EN ESTA PÁGINA
Traducción de protocolos TDR
Configuración de TDR-PT
Para configurar el tipo de traducción como basic-nat-pt, debe configurar la aplicación ALG DNS, los grupos y reglas de TDR, un conjunto de servicios con una interfaz de servicio y opciones de rastreo. La configuración de TDR-PT no se admite si usa MS-MPC o MS-MIC. En este tema verá las siguientes secciones:
- Configuración de la aplicación DNS ALG
- Configuración del grupo TDR y la regla TDR
- Configuración del conjunto de servicios para TDR
- Configuración de opciones de rastreo
Configuración de la aplicación DNS ALG
Para configurar la aplicación DNS ALG:
Configuración del grupo TDR y la regla TDR
Para configurar el grupo de TDR y la regla de TDR:
Configuración del conjunto de servicios para TDR
Para configurar el conjunto de servicios para TDR:
Configuración de opciones de rastreo
Para configurar las opciones de seguimiento:
En el ejemplo siguiente se configura el tipo de traducción como basic-nat-pt.
[edit]
user@host# show services
service-set ss_dns {
nat-rules rule-basic-nat-pt;
interface-service {
service-interface sp-1/2/0;
}
}
nat {
pool p1 {
address 10.10.10.2/32;
}
pool src_pool0 {
address 20.1.1.1/32;
}
pool dst_pool0 {
address 50.1.1.2/32;
}
rule rule-basic-nat-pt {
match-direction input;
term t1 {
from {
source-address {
2000::2/128;
}
destination-address {
4000::2/128;
}
applications dns_alg;
}
then {
translated {
source-pool src_pool0;
destination-pool dst_pool0;
dns-alg-prefix 2001:db8:10::0/96;
translation-type {
basic-nat-pt;
}
}
}
}
term t2 {
from {
source-address {
2000::2/128;
}
destination-address {
2001:db8:10::0/96;
}
}
then {
translated {
source-prefix 19.19.19.1/32;
translation-type {
basic-nat-pt;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Ejemplo: Configuración de TDR-PT
Se utiliza una puerta de enlace a nivel de aplicación del sistema de nombres de dominio (DNS ALG) con la traducción de traducción de direcciones de red y la traducción de protocolos (TDR-PT) para facilitar la asignación de nombre a dirección. Puede configurar el ALG de DNS para que asigne las direcciones devueltas en la respuesta DNS a una dirección IPv6. La configuración de TDR-PT no se admite si usa MS-MPC o MS-MIC.
Cuando configure TDR-PT con compatibilidad con DNS ALG, debe configurar dos reglas TDR o una regla con dos términos. En este ejemplo, se configuran dos reglas. La primera regla de TDR garantiza que los paquetes de consulta y respuesta de DNS se traduzcan correctamente. Para que esta regla funcione, debe configurar una aplicación ALG de DNS y hacer referencia a ella en la regla. La segunda regla es necesaria para garantizar que las sesiones TDR estén destinadas a la dirección asignada por el ALG DNS.
A continuación, debe configurar un conjunto de servicios y, luego, aplicarlo a las interfaces.
En este ejemplo, se describe cómo configurar TDR-PT con DNS ALG:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 11.2
Una interfaz de multiservicios (ms-)
Descripción general y topología
En el siguiente escenario, se muestra el proceso de TDR-PT con DNS ALG cuando una computadora portátil en un dominio solo IPv6 solicita acceso a un servidor en un dominio solo IPv4.
Topología
de red TDR-PT
El enrutador de Juniper Networks en el centro de la ilustración realiza la traducción de direcciones en dos pasos. Cuando el portátil solicita una sesión con el servidor de www.example.com que se encuentra en un dominio solo IPv4, el enrutador de Juniper Networks realiza lo siguiente:
Traduce las direcciones IPv6 de portátiles y servidores DNS a direcciones IPv4.
Traduce la solicitud AAAA del equipo portátil en una solicitud A para que el servidor DNS pueda proporcionar la dirección IPv4.
Cuando el servidor DNS responde con la solicitud A, el enrutador de Juniper Networks realiza lo siguiente:
Traduce la dirección del servidor DNS IPv4 de nuevo a una dirección IPv6.
Traduce la solicitud A a una solicitud AAAA para que la computadora portátil ahora tenga la dirección IPv6 de 96 bits del servidor www.example.com .
Después de que la computadora portátil recibe la versión IPv6 de la dirección del servidor www.example.com , la computadora portátil inicia una segunda sesión utilizando la dirección IPv6 de 96 bits para acceder a ese servidor. El enrutador de Juniper Networks realiza lo siguiente:
Traduce la dirección IPv4 de la laptop directamente a su dirección IPv4.
Traduce la dirección del servidor www.example.com IPv6 de 96 bits a su dirección IPv4.
Configuración de TDR-PT con ALG de DNS
Para configurar TDR-PT con DNS ALG, realice las siguientes tareas:
- Configuración de la puerta de enlace a nivel de aplicación
- Configuración de los grupos TDR
- Configuración de la sesión del servidor DNS: primera regla TDR
- Configuración de la sesión HTTP: Segunda regla TDR
- Configuración del conjunto de servicios
- Configuración de la regla de firewall de inspección de estado
- Configuración de interfaces
Configuración de la puerta de enlace a nivel de aplicación
Procedimiento paso a paso
Configure la aplicación DNS como el ALG al que se destina el tráfico DNS. El protocolo de aplicación DNS cierra el flujo DNS tan pronto como se recibe la respuesta DNS. Cuando configure el protocolo de aplicación DNS, debe especificar el protocolo UDP como el protocolo de red que se va a hacer coincidir en la definición de aplicación.
Para configurar la aplicación DNS:
En el modo de configuración, vaya al nivel de
[edit applications]jerarquía.user@host# edit applications
Defina el nombre de la aplicación y especifique el protocolo de aplicación que se utilizará en condiciones de coincidencia en la primera regla TDR.
[edit applications] user@host# set application application-name application-protocol protocol-name
Por ejemplo:
[edit applications] user@host# set application dns_alg application-protocol dns
Especifique el protocolo que desea coincidir, en este caso UDP.
[edit applications] user@host# set application application-name protocol type
Por ejemplo:
[edit applications] user@host# set application dns_alg protocol udp
Defina el puerto de destino UDP para la coincidencia de paquetes adicional, en este caso, el puerto de dominio.
[edit applications] user@host# set application application-name destination-port value
Por ejemplo:
[edit applications] user@host# set application dns_alg destination-port 53
Resultados
[edit applications]
user@host# show
application dns_alg {
application-protocol dns;
protocol udp;
destination-port 53;
}
Configuración de los grupos TDR
Procedimiento paso a paso
En esta configuración, se configuran dos grupos que definen las direcciones (o prefijos) que se usan para la TDR. Estos grupos definen las direcciones IPv4 que se traducen en direcciones IPv6. El primer grupo incluye la dirección IPv4 del origen. El segundo grupo define la dirección IPv4 del servidor DNS. Para configurar grupos de TDR:
En el modo de configuración, vaya al nivel de
[edit services nat]jerarquía.user@host# edit services nat
Especifique el nombre del primer grupo y la dirección de origen IPv4 (portátil).
[edit services nat] user@host# set pool nat-pool-name address ip-prefix
Por ejemplo:
[edit services nat] user@host# set pool pool1 address 40.1.1.1/32
Especifique el nombre del segundo grupo y la dirección IPv4 del servidor DNS.
[edit services nat] user@host# set pool nat-pool-name address ip-prefix
Por ejemplo:
[edit services nat] user@host# set pool pool2 address 50.1.1.1/32
Resultados
En el siguiente resultado de ejemplo, se muestra la configuración de los grupos de TDR.
[edit services nat]
user@host# show
pool pool1 {
address 40.1.1.1/32;
}
pool pool2 {
address 50.1.1.1/32;
}
Configuración de la sesión del servidor DNS: primera regla TDR
Procedimiento paso a paso
La primera regla de TDR se aplica al tráfico DNS que va al servidor DNS. Esta regla garantiza que los paquetes de consulta y respuesta DNS se traduzcan correctamente. Para que esta regla funcione, debe configurar una aplicación ALG de DNS y hacer referencia a ella en la regla. La aplicación DNS se configuró en Configuración de TDR-PT. Además, debe especificar la dirección en la que se hace coincidir el tráfico, la dirección de origen del equipo portátil, la dirección de destino del servidor DNS y las acciones que se deben realizar cuando se cumplan las condiciones de coincidencia.
Para configurar la primera regla de TDR:
En el modo de configuración, vaya al nivel de
[edit services nat]jerarquía.user@host# edit services nat
Especifique el nombre de la regla TDR.
[edit services nat] user@host# edit rule rule-name
Por ejemplo:
[edit services nat] user@host# edit rule rule1
Especifique el nombre del término TDR.
[edit services nat rule rule-name] user@host# edit term term-name
Por ejemplo:
[edit services nat rule rule1] user@host# edit term term1
Defina las condiciones de coincidencia para esta regla.
Especifique la dirección de origen IPv6 del dispositivo (portátil) que intenta acceder a una dirección IPv4.
[edit services nat rule rule-name term term-name] user@host# set from source-address source-address
Por ejemplo:
[edit services nat rule rule1 term term1] user@host# set from source-address 2000::2/128
Especifique la dirección de destino IPv6 del servidor DNS.
[edit services nat rule rule-name term term-name] user@host# set from destination-address prefix
Por ejemplo:
[edit services nat rule rule1 term term1] user@host# set from destination-address 4000::2/128
Haga referencia a la aplicación DNS a la que se aplica el tráfico DNS destinado al puerto 53.
[edit services nat rule rule1 term term1] user@host# set from applications application-name
En este ejemplo, el nombre de aplicación configurado en el paso Configuración de la aplicación DNS es dns_alg:
[edit services nat rule rule1 term term1] user@host# set from applications dns_alg
Defina las acciones que se deben realizar cuando se cumplan las condiciones de coincidencia. Aquí se aplican los grupos de origen y destino que configuró en Configuración de los grupos TDR .
Aplique el grupo de TDR configurado para la traducción de origen.
[edit services nat rule rule-name term term-name] user@host# set then translated source-pool nat-pool-name
Por ejemplo:
[edit services nat rule rule1 term term1] user@host# set then translated source-pool pool1
Aplique el conjunto de TDR configurado para la traducción de destino.
[edit services nat rule rule-name term term-name] user@host# set then translated destination-pool nat-pool-name
Por ejemplo:
[edit services nat rule rule1 term term1] user@host# set then translated source-pool pool2
Defina el prefijo de 96 bits ALG de DNS para la asignación de direcciones IPv4 a IPv6.
[edit services nat rule rule-name term term-name] user@host# set then translated dns-alg-prefix dns-alg-prefix
Por ejemplo:
[edit services nat rule rule1 term term1] user@host# set then translated dns-alg-prefix 10:10:10::0/96
Especifique el tipo de TDR utilizado para el tráfico de origen y destino.
[edit services nat rule rule-name term term-name] user@host# set then translated translation-type basic-nat-pt
Por ejemplo:
[edit services nat rule rule1 term term1] user@host# set then translated translation-type basic-nat-pt
Nota:En este ejemplo, dado que TDR se logra mediante la traducción de solo dirección, se utiliza el tipo de traducción basic-nat-pt . Para lograr TDR utilizando traducción de direcciones y puertos (NAPT), utilice el tipo de traducción napt-pt .
Especifique la dirección en la que desea hacer coincidir el tráfico que cumpla las condiciones de la regla.
[edit services nat rule rule-name] user@host# set match-direction (input | output)
Por ejemplo:
[edit services nat rule rule1] user@host# set match-direction input
Configure el registro del sistema para registrar información de la interfaz de servicios en el directorio /var/log.
[edit services nat rule rule-name term term-name] user@host# set then syslog
Por ejemplo:
[edit services nat rule rule1 term term1] user@host# set then syslog
Resultados
En el siguiente resultado de ejemplo se muestra la configuración de la primera regla de TDR que va al servidor DNS.
[edit services nat]
user@host# show
rule rule1 {
match-direction input;
term term1 {
from {
source-address {
2000::2/128;
}
destination-address {
4000::2/128;
}
applications dns_alg;
}
then {
translated {
source-pool pool1;
destination-pool pool2;
dns-alg-prefix 10:10:10::0/96;
translation-type {
basic-nat-pt;
}
}
syslog;
}
}
}
Configuración de la sesión HTTP: Segunda regla TDR
Procedimiento paso a paso
La segunda regla TDR se aplica al tráfico de destino que va al servidor IPv4 (www.example.com). Esta regla garantiza que las sesiones de TDR estén destinadas a la dirección asignada por el ALG de DNS. Para que esta regla funcione, debe configurar la asignación de direcciones ALG de DNS que correlacione el procesamiento de consulta o respuesta de DNS realizado por la primera regla con las sesiones de datos reales procesadas por la segunda regla. Además, debe especificar la dirección en la que se relaciona el tráfico: la dirección IPv4 para la dirección de origen IPv6 (portátil), el prefijo de 96 bits para anteponer a la dirección de destino IPv4 (www.example.com) y el tipo de traducción.
Para configurar la segunda regla TDR:
En el modo de configuración, vaya al siguiente nivel de jerarquía.
user@host# edit services nat
Especifique el nombre de la regla y el término de TDR.
[edit services nat] user@host# edit rule rule-name term term-name
Por ejemplo:
[edit services nat] user@host# edit rule rule2 term term1
Defina las condiciones de coincidencia para esta regla:
Especifique la dirección IPv6 del dispositivo que intenta acceder al servidor IPv4.
[edit services nat rule rule-name term term-name] user@host# set from source-address source-address
Por ejemplo:
[edit services nat rule rule2 term term1] user@host# set from source-address 2000::2/128
Especifique el prefijo IPv6 de 96 bits que se antepondrá a la dirección del servidor IPv4.
[edit services nat rule rule-name term term-name] user@host# set from destination-address prefix
Por ejemplo:
[edit services nat rule rule2 term term1] user@host# set from destination-address 10:10:10::c0a8:108/128
Defina las acciones que se deben realizar cuando se cumplan las condiciones de coincidencia.
Especifique el prefijo para la traducción de la dirección de origen IPv6.
[edit services nat rule rule-name term term-name] user@host# set then translated source-prefix source-prefix
Por ejemplo:
[edit services nat rule rule2 term term1] user@host# set then translated source-prefix 19.19.19.1/32
Especifique el tipo de TDR utilizado para el tráfico de origen y destino.
[edit services nat rule rule-name term term-name] user@host# set then translated translation-type basic-nat-pt
Por ejemplo:
[edit services nat rule rule2 term term1] user@host# set then translated translation-type basic-nat-pt
Nota:En este ejemplo, dado que TDR se logra mediante la traducción de solo dirección, se utiliza el tipo de traducción basic-nat-pt . Para lograr TDR utilizando traducción de direcciones y puertos (NAPT), debe utilizar el tipo de traducción napt-pt .
Especifique la dirección en la que desea hacer coincidir el tráfico que cumpla las condiciones de la regla.
[edit services nat rule rule-name] user@host# set match-direction (input | output)
Por ejemplo:
[edit services nat rule rule2] user@host# set match-direction input
Resultados
En el siguiente resultado de ejemplo, se muestra la configuración de la segunda regla TDR.
[edit services nat]
user@host# show
rule rule2 {
match-direction input;
term term1 {
from {
source-address {
2000::2/128;
}
destination-address {
10:10:10::c0a8:108/128;
}
}
then {
translated {
source-prefix 19.19.19.1/32;
translation-type {
basic-nat-pt;
}
}
}
}
}
Configuración del conjunto de servicios
Procedimiento paso a paso
Este conjunto de servicios es un conjunto de servicios de interfaz que se utiliza como modificador de acción en toda la interfaz de servicios (ms-). Los conjuntos de reglas de firewall con estado y TDR se aplican al tráfico procesado por la interfaz de servicios.
Para configurar el conjunto de servicios:
En el modo de configuración, vaya al nivel de
[edit services]jerarquía.user@host# edit services
Defina un conjunto de servicios.
[edit services] user@host# edit service-set service-set-name
Por ejemplo:
[edit services] user@host# edit service-set ss
Especifique las propiedades que controlan cómo se generan los mensajes de registro del sistema para el conjunto de servicios.
[edit services service-set ss] user@host# set syslog host local services severity-level
El ejemplo siguiente incluye todos los niveles de gravedad.
[edit services service-set ss] user@host# set syslog host local services any
Especifique la regla de firewall de estado incluida en este conjunto de servicios.
[edit services service-set ss] user@host# set stateful-firewall-rules rule1 severity-level
El siguiente ejemplo hace referencia a la regla de firewall con estado definida en Configuración de la regla de firewall de inspección de estado.
[edit services service-set ss] user@host# set stateful-firewall-rules rule1
Defina las reglas de TDR incluidas en este conjunto de servicios.
[edit services service-set ss] user@host# set nat-rules rule-name
En el ejemplo siguiente se hace referencia a las dos reglas definidas en este ejemplo de configuración.
[edit services service-set ss user@host# set nat-rules rule1 user@host# set nat-rules rule2
Configure una interfaz de servicios adaptable en la que se vaya a realizar el servicio.
[edit services service-set ss] user@host# set interface-service service-interface interface-name
Por ejemplo:
[edit services service-set ss user@host# interface-service service-interface ms-2/0/0
Solo se necesita el nombre del dispositivo, ya que el software del enrutador administra automáticamente los números de unidad lógica. La interfaz de servicios debe ser una interfaz de servicios adaptable para la que haya configurado la unidad 0 family inet en el nivel de
[edit interfaces interface-name]jerarquía en Configuración de interfaces.
Resultados
En el siguiente resultado de ejemplo, se muestra la configuración del conjunto de servicios.
[edit services]
user@host# show
service-set ss {
syslog {
host local {
services any;
}
}
stateful-firewall-rules rule1;
nat-rules rule1;
nat-rules rule2;
interface-service {
service-interface ms-2/0/0;
}
}
Configuración de la regla de firewall de inspección de estado
Procedimiento paso a paso
En este ejemplo, se utiliza un firewall con estado para inspeccionar los paquetes en busca de información de estado derivada de comunicaciones pasadas y otras aplicaciones. El enrutador TDR-PT comprueba el flujo de tráfico que coincide con la dirección especificada por la regla, en este caso tanto de entrada como de salida. Cuando se envía un paquete a la interfaz de servicios (ms-), la información de dirección se lleva consigo consigo.
Para configurar la regla de firewall con estado:
En el modo de configuración, vaya al nivel de
[edit services stateful firewall]jerarquía.user@host# edit services stateful firewall
Especifique el nombre de la regla de firewall con estado.
[edit services stateful-firewall] user@host# edit rule rule-name
Por ejemplo:
[edit services stateful-firewall] user@host# edit rule rule1
Especifique la dirección en la que se debe hacer coincidir el tráfico.
[edit services stateful-firewall rule rule-name] user@host# set match-direction (input | input-output | output)
Por ejemplo:
[edit services stateful-firewall rule rule1] user@host# set match-direction input-output
Especifique el nombre del término firewall con estado.
[edit services stateful-firewall rule rule-name] user@host# edit term term-name
Por ejemplo:
[edit services stateful-firewall rule rule1] user@host# edit term term1
Defina los términos que componen esta regla.
[edit services stateful-firewall rule rule-name term term-name] user@host# set then accept
Por ejemplo:
[edit services stateful-firewall rule rule1 term term1] user@host# set then accept
Resultados
En el siguiente resultado de ejemplo, se muestra la configuración del firewall con estado de los servicios.
[edit services]
user@host# show
stateful-firewall {
rule rule1 {
match-direction input-output;
term term1 {
then {
accept;
}
}
}
}
Configuración de interfaces
Procedimiento paso a paso
Después de definir el conjunto de servicios, debe aplicar servicios a una o más interfaces instaladas en el enrutador. En este ejemplo, se configura una interfaz en la que se aplica el conjunto de servicios para el tráfico de entrada y salida. Cuando se aplica el conjunto de servicios a una interfaz, automáticamente se asegura de que los paquetes se dirijan a la interfaz de servicios (ms-).
Para configurar las interfaces:
En el modo de configuración, vaya al nivel de
[edit interfaces]jerarquía.user@host# edit interfaces
Configure la interfaz en la que se aplica el conjunto de servicios para asegurarse de que los paquetes se dirigen automáticamente a la interfaz de servicios (ms-).
Para el tráfico IPv4, especifique la dirección IPv4.
[edit interfaces] user@host# set ge-1/0/9 unit 0 family inet address 30.1.1.1/24
Aplique el conjunto de servicios definido en Configuración de interfaces.
[edit interfaces] user@host# set ge-1/0/9 unit 0 family inet6 service input service-set ss user@host# set ge-1/0/9 unit 0 family inet6 service output service-set ss
Para el tráfico IPv6, especifique la dirección IPv6.
[edit interfaces] user@host# set ge-1/0/9 unit 0 family inet6 address 2000::1/64
Especifique las propiedades de interfaz para la interfaz de servicios que realiza el servicio.
[edit interfaces] user@host# set ms-2/0/0 services-options syslog host local services any user@host# set ms-2/0/0 unit 0 family inet user@host# set ms-2/0/0 unit 0 family inet6
Resultados
En el siguiente resultado de ejemplo, se muestra la configuración de las interfaces para este ejemplo.
[edit interfaces]
user@host# show
ge-1/0/9 {
unit 0 {
family inet {
address 30.1.1.1/24;
}
family inet6 {
service {
input {
service-set ss;
}
output {
service-set ss;
}
}
address 2000::1/64;
}
}
}
ms-2/0/0 {
services-options {
syslog {
host local {
services any;
}
}
}
unit 0 {
family inet;
family inet6;
}
}