Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Propiedades estáticas TDR

Las TDR asigna tráfico de red desde una dirección IP externa estática a una dirección IP interna o una red. Crea una traducción estática de direcciones reales a direcciones asignadas. Las TDR estáticas proporcionan conectividad a Internet a dispositivos de red a través de una LAN privada con una dirección IP privada no registrada.

Descripción de las TDR

Las TDR estáticas definen una asignación uno a uno de una subred IP a otra subred IP. La asignación incluye la traducción de dirección IP de destino en una dirección y la traducción de dirección IP de origen en dirección inversa. Desde el TDR, la dirección de destino original es la dirección IP de host virtual, mientras que la dirección IP de host asignada es la dirección IP de host real.

La TDR estática permite que las conexiones se origine desde cualquiera de los lados de la red, pero la traducción se limita a uno a uno o entre bloques de direcciones del mismo tamaño. Para cada dirección privada, se debe asignar una dirección pública. No es necesario ningún agrupación de direcciones.

Las TDR estáticas también admiten los siguientes tipos de traducción:

  • Para asignar varias direcciones IP y rangos de puertos especificados a una misma dirección IP y un rango de puertos diferente

  • Para asignar una dirección IP y un puerto específicos a una dirección IP y un puerto diferentes

La traducción de dirección de puerto (PAT) también se admite mediante una asignación estática entre el puerto de destino (rango) y el puerto asignado (intervalo).

Nota:

La dirección de destino original, junto con otras direcciones en grupos de TDR origen y destino, no debe superponerse dentro de la misma instancia de enrutamiento.

En la búsqueda TDR regla, las reglas de TDR estáticas tienen prioridad sobre las reglas de TDR de destino y la asignación inversa de reglas de TDR estáticas tienen prioridad sobre las reglas de TDR origen.

Descripción de las reglas TDR estáticas

Las reglas Traducción de direcciones de red estáticas (TDR) especifican dos capas de condiciones de coincidencia:

  • Dirección del tráfico: permite especificar desde la interfaz, desde la zonao desde la instancia de enrutamiento.

  • Información de paquetes: pueden ser direcciones y puertos de origen, y direcciones y puertos de destino.

Para todo el tráfico ALG, excepto FTP, recomendamos que no use las opciones de reglas TDR source-address estáticas o source-port . La creación de sesión de datos puede producir un error si se utilizan estas opciones, ya que es posible que la dirección IP y el valor del puerto de origen, que es un valor aleatorio, no coincidan con la regla TDR estática. Para el tráfico ALG FTP, se puede usar la opción porque se puede proporcionar una dirección IP para que coincida con la dirección de origen de source-address una regla TDR estática.

Cuando las direcciones de origen y destino se configuran como condiciones de coincidencia para una regla, el tráfico coincide tanto con la dirección de origen como con la dirección de destino. Dado que la TDR estática es bidireccional, el tráfico en la dirección opuesta hace coincidir la regla y la dirección de destino del tráfico se hace coincidir con la dirección de origen configurada.

Si varias reglas TDR estáticas se superponen en las condiciones de coincidencia, se elige la regla más específica. Por ejemplo, si las reglas A y B especifican las mismas direcciones IP de origen y destino, pero la regla A especifica el tráfico de la zona 1 y la regla B especifica el tráfico desde la interfaz ge-0/0/0, la regla B se usa para llevar a cabo tareas TDR. Una coincidencia de interfaz se considera más específica que una coincidencia de zona, la cual es más específica que una coincidencia de instancia de enrutamiento.

Dado que las TDR estáticas no admiten direcciones y puertos superpuestos, no se deben usar para asignar una dirección IP externa a varias direcciones IP internas para el tráfico ALG. Por ejemplo, si diferentes sitios desean tener acceso a dos servidores FTP diferentes, los servidores FTP internos se deben asignar a dos direcciones IP externas diferentes.

Para la acción de TDR estática, especifique la dirección traducida y (opcionalmente) la instancia de enrutamiento.

En TDR búsqueda, las reglas de TDR estáticas tienen prioridad sobre las reglas de TDR de destino y la asignación inversa de reglas de TDR estáticas tiene prioridad sobre las reglas de TDR origen.

Descripción general TDR configuración estática

Las tareas principales de configuración para TDR estáticas son las siguientes:

  1. Configure reglas TDR estáticas que se alineen con sus requisitos de red y seguridad.
  2. Configure TDR entradas ARP de proxy para direcciones IP en la misma subred de la interfaz de entrada.

Ejemplo: configuración de rutas TDR estáticas para la traducción de direcciones únicas

En este ejemplo, se describe cómo configurar una asignación TDR estática de una sola dirección privada a una dirección pública.

Requisitos

Antes de comenzar:

  1. Configure interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de zonas de seguridad.

Visión general

En este ejemplo, se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas.

En la Figura 1,los dispositivos en la zona de no confianza acceden a un servidor en la zona de confianza mediante la dirección pública 203.0.113.200/32. Para los paquetes que entran en el dispositivo de seguridad de Juniper Networks desde la zona de no confianza con la dirección IP de destino 203.0.113.200/32, la dirección IP de destino se traduce a la dirección privada 192.168.1.200/32. Para una nueva sesión que se origina en el servidor, la dirección IP de origen del paquete saliente se traduce a la dirección pública 203.0.113.200/32.

Gráfico 1: Traducción TDR dirección única estática Static NAT Single Address Translation

En este ejemplo se describen las siguientes configuraciones:

  • Regla TDR estática establecida con regla para hacer coincidir los paquetes desde la zona de no confianza con la dirección de destino rs1 r1 203.0.113.200/32. Para paquetes que coincidan, la dirección IP de destino se traduce a la dirección privada 192.168.1.200/32.

  • ARP de proxy para la dirección 203.0.113.200 en la interfaz ge-0/0/0.0. Esto permite que el Juniper Networks de seguridad responda a las solicitudes ARP recibidas en la interfaz para esa dirección.

  • Políticas de seguridad para permitir tráfico desde y hacia el servidor 192.168.1.200.

Configuración

Procedimiento

CLI configuración rápida

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar una asignación TDR estática desde una dirección privada a una dirección pública:

  1. Cree un conjunto de TDR estático.

  2. Configure una regla que coincida con los paquetes y traduce la dirección de destino en los paquetes a una dirección privada.

  3. Configure ARP de proxy.

  4. Configure una dirección en la libreta de direcciones global.

  5. Configure una política de seguridad que permita el tráfico desde la zona de no confianza al servidor en la zona de confianza.

  6. Configure una política de seguridad que permita todo el tráfico desde el servidor en la zona de confianza hasta la zona de no confianza.

Resultados

Desde el modo de configuración, escriba los comandos y para confirmar show security nat show security policies su configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar la configuración de TDR estática

Propósito

Compruebe que hay tráfico que coincida con el conjunto de TDR estática.

Acción

Desde el modo operativo, escriba el show security nat static rule comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar la aplicación TDR al tráfico

Propósito

Compruebe que TDR se aplica al tráfico especificado.

Acción

Desde el modo operativo, escriba el show security flow session comando.

Ejemplo: configuración de puertos TDR estáticos para la traducción de subredes

En este ejemplo, se describe cómo configurar una asignación TDR estática de una dirección de subred privada a una dirección de subred pública.

Nota:

Los bloques de direcciones para TDR asignación estática deben tener el mismo tamaño.

Requisitos

Antes de comenzar:

  1. Configure interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de zonas de seguridad.

Visión general

En este ejemplo, se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 2,los dispositivos en los dispositivos de acceso de zona de no confianza en la zona de confianza mediante la dirección de subred pública 203.0.113.0/24. Para los paquetes que entran en el dispositivo de seguridad de Juniper Networks desde la zona de no confianza con una dirección IP de destino en la subred 203.0.113.0/24, la dirección IP de destino se traduce a una dirección privada en la subred 192.168.1.0/24. Para las sesiones nuevas que se originaron en la subred 192.168.1.0/24, la dirección IP de origen en los paquetes salientes se traduce a una dirección en la subred pública 203.0.113.0/24.

Gráfico 2: Traducción TDR subred estática Static NAT Subnet Translation

En este ejemplo, se describen las siguientes configuraciones:

  • Regla de TDR estática establecida con regla para coincidir con los paquetes recibidos en la interfaz ge-0/0/0.0 con una dirección IP de destino en la subred rs1 r1 203.0.113.0/24. Para paquetes que coincidan, la dirección de destino se traduce a una dirección en la subred 192.168.1.0/24.

  • ARP de proxy para los rangos de dirección 203.0.113.1/32 a 203.0.113.249/32 en la interfaz ge-0/0/0.0. Esto permite que el Juniper Networks de seguridad responda a las solicitudes ARP recibidas en la interfaz para esas direcciones. La dirección 203.0.113.250/32 se asigna a la propia interfaz, por lo que esta dirección no se incluye en la configuración ARP del proxy.

  • Políticas de seguridad para permitir tráfico desde y hacia la subred 192.168.1.0/24.

Configuración

Procedimiento

CLI configuración rápida

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar una asignación TDR estática desde una dirección de subred privada a una dirección de subred pública:

  1. Cree un conjunto de TDR estático.

  2. Configure una regla que coincida con los paquetes y traduce la dirección de destino de los paquetes a una dirección en una subred privada.

  3. Configure ARP de proxy.

  4. Configure una dirección en la libreta de direcciones global.

  5. Configure una política de seguridad que permita el tráfico desde la zona de no confianza a la subred en la zona de confianza.

  6. Configure una política de seguridad que permita todo el tráfico desde la subred en la zona de confianza hasta la zona de no confianza.

Resultados

Desde el modo de configuración, escriba los comandos y para confirmar show security nat show security policies su configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar la configuración de TDR estática

Propósito

Compruebe que hay tráfico que coincida con el conjunto de TDR estática.

Acción

Desde el modo operativo, escriba el show security nat static rule comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar la aplicación TDR al tráfico

Propósito

Compruebe que TDR se aplica al tráfico especificado.

Acción

Desde el modo operativo, escriba el show security flow session comando.

Ejemplo: configuración de puertos TDR estáticos para la asignación de puertos

En este ejemplo, se describe cómo configurar asignaciones TDR estáticas de una dirección pública a direcciones privadas en un rango de puertos especificado.

Este tema incluye las siguientes secciones:

Requisitos

Antes de comenzar:

Visión general

En este ejemplo, se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas.

En la Figura 3,los dispositivos en la zona de no confianza acceden a un servidor en la zona de confianza a través de direcciones públicas 203.0.113.1/32, 203.0.113.1/32 y 203.0.113.3/32. Para los paquetes que entran Juniper Networks dispositivo de seguridad desde la zona de no confianza con las direcciones IP de destino 203.0.113.1/32, 203.0.113.1/32 y 203.0.113.3/32, la dirección IP de destino se traduce a las direcciones privadas 10.1.1.1/32,10.1.1.2/32 y 10.1.1.2/32.

Gráfico 3: Configuración TDR estática para la asignación de puertos Static NAT for Port Mapping
Nota:
  • Para configurar el puerto de destino, debe usar una dirección IP para el campo dirección de destino en lugar de un prefijo de dirección IP.

  • Debe configurar el puerto de destino para configurar el puerto asignado y viceversa.

  • Utilice el mismo intervalo de números para los puertos mientras configura el puerto de destino y el puerto asignado.

  • Si no configura el puerto de destino y el puerto asignado, la asignación IP será la asignación uno a uno.

  • No se permite ninguna dirección superpuesta ni ninguna dirección y puerto superpuestos.

En este ejemplo, se describen las siguientes configuraciones:

  • Conjunto de TDR estática rs1 con la regla r1 para hacer coincidir los paquetes desde la zona de no confianza con la dirección de destino 203.0.113.1/32 y el puerto de destino 100 a 200. Para paquetes que coincidan, la dirección IP de destino se traduce a la dirección privada 10.1.1.1/32 y se asigna al puerto 300 al 400.

  • Conjunto de reglas de TDR estática rs1 con la regla r2 para hacer coincidir los paquetes desde la zona de no confianza con la dirección de destino 203.0.113.1/32 y el puerto de destino 300 a 400. Para paquetes que coincidan, la dirección IP de destino se traduce a la dirección privada 10.1.1.2/32 y se asigna al puerto 300 al 400.

  • Conjunto de TDR estática rs1 con la regla r3 para hacer coincidir los paquetes desde la zona de no confianza con la dirección de destino 203.0.113.3/32 y el puerto de destino 300. Para paquetes que coincidan, la dirección IP de destino se traduce a la dirección privada 10.1.1.2/32 y se asigna al puerto 200.

Configuración

CLI configuración rápida

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía y, luego, ingrese desde el modo de [edit] commit configuración.

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar una asignación TDR estática desde una dirección de subred privada a una dirección de subred pública:

  1. Cree un conjunto de TDR estático.

  2. Configure una regla que coincida con los paquetes y traduce la dirección de destino en los paquetes a una dirección privada.

  3. Configure una regla que coincida con los paquetes y traduce la dirección de destino en los paquetes a una dirección privada.

  4. Configure una regla que coincida con los paquetes y traduce la dirección de destino en los paquetes a una dirección privada.

Resultados

Desde el modo de configuración, escriba el comando para confirmar su show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

[edit]

user@host# show security nat

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Verificar la configuración de TDR estática

Propósito

Compruebe que hay tráfico que coincide con el conjunto de TDR estática.

Acción

Desde el modo operativo, escriba el show security nat static rule comando. Vea el campo Aciertos de traducción para comprobar si hay tráfico que coincida con la regla.

Solución de problemas

Solución de problemas configuración TDR puerto estático

Problema

Durante una TDR se producen errores de configuración de asignación de puertos estáticos.

Las configuraciones no válidas con puertos y direcciones IP superpuestas resultan en un error de confirmación.

En el siguiente ejemplo, se muestran configuraciones no válidas con puertos y direcciones superpuestas:

  • set security nat static rule-set rs rule r1 match destination-address 203.0.113.1

    set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1

  • set security nat static rule-set rs rule r2 match destination-address 203.0.113.1

    set security nat static rule-set rs rule r2 match destination-port 300 to 400

    set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2

    set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400

  • set security nat static rule-set rs rule r1 match destination-address 203.0.113.1

    set security nat static rule-set rs rule r1 match destination-port 100 to 200

    set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1

    set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400

  • set security nat static rule-set rs rule r2 match destination-address 203.0.113.2

    set security nat static rule-set rs rule r2 match destination-port 300 to 400

    set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.1

    set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 390 to 490

Cuando se envió la configuración mencionada para confirmar, se muestra el siguiente mensaje de error:

Solución

Para configurar el puerto de destino, debe evitar que se superponga ninguna dirección o que cualquier dirección y puerto se superpongan. Para obtener un ejemplo de configuración válida, consulte Configuración

Monitoreo de información TDR estática

Propósito

Ver información de TDR estática.

Acción

Seleccione Supervisar>TDR>estática TDR en la interfaz de usuario de J-Web o escriba el siguiente comando CLI comando:

show security nat static rule

En la tabla 1 se resumen los campos de salida clave en la TDR estática.

Tabla 1: Resumen de los campos de salida estáticos TDR clave

Campo

Valores

Acción

Nombre de conjunto de reglas

Nombre del conjunto de reglas.

Seleccione todos los conjuntos de reglas o un conjunto de reglas específico para mostrar en la lista.

Reglas totales

Número de reglas configuradas.

ID

Número de ID de regla.

Posición

Posición de la regla que indica el orden en el que se aplica al tráfico.

Nombre

Nombre de la regla.

Nombre del conjunto de reglas

Nombre del conjunto de reglas.

De

Nombre de la instancia/interfaz/zona de enrutamiento de la que procede el paquete

Direcciones de origen

Direcciones IP de origen.

Puertos de origen

Números de puerto de origen.

Direcciones de destino

Dirección IP de destino y máscara de subred.

Puertos de destino

Números de puerto de destino.

Direcciones de host

Nombre de las direcciones de host.

Puertos de host

Números de puerto de host.

Netmask

Dirección IP de subred.

Instancia de enrutamiento de host

Nombre de la instancia de enrutamiento de la que procede el paquete.

Umbral de alarma

Umbral de alarma de utilización.

Sesiones (Succ/

Error/

Actual)

Sesiones correctas, con errores y actuales.

  • Succ: número de instalaciones de sesión correctas después TDR coincidencia de la regla.

  • Error: número de instalaciones de sesión que no se han podido realizar después TDR coincidencia de la regla de instalación.

  • Actual: número de sesiones que hacen referencia a la regla especificada.

Aciertos de traducción

Número de veces que se utiliza una traducción en la tabla de traducción para una regla TDR estática.

Los 10 mejores gráficos de aciertos de traducción

Muestra el gráfico de los 10 primeros aciertos de traducción.