Juniper-地址翻译

地址翻译2目标•了解基于策略的NAT–单向–双向•配置地址翻译–NAT-src–NAT-dst–MappedIP(MIP)–VirtualIP(VIP)•验证地址翻译的使用情况3Interface-basedNAT-Review•如果防火墙的内网卡是在NAT模式：–在默认情况下，网络地址和端口翻译(NAPT)被起用。–原地址被翻译成为防火墙的外网卡地址。–防火墙内网卡默认情况下被设置为ＮＡＴ模式。•如果内网卡是路由模式–在默认情况下没有地址翻译。–ＮＡＴ可以通过策略来实现。–除了内网卡之外其他的防火墙网卡在默认情况下都被设置为路由模式。4基于策略的NAT•NAT的仅仅在策略中发生，可以是从任意的zone到任意的zone之间实现。•单向地址翻译–NAT-src–NAT-dst–VIP•双向地址翻译–MIP5基于策略的NATe8:1.1.8.1NAT-src10.1.1.5200.100.8.51.1.8.1200.100.8.5SADASADA10.1.20.5:21200.100.8.51.1.8.100:21200.100.8.5NAT-dstSADASADAMIP10.1.1.5200.100.8.51.1.8.2200.100.8.5200.100.8.510.1.1.5200.100.8.51.1.8.2SADASADAVIP10.1.20.5:21200.100.8.5200.100.8.51.1.8.100:2110.1.30.5:80200.100.8.5SADASADA200.100.8.51.1.8.100:806NAT的选择?•NAT-src——当以下的情况出现的时候：–Sessionswillonlybeinitiatedfromprivatetopublic•NAT-dst——当以下的情况出现的时候：–制定的服务被internet访问–服务不需要向internet发出初始化连接–对外发布的域不是Untrust(类似VIP)•MIP——当以下的情况出现的时候：–需要一对一的地址映射•VIP——当以下的情况出现的时候：–一个公网地址但是需要多个内网的地址进行服务的映射–Untrust是面对公网的zone7NAT-src选项•NAT-srcwithoutDIP–翻译成防火墙外网卡地址–需要端口翻译•DIPpoolwithporttranslation–从地址池中自动选择一个地址向外发包–从外网卡端口的1024—65535中随机选择，并且与发起的端口保持一致•DIPpoolwithoutporttranslation–从外网卡端口的1024—65535中随机选择•DIPaddressshifting–从内向外一对一的地址映射8e1e2e3e7e8••••••••DynamicIP(DIP)•为源地址翻译制定的地址池•在外接口中定义•DIP池必须满足以下的条件之一–TheinterfaceprimaryIPaddress–TheinterfacesecondaryIPaddress–TheinterfaceextendedIPaddress•可以在多个策略中使用10.0.0.510.1.1.5ABE8primary:1.1.8.1E8secondary:1.1.10.1E8extended:1.1.11.1DIP4:1.1.8.10-1.1.8.20DIP10:1.1.10.2-1.1.10.254DIP42:1.1.11.1-1.1.11.2549e1e2e3e7e8••••••••NAT-srcExamples10.0.0.510.1.1.5ABCDE200.100.8.5E8:1.1.8.1NAT-src10.1.1.5:1099200.100.8.51.1.8.1:1024200.100.8.5DIPw/porttranslation10.1.1.5:6550200.100.8.51.1.8.10:1024200.100.8.510.0.0.5:4251200.100.8.51.1.8.10:1025200.100.8.5DIPw/fixed-port10.1.1.5:6550200.100.8.51.1.8.10:6550200.100.8.5IPshift10.1.1.5200.100.8.51.1.8.10200.100.8.510.1.1.6200.100.8.51.1.8.11200.100.8.510.1.20.5FTPServer10.1.30.5WebServerPrivateExternal10NAT-src配置过程1.建立DIP1aPorttranslationon1bPorttranslationoff1cAddressshifting2.建立策略e1e2e3e7e8••••••••10.0.0.510.1.1.5ABE200.100.8.5E8:1.1.8.1PrivateExternalDIP11Step1:CreateDIP–WebUINetworkInterfaceEditDIP(clickonnew)PrivatestartPublicstartPublicend12Step1:CreateDIP-CLIsetinterfacenamedip4-255start_address[end_address]ns208setinterfacee8dip51.1.10.21.1.10.254Forextendedaddressrange:setinterfacenameextipaddress/maskdip4-255startaddress[endaddress]ns208setinterfacee8extip1.1.11.1/24dip421.1.11.21.1.11.254Noporttranslationsetinterfacenamedip4-255start_address[end_address]fix-portns208setinterfacee8dip51.1.10.21.1.10.254fix-portAddressshiftingsetinterfacenamedip4-255shift-frompriv-addrstart_address[end_address]ns208setinterfacee8dip5shift-from10.1.1.51.1.10.21.1.10.4013Step2:CreatePolicysetpolicyfromzonetozoneSADAservicenatsrc[dipidnum]permitWithoutDIP:ns208setpolicyfromPrivatetoExternalanyanyanynatsrcpermitWithDIP:ns208setpolicyfromPrivatetoExternalanyanyanynatsrcdip5permitPoliciesEdit(Advanced)14检查DIP配置ns208-getdipDipIdDipLowDipHighInterfaceAttribute41.1.10.51.1.10.10ethernet8port-xlatePort-xlateddipsticknessoffNetworkInterfaceDIP15VerifyingNAT-src-WebUIPoliciesReportsPoliciesTrafficLog16VerifyingNAT-src-CLIns208-getpolicyid1id1,namenone,fromzonePrivatetozoneExternalactionPermit,statusenabledsrcAny,dstAny,servANYPoliciesonthisvpntunnel:0natsrcdip-id4,serv_timeout0(minute)vpnunknownvpn,policyflag00,sessionbackup:ontrafficshappingOFF,urlfilteringOFF,schedulern/a,servflag00logno,logcount0,alertno,counterno(0)rate(min/sec)0/0totaloctets2220,counter(session/packet/octet)0/0/0priority7,diffservmarkingOfftadapter:stateOFF,gbw/mbw0/-1NoAuthenticationNoUser,UserGrouporGroupexpressionsetns208-getsessionalloc2/max128000,allocfailed0id142/s**,vsys0,flag00000010/00/00,policy1,time10(01):10.1.10.5/50944-200.5.5.5/512,1,0010db12cea1,vlan0,tun0,vsd010(20):1.1.8.10/1024-200.5.5.5/512,1,0010db21c041,vlan0,tun0,vsd0id143/s**,vsys0,flag00000010/00/00,policy1,time1•What“flavor”ofDIPdoesthispolicyuse?17NAT-dst•一对一的映射•一对多映射–类似VIP•多对多映射–地址轮训•端口翻译18NAT-dstExamplese1e2e3e7e8••••••••10.0.0.510.1.1.5ABCDE200.100.8.510.1.30.5:8080200.100.8.51.1.8.100:80200.100.8.5Porttranslation10.1.20.5:21200.100.8.51.1.8.100:21200.100.8.5One-to-oneOne-to-many1.1.8.100:21200.100.8.51.1.8.100:80101.202.3.910.1.20.5:21200.100.8.510.1.30.5:80101.202.3.910.1.20.5FTPServer10.1.30.5WebServerPrivateExternalIPshift10.1.1.5200.100.8.51.1.8.10200.100.8.510.1.1.6200.100.8.51.1.8.11200.100.8.519e1e2e3e7e8••••••••PrivateExternalNAT-dstRequirements10.0.0.510.1.1.5ABCDE200.100.8.510.1.20.5FTPServer10.1.30.5WebServerPublicaddress:1.1.10.1/32ActualNetworkLogicalNetworkPrivateExternal10.0.0.0/2410.1.1.0/2410.1.20.0/2410.1.30.0/241.1.10.1/32•Pre-translationaddressmustbeassociatedwithdestinationzone–Addressbookentry–Routeentry20NAT-dst配置步骤1.为公网IP配置地址池2.配置路由2a.SecondaryinterfaceaddressOR2b.Staticroute3.配置策略3a.Singlepost-translationaddress(xxxtoone)3b.Multiplepost-translationaddresses(xxxtomany)3c.Portmappinge1e2e3e7e8••••••••10.0.0.510.1.1.5ABC