Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de la configuración de TDR

En este tema se describe cómo configurar la traducción de direcciones de red (TDR) y varios ISP. Además, este tema ayuda a comprobar el tráfico TDR mediante la configuración de las opciones de rastreo y la supervisión de la tabla TDR.

Configuración de TDR mediante el asistente de TDR

Puede utilizar el asistente de TDR para realizar la configuración básica de TDR. Para realizar una configuración más avanzada, utilice la interfaz J-web o la CLI.

Para configurar TDR mediante el asistente de TDR:

  1. Seleccione Configure>Tasks>Configure NAT esta opción en la interfaz J-Web.
  2. Haga clic en el botón Iniciar asistente TDR.
  3. Siga las instrucciones del asistente.

El área superior izquierda de la página del asistente muestra en qué etapa del proceso de configuración se encuentra. El área inferior izquierda de la página muestra ayuda sensible al campo. Al hacer clic en un vínculo bajo el encabezado Recursos, el documento se abre en su navegador. Si el documento se abre en una nueva pestaña, asegúrese de cerrar solo la pestaña (no la ventana del navegador) cuando cierre el documento.

Ejemplo: Configurar TDR para varios ISP

En este ejemplo, se muestra cómo configurar un dispositivo de Juniper Networks para la traducción de direcciones de varios ISP.

Requisitos

Antes de empezar:

  1. Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.

Descripción general

En este ejemplo, puede configurar un firewall de la serie SRX conectando la LAN a Internet mediante la función TDR a través de dos conexiones de ISP. En esta configuración, la confianza es la zona de seguridad para el espacio de direcciones privadas y las dos zonas de seguridad de no confianza para el espacio de direcciones públicas se utilizan para conectarse desde LAN a los dos ISP y viceversa. El ejemplo es una combinación de reglas TDR de origen para conectarse a Internet desde la LAN y reglas TDR estáticas y de destino para conectarse a la LAN desde Internet.

Configuración

Configuración de TDR para varios ISP

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.

  1. Configure instancias de enrutamiento.

  2. Configure los grupos de semirrígidas y las opciones de enrutamiento.

  3. Configure políticas de seguridad.

  4. Configure los grupos y reglas de TDR de origen.

  5. Configure los grupos y reglas de TDR de destino.

  6. Configure reglas TDR estáticas.

Resultados

Desde el modo de configuración, ingrese el comando show configuration para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Verificar interfaces

Propósito

Compruebe que las interfaces estén configuradas correctamente.

Acción

Desde el modo operativo, ingrese los siguientes comandos:

  • show interfaces

  • show zones

  • show routing-instances

  • show routing-options

  • show policies

  • show source nat

  • show destination nat

  • show static nat

Configuración de ARP de proxy para TDR (procedimiento de la CLI)

Utilice la funcionalidad ARP de proxy TDR para configurar entradas ARP de proxy para direcciones IP que requieren TDR de origen o destino y que se encuentran en la misma subred que la interfaz de entrada. En los firewalls de la serie SRX, debe configurar explícitamente el ARP del proxy de TDR.

Cuando configure el ARP de proxy TDR, debe especificar la interfaz lógica en la que desea configurar el ARP de proxy. A continuación, se introduce una dirección o un intervalo de direcciones.

El dispositivo realiza ARP de proxy para las siguientes condiciones:

  • Cuando las direcciones definidas en el conjunto de TDR estático y TDR de origen se encuentran en la misma subred que la de la interfaz de entrada

  • Cuando las direcciones de la entrada de dirección de destino original en las reglas TDR de destino se encuentran en la misma subred que la de la interfaz de entrada

Configuración de las opciones de seguimiento de TDR

Propósito

La jerarquía de opciones de seguimiento de TDR configura el archivo de seguimiento y los indicadores con fines de comprobación.

Los firewalls de la serie SRX tienen dos componentes principales: el motor de enrutamiento (RE) y el motor de reenvío de paquetes (PFE). El PFE se divide en la parte ukernel y la parte en tiempo real.

Cuando se confirma una configuración TDR, primero se comprueba y se valida en el RE. Después de la validación, la configuración se envía a la PFE. La configuración se instala en el ukernel PFE y, a continuación, se realiza una acción en cada paquete que coincida con las reglas de TDR en el PFE en tiempo real.

Para la comprobación, puede activar los indicadores individualmente para depurar la funcionalidad de TDR en el RE, ukernel PFE o PFE en tiempo real:

  • El nat-re indicador registra el seguimiento de la validación de la configuración de TDR en el RE y la inserción de configuración en la PFE.

  • El nat-pfe indicador registra el seguimiento de la instalación de la configuración de TDR en el ukernel PFE.

  • La nat-rt marca registra el seguimiento de la coincidencia de la regla TDR y la acción posterior en la PFE en tiempo real.

Los datos de rastreo se escriben en /var/log/security-trace de forma predeterminada y se pueden ver usando el comando show log security-trace.

Si se habilitó el registro de sesiones en las configuraciones de políticas del dispositivo, los registros de sesión incluirán detalles específicos de TDR para cada sesión. Consulte Supervisión de estadísticas de políticas de seguridad para obtener información sobre cómo habilitar el registro de la sesión y la información proporcionada en las entradas del registro de sesión para puertas de enlace de servicios de la serie SRX para obtener una descripción de la información proporcionada en los registros de sesión.

Acción

Use la security nat traceoptions instrucción para comprobar que las configuraciones de TDR se actualizan correctamente en el dispositivo al momento de la confirmación y que la coincidencia de la regla TDR y las acciones posteriores son correctas.

Para comprobar que las traducciones de TDR se aplican al tráfico y para ver el security nat traceoptions procesamiento de flujo de tráfico individual con traducciones de TDR, use el comando y el security flow traceoptions comando juntos. Los comandos se usan juntos porque el seguimiento de TDR, configurado mediante el security nat traceoptions comando, no se registra a menos que el flow traceoptions comando también esté configurado.

Para filtrar un flujo específico, puede definir un filtro de paquetes y utilizarlo como traceoption :

Para comprobar el tráfico TDR y habilitar todo el seguimiento de tráfico en el plano de datos, utilice el comando traceoptions set security flow traceoptions flag basic-datapath , como se muestra en el ejemplo siguiente con un filtro de paquetes simple:

Monitorear la información entrante de la tabla TDR

Propósito

Vea la información de la tabla TDR.

Acción

Seleccione Monitor>TDR>Incoming Table en la interfaz de usuario de J-Web o ingrese el siguiente comando CLI:

show security nat incoming-table

La tabla 1 resume los campos de salida clave en la pantalla de tabla entrante.

Tabla 1: Resumen de los campos clave de salida de la tabla entrante

Campo

Valores
Estadísticas

En uso

Número de entradas en la tabla TDR.

Máximo

Número máximo de entradas posibles en la tabla TDR.

Error en la asignación de entradas

Número de entradas con errores para la asignación.
Tabla entrante

Limpiar

Destino

Dirección IP de destino y número de puerto.

Anfitrión

Dirección IP de host y número de puerto al que está asignada la dirección IP de destino.

Referencias

Número de sesiones que hacen referencia a la entrada.

Tiempo de espera

Tiempo de espera, en segundos, de la entrada en la tabla TDR.

Conjunto de fuentes

Nombre del grupo de origen donde se asigna la traducción.

Información del puerto TDR de la interfaz de supervisión

Propósito

Vea el uso de puertos para la información de un grupo de orígenes de interfaz.

Acción

Para supervisar la información del puerto TDR de la interfaz, realice una de las siguientes acciones:

  • Seleccione Monitor>Firewall/TDR>Interface TDR o Monitor>TDR>Interface TDR Ports en la interfaz de usuario de J-Web o ingrese el comando show security nat interface-nat-portsCLI .

La tabla 2 resume los campos de salida clave en la pantalla TDR de interfaz.

Tabla 2: Resumen de campos de salida TDR de interfaz clave

Campo

Valores

Información adicional
Tabla de resumen de interfaz TDR

Índice de grupo

Índice de conjunto de puertos.

Total de puertos

Número total de puertos en un pool de puertos.

Puertos únicos asignados

Número de puertos asignados de uno en uno que están en uso.

Puertos únicos disponibles

Número de puertos asignados de uno en uno que son de uso gratuito.

Puertos gemelos asignados

Número de puertos asignados de dos en dos que están en uso.

Puertos gemelos disponibles

Número de puertos asignados de dos en dos que son de uso gratuito.