Propiedades estáticas TDR
Las TDR asigna tráfico de red desde una dirección IP externa estática a una dirección IP interna o una red. Crea una traducción estática de direcciones reales a direcciones asignadas. Las TDR estáticas proporcionan conectividad a Internet a dispositivos de red a través de una LAN privada con una dirección IP privada no registrada.
Descripción de las TDR
Las TDR estáticas definen una asignación uno a uno de una subred IP a otra subred IP. La asignación incluye la traducción de dirección IP de destino en una dirección y la traducción de dirección IP de origen en dirección inversa. Desde el TDR, la dirección de destino original es la dirección IP de host virtual, mientras que la dirección IP de host asignada es la dirección IP de host real.
La TDR estática permite que las conexiones se origine desde cualquiera de los lados de la red, pero la traducción se limita a uno a uno o entre bloques de direcciones del mismo tamaño. Para cada dirección privada, se debe asignar una dirección pública. No es necesario ningún agrupación de direcciones.
Las TDR estáticas también admiten los siguientes tipos de traducción:
Para asignar varias direcciones IP y rangos de puertos especificados a una misma dirección IP y un rango de puertos diferente
Para asignar una dirección IP y un puerto específicos a una dirección IP y un puerto diferentes
La traducción de dirección de puerto (PAT) también se admite mediante una asignación estática entre el puerto de destino (rango) y el puerto asignado (intervalo).
La dirección de destino original, junto con otras direcciones en grupos de TDR origen y destino, no debe superponerse dentro de la misma instancia de enrutamiento.
En la búsqueda TDR regla, las reglas de TDR estáticas tienen prioridad sobre las reglas de TDR de destino y la asignación inversa de reglas de TDR estáticas tienen prioridad sobre las reglas de TDR origen.
Descripción de las reglas TDR estáticas
Las reglas Traducción de direcciones de red estáticas (TDR) especifican dos capas de condiciones de coincidencia:
Dirección del tráfico: permite especificar desde la interfaz, desde la zonao desde la instancia de enrutamiento.
Información de paquetes: pueden ser direcciones y puertos de origen, y direcciones y puertos de destino.
Para todo el tráfico ALG, excepto FTP, recomendamos que no use las opciones de reglas TDR source-address
estáticas o source-port
. La creación de sesión de datos puede producir un error si se utilizan estas opciones, ya que es posible que la dirección IP y el valor del puerto de origen, que es un valor aleatorio, no coincidan con la regla TDR estática. Para el tráfico ALG FTP, se puede usar la opción porque se puede proporcionar una dirección IP para que coincida con la dirección de origen de source-address
una regla TDR estática.
Cuando las direcciones de origen y destino se configuran como condiciones de coincidencia para una regla, el tráfico coincide tanto con la dirección de origen como con la dirección de destino. Dado que la TDR estática es bidireccional, el tráfico en la dirección opuesta hace coincidir la regla y la dirección de destino del tráfico se hace coincidir con la dirección de origen configurada.
Si varias reglas TDR estáticas se superponen en las condiciones de coincidencia, se elige la regla más específica. Por ejemplo, si las reglas A y B especifican las mismas direcciones IP de origen y destino, pero la regla A especifica el tráfico de la zona 1 y la regla B especifica el tráfico desde la interfaz ge-0/0/0, la regla B se usa para llevar a cabo tareas TDR. Una coincidencia de interfaz se considera más específica que una coincidencia de zona, la cual es más específica que una coincidencia de instancia de enrutamiento.
Dado que las TDR estáticas no admiten direcciones y puertos superpuestos, no se deben usar para asignar una dirección IP externa a varias direcciones IP internas para el tráfico ALG. Por ejemplo, si diferentes sitios desean tener acceso a dos servidores FTP diferentes, los servidores FTP internos se deben asignar a dos direcciones IP externas diferentes.
Para la acción de TDR estática, especifique la dirección traducida y (opcionalmente) la instancia de enrutamiento.
En TDR búsqueda, las reglas de TDR estáticas tienen prioridad sobre las reglas de TDR de destino y la asignación inversa de reglas de TDR estáticas tiene prioridad sobre las reglas de TDR origen.
Descripción general TDR configuración estática
Las tareas principales de configuración para TDR estáticas son las siguientes:
- Configure reglas TDR estáticas que se alineen con sus requisitos de red y seguridad.
- Configure TDR entradas ARP de proxy para direcciones IP en la misma subred de la interfaz de entrada.
Ejemplo: configuración de rutas TDR estáticas para la traducción de direcciones únicas
En este ejemplo, se describe cómo configurar una asignación TDR estática de una sola dirección privada a una dirección pública.
Requisitos
Antes de comenzar:
Configure interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de zonas de seguridad.
Visión general
En este ejemplo, se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas.
En la Figura 1,los dispositivos en la zona de no confianza acceden a un servidor en la zona de confianza mediante la dirección pública 203.0.113.200/32. Para los paquetes que entran en el dispositivo de seguridad de Juniper Networks desde la zona de no confianza con la dirección IP de destino 203.0.113.200/32, la dirección IP de destino se traduce a la dirección privada 192.168.1.200/32. Para una nueva sesión que se origina en el servidor, la dirección IP de origen del paquete saliente se traduce a la dirección pública 203.0.113.200/32.
En este ejemplo se describen las siguientes configuraciones:
Regla TDR estática establecida con regla para hacer coincidir los paquetes desde la zona de no confianza con la dirección de destino
rs1
r1
203.0.113.200/32. Para paquetes que coincidan, la dirección IP de destino se traduce a la dirección privada 192.168.1.200/32.ARP de proxy para la dirección 203.0.113.200 en la interfaz ge-0/0/0.0. Esto permite que el Juniper Networks de seguridad responda a las solicitudes ARP recibidas en la interfaz para esa dirección.
Políticas de seguridad para permitir tráfico desde y hacia el servidor 192.168.1.200.
Configuración
Procedimiento
CLI configuración rápida
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit]
commit
configuración.
set security nat static rule-set rs1 from zone untrust set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-1 set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar una asignación TDR estática desde una dirección privada a una dirección pública:
Cree un conjunto de TDR estático.
[edit security nat static] user@host# set rule-set rs1 from zone untrust
Configure una regla que coincida con los paquetes y traduce la dirección de destino en los paquetes a una dirección privada.
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32
Configure ARP de proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200
Configure una dirección en la libreta de direcciones global.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
Configure una política de seguridad que permita el tráfico desde la zona de no confianza al servidor en la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-1 application any user@host# set policy server-access then permit
Configure una política de seguridad que permita todo el tráfico desde el servidor en la zona de confianza hasta la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-1 destination-address any application any user@host# set policy permit-all then permit
Resultados
Desde el modo de configuración, escriba los comandos y para confirmar show security nat
show security policies
su configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat static { rule-set rs1 { from zone untrust; rule r1 { match { destination-address 203.0.113.200/32; } then { static-nat prefix 192.168.1.200/32; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.200/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy permit-all { match { source-address server-1; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy server-access { match { source-address any; destination-address server-1; application any; } then { permit; } } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar la configuración de TDR estática
Propósito
Compruebe que hay tráfico que coincida con el conjunto de TDR estática.
Acción
Desde el modo operativo, escriba el show security nat static rule
comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico que coincida con la regla.
Ejemplo: configuración de puertos TDR estáticos para la traducción de subredes
En este ejemplo, se describe cómo configurar una asignación TDR estática de una dirección de subred privada a una dirección de subred pública.
Los bloques de direcciones para TDR asignación estática deben tener el mismo tamaño.
Requisitos
Antes de comenzar:
Configure interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de zonas de seguridad.
Visión general
En este ejemplo, se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 2,los dispositivos en los dispositivos de acceso de zona de no confianza en la zona de confianza mediante la dirección de subred pública 203.0.113.0/24. Para los paquetes que entran en el dispositivo de seguridad de Juniper Networks desde la zona de no confianza con una dirección IP de destino en la subred 203.0.113.0/24, la dirección IP de destino se traduce a una dirección privada en la subred 192.168.1.0/24. Para las sesiones nuevas que se originaron en la subred 192.168.1.0/24, la dirección IP de origen en los paquetes salientes se traduce a una dirección en la subred pública 203.0.113.0/24.
En este ejemplo, se describen las siguientes configuraciones:
Regla de TDR estática establecida con regla para coincidir con los paquetes recibidos en la interfaz ge-0/0/0.0 con una dirección IP de destino en la subred
rs1
r1
203.0.113.0/24. Para paquetes que coincidan, la dirección de destino se traduce a una dirección en la subred 192.168.1.0/24.ARP de proxy para los rangos de dirección 203.0.113.1/32 a 203.0.113.249/32 en la interfaz ge-0/0/0.0. Esto permite que el Juniper Networks de seguridad responda a las solicitudes ARP recibidas en la interfaz para esas direcciones. La dirección 203.0.113.250/32 se asigna a la propia interfaz, por lo que esta dirección no se incluye en la configuración ARP del proxy.
Políticas de seguridad para permitir tráfico desde y hacia la subred 192.168.1.0/24.
Configuración
Procedimiento
CLI configuración rápida
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit]
commit
configuración.
set security nat static rule-set rs1 from interface ge-0/0/0.0 set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32 set security address-book global address server-group 192.168.1.0/24 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-group set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-group set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar una asignación TDR estática desde una dirección de subred privada a una dirección de subred pública:
Cree un conjunto de TDR estático.
[edit security nat static] user@host# set rule-set rs1 from interface ge-0/0/0.0
Configure una regla que coincida con los paquetes y traduce la dirección de destino de los paquetes a una dirección en una subred privada.
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24
Configure ARP de proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32
Configure una dirección en la libreta de direcciones global.
[edit security address-book global] user@host# set address server-group 192.168.1.0/24
Configure una política de seguridad que permita el tráfico desde la zona de no confianza a la subred en la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-group application any user@host# set policy server-access then permit
Configure una política de seguridad que permita todo el tráfico desde la subred en la zona de confianza hasta la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-group destination-address any application any user@host# set policy permit-all then permit
Resultados
Desde el modo de configuración, escriba los comandos y para confirmar show security nat
show security policies
su configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security nat static { rule-set rs1 { from interface ge-0/0/0.0; rule r1 { match { destination-address 203.0.113.0/24; } then { static-nat prefix 192.168.1.0/24; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.1/32 to 203.0.113.249/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy permit-all { match { source-address server-group; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy server-access { match { source-address any; destination-address server-group; application any; } then { permit; } } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar la configuración de TDR estática
Propósito
Compruebe que hay tráfico que coincida con el conjunto de TDR estática.
Acción
Desde el modo operativo, escriba el show security nat static rule
comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico que coincida con la regla.
Ejemplo: configuración de puertos TDR estáticos para la asignación de puertos
En este ejemplo, se describe cómo configurar asignaciones TDR estáticas de una dirección pública a direcciones privadas en un rango de puertos especificado.
Este tema incluye las siguientes secciones:
Requisitos
Antes de comenzar:
Configure interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de zonas de seguridad.
Visión general
En este ejemplo, se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas.
En la Figura 3,los dispositivos en la zona de no confianza acceden a un servidor en la zona de confianza a través de direcciones públicas 203.0.113.1/32, 203.0.113.1/32 y 203.0.113.3/32. Para los paquetes que entran Juniper Networks dispositivo de seguridad desde la zona de no confianza con las direcciones IP de destino 203.0.113.1/32, 203.0.113.1/32 y 203.0.113.3/32, la dirección IP de destino se traduce a las direcciones privadas 10.1.1.1/32,10.1.1.2/32 y 10.1.1.2/32.
Para configurar el puerto de destino, debe usar una dirección IP para el campo dirección de destino en lugar de un prefijo de dirección IP.
Debe configurar el puerto de destino para configurar el puerto asignado y viceversa.
Utilice el mismo intervalo de números para los puertos mientras configura el puerto de destino y el puerto asignado.
Si no configura el puerto de destino y el puerto asignado, la asignación IP será la asignación uno a uno.
No se permite ninguna dirección superpuesta ni ninguna dirección y puerto superpuestos.
En este ejemplo, se describen las siguientes configuraciones:
Conjunto de TDR estática rs1 con la regla r1 para hacer coincidir los paquetes desde la zona de no confianza con la dirección de destino 203.0.113.1/32 y el puerto de destino 100 a 200. Para paquetes que coincidan, la dirección IP de destino se traduce a la dirección privada 10.1.1.1/32 y se asigna al puerto 300 al 400.
Conjunto de reglas de TDR estática rs1 con la regla r2 para hacer coincidir los paquetes desde la zona de no confianza con la dirección de destino 203.0.113.1/32 y el puerto de destino 300 a 400. Para paquetes que coincidan, la dirección IP de destino se traduce a la dirección privada 10.1.1.2/32 y se asigna al puerto 300 al 400.
Conjunto de TDR estática rs1 con la regla r3 para hacer coincidir los paquetes desde la zona de no confianza con la dirección de destino 203.0.113.3/32 y el puerto de destino 300. Para paquetes que coincidan, la dirección IP de destino se traduce a la dirección privada 10.1.1.2/32 y se asigna al puerto 200.
Configuración
CLI configuración rápida
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit]
commit
configuración.
set security nat static rule-set rs from zone untrust
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1/32
set security nat static rule-set rs rule r1 match destination-port 100 to 200
set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1/32
set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r2 match destination-address 203.0.113.1/32
set security nat static rule-set rs rule r2 match destination-port 300 to 400
set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2/32
set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r3 match destination-address 203.0.113.3/32
set security nat static rule-set rs rule r3 match destination-port 300
set security nat static rule-set rs rule r3 then static-nat prefix 10.1.1.2/32
set security nat static rule-set rs rule r3 then static-nat prefix mapped-port 200
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar una asignación TDR estática desde una dirección de subred privada a una dirección de subred pública:
Cree un conjunto de TDR estático.
[edit security nat static]
user@host# set rule-set rs from zone untrust
Configure una regla que coincida con los paquetes y traduce la dirección de destino en los paquetes a una dirección privada.
[edit security nat static]
user@host# set rule-set rs rule r1 match destination-address 203.0.113.1/32
user@host# set rule-set rs rule r1 match destination-port 100 to 200
user@host# set rule-set rs rule r1 then static-nat prefix 10.1.1.1/32
user@host# set rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400
Configure una regla que coincida con los paquetes y traduce la dirección de destino en los paquetes a una dirección privada.
[edit security nat static]
user@host# set rule-set rs rule r2 match destination-address 203.0.113.1/32
user@host# set rule-set rs rule r2 match destination-port 300 to 400
user@host# set rule-set rs rule r2 then static-nat prefix 10.1.1.2/32
user@host# set rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400
Configure una regla que coincida con los paquetes y traduce la dirección de destino en los paquetes a una dirección privada.
[edit security nat static]
user@host# set rule-set rs rule r3 match destination-address 203.0.113.3/32
user@host# set rule-set rs rule r3 match destination-port 300
user@host# set rule-set rs rule r3 then static-nat prefix 10.1.1.2/32
user@host# set rule-set rs rule r3 then static-nat prefix mapped-port 200
Resultados
Desde el modo de configuración, escriba el comando para confirmar su show security nat
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security nat
security { nat { static { rule-set rs { from zone untrust; rule r1 { match { destination-address 203.0.113.1/32; destination-port 100 to 200; } then { static-nat { prefix { 10.1.1.1/32; mapped-port 300 to 400; } } } } rule r2 { match { destination-address 203.0.113.1/32; destination-port 300 to 400; } then { static-nat { prefix { 10.1.1.2/32; mapped-port 300 to 400; } } } } rule r3 { match { destination-address 203.0.113.3/32; destination-port 300; } then { static-nat { prefix { 10.1.1.2/32; mapped-port 200; } } } } } } } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Verificar la configuración de TDR estática
Propósito
Compruebe que hay tráfico que coincide con el conjunto de TDR estática.
Acción
Desde el modo operativo, escriba el show security nat static rule
comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico que coincida con la regla.
user@host> show security nat static rule all
Total static-nat rules: 3
Static NAT rule: r2 Rule-set: rs
Rule-Id : 3
Rule position : 2
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 300 - 400
Host addresses : 10.1.1.2
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r3 Rule-set: rs
Rule-Id : 4
Rule position : 3
From zone : untrust
Destination addresses : 203.0.113.3
Destination ports : 300 - 300
Host addresses : 10.1.1.2
Host ports : 200 - 200
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r1 Rule-set: rs
Rule-Id : 9
Rule position : 1
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 100 - 200
Host addresses : 10.1.1.1
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Solución de problemas
Solución de problemas configuración TDR puerto estático
Problema
Durante una TDR se producen errores de configuración de asignación de puertos estáticos.
Las configuraciones no válidas con puertos y direcciones IP superpuestas resultan en un error de confirmación.
En el siguiente ejemplo, se muestran configuraciones no válidas con puertos y direcciones superpuestas:
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1
set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1
set security nat static rule-set rs rule r2 match destination-address 203.0.113.1
set security nat static rule-set rs rule r2 match destination-port 300 to 400
set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2
set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1
set security nat static rule-set rs rule r1 match destination-port 100 to 200
set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1
set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400
set security nat static rule-set rs rule r2 match destination-address 203.0.113.2
set security nat static rule-set rs rule r2 match destination-port 300 to 400
set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.1
set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 390 to 490
Cuando se envió la configuración mencionada para confirmar, se muestra el siguiente mensaje de error:
error: 'prefix/mapped-port' of static nat rule r2 overlaps with 'prefix/mapped-port' of static nat rule r1 error: configuration check-out failed
Solución
Para configurar el puerto de destino, debe evitar que se superponga ninguna dirección o que cualquier dirección y puerto se superpongan. Para obtener un ejemplo de configuración válida, consulte Configuración
Monitoreo de información TDR estática
Propósito
Ver información de TDR estática.
Acción
Seleccione Supervisar>TDR>estática TDR en la interfaz de usuario de J-Web o escriba el siguiente comando CLI comando:
show security nat static rule
En la tabla 1 se resumen los campos de salida clave en la TDR estática.
Campo |
Valores |
Acción |
---|---|---|
Nombre de conjunto de reglas |
Nombre del conjunto de reglas. |
Seleccione todos los conjuntos de reglas o un conjunto de reglas específico para mostrar en la lista. |
Reglas totales |
Número de reglas configuradas. |
– |
ID |
Número de ID de regla. |
– |
Posición |
Posición de la regla que indica el orden en el que se aplica al tráfico. |
– |
Nombre |
Nombre de la regla. |
– |
Nombre del conjunto de reglas |
Nombre del conjunto de reglas. |
– |
De |
Nombre de la instancia/interfaz/zona de enrutamiento de la que procede el paquete |
– |
Direcciones de origen |
Direcciones IP de origen. |
– |
Puertos de origen |
Números de puerto de origen. |
– |
Direcciones de destino |
Dirección IP de destino y máscara de subred. |
– |
Puertos de destino |
Números de puerto de destino. |
– |
Direcciones de host |
Nombre de las direcciones de host. |
– |
Puertos de host |
Números de puerto de host. |
|
Netmask |
Dirección IP de subred. |
– |
Instancia de enrutamiento de host |
Nombre de la instancia de enrutamiento de la que procede el paquete. |
– |
Umbral de alarma |
Umbral de alarma de utilización. |
– |
Sesiones (Succ/ Error/ Actual)
|
Sesiones correctas, con errores y actuales.
|
– |
Aciertos de traducción |
Número de veces que se utiliza una traducción en la tabla de traducción para una regla TDR estática. |
– |
Los 10 mejores gráficos de aciertos de traducción |
Muestra el gráfico de los 10 primeros aciertos de traducción. |
– |