Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de TDR

La traducción de direcciones de red (TDR) es un mecanismo para traducir la dirección IP de una computadora o grupo de computadoras a una única dirección pública cuando los paquetes se envían a Internet. Al traducir la dirección IP, solo se publica una dirección IP en la red externa. Dado que solo una dirección IP es visible para el mundo exterior, TDR proporciona seguridad adicional y solo puede tener una dirección pública para toda la red en lugar de tener múltiples direcciones IP.

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas. Es posible que se admitan plataformas adicionales .

Introducción a TDR

La traducción de direcciones de red (TDR) es un método para modificar o traducir la información de direcciones de red en encabezados de paquetes. Se pueden traducir una o ambas direcciones de origen y destino en un paquete. TDR puede incluir la traducción de números de puerto, así como direcciones IP.

TDR se describe en RFC 1631 para resolver problemas de agotamiento de direcciones IP (versión 4). Desde entonces, se ha descubierto que TDR es una herramienta útil para firewalls, redireccionamiento de tráfico, uso compartido de carga, migraciones de red, etc.

Los dispositivos de Juniper Networks admiten los siguientes tipos de TDR:

  • TDR estático

  • TDR de destino

  • Fuente TDR

Los firewalls de la serie SRX realizan búsquedas de políticas y de servicio según el puerto de destino traducido.

Puede utilizar el asistente de TDR para realizar la configuración básica de TDR. Para realizar una configuración más avanzada, utilice la interfaz J-web o la CLI.

Ver también

Descripción de los conjuntos de reglas y conjuntos de reglas de TDR

El procesamiento de TDR se centra en la evaluación de conjuntos de reglas y conjuntos de reglas de TDR. Un conjunto de reglas determina la dirección general del tráfico que se va a procesar. Por ejemplo, un conjunto de reglas puede seleccionar tráfico desde una interfaz determinada o a una zona específica. Un conjunto de reglas puede contener varias reglas. Una vez que se encuentra un conjunto de reglas que coincide con tráfico específico, cada regla del conjunto de reglas se evalúa para una coincidencia. Cada regla del conjunto de reglas especifica además el tráfico que se debe hacer coincidir y la acción que se debe realizar cuando el tráfico coincida con la regla.

En este tema, se incluyen las siguientes secciones:

Conjuntos de reglas de TDR

Un conjunto de reglas especifica un conjunto general de condiciones coincidentes para el tráfico. Para la TDR estática y la TDR de destino, un conjunto de reglas especifica una de las siguientes opciones:

  • Interfaz de origen

  • Zona de origen

  • Instancia de enrutamiento de origen

Para los conjuntos de reglas TDR de origen, se configuran condiciones de origen y destino:

  • Interfaz de origen, zona o instancia de enrutamiento

  • Interfaz de destino, zona o instancia de enrutamiento

Es posible que un paquete coincida con más de un conjunto de reglas; En este caso, se utiliza el conjunto de reglas con la coincidencia más específica. Una coincidencia de interfaz se considera más específica que una coincidencia de zona, que es más específica que una coincidencia de instancia de enrutamiento. Si un paquete coincide con un conjunto de reglas TDR de destino que especifica una zona de origen y un conjunto de reglas TDR de destino que especifica una interfaz de origen, el conjunto de reglas que especifica la interfaz de origen es la coincidencia más específica.

La coincidencia de conjuntos de reglas TDR de origen es más compleja porque se especifican condiciones de origen y destino en un conjunto de reglas TDR de origen. En el caso de que un paquete coincida con más de un conjunto de reglas TDR de origen, el conjunto de reglas elegido se basa en las siguientes condiciones de origen/destino (en orden de prioridad):

  1. Interfaz de origen/interfaz de destino

  2. Interfaz de zona de origen/destino

  3. Interfaz de instancia/destino de enrutamiento de origen

  4. Interfaz de origen/zona de destino

  5. Zona de origen/zona de destino

  6. Instancia de enrutamiento de origen/zona de destino

  7. Interfaz de origen/instancia de enrutamiento de destino

  8. Instancia de enrutamiento de zona o destino de origen

  9. Instancia de enrutamiento de origen/instancia de enrutamiento de destino

Por ejemplo, puede configurar el conjunto de reglas A, que especifica una interfaz de origen y una zona de destino, y el conjunto de reglas B, que especifica una zona de origen y una interfaz de destino. Si un paquete coincide con ambos conjuntos de reglas, el conjunto de reglas B es la coincidencia más específica.

No puede especificar las mismas condiciones de origen y destino para los conjuntos de reglas TDR de origen.

Reglas de TDR

Una vez que se encuentra un conjunto de reglas que coincide con el tráfico, cada regla del conjunto de reglas se evalúa para obtener una coincidencia. Las reglas de TDR pueden coincidir en la siguiente información de paquete:

  • Dirección de origen y destino

  • Puerto de origen (solo para TDR estático y de origen)

  • Puerto de destino

Se utiliza la primera regla del conjunto de reglas que coincida con el tráfico. Si un paquete coincide con una regla de un conjunto de reglas durante el establecimiento de la sesión, el tráfico se procesa de acuerdo con la acción especificada por esa regla.

Puede utilizar los comandos show security nat source rule y show security nat destination rule y show security nat static rule para ver el número de sesiones de una regla específica.

Procesamiento de reglas

El tipo TDR determina el orden en que se procesan las reglas TDR. Durante el primer procesamiento de paquetes de un flujo, las reglas de TDR se aplican en el orden siguiente:

  1. Reglas estáticas de TDR

  2. Reglas de TDR de destino

  3. Búsqueda de ruta

  4. Búsqueda de políticas de seguridad

  5. Mapeo inverso de reglas TDR estáticas

  6. Reglas de TDR de origen

La figura 1 ilustra el orden para el procesamiento de reglas de TDR.

Figura 1: Procesamiento Flowchart showing packet processing in a network device focusing on NAT and policy checks: Static NAT, Destination NAT, Route/Zone Lookup, Reverse Static NAT, Policy Lookup, Source NAT, Permit Packet. de reglas TDR

Las reglas TDR estáticas y TDR de destino se procesan antes de la búsqueda de la política de ruta y seguridad. Las reglas TDR estáticas tienen prioridad sobre las reglas TDR de destino. La asignación inversa de reglas TDR estáticas tiene lugar después de la búsqueda de rutas y políticas de seguridad, y tiene prioridad sobre las reglas TDR de origen. Las reglas TDR de origen se procesan después de la búsqueda de rutas y políticas de seguridad y después de la asignación inversa de reglas TDR estáticas.

La configuración de reglas y conjuntos de reglas es básicamente la misma para cada tipo de TDR: origen, destino o estático. Sin embargo, dado que tanto el TDR de destino como el estático se procesan antes de la búsqueda de ruta, no se puede especificar la zona de destino, la interfaz o la instancia de enrutamiento en el conjunto de reglas.

Capacidad de la regla TDR

El requisito de capacidad de la regla TDR depende del firewall de la serie SRX y de la versión de Junos OS.

La restricción en la cantidad de reglas por conjunto de reglas es una limitación en todo el dispositivo sobre la cantidad de reglas que un dispositivo puede admitir. Esta restricción se proporciona para ayudarle a planear y configurar mejor las reglas de TDR para el dispositivo.

Para el consumo de memoria, no hay garantía de que se admitan estos números (regla o conjunto de reglas de origen máximo + regla o conjunto de reglas de destino máximo + regla o conjunto de reglas estático máximo).

El requisito de capacidad de la regla TDR depende del firewall de la serie SRX y de la versión de Junos OS.

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas. Es posible que se admitan plataformas adicionales.

Consulte la sección Información adicional de la plataforma para obtener más información.

Información adicional de la plataforma

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas. Es posible que se admitan plataformas adicionales.

Tipo de regla TDR

SRX300, SRX320

SRX340, SRX345

SRX1500 SRX1600

SRX2300, SRX4120SRX4100SRX4200

SRX4600, SRX5400,SRX5600, SRX5800,

SRX4700

Regla TDR de origen

1024

2048

8192

20,480

30,720

51200

Regla TDR de destino

1024

2048

8192

20,480

30,720

51200

Regla estática de TDR

1024

2048

8192

20,480

30,720

51200

Objetos

SRX1600 SRX2300, SRX4120

SRX4600, SRX5400,SRX5600, SRX5800,

SRX4700

Total de conjuntos de reglas de TDR por sistema

10,000

30,720

51200

Total de reglas de TDR por conjunto de reglas

10,000

30,720

51200
Plataforma Número de direcciones IP compatibles con OL
vSRX pequeño VSRX-2CPU-4G 1
SRX1600 2
SRX2300, SRX4120 16
SRX4300 16
vSRX XL VSRX-17CPU-32G 64
SRX4700 128
Línea SRX5000 de dispositivos 128

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
19.3R1
A partir de la versión 19.3R1 de Junos OS, los dispositivos de la línea SRX5000 con tarjeta SRX5K-SPC3, instancias de SRX4100, SRX4200 y firewall virtual vSRX admiten características de TDR, como TDR de origen, TDR de destino y TDR estático para el tráfico IPv4 e IPv6 en el modo PowerMode IPsec (PMI). NAT64 no se admite en el modo PMI. Sin embargo, NAT64 funciona correctamente en modo normal, cuando PMI está habilitado.