TDR de destino
La TDR de destino cambia la dirección de destino de los paquetes que pasan por el enrutador. También ofrece la opción de realizar la traducción de puertos en los encabezados TCP/UDP. TDR de destino se utiliza principalmente para redirigir paquetes entrantes con una dirección externa o un puerto de destino a una dirección IP interna o un puerto dentro de la red.
Descripción de la TDR de destino
La TDR de destino es la traducción de la dirección IP de destino de un paquete que ingresa al dispositivo de Juniper Networks. La TDR de destino se utiliza para redirigir el tráfico destinado a un host virtual (identificado por la dirección IP de destino original) al host real (identificado por la dirección IP de destino traducida).
Cuando se realiza el TDR de destino, la dirección IP de destino se traduce de acuerdo con las reglas TDR de destino configuradas y, a continuación, se aplican las políticas de seguridad.
El TDR de destino permite que las conexiones se inicien solo para conexiones de red entrantes, por ejemplo, desde Internet a una red privada. El TDR de destino se utiliza normalmente para realizar las siguientes acciones:
Traducir una única dirección IP a otra dirección (por ejemplo, para permitir que un dispositivo en Internet se conecte a un host en una red privada).
Traducir un bloque contiguo de direcciones a otro bloque de direcciones del mismo tamaño (por ejemplo, para permitir el acceso a un grupo de servidores).
Traducir una dirección IP y un puerto de destino a otra dirección IP y puerto de destino (por ejemplo, para permitir el acceso a varios servicios con la misma dirección IP pero con diferentes puertos).
Se admiten los siguientes tipos de TDR de destino:
Traducción de la dirección IP de destino original a una dirección IP de un conjunto definido por el usuario. Este tipo de traducción no incluye la traducción de direcciones de puerto (PAT). Si el intervalo de direcciones IP de destino original es mayor que el intervalo de direcciones del conjunto de direcciones definido por el usuario, se descartan los paquetes no traducidos.
Traducción de la dirección IP de destino original (y el número de puerto opcional) a una dirección IP específica (y número de puerto) de un conjunto definido por el usuario.
Descripción de los grupos de direcciones TDR de destino
Un conjunto de TDR es un conjunto definido por el usuario de direcciones IP que se utilizan para la traducción. A diferencia de la TDR estática, donde hay una asignación uno a uno que incluye la traducción de la dirección IP de destino en una dirección y la traducción de la dirección IP de origen en la dirección inversa, con la TDR de destino se traduce la dirección de destino original a una dirección IP en el conjunto de direcciones.
Para grupos de direcciones TDR de destino, especifique lo siguiente:
Nombre del conjunto de direcciones TDR de destino
Dirección de destino o rango de direcciones
No superponga direcciones TDR para TDR de origen, TDR de destino y TDR estático dentro de una instancia de enrutamiento.
Puerto de destino que se usa para el reenvío de puertos
Instancia de enrutamiento a la que pertenece el grupo: un grupo TDR de destino que no especifique una instancia de enrutamiento específica se establecerá de forma predeterminada en la instancia de enrutamiento de la zona de entrada.
Puede configurar un grupo de TDR para que exista en la instancia de enrutamiento predeterminada. La opción de configuración para especificar que existe un grupo de TDR en la instancia de enrutamiento predeterminada está disponible. Como resultado, se puede acceder al grupo de TDR desde zonas en la instancia de enrutamiento predeterminada y desde zonas en otras instancias de enrutamiento.
Descripción de las reglas de la TDR de destino
Las reglas de la TDR de destino especifican dos capas de condiciones de coincidencia:
Dirección del tráfico: le permite especificar
from interface,from zoneofrom routing-instance.Información del paquete: pueden ser direcciones IP de origen, dirección IP o subred de destino, números de puerto de destino o rangos de puertos, protocolos o aplicaciones.
Para el tráfico ALG, recomendamos que no utilice la destination-port opción o la application opción como condiciones coincidentes. Si se usan estas opciones, la traducción puede fallar porque el valor del puerto de la carga de la aplicación podría no coincidir con el valor del puerto de la dirección IP.
Si varias reglas TDR de destino se superponen en las condiciones de coincidencia, se elige la regla más específica. Por ejemplo, si las reglas A y B especifican las mismas direcciones IP de origen y destino, pero la regla A especifica el tráfico de la zona 1 y la regla B especifica el tráfico de la interfaz ge-0/0/0, la regla B se utiliza para realizar la TDR de destino. Se considera que una coincidencia de interfaz es más específica que una coincidencia de zona, que es más específica que una coincidencia de instancia de enrutamiento.
Las acciones que puede especificar para una regla TDR de destino son:
desactivado: no realice la TDR de destino.
pool: utilice el conjunto de direcciones definido por el usuario especificado para realizar la TDR de destino.
Las reglas TDR de destino se aplican al tráfico en el primer paquete que se procesa para el flujo o en la ruta rápida para el ALG. Las reglas TDR de destino se procesan después de las reglas TDR estáticas, pero antes que las reglas TDR de origen.
Descripción general de la configuración de TDR de destino
Las principales tareas de configuración para el TDR de destino son las siguientes:
- Configure un grupo de direcciones TDR de destino que se alinee con sus requisitos de red y seguridad.
- Configure reglas de TDR de destino que se alineen con sus requisitos de red y seguridad.
- Configure las entradas ARP del proxy TDR para las direcciones IP en la misma subred de la interfaz de entrada.
Ejemplo: Configuración de TDR de destino para la traducción de una sola dirección
En este ejemplo se describe cómo configurar una asignación TDR de destino de una única dirección pública a una dirección privada.
La asignación de una dirección IP de destino a otra también se puede lograr con TDR estático. La asignación de TDR estática permite establecer conexiones desde cualquier lado del dispositivo de puerta de enlace, mientras que la TDR de destino solo permite que las conexiones se establezcan desde un lado. Sin embargo, el TDR estático solo permite traducciones de una dirección a otra o entre bloques de direcciones del mismo tamaño.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Firewalls de la serie SRX
Servidor
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Descripción general
El destino TDR se usa comúnmente para distribuir un servicio ubicado en una red privada con una dirección IP de acceso público. Esto permite a los usuarios utilizar el servicio privado con la dirección IP pública. El conjunto de direcciones TDR de destino y las configuraciones de reglas TDR de destino se utilizan para alinear su red y mejorar los requisitos de seguridad.
En este ejemplo, primero se configura la zona de seguridad de confianza para el espacio de direcciones privadas y, a continuación, se configura la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 1, los dispositivos en la zona de no confianza acceden a un servidor en la zona de confianza a través de la dirección pública 203.0.113.200/32. Para los paquetes que ingresan al dispositivo de seguridad de Juniper Networks desde la zona de no confianza con la dirección IP de destino 203.0.113.200/32, la dirección IP de destino se traduce a la dirección privada 192.168.1.200/32.
Topología
de dirección única TDR de destino
En la tabla 1 se muestran los parámetros configurados en este ejemplo.
Parámetro |
Descripción |
|---|---|
Zona de confianza |
Zona de seguridad para el espacio de direcciones privadas. |
Zona de no confianza |
Zona de seguridad para el espacio de megafonía. |
192.168.1.200/32 |
Dirección IP TDR de destino traducida. |
192.168.1.0/24 |
Subred privada en zona privada. |
203.0.113.200/32 |
Dirección pública del servidor. |
Servidor |
Dirección del servidor del espacio de direcciones privadas. |
ge-0/0/0 y ge-1/0/0 |
Interfaces TDR para la dirección del tráfico. |
En este ejemplo, se describen las siguientes configuraciones:
Conjunto
dst-nat-pool-1TDR de destino que contiene la dirección IP 192.168.1.200/32.Conjunto
rs1de reglas TDR de destino con reglar1para hacer coincidir los paquetes recibidos de la interfaz ge-0/0/0.0 con la dirección IP de destino 203.0.113.200/32. En el caso de los paquetes coincidentes, la dirección de destino se traduce a la dirección deldst-nat-pool-1grupo.ARP de proxy para la dirección 203.0.113.200/32 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esa dirección.
Políticas de seguridad para permitir el tráfico desde la zona de no confianza a la dirección IP de destino traducida en la zona de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar una asignación de TDR de destino desde una dirección pública a una dirección privada:
Cree el grupo de TDR de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200/32
Cree un conjunto de reglas TDR de destino.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configure el ARP del proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Configure una dirección en la libreta de direcciones global.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
Configure una política de seguridad que permita el tráfico desde la zona de no confianza al servidor de la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any user@host# set policy server-access match destination-address server-1 user@host# set policy server-access match application any user@host# set policy server-access then permit
Resultados
Desde el modo de configuración, ingrese el comando , show security zonesy show bridge-domains para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
[edit]
user@host# show security address-book
global {
address server-1 192.168.1.200/32;
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Verificar el uso del grupo de TDR de destino
- Verificar el uso de reglas TDR de destino
- Verificar TDR de destino para una traducción de una sola dirección
- Verificar la aplicación de TDR al tráfico
Verificar el uso del grupo de TDR de destino
Propósito
Verifique que haya tráfico mediante direcciones IP del grupo TDR de destino.
Acción
Desde el modo operativo, introduzca el show security nat destination pool all comando. Vea el campo Hits de traducción para comprobar si hay tráfico utilizando direcciones IP del grupo.
user@host>show security nat destination pool all
Total destination-nat pools: 1
Pool name : dst-nat-pool-1
Pool id : 1
Total address : 1
Translation hits: 71
Address range Port
192.168.1.200 - 192.168.1.200 0
Significado
El show security nat destination pool all comando muestra el conjunto de direcciones traducidas. Vea el campo Hits de traducción para comprobar si hay tráfico utilizando direcciones IP del grupo.
Verificar el uso de reglas TDR de destino
Propósito
Compruebe que hay tráfico que coincide con la regla TDR de destino.
Acción
Desde el modo operativo, introduzca el show security nat destination rule all comando.
user@host>show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 1/0
Destination NAT rule: r1 Rule-set: rs1
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/0.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : dst-nat-pool-1
Translation hits : 75
Successful sessions : 75
Failed sessions : 0
Number of sessions : 4
Significado
El show security nat destination rule all comando muestra la regla TDR de destino. Vea el campo Hits de traducción para comprobar si hay tráfico que coincida con la regla de destino.
Verificar TDR de destino para una traducción de una sola dirección
Propósito
Verifique la configuración del TDR de destino para una traducción de una sola dirección.
Acción
Desde el modo operativo, introduzca el show security nat destination summary comando.
user@host>show security nat destination summary
Total pools: 1
Pool name Address Range Routing Port Total
Instance Address
dst-nat-pool-1 192.168.1.200 - 192.168.1.200 0 1
Total rules: 1
Rule name Rule set From Action
r1 rs1 ge-0/0/0.0 dst-nat-pool-1
Significado
El show security nat destination summary comando muestra información sobre la configuración de TDR de destino. Puede verificar la siguiente información:
Conjuntos de reglas
Reglas
Rango de direcciones
Conjunto TDR
Detalles del puerto
Verificar la aplicación de TDR al tráfico
Propósito
Compruebe que se está aplicando TDR al tráfico especificado.
Acción
Desde el modo operativo, introduzca el show security flow session comando.
user@host>show security flow session Session ID: 26415, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/30 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/30;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26420, Policy name: server-access/11, Timeout: 2, Valid In: 203.0.113.219/31 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/31;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26425, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/32 --> 203.0.113.200/54850;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/32;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Session ID: 26431, Policy name: server-access/11, Timeout: 4, Valid In: 203.0.113.219/33 --> 203.0.113.200/54850 ;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 84 Out: 192.168.1.200/54850 --> 203.0.113.219/33;icmp, If: ge-0/0/1.0, Pkts: 1, Bytes: 84 Total sessions: 9
Significado
El show security flow session comando muestra las sesiones activas en el dispositivo y la política de seguridad asociada de cada sesión. El resultado muestra el tráfico que entra en el dispositivo con destino a un host público en 203.0.113.200 que se traduce a la dirección IP de destino privada 192.168.1.200.
Session ID: número que identifica la sesión. Utilice este ID para obtener más información acerca de la sesión, como el nombre de la política o el número de paquetes que entran y salen.
server-access: nombre de política que permitió el tráfico desde la zona de no confianza a la dirección IP de destino traducida en la zona de confianza.
In: flujo entrante (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP y la interfaz de origen de esta sesión es ge-0/0/0.0).
Out—Flujo inverso (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP y la interfaz de destino para esta sesión es ge-0/0/1.0).
Ejemplo: Configuración de TDR de destino para la traducción de direcciones IP y puertos
En este ejemplo se describe cómo configurar las asignaciones de TDR de destino de una dirección pública a direcciones privadas, según el número de puerto.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Descripción general
En este ejemplo se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 2, los dispositivos en la zona de no confianza acceden a los servidores de la zona de confianza mediante la dirección pública 203.0.113.200 en el puerto 80 u 8000. Los paquetes que entran en el dispositivo de seguridad de Juniper Networks desde la zona de no confianza se asignan a las direcciones privadas de los servidores de la siguiente manera:
La dirección IP de destino 203.0.113.200 y el puerto 80 se traducen a la dirección privada 192.168.1.200 y al puerto 80.
La dirección IP de destino 203.0.113.200 y el puerto 8000 se traducen a la dirección privada 192.168.1.220 y al puerto 8000.
de direcciones TDR y puertos de destino
En este ejemplo, se describen las siguientes configuraciones:
Conjunto
dst-nat-pool-1TDR de destino que contiene la dirección IP 192.168.1.200, puerto 80.Conjunto
dst-nat-pool-2de TDR de destino que contiene la dirección IP 192.168.1.220 y el puerto 8000.Conjunto de reglas
rs1TDR de destino con reglasr1para hacer coincidir los paquetes recibidos de la zona de no confianza con la dirección IP de destino 203.0.113.200 y el puerto de destino 80. En el caso de los paquetes coincidentes, la dirección de destino se traduce a la dirección deldst-nat-pool-1grupo.Conjunto de reglas
rs1de TDR de destino con reglasr2para hacer coincidir los paquetes recibidos de la zona de no confianza con la dirección IP de destino 203.0.113.200 y el puerto de destino 8000. Para los paquetes coincidentes, la dirección IP y el puerto de destino se traducen a la dirección y el puerto deldst-nat-pool-2grupo.ARP de proxy para la dirección 203.0.113.200/32. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esa dirección.
Políticas de seguridad para permitir el tráfico desde la zona de no confianza a las direcciones IP de destino traducidas en la zona de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security nat destination pool dst-nat-pool-1 address 192.168.1.200/32 set security nat destination pool dst-nat-pool-1 address port 80 set security nat destination pool dst-nat-pool-2 address 192.168.1.220/32 set security nat destination pool dst-nat-pool-2 address port 8000 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r1 match destination-port 80 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat destination rule-set rs1 rule r2 match destination-address 203.0.113.200/32 set security nat destination rule-set rs1 rule r2 match destination-port 8000 set security nat destination rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-2 192.168.1.220/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match destination-address server-2 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar una asignación de TDR de destino desde una dirección pública a una dirección privada:
Cree grupos TDR de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.200 port 80 user@host# set pool dst-nat-pool-2 address 192.168.1.220 port 8000
Cree un conjunto de reglas TDR de destino.
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r1 match destination-port 80 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo.
[edit security nat destination] user@host# set rule-set rs1 rule r2 match destination-address 203.0.113.200 user@host# set rule-set rs1 rule r2 match destination-port 8000 user@host# set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
Configure el ARP del proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32
Configure direcciones en la libreta de direcciones global.
[edit security address-book global] user@host# set address server-2 192.168.1.220/32 user@host# set address server-1 192.168.1.200/32
Configure una política de seguridad que permita el tráfico desde la zona de no confianza a los servidores de la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address [server-1 server-2] application any user@host# set policy server-access then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.200/32 port 80;
}
pool dst-nat-pool-2 {
address 192.168.1.220/32 port 8000;
}
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
destination-port 80;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
rule r2 {
match {
destination-address 203.0.113.200/32;
destination-port 8000;
}
then {
destination-nat pool dst-nat-pool-2;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address [ server-1 server-2 ];
application any;
}
then {
permit;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificar el uso del grupo de TDR de destino
- Verificar el uso de reglas TDR de destino
- Verificar la aplicación de TDR al tráfico
Verificar el uso del grupo de TDR de destino
Propósito
Verifique que haya tráfico mediante direcciones IP del grupo TDR de destino.
Acción
Desde el modo operativo, introduzca el show security nat destination pool all comando. Vea el campo Hits de traducción para comprobar si hay tráfico utilizando direcciones IP del grupo.
Verificar el uso de reglas TDR de destino
Propósito
Compruebe que hay tráfico que coincide con la regla TDR de destino.
Acción
Desde el modo operativo, introduzca el show security nat destination rule all comando. Vea el campo Resultados de traducción para comprobar si hay tráfico que coincida con la regla.
Ejemplo: Configuración de TDR de destino para la traducción de subred
En este ejemplo se describe cómo configurar una asignación TDR de destino de una dirección de subred pública a una dirección de subred privada.
La asignación de direcciones de una subred a otra también se puede lograr con TDR estático. La asignación de TDR estática permite establecer conexiones desde cualquier lado del dispositivo de puerta de enlace, mientras que la TDR de destino permite establecer conexiones desde un solo lado. Sin embargo, la TDR estática solo permite traducciones entre bloques de direcciones del mismo tamaño.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Descripción general
En este ejemplo se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 3, los dispositivos en la zona de no confianza acceden a los dispositivos en la zona de confianza a través de la dirección de subred pública 203.0.113.0/24. Para los paquetes que ingresan al dispositivo de seguridad de Juniper Networks desde la zona de no confianza con una dirección IP de destino en la subred 203.0.113.0/24, la dirección IP de destino se traduce a una dirección privada en la subred 192.168.1.0/24.
de subred TDR de destino
En este ejemplo, se describen las siguientes configuraciones:
Conjunto
dst-nat-pool-1TDR de destino que contiene la dirección IP 192.168.1.0/24.Conjunto de reglas
rs1TDR de destino con reglasr1para hacer coincidir los paquetes recibidos de la interfaz ge-0/0/0.0 con la dirección IP de destino en la subred 203.0.113.0/24. En el caso de los paquetes coincidentes, la dirección de destino se traduce a la dirección deldst-nat-pool-1grupo.ARP de proxy para las direcciones 203.0.113.1/32 a 203.0.113.62/32 en la interfaz ge-0/0/0.0; estas son las direcciones IP de los hosts que deben traducirse desde la subred 203.0.113.0/24. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esas direcciones. La dirección 203.0.113.0/24 está asignada a la propia interfaz, por lo que esta dirección no se incluye en la configuración del ARP del proxy. No se espera que las direcciones que no están en el rango de 203.0.113.1/32 a 203.0.113.62/32 estén presentes en la red y no se traducirán.
Políticas de seguridad para permitir el tráfico desde la zona de no confianza a las direcciones IP de destino traducidas en la zona de confianza.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security nat destination pool dst-nat-pool-1 address 192.168.1.0/24 set security nat destination rule-set rs1 from interface ge-0/0/0.0 set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32 set security address-book global address internal-net 192.168.1.0/24 set security policies from-zone untrust to-zone trust policy internal-access match source-address any set security policies from-zone untrust to-zone trust policy internal-access match destination-address internal-net set security policies from-zone untrust to-zone trust policy internal-access match application any set security policies from-zone untrust to-zone trust policy internal-access then permit
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar una asignación TDR de destino desde una dirección de subred pública a una dirección de subred privada:
Cree el grupo de TDR de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 192.168.1.0/24
Cree un conjunto de reglas TDR de destino.
[edit security nat destination] user@host# set rule-set rs1 from interface ge-0/0/0.0
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a una dirección del grupo.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configure el ARP del proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.62/32
Configure una dirección en la libreta de direcciones global.
[edit security address-book global] user@host# set address internal-net 192.168.1.0/24
Configure una política de seguridad que permita el tráfico desde la zona de no confianza a los dispositivos de la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy internal-access match source-address any destination-address internal-net application any user@host# set policy internal-access then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show security nat
destination {
pool dst-nat-pool-1 {
address 192.168.1.0/24;
}
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
destination-nat pool dst-nat-pool-1;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.62/32;
}
}
}
user@host# show security policies
from-zone untrust to-zone trust {
policy internal-access {
match {
source-address any;
destination-address internal-net;
application any;
}
then {
permit;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificar el uso del grupo de TDR de destino
- Verificar el uso de reglas TDR de destino
- Verificar la aplicación de TDR al tráfico
Verificar el uso del grupo de TDR de destino
Propósito
Verifique que haya tráfico mediante direcciones IP del grupo TDR de destino.
Acción
Desde el modo operativo, introduzca el show security nat destination pool all comando. Vea el campo Hits de traducción para comprobar si hay tráfico utilizando direcciones IP del grupo.
Verificar el uso de reglas TDR de destino
Propósito
Compruebe que hay tráfico que coincide con la regla TDR de destino.
Acción
Desde el modo operativo, introduzca el show security nat destination rule all comando. Vea el campo Resultados de traducción para comprobar si hay tráfico que coincida con la regla.
Monitoreo de la información de TDR de destino
Propósito
Vea la tabla de resumen de la traducción de direcciones de red de destino (TDR) y los detalles de la información del conjunto de direcciones de destino de TDR especificado.
Acción
Seleccione Monitor>TDR> Destino TDR en la interfaz de usuario de J-Web o ingrese los siguientes comandos CLI:
show security nat destination summaryshow security nat destination pool pool-name
La tabla 2 resume los campos de salida clave en la pantalla TDR de destino.
Campo |
Valores |
Acción |
|---|---|---|
| Reglas | ||
Nombre del conjunto de reglas |
Nombre del conjunto de reglas. |
Seleccione todos los conjuntos de reglas o un conjunto de reglas específico para mostrar en la lista. |
Total de reglas |
Número de reglas configuradas. |
– |
IDENTIFICACIÓN |
Número de ID de regla. |
– |
Nombre |
Nombre de la regla . |
– |
Nombre del conjunto de reglas |
Nombre del conjunto de reglas. |
– |
De |
Nombre de la instancia o zona o interfaz de enrutamiento desde la que fluye el paquete. |
– |
Rango de direcciones de origen |
Intervalo de direcciones IP de origen en el conjunto de origen. |
– |
Rango de direcciones de destino |
Intervalo de direcciones IP de destino en el conjunto de origen. |
– |
Puerto de destino |
Puerto de destino en el grupo de destino. |
– |
Protocolo IP |
Protocolo IP. |
– |
Acción |
Acción realizada para un paquete que coincide con una regla. |
– |
Umbral de alarma |
Umbral de alarma de utilización. |
– |
Sesiones (correctas/fallidas/actuales) |
Sesiones exitosas, fallidas y actuales.
|
– |
Resultados de la traducción |
Número de veces que se utiliza una traducción de la tabla de traducción para una regla TDR de destino. |
– |
| Piscinas | ||
Nombre del grupo |
Los nombres de las piscinas. |
Seleccione todos los grupos o un grupo específico para mostrar de la lista. |
Total de fondos |
Total de grupos agregados. |
– |
IDENTIFICACIÓN |
ID del grupo. |
– |
Nombre |
Nombre del grupo de destino. |
– |
Rango de direcciones |
Intervalo de direcciones IP en el grupo de destino. |
– |
Puerto |
Número de puerto de destino en el grupo. |
– |
Instancia de enrutamiento |
Nombre de la instancia de enrutamiento. |
– |
Total de direcciones |
Dirección IP total, conjunto de direcciones IP o entrada en la libreta de direcciones. |
– |
Resultados de la traducción |
Número de veces que se utiliza una traducción de la tabla de traducción para la TDR de destino. |
– |
| Los 10 principales resultados de la traducción | ||
Gráfico |
Muestra el gráfico de los 10 principales resultados de traducción. |
– |