NAT für Multicast-Flows
Für die Implementierung der Multicast-Gruppenadressübersetzung wird entweder statisches NAT oder Ziel-NAT verwendet. Mit Hilfe von NAT werden Quelladressen in IPv4 in IPv4-Multicast-Gruppenzieladressen übersetzt.
Verständnis von NAT für Multicast-Flows
Network Address Translation (NAT) kann zum Übersetzen von Quelladressen in IPv4-Multicast-Flows und zum Übersetzen von IPv4-Multicast-Gruppenzieladressen verwendet werden.
Für die Durchführung einer Multicast-Gruppenadressübersetzung kann entweder statische NAT oder Ziel-NAT verwendet werden. Statische NAT ermöglicht Verbindungen von beiden Seiten des Netzwerks, aber die Übersetzung ist auf Eins-zu-Eins-Adressen oder zwischen Adressblöcken derselben Größe beschränkt. Es sind keine Adresspools erforderlich. Verwenden Sie die static Konfigurationsanweisung auf der Hierarchieebene [edit security nat], um statische NAT-Regelsätze für Multicast-Datenverkehr zu konfigurieren. Ziel-NAT ermöglicht das Initiieren von Verbindungen nur für eingehende Netzwerkverbindungen, z. B. vom Internet zu einem privaten Netzwerk. Verwenden Sie die destination Konfigurationsanweisung auf der Hierarchieebene [edit security nat], um Ziel-NAT-Pools und -Regelsätze zu konfigurieren.
Quell-NAT für Multicast-Datenverkehr wird nur unterstützt, indem IP-Adressverschiebung verwendet wird, um die ursprüngliche Quell-IP-Adresse in eine IP-Adresse aus einem benutzerdefinierten Adresspool zu übersetzen. Diese Art der Übersetzung ist eins-zu-eins, statisch und ohne Portadressübersetzung. Wenn der ursprüngliche Quell-IP-Adressbereich größer ist als der IP-Adressbereich im benutzerdefinierten Pool, werden nicht übersetzte Pakete verworfen. Die Zuordnung bietet keine bidirektionale Zuordnung, die statische NAT bietet. Verwenden Sie die source Konfigurationsanweisung auf der Hierarchieebene [edit security nat], um NAT-Quellpools und -Regelsätze zu konfigurieren. Wenn Sie den Quell-NAT-Pool für diesen Quell-NAT-Typ definieren, verwenden Sie die host-address-base Option, um den Beginn des ursprünglichen Quell-IP-Adressbereichs anzugeben.
Siehe auch
Beispiel: Konfigurieren von NAT für Multicast-Flows
Dieses Beispiel zeigt, wie ein Gerät von Juniper Networks für die Adressübersetzung von Multicast-Flows konfiguriert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Weitere Informationen finden Sie im Benutzerhandbuch für Sicherheits-Geräte.
Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu. Siehe Grundlegendes zu Sicherheitszonen.
-
Konfigurieren Sie das Gerät für die Multicast-Weiterleitung. Weitere Informationen finden Sie in der Übersicht zu Multicast.
Überblick
In diesem Beispiel wird die Sicherheitszone "Vertrauenswürdig" für den privaten Adressraum und die Sicherheitszone "Nicht vertrauenswürdig" für den öffentlichen Adressraum verwendet. Abbildung 1 zeigt eine typische Bereitstellung des Geräts von Juniper Networks für die Multicast-Weiterleitung. Der Quell-Router R1 sendet Multicast-Pakete mit Quelladressen im Bereich 203.0.113.100 bis 203.0.113.110 und der Gruppenadresse 233.252.0.1/32 an das Gerät von Juniper Networks. Der Quell-Router R1 befindet sich im privaten Netzwerk (Vertrauenszone) vor dem Gerät von Juniper Networks. Es gibt mehrere Empfänger im öffentlichen Netzwerk (nicht vertrauenswürdige Zone), die dem Gerät nachgeschaltet sind.
Das Gerät von Juniper Networks übersetzt eingehende Multicast-Pakete von R1, bevor es sie an die nachgelagerten Schnittstellen weiterleitet. Folgende Übersetzungen werden angewendet:
Für die Schnittstelle zu R2 ist die Quelladresse nicht übersetzt und die Gruppenadresse wird in 233.252.0.2/32 übersetzt.
Für die Schnittstelle zu R3 wird die Quelladresse in eine Adresse im Bereich 198.51.100.200 bis 198.51.100.210 und die Gruppenadresse in 233.252.0.2/32 übersetzt.
Für die Schnittstelle zu R4 wird die Quelladresse in eine Adresse im Bereich 10.10.10.100 bis 10.10.10.110 übersetzt, und die Gruppenadresse wird in 233.252.0.2/32 übersetzt.
In diesem Beispiel werden die folgenden Konfigurationen beschrieben:
Ziel-NAT-Pool
dst-nat-pool, der die IP-Adresse 233.252.0.2/32 enthält.Ziel-NAT-Regelsatz
rs1mit Regelr1zum Abgleich von Paketen, die an der Schnittstelle xe-2/0/1.0 mit der Ziel-IP-Adresse 233.252.0.1/32 ankommen. Bei übereinstimmenden Paketen wird die Zieladresse in die IP-Adresse imdst-nat-poolPool übersetzt.Quell-NAT-Pool
src-nat-shift-1, der den IP-Adressbereich 198.51.100.200/32 bis 198.51.100.210/32 enthält. Für diesen Pool ist der Anfang des ursprünglichen Quell-IP-Adressbereichs 203.0.113.100/32 und wird mit derhost-address-baseOption angegeben.Quell-NAT-Regelsatz
rs-shift1mit Regelr1zum Abgleich von Paketen aus der Vertrauenszone zur Schnittstelle xe-1/0/1.0 mit einer Quell-IP-Adresse im Subnetz 203.0.113.96/28. Für übereinstimmende Pakete, die in den von dersrc-nat-shift-1Konfiguration angegebenen Quell-IP-Adressbereich fallen, wird die Quelladresse in die IP-Adresse imsrc-nat-shift-1Pool übersetzt.Quell-NAT-Pool
src-nat-shift-2, der den IP-Adressbereich 10.10.10.100/32 bis 10.10.10.110/32 enthält. Für diesen Pool ist der Anfang des ursprünglichen Quell-IP-Adressbereichs 203.0.113.100/32 und wird mit derhost-address-baseOption angegeben.Quell-NAT-Regelsatz
rs-shift2mit Regelr1zum Abgleich von Paketen aus der Vertrauenszone zur Schnittstelle xe-2/0/0.0 mit einer Quell-IP-Adresse im Subnetz 203.0.113.96/28. Für übereinstimmende Pakete, die in den von dersrc-nat-shift-2Konfiguration angegebenen Quell-IP-Adressbereich fallen, wird die Quelladresse in die IP-Adresse imsrc-nat-shift-2Pool übersetzt.Proxy-ARP für die Adressen 203.0.113.100 bis 203.0.113.110 auf der Schnittstelle xe-1/0/0.0, die Adressen 198.51.100.200 bis 198.51.100.210 auf der Schnittstelle xe-1/0/1.0 und die Adressen 10.10.10.10.10 bis 10.10.10.110 auf der Schnittstelle xe-2/0/0.0. Dadurch kann das Sicherheitsgerät von Juniper Networks auf ARP-Anfragen reagieren, die auf der Schnittstelle für diese Adressen empfangen werden.
Sicherheitsrichtlinie, um Datenverkehr aus der vertrauenswürdigen Zone in die nicht vertrauenswürdige Zone zuzulassen.
Sicherheitsrichtlinie, um Datenverkehr aus der nicht vertrauenswürdigen Zone zur übersetzten Ziel-IP-Adresse in der vertrauenswürdigen Zone zuzulassen.
Topologie
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security nat source pool src-nat-shift-1 address 198.51.100.200/32 to 198.51.100.210/32 set security nat source pool src-nat-shift-1 host-address-base 203.0.113.100/32 set security nat source pool src-nat-shift-2 address 10.10.10.100/32 to 10.10.10.110/32 set security nat source pool src-nat-shift-2 host-address-base 203.0.113.100/32 set security nat source rule-set rs-shift1 from zone trust set security nat source rule-set rs-shift1 to interface xe-1/0/1.0 set security nat source rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1 set security nat source rule-set rs-shift2 from zone trust set security nat source rule-set rs-shift2 to interface xe-2/0/0.0 set security nat source rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2 set security nat destination pool dst-nat-pool address 233.252.0.2/32 set security nat destination rule-set rs1 from interface xe-2/0/1.0 set security nat destination rule-set rs1 rule r1 match destination-address 233.252.0.1/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool set security nat proxy-arp interface xe-1/0/0.0 address 203.0.113.100/32 to 203.0.113.110/32 set security nat proxy-arp interface xe-1/0/1.0 address 198.51.100.200/32 to 198.51.100.210/32 set security nat proxy-arp interface xe-2/0/0.0 address 10.10.10.100/32 to 10.10.10.110/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match destination-address 233.252.0.1/21 set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie die Ziel- und Quell-NAT-Übersetzungen für Multicast-Flows:
Erstellen Sie einen Ziel-NAT-Pool.
[edit security nat destination] user@host# set pool dst-nat-pool address 233.252.0.2/32
Erstellen Sie einen Ziel-NAT-Regelsatz.
[edit security nat destination] user@host# set rule-set rs1 from interface xe-2/0/1.0
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in die Adresse im Ziel-NAT-Pool übersetzt.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 233.252.0.1/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool
Erstellen Sie einen Quell-NAT-Pool.
[edit security nat source] user@host# set pool src-nat-shift-1 address 198.51.100.200 to 198.51.100.210
Geben Sie den Anfang des ursprünglichen Quell-IP-Adressbereichs an.
[edit security nat source] user@host# set pool src-nat-shift-1 host-address-base 203.0.113.100
Erstellen Sie einen Quell-NAT-Regelsatz.
[edit security nat source] user@host# set rule-set rs-shift1 from zone trust user@host# set rule-set rs-shift1 to interface xe-1/0/1.0
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in die Adresse im NAT-Quellpool übersetzt.
[edit security nat source] user@host# set rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1
Erstellen Sie einen Quell-NAT-Pool.
[edit security nat source] user@host# set pool src-nat-shift-2 address 10.10.10.100 to 10.10.10.110
Geben Sie den Anfang des ursprünglichen Quell-IP-Adressbereichs an.
[edit security nat source] user@host# set pool src-nat-shift-2 host-address-base 203.0.113.100/32
Erstellen Sie einen Quell-NAT-Regelsatz.
[edit security nat source] user@host# set rule-set rs-shift2 from zone trust user@host# set rule-set rs-shift2 to interface xe-2/0/0.0
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in die Adresse im NAT-Quellpool übersetzt.
[edit security nat source] user@host# set rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2
Konfigurieren Sie das Proxy-ARP.
[edit security nat] user@host# set proxy-arp interface xe-1/0/0.0 address 203.0.113.100 to 203.0.113.110 user@host# set proxy-arp interface xe-1/0/1.0 address 198.51.100.200 to 198.51.100.210 user@host# set proxy-arp interface xe-2/0/0.0 address 10.10.10.100 to 10.10.10.110
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr aus der vertrauenswürdigen Zone in die nicht vertrauenswürdige Zone zulässt.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr aus der nicht vertrauenswürdigen Zone in die vertrauenswürdige Zone zulässt.
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-access match source-address any destination-address 233.252.0.1/32 application any user@host# set policy dst-nat-pool-access then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show security nat show security policies und-Befehle. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
source {
pool src-nat-shift-1 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
host-address-base 203.0.113.100/32;
}
pool src-nat-shift-2 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
host-address-base 203.0.113.100/32;
}
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
rule-set rs-shift1 {
from zone trust;
to interface xe-1/0/1.0;
rule r1 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift1;
}
}
}
}
}
rule-set rs-shift2 {
from zone trust;
to interface xe-2/0/0.0;
rule r2 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift2;
}
}
}
}
}
}
destination {
pool dst-nat-pool {
address 233.252.0.1/32;
}
rule-set rs1 {
from interface xe-2/0/1.0;
rule r1 {
match {
destination-address 233.252.0.1/32;
}
then {
destination-nat pool dst-nat-pool;
}
}
}
}
proxy-arp {
interface xe-1/0/0.0 {
address {
203.0.113.100/32 to 203.0.113.110/32;
}
}
interface xe-1/0/1.0 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
}
interface xe-2/0/0.0 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfen der Nutzung des Ziel-NAT-Pools
- Überprüfen der Verwendung von Ziel-NAT-Regeln
- Überprüfen der Verwendung des Quell-NAT-Pools
- Überprüfen der Verwendung von Quell-NAT-Regeln
- Überprüfen der NAT-Anwendung im Datenverkehr
Überprüfen der Nutzung des Ziel-NAT-Pools
Zweck
Stellen Sie sicher, dass Datenverkehr mit IP-Adressen aus dem Ziel-NAT-Pool vorhanden ist.
Aktion
Geben Sie im Betriebsmodus den show security nat destination pool all Befehl ein. Zeigen Sie das Feld Übersetzungstreffer an, um nach Datenverkehr mit IP-Adressen aus dem Pool zu suchen.
Überprüfen der Verwendung von Ziel-NAT-Regeln
Zweck
Stellen Sie sicher, dass Datenverkehr vorhanden ist, der mit der Ziel-NAT-Regel übereinstimmt.
Aktion
Geben Sie im Betriebsmodus den show security nat destination rule all Befehl ein. Zeigen Sie das Feld Übersetzungstreffer an, um nach Datenverkehr zu suchen, der der Regel entspricht.
Überprüfen der Verwendung des Quell-NAT-Pools
Zweck
Stellen Sie sicher, dass Datenverkehr mit IP-Adressen aus dem Quell-NAT-Pool vorhanden ist.
Aktion
Geben Sie im Betriebsmodus den show security nat source pool all Befehl ein. Zeigen Sie das Feld Übersetzungstreffer an, um nach Datenverkehr mit IP-Adressen aus dem Pool zu suchen.
Überprüfen der Verwendung von Quell-NAT-Regeln
Zweck
Stellen Sie sicher, dass Datenverkehr mit der Quell-NAT-Regel übereinstimmt.
Aktion
Geben Sie im Betriebsmodus den show security nat source rule all Befehl ein. Zeigen Sie das Feld Übersetzungstreffer an, um nach Datenverkehr zu suchen, der der Regel entspricht.