address any
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match destination-address 233.252.0.1/21
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match application any
set security policies from-zone untrust to-zone trust policy dst-nat-pool-access then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar las traducciones NAT de origen y destino para flujos de multidifusión:
-
Cree un grupo NAT de destino.
[edit security nat destination] user@host# set pool dst-nat-pool address 233.252.0.2/32 -
Cree un conjunto de reglas NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 from interface xe-2/0/1.0 -
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 233.252.0.1/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool -
Cree un grupo NAT de origen.
[edit security nat source] user@host# set pool src-nat-shift-1 address 198.51.100.200 to 198.51.100.210 -
Especifique el principio del intervalo de direcciones IP de origen original.
[edit security nat source] user@host# set pool src-nat-shift-1 host-address-base 203.0.113.100 -
Cree un conjunto de reglas NAT de origen.
[edit security nat source] user@host# set rule-set rs-shift1 from zone trust user@host# set rule-set rs-shift1 to interface xe-1/0/1.0 -
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo NAT de origen.
[edit security nat source] user@host# set rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1 -
Cree un grupo NAT de origen.
[edit security nat source] user@host# set pool src-nat-shift-2 address 10.10.10.100 to 10.10.10.110 -
Especifique el principio del intervalo de direcciones IP de origen original.
[edit security nat source] user@host# set pool src-nat-shift-2 host-address-base 203.0.113.100/32 -
Cree un conjunto de reglas NAT de origen.
[edit security nat source] user@host# set rule-set rs-shift2 from zone trust user@host# set rule-set rs-shift2 to interface xe-2/0/0.0 -
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo NAT de origen.
[edit security nat source] user@host# set rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2 -
Configure el ARP del proxy.
[edit security nat] user@host# set proxy-arp interface xe-1/0/0.0 address 203.0.113.100 to 203.0.113.110 user@host# set proxy-arp interface xe-1/0/1.0 address 198.51.100.200 to 198.51.100.210 user@host# set proxy-arp interface xe-2/0/0.0 address 10.10.10.100 to 10.10.10.110 -
Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona que no es de confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit -
Configure una política de seguridad que permita el tráfico desde la zona que no es de confianza a la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-access match source-address any destination-address 233.252.0.1/32 application any user@host# set policy dst-nat-pool-access then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security nat comandos y show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security nat
source {
pool src-nat-shift-1 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
host-address-base 203.0.113.100/32;
}
pool src-nat-shift-2 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
host-address-base 203.0.113.100/32;
}
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
rule-set rs-shift1 {
from zone trust;
to interface xe-1/0/1.0;
rule r1 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift1;
}
}
}
}
}
rule-set rs-shift2 {
from zone trust;
to interface xe-2/0/0.0;
rule r2 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift2;
}
}
}
}
}
}
destination {
pool dst-nat-pool {
address 233.252.0.1/32;
}
rule-set rs1 {
from interface xe-2/0/1.0;
rule r1 {
match {
destination-address 233.252.0.1/32;
}
then {
destination-nat pool dst-nat-pool;
}
}
}
}
proxy-arp {
interface xe-1/0/0.0 {
address {
203.0.113.100/32 to 203.0.113.110/32;
}
}
interface xe-1/0/1.0 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
}
interface xe-2/0/0.0 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Comprobación del uso del grupo NAT de destino
- Comprobación del uso de la regla NAT de destino
- Comprobación del uso del conjunto NAT de origen
- Comprobación del uso de reglas NAT de origen
- Verificación de la aplicación NAT al tráfico
Comprobación del uso del grupo NAT de destino
Propósito
Compruebe que hay tráfico utilizando direcciones IP del grupo NAT de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination pool all comando. Vea el campo Aciertos de traducción para comprobar el tráfico que utiliza las direcciones IP del grupo.
Comprobación del uso de la regla NAT de destino
Propósito
Compruebe que hay tráfico que coincida con la regla NAT de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination rule all comando. Vea el campo Aciertos de traducción para comprobar el tráfico que coincide con la regla.
Comprobación del uso del conjunto NAT de origen
Propósito
Compruebe que hay tráfico mediante direcciones IP del grupo NAT de origen.
Acción
Desde el modo operativo, ingrese el show security nat source pool all comando. Vea el campo Aciertos de traducción para comprobar el tráfico que utiliza las direcciones IP del grupo.
Comprobación del uso de reglas NAT de origen
Propósito
Compruebe que hay tráfico que coincide con la regla NAT de origen.
Acción
Desde el modo operativo, ingrese el show security nat source rule all comando. Vea el campo Aciertos de traducción para comprobar el tráfico que coincide con la regla.