NESTA PÁGINA
Tradução de protocolo NAT
Configuração do NAT-PT
Para configurar o tipo de tradução como basic-nat-pt, você deve configurar o aplicativo DNS ALG, os pools e regras de NAT, um conjunto de serviços com uma interface de serviço e opções de rastreamento. A configuração do NAT-PT não é suportada se você estiver usando MS-MPCs ou MS-MICs. Este tópico inclui as seguintes tarefas:
- Configuração do aplicativo DNS ALG
- Configurando o grupo de NAT e a regra do NAT
- Configuração do conjunto de serviços para NAT
- Configuração de opções de rastreamento
Configuração do aplicativo DNS ALG
Para configurar o aplicativo DNS ALG:
Configurando o grupo de NAT e a regra do NAT
Para configurar o pool de NAT e a regra NAT:
Configuração do conjunto de serviços para NAT
Para configurar o conjunto de serviços para NAT:
Configuração de opções de rastreamento
Para configurar as opções de rastreamento:
O exemplo a seguir configura o tipo de tradução como basic-nat-pt.
[edit]
user@host# show services
service-set ss_dns {
nat-rules rule-basic-nat-pt;
interface-service {
service-interface sp-1/2/0;
}
}
nat {
pool p1 {
address 10.10.10.2/32;
}
pool src_pool0 {
address 20.1.1.1/32;
}
pool dst_pool0 {
address 50.1.1.2/32;
}
rule rule-basic-nat-pt {
match-direction input;
term t1 {
from {
source-address {
2000::2/128;
}
destination-address {
4000::2/128;
}
applications dns_alg;
}
then {
translated {
source-pool src_pool0;
destination-pool dst_pool0;
dns-alg-prefix 2001:db8:10::0/96;
translation-type {
basic-nat-pt;
}
}
}
}
term t2 {
from {
source-address {
2000::2/128;
}
destination-address {
2001:db8:10::0/96;
}
}
then {
translated {
source-prefix 19.19.19.1/32;
translation-type {
basic-nat-pt;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Exemplo: Configuração do NAT-PT
Um gateway de nível de aplicativo de sistema de nome de domínio (DNS ALG) é usado com a tradução de protocolo de endereço de rede (NAT-PT) para facilitar o mapeamento de nome para endereço. Você pode configurar a DNS ALG para mapear endereços devolvidos na resposta de DNS a um endereço IPv6. A configuração do NAT-PT não é suportada se você estiver usando MS-MPCs ou MS-MICs.
Ao configurar o NAT-PT com suporte a DNS ALG, você deve configurar duas regras de NAT ou uma regra com dois termos. Neste exemplo, você configura duas regras. A primeira regra de NAT garante que os pacotes de consulta e resposta de DNS sejam traduzidos corretamente. Para que essa regra funcione, você deve configurar um aplicativo DNS ALG e referenciá-lo na regra. A segunda regra é necessária para garantir que as sessões de NAT sejam destinadas ao endereço mapeado pelo DNS ALG.
Em seguida, você deve configurar um conjunto de serviços e, em seguida, aplicar o conjunto de serviços nas interfaces.
Este exemplo descreve como configurar o NAT-PT com DNS ALG:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Versão Junos OS 11.2
Uma interface multisserviços (ms-)
Visão geral e topologia
O cenário a seguir mostra o processo do NAT-PT com DNS ALG quando um laptop em um domínio somente IPv6 solicita acesso a um servidor em um domínio somente IPv4.
Topologia
de rede NAT-PT
O roteador da Juniper Networks no centro da ilustração realiza a tradução de endereços em duas etapas. Quando o laptop solicita uma sessão com o servidor www.example.com que está em um domínio somente IPv4, o roteador Juniper Networks executa o seguinte:
Traduz os endereços de servidor IPv6 e notebook IPv6 em endereços IPv4.
Traduz a solicitação AAAA do laptop em uma solicitação A para que o servidor DNS possa fornecer o endereço IPv4.
Quando o servidor DNS responde com a solicitação A, o roteador Juniper Networks executa o seguinte:
Traduz o endereço do servidor IPv4 DNS de volta em um endereço IPv6.
Traduz a solicitação A de volta em uma solicitação AAAA para que o laptop agora tenha o endereço IPv6 de 96 bits do servidor www.example.com .
Depois que o laptop recebe a versão IPv6 do endereço www.example.com servidor, o laptop inicia uma segunda sessão usando o endereço IPv6 de 96 bits para acessar esse servidor. O roteador da Juniper Networks executa o seguinte:
Traduz o endereço IPv4 do laptop diretamente em seu endereço IPv4.
Traduz o endereço de servidor IPv6 de 96 bits www.example.com em seu endereço IPv4.
Configuração do NAT-PT com ALGs DNS
Para configurar o NAT-PT com DNS ALG, execute as seguintes tarefas:
- Configuração do gateway no nível do aplicativo
- Configuração dos grupos de NAT
- Configuração da sessão do servidor DNS: primeira regra de NAT
- Configuração da sessão HTTP: Segunda regra de NAT
- Configuração do conjunto de serviços
- Configurando a regra do firewall stateful
- Configuração de interfaces
Configuração do gateway no nível do aplicativo
Procedimento passo a passo
Configure o aplicativo de DNS como o ALG ao qual o tráfego de DNS está destinado. O protocolo de aplicativo DNS fecha o fluxo de DNS assim que a resposta de DNS é recebida. Ao configurar o protocolo de aplicativo DNS, você deve especificar o protocolo UDP como protocolo de rede compatível com a definição do aplicativo.
Para configurar o aplicativo DNS:
No modo de configuração, vá para o nível de
[edit applications]hierarquia.user@host# edit applications
Defina o nome do aplicativo e especifique o protocolo do aplicativo para usar em condições de correspondência na primeira regra NAT.
[edit applications] user@host# set application application-name application-protocol protocol-name
Por exemplo:
[edit applications] user@host# set application dns_alg application-protocol dns
Especifique o protocolo compatível, neste caso UDP.
[edit applications] user@host# set application application-name protocol type
Por exemplo:
[edit applications] user@host# set application dns_alg protocol udp
Defina a porta de destino UDP para uma correspondência adicional de pacotes, neste caso a porta de domínio.
[edit applications] user@host# set application application-name destination-port value
Por exemplo:
[edit applications] user@host# set application dns_alg destination-port 53
Resultados
[edit applications]
user@host# show
application dns_alg {
application-protocol dns;
protocol udp;
destination-port 53;
}
Configuração dos grupos de NAT
Procedimento passo a passo
Nesta configuração, você configura dois pools que definem os endereços (ou prefixos) usados para NAT. Esses pools definem os endereços IPv4 que são traduzidos em endereços IPv6. O primeiro pool inclui o endereço IPv4 da fonte. O segundo pool define o endereço IPv4 do servidor DNS. Para configurar grupos de NAT:
No modo de configuração, vá para o nível de
[edit services nat]hierarquia.user@host# edit services nat
Especifique o nome do primeiro pool e do endereço fonte IPv4 (laptop).
[edit services nat] user@host# set pool nat-pool-name address ip-prefix
Por exemplo:
[edit services nat] user@host# set pool pool1 address 40.1.1.1/32
Especifique o nome do segundo pool e o endereço IPv4 do servidor DNS.
[edit services nat] user@host# set pool nat-pool-name address ip-prefix
Por exemplo:
[edit services nat] user@host# set pool pool2 address 50.1.1.1/32
Resultados
A saída de amostra a seguir mostra a configuração dos pools de NAT.
[edit services nat]
user@host# show
pool pool1 {
address 40.1.1.1/32;
}
pool pool2 {
address 50.1.1.1/32;
}
Configuração da sessão do servidor DNS: primeira regra de NAT
Procedimento passo a passo
A primeira regra de NAT é aplicada ao tráfego de DNS que vai para o servidor DNS. Essa regra garante que os pacotes de consulta e resposta de DNS sejam traduzidos corretamente. Para que essa regra funcione, você deve configurar um aplicativo DNS ALG e referenciá-lo na regra. O aplicativo DNS foi configurado na configuração do NAT-PT. Além disso, você deve especificar a direção em que o tráfego é compatível, o endereço fonte do laptop, o endereço de destino do servidor DNS e as ações a serem tomadas quando as condições de correspondência forem atendidas.
Para configurar a primeira regra de NAT:
No modo de configuração, vá para o nível de
[edit services nat]hierarquia.user@host# edit services nat
Especifique o nome da regra nat.
[edit services nat] user@host# edit rule rule-name
Por exemplo:
[edit services nat] user@host# edit rule rule1
Especifique o nome do termo NAT.
[edit services nat rule rule-name] user@host# edit term term-name
Por exemplo:
[edit services nat rule rule1] user@host# edit term term1
Defina as condições de correspondência para essa regra.
Especifique o endereço de origem IPv6 do dispositivo (laptop) que tenta acessar um endereço IPv4.
[edit services nat rule rule-name term term-name] user@host# set from source-address source-address
Por exemplo:
[edit services nat rule rule1 term term1] user@host# set from source-address 2000::2/128
Especifique o endereço de destino IPv6 do servidor DNS.
[edit services nat rule rule-name term term-name] user@host# set from destination-address prefix
Por exemplo:
[edit services nat rule rule1 term term1] user@host# set from destination-address 4000::2/128
Consulte o aplicativo DNS ao qual o tráfego DNS destinado à porta 53 é aplicado.
[edit services nat rule rule1 term term1] user@host# set from applications application-name
Neste exemplo, o nome do aplicativo configurado na etapa de configuração do aplicativo DNS é dns_alg:
[edit services nat rule rule1 term term1] user@host# set from applications dns_alg
Defina as ações a serem tomadas quando as condições de correspondência forem atendidas. Os pools de origem e destino que você configurou na configuração dos grupos NAT são aplicados aqui.
Aplique o pool de NAT configurado para tradução de origem.
[edit services nat rule rule-name term term-name] user@host# set then translated source-pool nat-pool-name
Por exemplo:
[edit services nat rule rule1 term term1] user@host# set then translated source-pool pool1
Aplique o pool de NAT configurado para tradução de destino.
[edit services nat rule rule-name term term-name] user@host# set then translated destination-pool nat-pool-name
Por exemplo:
[edit services nat rule rule1 term term1] user@host# set then translated source-pool pool2
Defina o prefixo de 96 bits DNS ALG para mapeamento de endereços IPv4-to-IPv6.
[edit services nat rule rule-name term term-name] user@host# set then translated dns-alg-prefix dns-alg-prefix
Por exemplo:
[edit services nat rule rule1 term term1] user@host# set then translated dns-alg-prefix 10:10:10::0/96
Especifique o tipo de NAT usado para tráfego de origem e destino.
[edit services nat rule rule-name term term-name] user@host# set then translated translation-type basic-nat-pt
Por exemplo:
[edit services nat rule rule1 term term1] user@host# set then translated translation-type basic-nat-pt
Nota:Neste exemplo, como o NAT é alcançado usando a tradução somente de endereço, é usado o tipo básico de tradução nat-pt . Para alcançar o NAT usando a tradução de endereço e porta (NAPT), use o tipo de tradução de napt-pt .
Especifique a direção para combinar o tráfego que atende às condições da regra.
[edit services nat rule rule-name] user@host# set match-direction (input | output)
Por exemplo:
[edit services nat rule rule1] user@host# set match-direction input
Configure o registro do sistema para registrar informações da interface de serviços para o /var/log directory.
[edit services nat rule rule-name term term-name] user@host# set then syslog
Por exemplo:
[edit services nat rule rule1 term term1] user@host# set then syslog
Resultados
A saída de amostra a seguir mostra a configuração da primeira regra NAT que vai para o servidor DNS.
[edit services nat]
user@host# show
rule rule1 {
match-direction input;
term term1 {
from {
source-address {
2000::2/128;
}
destination-address {
4000::2/128;
}
applications dns_alg;
}
then {
translated {
source-pool pool1;
destination-pool pool2;
dns-alg-prefix 10:10:10::0/96;
translation-type {
basic-nat-pt;
}
}
syslog;
}
}
}
Configuração da sessão HTTP: Segunda regra de NAT
Procedimento passo a passo
A segunda regra de NAT é aplicada ao tráfego de destino que vai para o servidor IPv4 (www.example.com). Essa regra garante que as sessões de NAT sejam destinadas ao endereço mapeado pelo DNS ALG. Para que essa regra funcione, você deve configurar o mapa de endereçoS ALG de DNS que correlaciona a consulta de DNS ou o processamento de resposta feito pela primeira regra com as sessões de dados reais processadas pela segunda regra. Além disso, você deve especificar a direção em que o tráfego é combinado: o endereço IPv4 para o endereço de origem IPv6 (laptop), o prefixo de 96 bits para preparação para o endereço de destino IPv4 (www.example.com) e o tipo de tradução.
Para configurar a segunda regra de NAT:
No modo de configuração, vá para o nível de hierarquia a seguir.
user@host# edit services nat
Especifique o nome da regra e do termo NAT.
[edit services nat] user@host# edit rule rule-name term term-name
Por exemplo:
[edit services nat] user@host# edit rule rule2 term term1
Definir as condições de correspondência para esta regra:
Especifique o endereço IPv6 do dispositivo que tenta acessar o servidor IPv4.
[edit services nat rule rule-name term term-name] user@host# set from source-address source-address
Por exemplo:
[edit services nat rule rule2 term term1] user@host# set from source-address 2000::2/128
Especifique o prefixo IPv6 de 96 bits para preparar o endereço do servidor IPv4.
[edit services nat rule rule-name term term-name] user@host# set from destination-address prefix
Por exemplo:
[edit services nat rule rule2 term term1] user@host# set from destination-address 10:10:10::c0a8:108/128
Defina as ações a serem tomadas quando as condições de correspondência forem atendidas.
Especifique o prefixo para a tradução do endereço fonte IPv6.
[edit services nat rule rule-name term term-name] user@host# set then translated source-prefix source-prefix
Por exemplo:
[edit services nat rule rule2 term term1] user@host# set then translated source-prefix 19.19.19.1/32
Especifique o tipo de NAT usado para tráfego de origem e destino.
[edit services nat rule rule-name term term-name] user@host# set then translated translation-type basic-nat-pt
Por exemplo:
[edit services nat rule rule2 term term1] user@host# set then translated translation-type basic-nat-pt
Nota:Neste exemplo, como o NAT é alcançado usando a tradução somente de endereço, é usado o tipo básico de tradução nat-pt . Para alcançar o NAT usando a tradução de endereço e porta (NAPT), você deve usar o tipo de tradução de napt-pt .
Especifique a direção em que combinar tráfego que atenda às condições da regra.
[edit services nat rule rule-name] user@host# set match-direction (input | output)
Por exemplo:
[edit services nat rule rule2] user@host# set match-direction input
Resultados
A saída de amostra a seguir mostra a configuração da segunda regra NAT.
[edit services nat]
user@host# show
rule rule2 {
match-direction input;
term term1 {
from {
source-address {
2000::2/128;
}
destination-address {
10:10:10::c0a8:108/128;
}
}
then {
translated {
source-prefix 19.19.19.1/32;
translation-type {
basic-nat-pt;
}
}
}
}
}
Configuração do conjunto de serviços
Procedimento passo a passo
Este conjunto de serviços é um conjunto de serviços de interface usado como um modificador de ação em toda a interface de serviços (ms-). Os conjuntos de regras de firewall stateful e NAT são aplicados ao tráfego processado pela interface de serviços.
Para configurar o conjunto de serviços:
No modo de configuração, vá para o nível de
[edit services]hierarquia.user@host# edit services
Definir um conjunto de serviços.
[edit services] user@host# edit service-set service-set-name
Por exemplo:
[edit services] user@host# edit service-set ss
Especifique propriedades que controlam como as mensagens de log do sistema são geradas para o conjunto de serviços.
[edit services service-set ss] user@host# set syslog host local services severity-level
O exemplo abaixo inclui todos os níveis de gravidade.
[edit services service-set ss] user@host# set syslog host local services any
Especifique a regra de firewall stateful incluída neste conjunto de serviços.
[edit services service-set ss] user@host# set stateful-firewall-rules rule1 severity-level
O exemplo abaixo faz referência à regra de firewall stateful definida na configuração da regra do firewall stateful.
[edit services service-set ss] user@host# set stateful-firewall-rules rule1
Defina as regras de NAT incluídas neste conjunto de serviços.
[edit services service-set ss] user@host# set nat-rules rule-name
O exemplo abaixo faz referência às duas regras definidas neste exemplo de configuração.
[edit services service-set ss user@host# set nat-rules rule1 user@host# set nat-rules rule2
Configure uma interface de serviços adaptativa na qual o serviço deve ser executado.
[edit services service-set ss] user@host# set interface-service service-interface interface-name
Por exemplo:
[edit services service-set ss user@host# interface-service service-interface ms-2/0/0
Apenas o nome do dispositivo é necessário, porque o software do roteador gerencia os números de unidade lógica automaticamente. A interface de serviços deve ser uma interface de serviços adaptativa para a qual você configurou a
[edit interfaces interface-name]inet da família unidade 0 no nível hierárquico em Interfaces de Configuração.
Resultados
A saída de amostra a seguir mostra a configuração do conjunto de serviços.
[edit services]
user@host# show
service-set ss {
syslog {
host local {
services any;
}
}
stateful-firewall-rules rule1;
nat-rules rule1;
nat-rules rule2;
interface-service {
service-interface ms-2/0/0;
}
}
Configurando a regra do firewall stateful
Procedimento passo a passo
Este exemplo usa um firewall stateful para inspecionar pacotes de informações de estado derivadas de comunicações anteriores e outros aplicativos. O roteador NAT-PT verifica o fluxo de tráfego correspondente à direção especificada pela regra, neste caso, tanto a entrada quanto a saída. Quando um pacote é enviado para a interface de serviços (ms-), as informações de direção são levadas junto com ele.
Para configurar a regra de firewall stateful:
No modo de configuração, vá para o nível de
[edit services stateful firewall]hierarquia.user@host# edit services stateful firewall
Especifique o nome da regra de firewall stateful.
[edit services stateful-firewall] user@host# edit rule rule-name
Por exemplo:
[edit services stateful-firewall] user@host# edit rule rule1
Especifique a direção em que o tráfego deve ser combinado.
[edit services stateful-firewall rule rule-name] user@host# set match-direction (input | input-output | output)
Por exemplo:
[edit services stateful-firewall rule rule1] user@host# set match-direction input-output
Especifique o nome do termo firewall stateful.
[edit services stateful-firewall rule rule-name] user@host# edit term term-name
Por exemplo:
[edit services stateful-firewall rule rule1] user@host# edit term term1
Defina os termos que compõem essa regra.
[edit services stateful-firewall rule rule-name term term-name] user@host# set then accept
Por exemplo:
[edit services stateful-firewall rule rule1 term term1] user@host# set then accept
Resultados
A saída de amostra a seguir mostra a configuração do firewall stateful dos serviços.
[edit services]
user@host# show
stateful-firewall {
rule rule1 {
match-direction input-output;
term term1 {
then {
accept;
}
}
}
}
Configuração de interfaces
Procedimento passo a passo
Depois de definir o conjunto de serviços, você deve aplicar serviços a uma ou mais interfaces instaladas no roteador. Neste exemplo, você configura uma interface na qual você aplica o conjunto de serviços para tráfego de entrada e saída. Quando você aplica o conjunto de serviços a uma interface, ele garante automaticamente que os pacotes sejam direcionados para a interface de serviços (ms-).
Para configurar as interfaces:
No modo de configuração, vá para o nível de
[edit interfaces]hierarquia.user@host# edit interfaces
Configure a interface na qual o conjunto de serviços é aplicado para garantir automaticamente que os pacotes sejam direcionados para a interface de serviços (ms-).
Para tráfego IPv4, especifique o endereço IPv4.
[edit interfaces] user@host# set ge-1/0/9 unit 0 family inet address 30.1.1.1/24
Aplique o conjunto de serviços definido em Interfaces de configuração.
[edit interfaces] user@host# set ge-1/0/9 unit 0 family inet6 service input service-set ss user@host# set ge-1/0/9 unit 0 family inet6 service output service-set ss
Para tráfego IPv6, especifique o endereço IPv6.
[edit interfaces] user@host# set ge-1/0/9 unit 0 family inet6 address 2000::1/64
Especifique as propriedades da interface para a interface de serviços que executa o serviço.
[edit interfaces] user@host# set ms-2/0/0 services-options syslog host local services any user@host# set ms-2/0/0 unit 0 family inet user@host# set ms-2/0/0 unit 0 family inet6
Resultados
A saída de amostra a seguir mostra a configuração das interfaces para este exemplo.
[edit interfaces]
user@host# show
ge-1/0/9 {
unit 0 {
family inet {
address 30.1.1.1/24;
}
family inet6 {
service {
input {
service-set ss;
}
output {
service-set ss;
}
}
address 2000::1/64;
}
}
}
ms-2/0/0 {
services-options {
syslog {
host local {
services any;
}
}
}
unit 0 {
family inet;
family inet6;
}
}