Juniper-地址翻译
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8
• 可以在多个策略中使用
NATNAT-src Examples
A 10.0.0.5 B 10.1.1.5 NAT-src
DIP w/ port translation DIP w/ fixed-port IP shift
e1 e2
Private External
E8: 1.1.8.1 e7 e8
No port translation set interface <name> dip <4-255> <start_address> [<end_address>] fixport ns208> set interface e8 dip 5 1.1.10.2 1.1.10.254 fix-port
One-to-one
e1 e2 e3
••••••••
e7
e8
C 10.1.20.5
FTP Server 200.100.8.5
D 10.1.30.5
Web Server 10.1.20.5:21 200.100.8.5
A 10.0.0.5 B 10.1.1.5 DIP
e1 e2 e3
••••••••
E 200.100.8.5
10
Step 1: Create DIP – WebUI
Private start Public start Public end
Network > Interface > Edit > DIP (click on new)
12
Step 2: Create Policy
Policies > Edit (Advanced)
set policy from <zone> to <zone> <SA> <DA> <service> nat src [dip id <num>] permit Without DIP: ns208> set policy from Private to External any any any nat src permit With DIP: ns208> set policy from Private to External any any any nat src dip 5 permit
• What “flavor” of DIP does this policy use?
16
NATNAT-dst
• 一对一的映射 • 一对多映射
– 类似VIP
• 多对多映射
– 地址轮训
• 端口翻译
17
NATNAT-dst Examples
Private External
A 10.0.0.5 B 10.1.1.5
200.100.8.5 200.100.8.5
9
NATNAT-src 配置过程
1. 建立 DIP
1a Port translation on 1b Port translation off 1c Address shifting
2. 建立策略
Private External
E8: 1.1.8.1 e7 e8
Address shifting set interface <name> dip <4-255> shift-from <priv-addr> <start_address> [<end_address>] ns208> set interface e8 dip 5 shift-from 10.1.1.5 1.1.10.2 1.1.10.40
• 为源地址翻译制定的地址池 • 在外接口中定义 • DIP池必须满足以下的条件之一 池必须满足以下的条件之一
– The interface primary IP address – The interface secondary IP address – The interface extended IP address
3
基于策略的 NAT
• NAT 的仅仅在策略中发生,可以是从任意的 的仅仅在策略中发生,可以是从任意的zone 到任意的 zone 之间实现。 之间实现。 • 单向地址翻译
– NAT-src – NAT-dst – VIP
• 双向地址翻译
– MIP
4
基于策略的 NAT
e8: 1.1.8.1
NAT-src
VIP
200.100.8.5
5
NAT的选择 NAT的选择? 的选择?
• NAT-src——当以下的情况出现的时候: 当以下的情况出现的时候: 当以下的情况出现的时候
– Sessions will only be initiated from private to public
• NAT-dst ——当以下的情况出现的时候: 当以下的情况出现的时候: 当以下的情况出现的时候
e7
e8
E8 primary: 1.1.8.1 E8 secondary: 1.1.10.1 E8 extended: 1.1.11.1
DIP 4: 1.1.8.10-1.1.8.20 1.1.8.10DIP 10: 1.1.10.2-1.1.10.254 1.1.10.2DIP 42: 1.1.11.1-1.1.11.254 1.1.11.1-
地址翻译
目标
• 了解基于策略的 了解基于策略的NAT
– 单向 – 双向
• 配置地址翻译
– – – – NAT-src NAT-dst Mapped IP (MIP) Virtual IP (VIP)
• 验证地址翻译的使用情况
2
InterfaceInterface-based NAT - Review
11
Step 1: Create DIP - CLI
set interface <name> dip <4-255> <start_address> [<end_address>] ns208> set interface e8 dip 5 1.1.10.2 1.1.10.254
Fra Baidu bibliotek
For extended address range: set interface <name> ext ip <address>/<mask> dip <4-255> <start address> [<end address>] ns208> set interface e8 ext ip 1.1.11.1/24 dip 42 1.1.11.2 1.1.11.254
SA 10.1.1.5 SA
DA 200.100.8.5 DA 10.1.20.5:21 DA 200.100.8.5 10.1.1.5
SA DA 1.1.8.1 200.100.8.5 SA 200.100.8.5 SA DA 1.1.8.100:21 DA
NAT-dst
200.100.8.5 SA 10.1.1.5
Attribute port-xlate
14
Verifying NAT-src - WebUI NAT-
Policies
Reports > Policies > Traffic Log
15
Verifying NAT-src - CLI NATns208-> get policy id 1 id 1, name none, from zone Private to zone External action Permit, status "enabled" src "Any", dst "Any", serv "ANY" Policies on this vpn tunnel: 0 nat src dip-id 4, serv_timeout 0 (minute) vpn unknown vpn, policy flag 00, session backup: on traffic shapping OFF, url filtering OFF, scheduler n/a, serv flag 00 log no, log count 0, alert no, counter no(0) rate(min/sec) 0/0 total octets 2220, counter(session/packet/octet) 0/0/0 priority 7, diffserv marking Off tadapter: state OFF, gbw/mbw 0/-1 No Authentication No User, User Group or Group expression set ns208-> get session alloc 2/max 128000, alloc failed 0 id 142/s**,vsys 0,flag 00000010/00/00,policy 1,time 1 0(01):10.1.10.5/50944->200.5.5.5/512,1,0010db12cea1,vlan 0,tun 0,vsd 0 10(20):1.1.8.10/1024<-200.5.5.5/512,1,0010db21c041,vlan 0,tun 0,vsd 0 id 143/s**,vsys 0,flag 00000010/00/00,policy 1,time 1
e3
••••••••
C 10.1.20.5
FTP Server 10.1.1.5:1099 10.1.1.5:6550 10.0.0.5:4251
D 10.1.30.5
Web Server 200.100.8.5 200.100.8.5 200.100.8.5 1.1.8.1:1024 1.1.8.10:1024 1.1.8.10:1025
– 制定的服务被internet 访问 – 服务不需要向internet发出初始化连接 – 对外发布的域不是Untrust (类似VIP)
• MIP ——当以下的情况出现的时候: 当以下的情况出现的时候: 当以下的情况出现的时候
– 需要一对一的地址映射
• VIP ——当以下的情况出现的时候: 当以下的情况出现的时候: 当以下的情况出现的时候
– 一个公网地址但是需要多个内网的地址进行服务的映射 – Untrust 是面对公网的zone
6
NATNAT-src 选项
• NAT-src without DIP
– 翻译成防火墙外网卡地址 – 需要端口翻译
• DIP pool with port translation
– 从地址池中自动选择一个地址向外发包 – 从外网卡端口的1024—65535 中随机选择,并且与发起的端口保持一 致
1.1.8.2 200.100.8.5 200.100.8.5 1.1.8.2 SA 200.100.8.5 200.100.8.5 DA 1.1.8.100:21 1.1.8.100:80
MIP
200.100.8.5 SA 200.100.8.5
DA 10.1.20.5:21 10.1.30.5:80
• DIP pool without port translation
– 从外网卡端口的1024—65535 中随机选择
• DIP address shifting
– 从内向外一对一的地址映射
7
Dynamic IP (DIP)
A 10.0.0.5 B 10.1.1.5
e1 e2 e3
••••••••
• 如果防火墙的内网卡是在 如果防火墙的内网卡是在NAT模式: 模式: 模式
– 在默认情况下,网络地址和端口翻译 (NAPT) 被起用。 – 原地址被翻译成为防火墙的外网卡地址。 – 防火墙内网卡默认情况下被设置为NAT模式 。
• 如果内网卡是路由模式
– 在默认情况下没有地址翻译。 – NAT可以通过策略来实现。 – 除了内网卡之外其他的防火墙网卡在默认情况下都被设置为路由模式。
E 200.100.8.5
200.100.8.5 200.100.8.5 200.100.8.5
10.1.1.5:6550
200.100.8.5
1.1.8.10:6550
200.100.8.5
10.1.1.5 10.1.1.6
200.100.8.5 200.100.8.5
1.1.8.10 1.1.8.11
13
检查DIP 检查DIP 配置
Network > Interface > DIP
ns208-> get dip Dip Id Dip Low Dip High 4 1.1.10.5 1.1.10.10 Port-xlated dip stickness off
Interface ethernet8
• 可以在多个策略中使用
NATNAT-src Examples
A 10.0.0.5 B 10.1.1.5 NAT-src
DIP w/ port translation DIP w/ fixed-port IP shift
e1 e2
Private External
E8: 1.1.8.1 e7 e8
No port translation set interface <name> dip <4-255> <start_address> [<end_address>] fixport ns208> set interface e8 dip 5 1.1.10.2 1.1.10.254 fix-port
One-to-one
e1 e2 e3
••••••••
e7
e8
C 10.1.20.5
FTP Server 200.100.8.5
D 10.1.30.5
Web Server 10.1.20.5:21 200.100.8.5
A 10.0.0.5 B 10.1.1.5 DIP
e1 e2 e3
••••••••
E 200.100.8.5
10
Step 1: Create DIP – WebUI
Private start Public start Public end
Network > Interface > Edit > DIP (click on new)
12
Step 2: Create Policy
Policies > Edit (Advanced)
set policy from <zone> to <zone> <SA> <DA> <service> nat src [dip id <num>] permit Without DIP: ns208> set policy from Private to External any any any nat src permit With DIP: ns208> set policy from Private to External any any any nat src dip 5 permit
• What “flavor” of DIP does this policy use?
16
NATNAT-dst
• 一对一的映射 • 一对多映射
– 类似VIP
• 多对多映射
– 地址轮训
• 端口翻译
17
NATNAT-dst Examples
Private External
A 10.0.0.5 B 10.1.1.5
200.100.8.5 200.100.8.5
9
NATNAT-src 配置过程
1. 建立 DIP
1a Port translation on 1b Port translation off 1c Address shifting
2. 建立策略
Private External
E8: 1.1.8.1 e7 e8
Address shifting set interface <name> dip <4-255> shift-from <priv-addr> <start_address> [<end_address>] ns208> set interface e8 dip 5 shift-from 10.1.1.5 1.1.10.2 1.1.10.40
• 为源地址翻译制定的地址池 • 在外接口中定义 • DIP池必须满足以下的条件之一 池必须满足以下的条件之一
– The interface primary IP address – The interface secondary IP address – The interface extended IP address
3
基于策略的 NAT
• NAT 的仅仅在策略中发生,可以是从任意的 的仅仅在策略中发生,可以是从任意的zone 到任意的 zone 之间实现。 之间实现。 • 单向地址翻译
– NAT-src – NAT-dst – VIP
• 双向地址翻译
– MIP
4
基于策略的 NAT
e8: 1.1.8.1
NAT-src
VIP
200.100.8.5
5
NAT的选择 NAT的选择? 的选择?
• NAT-src——当以下的情况出现的时候: 当以下的情况出现的时候: 当以下的情况出现的时候
– Sessions will only be initiated from private to public
• NAT-dst ——当以下的情况出现的时候: 当以下的情况出现的时候: 当以下的情况出现的时候
e7
e8
E8 primary: 1.1.8.1 E8 secondary: 1.1.10.1 E8 extended: 1.1.11.1
DIP 4: 1.1.8.10-1.1.8.20 1.1.8.10DIP 10: 1.1.10.2-1.1.10.254 1.1.10.2DIP 42: 1.1.11.1-1.1.11.254 1.1.11.1-
地址翻译
目标
• 了解基于策略的 了解基于策略的NAT
– 单向 – 双向
• 配置地址翻译
– – – – NAT-src NAT-dst Mapped IP (MIP) Virtual IP (VIP)
• 验证地址翻译的使用情况
2
InterfaceInterface-based NAT - Review
11
Step 1: Create DIP - CLI
set interface <name> dip <4-255> <start_address> [<end_address>] ns208> set interface e8 dip 5 1.1.10.2 1.1.10.254
Fra Baidu bibliotek
For extended address range: set interface <name> ext ip <address>/<mask> dip <4-255> <start address> [<end address>] ns208> set interface e8 ext ip 1.1.11.1/24 dip 42 1.1.11.2 1.1.11.254
SA 10.1.1.5 SA
DA 200.100.8.5 DA 10.1.20.5:21 DA 200.100.8.5 10.1.1.5
SA DA 1.1.8.1 200.100.8.5 SA 200.100.8.5 SA DA 1.1.8.100:21 DA
NAT-dst
200.100.8.5 SA 10.1.1.5
Attribute port-xlate
14
Verifying NAT-src - WebUI NAT-
Policies
Reports > Policies > Traffic Log
15
Verifying NAT-src - CLI NATns208-> get policy id 1 id 1, name none, from zone Private to zone External action Permit, status "enabled" src "Any", dst "Any", serv "ANY" Policies on this vpn tunnel: 0 nat src dip-id 4, serv_timeout 0 (minute) vpn unknown vpn, policy flag 00, session backup: on traffic shapping OFF, url filtering OFF, scheduler n/a, serv flag 00 log no, log count 0, alert no, counter no(0) rate(min/sec) 0/0 total octets 2220, counter(session/packet/octet) 0/0/0 priority 7, diffserv marking Off tadapter: state OFF, gbw/mbw 0/-1 No Authentication No User, User Group or Group expression set ns208-> get session alloc 2/max 128000, alloc failed 0 id 142/s**,vsys 0,flag 00000010/00/00,policy 1,time 1 0(01):10.1.10.5/50944->200.5.5.5/512,1,0010db12cea1,vlan 0,tun 0,vsd 0 10(20):1.1.8.10/1024<-200.5.5.5/512,1,0010db21c041,vlan 0,tun 0,vsd 0 id 143/s**,vsys 0,flag 00000010/00/00,policy 1,time 1
e3
••••••••
C 10.1.20.5
FTP Server 10.1.1.5:1099 10.1.1.5:6550 10.0.0.5:4251
D 10.1.30.5
Web Server 200.100.8.5 200.100.8.5 200.100.8.5 1.1.8.1:1024 1.1.8.10:1024 1.1.8.10:1025
– 制定的服务被internet 访问 – 服务不需要向internet发出初始化连接 – 对外发布的域不是Untrust (类似VIP)
• MIP ——当以下的情况出现的时候: 当以下的情况出现的时候: 当以下的情况出现的时候
– 需要一对一的地址映射
• VIP ——当以下的情况出现的时候: 当以下的情况出现的时候: 当以下的情况出现的时候
– 一个公网地址但是需要多个内网的地址进行服务的映射 – Untrust 是面对公网的zone
6
NATNAT-src 选项
• NAT-src without DIP
– 翻译成防火墙外网卡地址 – 需要端口翻译
• DIP pool with port translation
– 从地址池中自动选择一个地址向外发包 – 从外网卡端口的1024—65535 中随机选择,并且与发起的端口保持一 致
1.1.8.2 200.100.8.5 200.100.8.5 1.1.8.2 SA 200.100.8.5 200.100.8.5 DA 1.1.8.100:21 1.1.8.100:80
MIP
200.100.8.5 SA 200.100.8.5
DA 10.1.20.5:21 10.1.30.5:80
• DIP pool without port translation
– 从外网卡端口的1024—65535 中随机选择
• DIP address shifting
– 从内向外一对一的地址映射
7
Dynamic IP (DIP)
A 10.0.0.5 B 10.1.1.5
e1 e2 e3
••••••••
• 如果防火墙的内网卡是在 如果防火墙的内网卡是在NAT模式: 模式: 模式
– 在默认情况下,网络地址和端口翻译 (NAPT) 被起用。 – 原地址被翻译成为防火墙的外网卡地址。 – 防火墙内网卡默认情况下被设置为NAT模式 。
• 如果内网卡是路由模式
– 在默认情况下没有地址翻译。 – NAT可以通过策略来实现。 – 除了内网卡之外其他的防火墙网卡在默认情况下都被设置为路由模式。
E 200.100.8.5
200.100.8.5 200.100.8.5 200.100.8.5
10.1.1.5:6550
200.100.8.5
1.1.8.10:6550
200.100.8.5
10.1.1.5 10.1.1.6
200.100.8.5 200.100.8.5
1.1.8.10 1.1.8.11
13
检查DIP 检查DIP 配置
Network > Interface > DIP
ns208-> get dip Dip Id Dip Low Dip High 4 1.1.10.5 1.1.10.10 Port-xlated dip stickness off
Interface ethernet8