Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

NAT estática

La NAT estática asigna el tráfico de red desde una dirección IP externa estática a una dirección IP o red interna. Crea una traducción estática de direcciones reales a direcciones mapeadas. La NAT estática proporciona conectividad a Internet a los dispositivos de red a través de una LAN privada con una dirección IP privada no registrada.

Descripción de la NAT estática

La NAT estática define una asignación uno a uno de una subred IP a otra. La asignación incluye la traducción de direcciones IP de destino en una dirección y la traducción de direcciones IP de origen en la dirección inversa. Desde el dispositivo NAT, la dirección de destino original es la dirección IP del host virtual, mientras que la dirección asignada es la dirección IP del host real.

La NAT estática permite que las conexiones se originen desde cualquier lado de la red, pero la traducción se limita a uno a uno o entre bloques de direcciones del mismo tamaño. Para cada dirección privada, se debe asignar una dirección pública. No se necesitan grupos de direcciones.

La NAT estática también admite los siguientes tipos de traducción:

  • Para asignar varias direcciones IP y rangos especificados de puertos a una misma dirección IP y a un rango diferente de puertos

  • Para asignar una dirección IP y un puerto específicos a una dirección IP y un puerto diferentes

La traducción de direcciones de puerto (PAT) también se admite mediante la asignación estática entre el puerto de destino (rango) y el puerto asignado (rango).

La dirección de destino original, junto con otras direcciones en grupos NAT de origen y destino, no debe superponerse dentro de la misma instancia de enrutamiento.

En la búsqueda de reglas NAT, las reglas NAT estáticas tienen prioridad sobre las reglas NAT de destino y la asignación inversa de reglas NAT estáticas tiene prioridad sobre las reglas NAT de origen.

Descripción de las reglas NAT estáticas

Las reglas de traducción de direcciones de red estáticas (NAT) especifican dos capas de condiciones de coincidencia:

  • Dirección del tráfico: permite especificar desde la interfaz, desde la zona o desde la instancia de enrutamiento.

  • Información de paquetes: pueden ser direcciones y puertos de origen, y direcciones y puertos de destino.

Para todo el tráfico ALG, excepto FTP, se recomienda no utilizar las opciones source-address de regla NAT estática o source-port. La creación de la sesión de datos puede fallar si se usan estas opciones, ya que es posible que la dirección IP y el valor del puerto de origen, que es un valor aleatorio, no coincidan con la regla NAT estática. Para el tráfico ALG FTP, se puede usar la source-address opción porque se puede proporcionar una dirección IP que coincida con la dirección de origen de una regla NAT estática.

Cuando las direcciones de origen y destino se configuran como condiciones de coincidencia para una regla, el tráfico coincide tanto con la dirección de origen como con la dirección de destino. Dado que la NAT estática es bidireccional, el tráfico en la dirección opuesta coincide inversamente con la regla y la dirección de destino del tráfico coincide con la dirección de origen configurada.

Si varias reglas NAT estáticas se superponen en las condiciones de coincidencia, se elige la regla más específica. Por ejemplo, si las reglas A y B especifican las mismas direcciones IP de origen y destino, pero la regla A especifica el tráfico de la zona 1 y la regla B especifica el tráfico de la interfaz ge-0/0/0, la regla B se utiliza para realizar NAT estático. Se considera que una coincidencia de interfaz es más específica que una coincidencia de zona, que es más específica que una coincidencia de instancia de enrutamiento.

Dado que las reglas NAT estáticas no admiten direcciones y puertos superpuestos, no deben utilizarse para asignar una dirección IP externa a varias direcciones IP internas para el tráfico ALG. Por ejemplo, si diferentes sitios desean acceder a dos servidores FTP diferentes, los servidores FTP internos deben asignarse a dos direcciones IP externas diferentes.

Para la acción de regla NAT estática, especifique la dirección traducida y (opcionalmente) la instancia de enrutamiento.

En la búsqueda de NAT, las reglas NAT estáticas tienen prioridad sobre las reglas NAT de destino y la asignación inversa de reglas NAT estáticas tiene prioridad sobre las reglas NAT de origen.

Descripción general de la configuración de NAT estática

Las principales tareas de configuración de NAT estática son las siguientes:

  1. Configure reglas NAT estáticas que se alineen con sus requisitos de red y seguridad.
  2. Configure entradas ARP de proxy NAT para direcciones IP en la misma subred de la interfaz de entrada.

Ejemplo: configuración de NAT estática para la traducción de direcciones únicas

En este ejemplo se describe cómo configurar una asignación NAT estática de una sola dirección privada a una dirección pública.

Requisitos

Antes de empezar:

  1. Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.

Visión general

En este ejemplo se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas.

En la figura 1, los dispositivos de la zona que no es de confianza acceden a un servidor de la zona de confianza mediante la dirección pública 203.0.113.200/32. Para los paquetes que ingresan al dispositivo de seguridad de Juniper Networks desde la zona de no confianza con la dirección IP de destino 203.0.113.200/32, la dirección IP de destino se traduce a la dirección privada 192.168.1.200/32. Para una nueva sesión que se origina en el servidor, la dirección IP de origen en el paquete saliente se traduce a la dirección pública 203.0.113.200/32.

Figura 1: Traducción Network diagram of destination NAT using SRX Series device; translates public IP 203.0.113.200/32 to private IP 192.168.1.200/32. estática de direcciones únicas NAT

En este ejemplo se describen las siguientes configuraciones:

  • Conjunto de reglas rs1 NAT estáticas con regla r1 para hacer coincidir los paquetes de la zona que no es de confianza con la dirección de destino 203.0.113.200/32. Para paquetes coincidentes, la dirección IP de destino se traduce a la dirección privada 192.168.1.200/32.

  • ARP de proxy para la dirección 203.0.113.200 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esa dirección.

  • Políticas de seguridad para permitir el tráfico hacia y desde el servidor 192.168.1.200.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar una asignación NAT estática de una dirección privada a una dirección pública:

  1. Cree un conjunto de reglas NAT estáticas.

  2. Configure una regla que coincida con los paquetes y traduzca la dirección de destino de los paquetes a una dirección privada.

  3. Configure el ARP del proxy.

  4. Configure una dirección en la libreta de direcciones global.

  5. Configure una política de seguridad que permita el tráfico desde la zona que no es de confianza al servidor de la zona de confianza.

  6. Configure una política de seguridad que permita todo el tráfico desde el servidor de la zona de confianza a la zona que no es de confianza.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show security nat comandos y show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Comprobación de la configuración de NAT estática

Propósito

Compruebe que haya tráfico que coincida con el conjunto de reglas NAT estáticas.

Acción

Desde el modo operativo, ingrese el show security nat static rule comando. Vea el campo Aciertos de traducción para comprobar el tráfico que coincide con la regla.

Verificación de la aplicación NAT al tráfico

Propósito

Compruebe que NAT se está aplicando al tráfico especificado.

Acción

Desde el modo operativo, ingrese el show security flow session comando.

Ejemplo: configuración de NAT estática para la traducción de subredes

En este ejemplo se describe cómo configurar una asignación NAT estática de una dirección de subred privada a una dirección de subred pública.

Los bloques de direcciones para la asignación NAT estática deben tener el mismo tamaño.

Requisitos

Antes de empezar:

  1. Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.

Visión general

En este ejemplo se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 2, los dispositivos de la zona que no es de confianza acceden a los dispositivos de la zona de confianza mediante la dirección de subred pública 203.0.113.0/24. Para los paquetes que ingresan al dispositivo de seguridad de Juniper Networks desde la zona que no es de confianza con una dirección IP de destino en la subred 203.0.113.0/24, la dirección IP de destino se convierte a una dirección privada en la subred 192.168.1.0/24. Para las nuevas sesiones que se originan en la subred 192.168.1.0/24, la dirección IP de origen en los paquetes salientes se traduce a una dirección en la subred pública 203.0.113.0/24.

Figura 2: Traducción Network setup with Juniper SRX device performing destination NAT. Public IP 203.0.113.200 translates to private IP range 192.168.1.0/24 for external access to internal services. de subred NAT estática

En este ejemplo se describen las siguientes configuraciones:

  • Conjunto de reglas rs1 NAT estáticas con regla r1 para hacer coincidir los paquetes recibidos en la interfaz ge-0/0/0.0 con una dirección IP de destino en la subred 203.0.113.0/24. Para paquetes coincidentes, la dirección de destino se traduce a una dirección en la subred 192.168.1.0/24.

  • ARP de proxy para los intervalos de direcciones 203.0.113.1/32 a 203.0.113.249/32 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esas direcciones. La dirección 203.0.113.250/32 se asigna a la propia interfaz, por lo que esta dirección no se incluye en la configuración del ARP del proxy.

  • Políticas de seguridad para permitir el tráfico hacia y desde la subred 192.168.1.0/24.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar una asignación NAT estática desde una dirección de subred privada a una dirección de subred pública:

  1. Cree un conjunto de reglas NAT estáticas.

  2. Configure una regla que coincida con los paquetes y traduzca la dirección de destino de los paquetes a una dirección de una subred privada.

  3. Configure el ARP del proxy.

  4. Configure una dirección en la libreta de direcciones global.

  5. Configure una política de seguridad que permita el tráfico desde la zona que no es de confianza a la subred de la zona de confianza.

  6. Configure una política de seguridad que permita todo el tráfico de la subred de la zona de confianza a la zona que no es de confianza.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show security nat comandos y show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Comprobación de la configuración de NAT estática

Propósito

Compruebe que haya tráfico que coincida con el conjunto de reglas NAT estáticas.

Acción

Desde el modo operativo, ingrese el show security nat static rule comando. Vea el campo Aciertos de traducción para comprobar el tráfico que coincide con la regla.

Verificación de la aplicación NAT al tráfico

Propósito

Compruebe que NAT se está aplicando al tráfico especificado.

Acción

Desde el modo operativo, ingrese el show security flow session comando.

Ejemplo: configuración de NAT64 estático para la traducción de subredes

Utilice este ejemplo de configuración para configurar NAT64 estático para permitir una traducción fluida entre los espacios de direcciones IPv6 e IPv4. Puede utilizar NAT64 estático en entornos que transicionan de IPv4 a IPv6 para garantizar una comunicación confiable entre versiones IP.

Propina:
Tabla 1: Puntuación de legibilidad y estimaciones de tiempo

Puntuación de legibilidad

  • Facilidad de lectura de Flesch: 34

  • Nivel de lectura de Flesch-Kincaid: 11.9

Tiempo de lectura

Menos de 15 minutos.

Tiempo de configuración

Menos de una hora.

Ejemplo de requisitos previos

Utilice este ejemplo de configuración para configurar y verificar el NAT64 estático en su dispositivo. El NAT64 estático permite una comunicación fluida entre clientes solo IPv6 y servidores IPv4 al traducir direcciones IPv6 a IPv4 utilizando un prefijo NAT64 conocido (64:ff9b::/96). Esta característica es particularmente útil en entornos que pasan de IPv4 a IPv6, ya que elimina la necesidad de configuraciones de doble pila al tiempo que garantiza una comunicación confiable entre versiones IP.

Requisitos de hardware

 Firewall virtual vSRX

Requisitos de software

 Junos OS versión 24.1R1 o posterior

Prescripciones en materia de licencias

 Active una licencia de seguridad para habilitar la traducción de direcciones de red (NAT) y las funciones de seguridad.

Antes de empezar

Beneficios

  • Comunicación fluida: Permite que los clientes que solo usan IPv6 accedan a los servidores IPv4 traduciendo direcciones IPv6 a IPv4 sin problemas.

  • Diseño de red simplificado: Reduce la necesidad de configuraciones de doble pila, simplificando la arquitectura y las operaciones de red.

  • Escalabilidad mejorada: Admite entornos con un número creciente de dispositivos IPv6, a la vez que mantiene la compatibilidad con IPv4.

Recursos útiles:

Saber más

NAT estática

Experiencia práctica

vLab Sandbox: NAT: origen y destino

Aprende más

NAT64 con DNS64 en la serie SRX - Parte 1

Descripción general funcional

Tabla 2: Descripción general funcional de NAT64 estático

Perfiles

Perfil de traducción

La configuración de NAT64 incluye un perfil de traducción para definir la asignación entre IPv6 e IPv4.
Perfil de prefijo

Especifica el prefijo conocido NAT64 (64:ff9b::/96) para la traducción de direcciones IPv6 a IPv4.

Asignación de direcciones

Asigna direcciones o subredes IPv6 específicas a direcciones IPv4 correspondientes para facilitar la traducción.

Políticas

Política de entrada

Permite a los clientes sólo IPv6 iniciar tráfico hacia servidores IPv4 haciendo coincidir las reglas de traducción de NAT64.

Política de salida

Permite devolver el tráfico de los servidores IPv4 a clientes IPv6 según las reglas de NAT64.

Zonas de seguridad

trust

Segmento de red para clientes solo IPv6 que inician conexiones.

untrust

Segmento de red donde residen los servidores IPv4, respondiendo a las solicitudes de los clientes.

Zona NAT64

Una zona dedicada al procesamiento de NAT64, que garantiza una traducción y gestión del tráfico eficientes.

Información general sobre la topología

En esta topología NAT64 estática, un cliente solo IPv6 se comunica con un servidor IPv4 a través del firewall de la serie SRX. El firewall traduce las direcciones IPv6 a IPv4 mediante asignaciones estáticas de NAT64, mientras que un servidor DNS64 sintetiza las respuestas DNS IPv6 para una resolución de direcciones sin problemas. Esta configuración garantiza una comunicación fluida entre los clientes solo IPv6 y los servidores IPv4 sin necesidad de configuraciones de doble pila.

Componentes de topología

Rol

Función

Cliente

Dispositivo solo IPv6

Inicia solicitudes desde un entorno solo IPv6 para comunicarse con servidores IPv4.

Firewall serie SRX

Puerta de enlace NAT64

Traduce direcciones IPv6 a direcciones IPv4 mediante la asignación NAT64 estática configurada, lo que garantiza una comunicación fluida entre las versiones de IP.

Servidor DNS64

Traductor DNS

Convierte las respuestas DNS IPv4 para el cliente, habilitando la resolución de direcciones.

Servidor IPv4

Servidor de destino

Responde a las solicitudes de los clientes utilizando su dirección IPv4, lo que permite la interacción con clientes solo IPv6 a través de NAT64.

Ilustración de topología

Figura 3: TraducciónNetwork topology with SRX Series device showing NAT between Trust zone with private IP and Untrust zone with public IP via Internet. estática de subredes NAT64

Configurar NAT64 estático en dispositivo bajo prueba (DUT)

Para obtener ejemplos completos de configuraciones en el DUT, consulte:

  1. Defina el conjunto de reglas para NAT estática y especifique la zona desde la que se origina el tráfico.
  2. Configure la regla para que coincida con la dirección de destino dentro del prefijo NAT64 y establezca la dirección de destino para traducirla en una dirección IPv4.
  3. Configure un grupo NAT de origen para admitir traducciones de direcciones IPv6 en direcciones IPv4.
  4. Habilite el Protocolo de resolución de direcciones de proxy (ARP) para responder a las solicitudes ARP de direcciones de grupo NAT.
  5. Configure políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona que no es de confianza.
  6. Asigne las interfaces a las zonas respectivas y permita el tráfico entrante.
  7. Configure las direcciones IP para cada interfaz.

Verificación

Verificar la configuración estática de NAT64

Propósito

Compruebe que hay tráfico que coincida con el conjunto de reglas estáticas de NAT64.

Acción

Desde el modo operativo, ingrese el show security nat static rule comando. Vea el campo Aciertos de traducción para comprobar el tráfico que coincide con la regla.

Significado

Verificar la aplicación NAT64 al tráfico

Propósito

Compruebe que NAT64 se aplica al tráfico especificado.

Acción

Desde el modo operativo, ingrese el show security flow session comando.

Significado

Apéndice 1: Establecer comandos en todos los dispositivos

El siguiente ejemplo requiere navegar por varios niveles de la jerarquía de configuración de Junos OS. Para obtener instrucciones detalladas sobre cómo navegar por la CLI, consulte Usar el editor de CLI en modo de configuración.

Apéndice 2: Mostrar salida de configuración en DUT

Mostrar la salida del comando en el DUT.

Desde el modo operativo, compruebe la configuración mediante los siguientes comandos. Si el resultado

Ejemplo: configuración de NAT estática para la asignación de puertos

En este ejemplo se describe cómo configurar asignaciones NAT estáticas de una dirección pública a direcciones privadas en un rango especificado de puertos.

En este tema se incluyen las siguientes secciones:

Requisitos

Antes de empezar:

Visión general

En este ejemplo se usa la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas.

En la figura 4, los dispositivos de la zona que no es de confianza acceden a un servidor de la zona de confianza mediante las direcciones públicas 203.0.113.1/32, 203.0.113.1/32 y 203.0.113.3/32. Para los paquetes que ingresan al dispositivo de seguridad de Juniper Networks desde la zona que no es de confianza con las direcciones IP de destino 203.0.113.1/32, 203.0.113.1/32 y 203.0.113.3/32, la dirección IP de destino se traduce a las direcciones privadas 10.1.1.1/32,10.1.1.2/32 y 10.1.1.2/32.

Figura 4: NAT estática para mapeo de Network configuration with Juniper SRX performing NAT between Untrust (public IPs) and Trust (private IPs) zones. Traffic flows bidirectionally. puertos

  • Para configurar el puerto de destino, debe utilizar una dirección IP para el campo de dirección de destino en lugar de un prefijo de dirección IP.

  • Debe configurar el puerto de destino para configurar el puerto asignado y viceversa.

  • Utilice el mismo intervalo numérico para los puertos al configurar el puerto de destino y el puerto asignado.

  • Si no configura el puerto de destino y el puerto asignado, la asignación IP será la asignación uno a uno.

  • No se permite ninguna superposición de direcciones ni ninguna superposición de direcciones y puertos.

En este ejemplo se describen las siguientes configuraciones:

  • La regla NAT estática establece rs1 con la regla r1 para hacer coincidir los paquetes de la zona que no es de confianza con la dirección de destino 203.0.113.1/32 y el puerto de destino 100 a 200. Para paquetes coincidentes, la dirección IP de destino se traduce a la dirección privada 10.1.1.1/32 y se asigna a los puertos 300 a 400.

  • La regla NAT estática establece rs1 con la regla r2 para hacer coincidir los paquetes de la zona que no es de confianza con la dirección de destino 203.0.113.1/32 y el puerto de destino 300 a 400. Para paquetes coincidentes, la dirección IP de destino se traduce a la dirección privada 10.1.1.2/32 y se asigna a los puertos 300 a 400.

  • La regla NAT estática establece rs1 con la regla r3 para hacer coincidir los paquetes de la zona que no es de confianza con la dirección de destino 203.0.113.3/32 y el puerto de destino 300. Para paquetes coincidentes, la dirección IP de destino se traduce a la dirección privada 10.1.1.2/32 y se asigna al puerto 200.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar una asignación NAT estática desde una dirección de subred privada a una dirección de subred pública:

  1. Cree un conjunto de reglas NAT estáticas.

  2. Configure una regla que coincida con los paquetes y traduzca la dirección de destino de los paquetes a una dirección privada.

  3. Configure una regla que coincida con los paquetes y traduzca la dirección de destino de los paquetes a una dirección privada.

  4. Configure una regla que coincida con los paquetes y traduzca la dirección de destino de los paquetes a una dirección privada.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el show security nat comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

[edit]

user@host# show security nat

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Comprobación de la configuración de NAT estática

Propósito

Compruebe que haya tráfico que coincida con el conjunto de reglas NAT estáticas.

Acción

Desde el modo operativo, ingrese el show security nat static rule comando. Vea el campo Aciertos de traducción para comprobar el tráfico que coincide con la regla.

Solución de problemas

Solución de problemas de configuración de puertos NAT estáticos

Problema

Durante una confirmación, se producen errores de configuración de asignación de puertos NAT estáticos.

Las configuraciones no válidas con direcciones IP y puertos superpuestos provocan errores de confirmación.

En el ejemplo siguiente se muestran configuraciones no válidas con direcciones y puertos superpuestos:

  • set security nat static rule-set rs rule r1 match destination-address 203.0.113.1

    set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1

  • set security nat static rule-set rs rule r2 match destination-address 203.0.113.1

    set security nat static rule-set rs rule r2 match destination-port 300 to 400

    set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2

    set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400

  • set security nat static rule-set rs rule r1 match destination-address 203.0.113.1

    set security nat static rule-set rs rule r1 match destination-port 100 to 200

    set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1

    set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400

  • set security nat static rule-set rs rule r2 match destination-address 203.0.113.2

    set security nat static rule-set rs rule r2 match destination-port 300 to 400

    set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.1

    set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 390 to 490

Se mostró el siguiente mensaje de error cuando se envió la configuración mencionada anteriormente para confirmar:

Solución

Para configurar el puerto de destino, debe evitar cualquier superposición de direcciones o cualquier superposición de direcciones y puertos. Para obtener un ejemplo de configuración válida, consulte Configuración

Supervisión de información NAT estática

Propósito

Ver información de reglas NAT estáticas.

Acción

Seleccione Monitor>NAT>Static NAT en la interfaz de usuario de J-Web o escriba el siguiente comando de CLI:

show security nat static rule

En la tabla 3 se resumen los campos de salida clave en la pantalla NAT estática.

Tabla 3: Resumen de los campos de salida NAT estáticos clave

Campo

Valores

Acción

Nombre del conjunto de reglas

Nombre del conjunto de reglas.

Seleccione todos los conjuntos de reglas o un conjunto de reglas específico para mostrar en la lista.

Total de reglas

Número de reglas configuradas.

IDENTIFICACIÓN

Número de identificación de la regla.

Posición

Posición de la regla que indica el orden en que se aplica al tráfico.

Nombre

Nombre de la regla.

Nombre del conjunto de reglas

Nombre del conjunto de reglas.

De

Nombre de la instancia/interfaz/zona de enrutamiento de donde procede el paquete

Direcciones de origen

Direcciones IP de origen.

Puertos de origen

Números de puerto de origen.

Direcciones de destino

Dirección IP de destino y máscara de subred.

Puertos de destino

Números de puerto de destino .

Direcciones de host

Nombre de las direcciones de host.

Puertos de host

Números de puerto de host.

Máscara de red

Dirección IP de subred.

Instancia de enrutamiento de host

Nombre de la instancia de enrutamiento de la que procede el paquete.

Umbral de alarma

Umbral de alarma de utilización.

Sesiones (Succ/Fallido/Actual)

Sesiones correctas, fallidas y actuales.

  • Succ: número de instalaciones de sesión correctas después de que coincida la regla NAT.

  • Error: número de instalaciones de sesión incorrectas después de hacer coincidir la regla NAT.

  • Actual: número de sesiones que hacen referencia a la regla especificada.

Aciertos de traducción

Número de veces que se utiliza una traducción de la tabla de traducción para una regla NAT estática.

Gráfico de los 10 mejores éxitos de traducción

Muestra el gráfico de los 10 principales resultados de traducción.