NetScreen conceptos y ejemplos

Manual de referencia de ScreenOS
Volumen 7: Traducción de direcciones

ScreenOS 5.1.0 Ref. 093-1372-000-SP Revisión B

Copyright Notice
Copyright © 2004 Juniper Networks, Inc. All rights reserved. Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies. Information in this document is subject to change without notice. No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from: Juniper Networks, Inc. ATTN: General Counsel 1194 N. Mathilda Ave. Sunnyvale, CA 94089-1206

The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with NetScreen’s installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: • Reorient or relocate the receiving antenna. • Increase the separation between the equipment and receiver. • Consult the dealer or an experienced radio/TV technician for help. • Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.

FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.

Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR NETSCREEN REPRESENTATIVE FOR A COPY.

Contenido

Contenido
Prefacio ........................................................................ iii
Convenciones ........................................................... iv
Convenciones de la interfaz de línea de comandos (CLI) ...................................................... iv Convenciones de la interfaz gráfica (WebUI) ............... v Convenciones para las ilustraciones...........................vii Convenciones de nomenclatura y conjuntos de caracteres ..................................................................viii

NAT-Src desde un conjunto de DIP con desplazamiento de direcciones ..............................25
Ejemplo: NAT-Src con desplazamiento de direcciones .......................................................... 26

NAT-Src desde la dirección IP de la interfaz de salida ..................................................................31
Ejemplo: NAT-Src sin DIP ....................................... 31

Documentación de NetScreen de Juniper Networks .................................................. ix

Capítulo 3 Traducción de direcciones de red de destino ...................................................................35
Introducción a NAT-Dst .............................................36
Flujo de paquetes para NAT-Dst................................. 38 Enrutamiento para NAT-Dst......................................... 42 Direcciones conectadas a una interfaz .............. 43 Direcciones conectadas a una interfaz pero separadas por un enrutador ............................... 44 Direcciones separadas por una interfaz.............. 45

Capítulo 1 Traducción de direcciones.........................1
Introducción a la traducción de direcciones ............2
Traducción de direcciones de red de origen ..............2 Traducción de direcciones de red de destino.............4

Opciones de la traducción basada en directivas.....9 Naturaleza direccional de NAT-Src y NAT-Dst ...........13

NAT-Dst: Asignación “1:1” .........................................46
Ejemplo: Traducción de destinos “1:1”................ 47 Traducción de una dirección a múltiples direcciones ................................................................ 51 Ejemplo: Traducción de destinos “1:n”................ 51

Capítulo 2 Traducción de direcciones de red de origen .....................................................................15
Introducción a NAT-Src .............................................16 NAT-Src desde un conjunto de DIP con PAT habilitada.................................................................18
Ejemplo: NAT-Src con PAT habilitada....................19

NAT-Dst: Asignación “n:1” .........................................55
Ejemplo: Traducción de destinos “n:1”................ 55

NAT-Dst: Asignación “n:n” .........................................60
Ejemplo: Traducción de destinos “n:n”................ 61

NAT-Src desde un conjunto de DIP con PAT inhabilitada ..............................................................22
Ejemplo: NAT-Src con PAT inhabilitada .................22

NAT-Dst con asignación de puertos .........................65
Ejemplo: NAT-dst con asignación de puertos ...... 65

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones

i

.............102 Direcciones IP virtuales....... 107 Ejemplo: MIP para dos interfaces de túnel ....................70 Ejemplo: NAT-Src y NAT-Dst combinadas............ 103 Ejemplo: MIP en la interfaz Untrust .................91 Direcciones IP asignadas .... 125 Índice ...................... 124 Ejemplo: VIP con servicios personalizados y de múltiples puertos..........94 Ejemplo: Acceder a una MIP desde diferentes zonas ... 121 Ejemplo: Editar una configuración de VIP ................................................................ 124 Ejemplo: Eliminar una configuración VIP ........................................... 108 Capítulo 4 Direcciones IP asignadas y virtuales ..................118 VIP y la zona Global .......93 Ejemplo: MIP en una interfaz de la zona Untrust.......70 MIP-Same-as-Untrust ..Contenido NAT-Src y NAT-Dst en la misma directiva ......................................................................... 121 Ejemplo: Configurar servidores de IPs virtuales......................................................................... IX-I Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones ii .............................................92 MIP y la zona Global ...................97 Ejemplo: Agregar una MIP a una interfaz de túnel ....................................................................... 104 MIP y la interfaz de bucle invertido (loopback) ................................................

con y sin traducción de direcciones de puertos (PAT). consulte “Modo NAT” en la página 2 -127.Prefacio El Volumen 7. aspectos importantes sobre el enrutamiento y desplazamiento de direcciones (“address shifting”). Traducción de direcciones de red de origen: (NAT-src) la traducción de la dirección IP de origen en el encabezado de un paquete. descritas en detalle en los capítulos subsiguientes. con y sin asignación de direcciones de puertos de destino. Capítulo 2. Este volumen contiene los siguientes capítulos que describen cómo configurar el dispositivo NetScreen para realizar los siguientes tipos de traducción: • • • Capítulo 1. Direcciones IP asignadas y virtuales: la asignación de una dirección IP de destino a otra basándose solamente en la dirección IP (IP asignada) o basándose en la dirección IP de destino y el número del puerto de destino (IP virtual). • Nota: Para obtener más información sobre la traducción de direcciones de origen de una red basada en interfaces (denominada simplemente NAT). Traducción de direcciones de red de destino: (NAT-dst) la traducción de la dirección IP de destino en el encabezado de un paquete. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones iii . Traducción de direcciones: un resumen de las diferentes opciones de traducción. Esta sección también contiene información sobre el flujo de paquetes al ejecutar NAT-src. Capítulo 4. Capítulo 3. “Traducción de direcciones” trata de los diferentes métodos disponibles en ScreenOS para realizar la traducción de direcciones.

• Los elementos entre llaves { } son obligatorios. Por ejemplo: set admin user name password Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salvo en el caso de las variables. • Si existen dos o más opciones alternativas. Por ejemplo: “Utilice el comando get system para visualizar el número de serie de un dispositivo NetScreen”. aparecerán separadas entre sí por barras verticales ( | ). Por ejemplo. que siempre aparecen en cursiva ). es suficiente escribir set adm u joe j12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54 . en la presente documentación todos ellos se representan con sus palabras completas. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones iv .Prefacio Convenciones CONVENCIONES Este documento contiene distintos tipos de convenciones. • Las variables aparecen en cursiva. ethernet2 o ethernet3”. Por ejemplo: set interface { ethernet1 | ethernet2 | ethernet3 } manage significa “establecer las opciones de administración de la interfaz ethernet1. que se explican en las siguientes secciones: • • • • Convenciones de la interfaz de línea de comandos (CLI) “Convenciones de la interfaz gráfica (WebUI)” en la página v “Convenciones para las ilustraciones” en la página vii “Convenciones de nomenclatura y conjuntos de caracteres” en la página viii Convenciones de la interfaz de línea de comandos (CLI) Las siguientes convenciones se utilizan para representar la sintaxis de los comandos de la interfaz de línea de comandos (CLI): • Los comandos entre corchetes [ ] son opcionales. Aunque este método se puede utilizar para introducir comandos. Nota: Para escribir palabras clave. basta con introducir los primeros caracteres que permitan al sistema reconocer de forma inequívoca la palabra que se está introduciendo.

La opción de menú Addresses se desplegará para mostrar las opciones subordinadas que contiene. 4. 4 1 2 3 1. Haga clic en el vínculo New.Prefacio Convenciones Convenciones de la interfaz gráfica (WebUI) En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegación de la WebUI por las que se pasa al hacer clic en opciones de menú y vínculos. A continuación se muestra la secuencia de navegación. Haga clic en Objects en la columna de menú. (Menú Applet) Sitúe el mouse sobre Addresses. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones v . la ruta para abrir el cuadro de diálogo de configuración de direcciones se representa como sigue: Objects > Addresses > List > New . Aparecerá la tabla de libretas de direcciones. Aparecerá el cuadro de diálogo de configuración de nuevas direcciones. Por ejemplo. La opción de menú Objects se desplegará para mostrar las opciones subordinadas que contiene. Haga clic en List. (Menú DHTML) Haga clic en Addresses. 3. 2.

El conjunto de instrucciones de cada tarea se divide en dos partes: la ruta de navegación y los datos de configuración. no hay instrucciones para el campo Comment.2. por lo que se deja en blanco.2.Prefacio Convenciones Para llevar a cabo una tarea en la WebUI. Por ejemplo.2. 10. 10. IP Address Name/Domain Name: IP/Netmask: (seleccione). donde podrá definir objetos y establecer parámetros de ajuste. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones vi .5/32 Zone: Untrust Haga clic en OK .5/32 Zone: Untrust Address Name: addr_1 Nota: En este ejemplo. el siguiente conjunto de instrucciones incluye la ruta al cuadro de diálogo de configuración de direcciones y los ajustes de configuración que se deben realizar: Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: addr_1 IP Address/Domain Name: IP/Netmask: (seleccione).2. en primer lugar debe acceder al cuadro de diálogo apropiado.

0/24) Dispositivo NetScreen genérico Dominio de enrutamiento virtual Internet Zona de seguridad Rango de direcciones IP dinámicas (DIP) Equipo de escritorio Interfaces de zonas de seguridad Blanca = interfaz de zona protegida (ejemplo: zona Trust) Negra = interfaz de zona externa (ejemplo: zona sin confianza o zona Untrust) Interfaz de túnel Túnel VPN Icono de enrutador (router) Equipo portátil Dispositivo de red genérico (ejemplos: servidor NAT.1.1. concentrador de acceso) Servidor Icono de conmutador (switch) Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones vii .Prefacio Convenciones Convenciones para las ilustraciones Los siguientes gráficos conforman el conjunto básico de imágenes utilizado en las ilustraciones de este manual: Red de área local (LAN) con una única subred (ejemplo: 10.

• • • ScreenOS admite los siguientes conjuntos de caracteres: • Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de múltiples bytes (MBCS). en muchas palabras clave de la interfaz de línea de comandos pueden utilizarse indistintamente. sistemas virtuales. Entre los conjuntos MBCS. europeo y hebreo. que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones viii . Algunos ejemplos de SBCS son los juegos de caracteres ASCII. NetScreen eliminará cualquier espacio al comienzo o al final de una cadena entrecomillada. “local LAN” es distinto de “local lan”. La WebUI admite tanto SBCS como MBCS. por el contrario. • Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff). Por ejemplo. servidores de autenticación. En las cadenas de nombres se distingue entre mayúsculas y minúsculas.0/24 . usuarios administradores.1. por ejemplo. “ local LAN ” se transformará en “local LAN”.Prefacio Convenciones Convenciones de nomenclatura y conjuntos de caracteres ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones. set address trust “ local LAN” 10. la cadena completa deberá entrecomillarse mediante comillas dobles ( “ ). puertas de enlace IKE. se encuentran el chino. según el conjunto de caracteres que admita el explorador web. también conocidos como conjuntos de caracteres de doble byte (DBCS). por ejemplo. a excepción de las comillas dobles ( “ ).1. Nota: Una conexión de consola sólo admite conjuntos SBCS. túneles de VPN y zonas) definidas en las configuraciones de ScreenOS. el coreano y el japonés. NetScreen tratará varios espacios consecutivos como uno solo. • Si la secuencia de caracteres que conforma un nombre contiene al menos un espacio.

Si encuentra algún error o omisión en esta documentación.juniper.).UU.net/support/ o llame al teléfono 1-888-314-JTAC (si llama desde los EE. abra un expediente de soporte utilizando el vínculo “Case Manager” en la página web http://www. póngase en contacto con nosotros a través de la siguiente dirección de correo electrónico: techpubs-comments@juniper. Para obtener soporte técnico.) o al +1-408-745-9500 (si llama desde fuera de los EE.Prefacio Documentación de NetScreen de Juniper Networks DOCUMENTACIÓN DE NETSCREEN DE JUNIPER NETWORKS Para obtener documentación técnica sobre cualquier producto NetScreen de Juniper Networks. visite www.juniper.net/techpubs/.net Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones ix .UU.

Prefacio Documentación de NetScreen de Juniper Networks Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones x .

Este capítulo describe los diversos métodos de traducción de direcciones disponibles y está organizado en las siguientes secciones: • “Introducción a la traducción de direcciones” en la página 2 – “Traducción de direcciones de red de origen” en la página 2 – “Traducción de direcciones de red de destino” en la página 4 “Opciones de la traducción basada en directivas” en la página 9 “Naturaleza direccional de NAT-Src y NAT-Dst” en la página 13 • • Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 1 .Capítulo 1 Traducción de direcciones 1 NetScreen proporciona muchos métodos para realizar la traducción de direcciones IP de origen y de destino y de direcciones del puerto de destino.

Traducción de la dirección IP de origen Dirección IP de origen original IP de origen Paquete IP 10.2 Carga de datos IP de origen 1. consulte “NAT-Src desde un conjunto de DIP con desplazamiento de direcciones” en la página 25. la traducción del número de puerto en el segmento TCP o en el encabezado del datagrama UDP. Traducción de direcciones de red de origen Al realizar la traducción de direcciones de red de origen (NAT-src). Puede utilizar NAT-src basada en directivas cuando la interfaz de ingreso se encuentra en el modo Route o NAT. (Este capítulo se centra en NAT-src basada en directivas.2. Si el dispositivo NetScreen toma la dirección traducida de un conjunto de DIP. Si configura una directiva para aplicar NAT-src y la interfaz de ingreso se encuentra en modo NAT. El concepto de NAT abarca la traducción de direcciones IP en los encabezados de paquetes IP y.5 IP de destino 2. opcionalmente. que se explica más adelante en este capítulo. consulte “NAT-Src y NAT-Dst en la misma directiva” en la página 70. puede tomar cualquier dirección del conjunto de DIP al azar o puede tomar una y otra vez una dirección específica relacionada con la 1 dirección IP original de origen . es decir. el dispositivo NetScreen traduce la dirección IP de origen en todos los paquetes a la dirección IP de esa interfaz. Para obtener más detalles sobre NAT-src basada en interfaz (también llamada simplemente NAT). Si se encuentra en modo NAT. 2.2.2. consulte “Modo NAT” en la página 2 -127. puede hacerlo de forma arbitraria o determinista. o una combinación de elementos traducidos. La dirección traducida puede proceder de un conjunto de direcciones IP dinámicas (DIP) o de la interfaz de salida del dispositivo NetScreen. La traducción puede implicar la dirección de origen (y opcionalmente el número del puerto de origen).2.1. consulte “Conjuntos de DIP” en la página 2 -278). la dirección de destino (y opcionalmente el número de puerto de destino). Si la dirección traducida procede de la interfaz de salida. Para obtener más información sobre el desplazamiento de direcciones aplicado a NAT-src.Capítulo 1 Traducción de direcciones Introducción a la traducción de direcciones INTRODUCCIÓN A LA TRADUCCIÓN DE DIRECCIONES NetScreen proporciona varios mecanismos para aplicar la traducción de direcciones de red (NAT). Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 2 . los ajustes de NAT-src basada en directivas tienen preferencia sobre la NAT basada en interfaz2. Para obtener más información sobre el desplazamiento de direcciones aplicado a NAT-dst. Para obtener más información sobre conjuntos de DIP. La traducción de direcciones determinista utiliza una técnica llamada “desplazamiento de direcciones” (“address shifting”).2 Carga de datos 1.1.5 Dirección IP de origen traducida IP de destino 2.1. los parámetros de NAT-src a nivel de directivas reemplazan a los parámetros de NAT a nivel de interfaz. Puede configurar el dispositivo NetScreen para aplicar NAT-src a nivel de interfaz o a nivel de directiva. el dispositivo NetScreen traduce la dirección IP de origen original a otra dirección.1.

2. Dado que el dispositivo NetScreen traduce todas las direcciones IP originales a la misma dirección IP traducida (la de la interfaz de salida). Para NAT-src basada en interfaces (conocida simplemente como “NAT”). puede elegir opcionalmente que el dispositivo NetScreen realice la traducción de direcciones del puerto (PAT) del número original del puerto de origen.1.5 IP de destino 2.500 equipos a una sola dirección IP y cada número de puerto original a un número de puerto único. Con PAT habilitada. La cifra de unos ~64.500 puertos diferentes3. Por lo tanto.5 IP de destino 2.535.1. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 3 .500 direcciones IP diferentes a una sola dirección IP con hasta unos 64. Traducción de direcciones IP de origen y traducción de direcciones de puertos de origen Direcciones originales de puertos e IPs de origen IP de origen Paquete IP 10. el dispositivo NetScreen puede traducir las direcciones IP originales de hasta unos ~64. que es 65.500 se calcula restando 1023 (los números reservados para los puertos bien conocidos) del número máximo de puertos.2.2 Carga de datos Puerto Puerto origen destino 44235 53 Carga de datos 3. el dispositivo NetScreen utiliza el número de puerto traducido para identificar a qué sesión corresponde cada paquete. De forma similar.2.Capítulo 1 Traducción de direcciones Introducción a la traducción de direcciones Con NAT-src basada en directivas. si un conjunto de DIP consta solamente de una dirección IP y se desea que el dispositivo NetScreen aplique NAT-src a varios equipos utilizando esa dirección. la traducción de direcciones de puertos está habilitada automáticamente.1.2 Carga de datos Puerto Puerto origen destino Segmento TCP o datagrama UDP 30777 53 Carga de datos Direcciones traducidas de puertos e IPs de origen IP de origen 1.2. cuando el dispositivo NetScreen realiza NAT-src con un conjunto de DIP que contiene una sola dirección IP y la traducción PAT está habilitada. entonces se requiere PAT por la misma razón.1. el dispositivo NetScreen mantiene un conjunto de números de puerto libres para asignar junto con direcciones del conjunto de DIP. El dispositivo NetScreen utiliza el número traducido de puerto único para mantener la información del estado de la sesión correspondiente al tráfico entrante y saliente de la misma dirección IP única. Con PAT habilitada. el dispositivo NetScreen puede traducir hasta unas 64.

Traducción de direcciones de red de destino NetScreen ofrece los tres mecanismos siguientes para realizar la traducción de direcciones de red de destino (NAT-dst): • • • NAT-dst basada en directivas Dirección IP asignada (MIP) Dirección IP virtual (VIP) Las tres opciones traducen la dirección IP original de destino del encabezado del paquete IP a otra dirección. la ejecución de PAT provoca que esas aplicaciones fallen. 4. Para obtener más información sobre la asignación de puertos. Para prevenir tales casos. Nota: NetScreen no admite el uso de NAT-dst basada en directivas en combinación con MIPs y VIPs. Con NAT-dst basada en directivas y VIPs. En otras palabras. el dispositivo NetScreen la aplicará a cualquier tráfico al que también sea aplicable una configuración NAT-dst basada en directivas. puede desactivar PAT. también tiene la opción de habilitar la asignación de puertos4. consulte “NAT-dst basada en directivas” en las páginas siguientes. Si tiene configurada una MIP o VIP. consulte “Traducción de direcciones de red de origen” en la página 15.Capítulo 1 Traducción de direcciones Introducción a la traducción de direcciones En aplicaciones personalizadas que requieran un número específico de puerto de origen para funcionar correctamente. así como “Traducción de direcciones de red de destino” en la página 35. las MIPs y VIPs desactivan NAT-dst basada en directivas si el dispositivo NetScreen se configura accidentalmente para aplicar ambas al mismo tráfico. Nota: Para obtener más información sobre NAT-src. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 4 .

2 Carga de datos IP de origen 1.6 Carga de datos Traducción de direcciones IP de destino con asignación de puertos de destino Direcciones IP de destino y de puertos originales IP de origen Paquete IP 1.1.1.6 Carga de datos Puerto Puerto origen destino 44235 53 Carga de datos Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 5 . NetScreen puede admitir NAT-dst con o sin asignación de puertos.3.1. a diferencia de PAT. o un rango de direcciones IP a otro rango.2. Traducción de direcciones IP de destino sin asignación de puertos de destino Dirección IP de destino original IP de origen Paquete IP 1. La asignación de puertos es la traducción determinista de un número de puerto de destino original a otro número específico.Capítulo 1 Traducción de direcciones Introducción a la traducción de direcciones NAT-dst basada en directivas: Puede configurar una directiva para traducir una dirección IP de destino a otra dirección.1.1.5 Dirección IP de destino traducida IP de destino 10.2. Cuando una sola dirección IP de destino se traduce a otra dirección IP o un rango de direcciones IP se traduce a una sola dirección IP.2.1. un rango de direcciones IP a una sola dirección IP. que traduce cualquier número de puerto de origen original asignado aleatoriamente por el equipo iniciador a otro número asignado aleatoriamente por el dispositivo NetScreen.3.2 Carga de datos Puerto Puerto origen destino Segmento TCP o datagrama UDP 44235 6055 Carga de datos Direcciones IP de destino y de puertos traducidas IP de origen 1.1.2.5 IP de destino 2.5 IP de destino 10.1.1.5 IP de destino 2.1.

2.1.1.3.2 Carga de datos IP ORIG IP DEST 1.1.3.1. el dispositivo NetScreen traduce cualquier dirección IP de destino del rango de direcciones de destino originales definido por el usuario a una sola dirección.2.5 10.3 Carga de datos 1.6 Carga de datos 1.5 2.1. Traducción de las direcciones IP de destino de un rango de direcciones IP a una dirección IP única Direcciones IP de destino originales Direcciones IP de destino traducidas IP ORIG Paquetes IP 1.1.1.1.5 10.2. También puede habilitar la asignación de puertos.1.5 IP DEST 2.6 Carga de datos Traducc ón de d recc ones P de des no de un rango de d recc ones P a una d recc ón P ún ca con as gnac ón de puer os de des no D recc ones P de des no y de puer os or g na es P OR G Paque e P 1 1115 P DEST 2222 Carga de da os Puer o Puer o or gen des no Segmen o TCP 1 44235 8000 Carga de da os D recc ones P de des no y de puer os raduc das P OR G 1115 P DEST 10 3 1 6 Carga de da os Puer o Puer o or gen des no 44235 80 Carga de da os Paque e P 2 1115 2223 Carga de da os 1115 10 3 1 6 Carga de da os Segmen o TCP 2 28560 8000 Carga de da os 28560 80 Carga de da os Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 6 .Capítulo 1 Traducción de direcciones Introducción a la traducción de direcciones Cuando se configura una directiva para ejecutar NAT-dst con el fin de traducir un rango de direcciones a una sola dirección.2.1.

5 Direcciones IP de destino traducidas IP de destino 10.1.2.1.5 IP de destino 2.1.6 Carga de datos 1. Cada mecanismo de traducción funciona de forma independiente y unidireccional.3.8 Carga de datos Al realizar NAT-dst en un rango de direcciones IP. el dispositivo NetScreen mantiene una correspondencia entre cada dirección IP de un rango de direcciones y la dirección IP correspondiente en otro rango de direcciones. el dispositivo NetScreen no aplicará NAT-src al tráfico originado en zone2 y destinado a zone1 salvo que lo configure específicamente para hacerlo. Nota: NAT-src y NAT-dst se pueden combinar en la misma directiva.Capítulo 1 Traducción de direcciones Introducción a la traducción de direcciones Al configurar una directiva para realizar NAT-dst en un rango de direcciones.2 Carga de datos IP de origen 1.2.2.1.2. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 7 .1.2.1.5 10.3 Carga de datos 1. Para obtener más información sobre NAT-dst.1.1.1.5 2.1.1.3. el dispositivo NetScreen utiliza el desplazamiento de direcciones para traducir una dirección IP de destino de un rango de direcciones de destino originales a una dirección conocida de otro rango de direcciones.1.2. Traducción de direcciones IP de destino con desplazamiento de direcciones Direcciones IP de destino originales IP de origen Paquetes IP 1. Es decir. si habilita NAT-dst para el tráfico de zone1 a zone2.1.1. consulte “Traducción de direcciones de red de destino” en la página 35.5 2.3.5 10.7 Carga de datos 1.1. Para obtener más información. consulte “Naturaleza direccional de NAT-Src y NAT-Dst” en la página 13.4 Carga de datos 1.

Las VIPs también admiten asignaciones de puertos. Una sola dirección IP definida en la misma subred que una interfaz puede contener asignaciones 5 de varios servicios (identificados por los diferentes números de puertos de destino) a otros tantos hosts . siendo susceptible de que un posible atacante la utilice. y cuando ésta se asigna dinámicamente. el dispositivo NetScreen aplica NAT-src basada en interfaces o basada en directivas si previamente ha sido configurado. (El dispositivo NetScreen solamente comprueba si la dirección IP de destino está asociada a una VIP en los paquetes que llegan a una interfaz asociada a la zona Untrust). El dispositivo NetScreen traduce la dirección IP de destino en todo el tráfico entrante a una VIP a la dirección IP de un host. Una de las direcciones debe definirse en la misma subred que una dirección IP de interfaz. En esta versión de ScreenOS. si utiliza una asignación MIP a un servidor Web. Esta posibilidad resulta muy útil cuando el dispositivo NetScreen solamente tiene asignada una dirección IP. En lugar de ello. 5. Manteniendo sus actividades ocultas. A diferencia de las MIPs. VIPs: Una VIP es una asignación (correspondencia) de una dirección IP a otra dirección IP basada en el número de puerto de destino. y la dirección IP de origen de todo el tráfico procedente de la dirección IP del host a la dirección MIP. el dispositivo NetScreen no aplicará NAT-src al tráfico originado en un host VIP. su actividad quedará expuesta. de modo que el dispositivo NetScreen traduce la dirección IP de destino de todo el tráfico dirigido a una MIP a la dirección IP del host. Para obtener más información sobre MIPs. El dispositivo NetScreen no traduce la dirección IP de origen inicial del tráfico saliente de un host VIP a la de la dirección VIP. la funcionalidad proporcionada por NAT-src y NAT-dst basadas en directivas mantienen separada la traducción de direcciones de los tráficos entrante y saliente. aumentando las posibilidades de control y la seguridad. Las MIPS no admiten asignaciones de puertos. consulte “Direcciones IP asignadas” en la página 92. la traducción de direcciones para una VIP ocurre de forma unidireccional. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 8 . De no ser así. NAT-src y NAT-dst basadas en directivas ofrecen una estrategia común que puede duplicar y sobrepasar la funcionalidad de MIPs y VIPs basadas en interfaces. consulte “Direcciones IP virtuales” en la página 118. Para obtener más información sobre VIPs. En algunos dispositivos NetScreen se puede definir una VIP para actuar del mismo modo que una dirección IP de interfaz. Los métodos de traducción de direcciones basada en directivas permiten definir una asignación de direcciones cuando el servidor web recibe tráfico (mediante NAT-dst) y otra asignación cuando inicia tráfico (mediante NAT-src). La otra dirección pertenece al host al que se desea dirigir el tráfico. puede proteger mejor el servidor contra cualquiera que intente recopilar información para preparar un ataque.Capítulo 1 Traducción de direcciones Introducción a la traducción de direcciones MIPs: Una MIP es una asignación (correspondencia) de una dirección IP a otra dirección IP. Por ejemplo. La traducción de direcciones para una MIP se comporta de forma bidireccional. siempre que ese servidor inicie un tráfico saliente para obtener una actualización o parche. Mientras que los mecanismos de traducción de direcciones para MIPs y VIPs son bidireccionales.

El dispositivo NetScreen también aplica la traducción de direcciones de origen de los puertos (PAT).1.1.1. consulte “NAT-Src desde un conjunto de DIP con PAT inhabilitada” en la página 22.10 – 1. Para obtener más información.2. Conjunto de DIP con ID 5 1.1.1.1.25 Zona Untrust 1.1.2:80 (Dispositivo virtual) Origen original Origen traducido Destino Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 9 . El dispositivo NetScreen no aplica PAT de origen.20:41834 2. Para obtener más información.1.1.2:80 (Dispositivo virtual) Origen original Origen traducido Destino Nota: En esta ilustración y en las siguientes se utiliza un “dispositivo virtual” para representar una dirección de origen o de destino traducida cuando dicha dirección no pertenece a un dispositivo real.2.2.1.1.1.10 – 1.1/24 1.1/24 ethernet3 1.1.1.Capítulo 1 Traducción de direcciones Opciones de la traducción basada en directivas OPCIONES DE LA TRADUCCIÓN BASADA EN DIRECTIVAS NetScreen proporciona los siguientes métodos para aplicar la traducción de direcciones de las redes de origen y de destino (NAT-src) y (NAT-dst).40 Zona Trust 10.1.2. Conjunto de DIP con ID 5 1.20 Zona Untrust 1.1/24 1. consulte “NAT-Src desde un conjunto de DIP con PAT habilitada” en la página 18.1.1.25:35030 2.1.1.1.1. NAT-Src from a DIP Pool with PAT: El dispositivo NetScreen traduce la dirección IP de origen original a una dirección tomada de un conjunto de direcciones IP dinámicas (DIP).1.5:25611 ethernet1 10.1.1/24 ethernet3 1. NAT-Src from a DIP Pool without PAT: El dispositivo NetScreen traduce la dirección IP de origen original a una dirección tomada de un conjunto DIP.40 Zona Trust 10.1.6:35030 ethernet1 10. Observe que NAT-src y NAT-dst se pueden combinar dentro de una misma directiva.1.1.1.1.

1.1. (Dispositivos virtuales) 10.1.1.40 Zona Trust 10.1.2.1.1 Origen traducido Destino Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 10 .1.21:35030 ethernet1 10.1.20:25611 Zona Untrust 2.Capítulo 1 Traducción de direcciones Opciones de la traducción basada en directivas NAT-Src from a DIP Pool with Address Shifting: El dispositivo NetScreen traduce la dirección IP de origen original a una dirección tomada de un conjunto de direcciones IP dinámicas (DIP).5:25611 ethernet1 10. consulte “NAT-Src desde la dirección IP de la interfaz de salida” en la página 31.10 – 1. Conjunto de DIP con ID 5 1.1.1. El dispositivo NetScreen también aplica PAT de origen.2.21 siempre se traduce a 1. Para obtener más información.2:80 1.1:41834 (Dispositivo virtual) Origen original 1.1/24 Zona Untrust 2.2.1.2.21 ethernet3 1.1.1.1.1.1.1.1. Zona Trust 10.20.1. Para obtener más información.1.1. El dispositivo NetScreen no aplica la traducción de direcciones de los puertos de origen (PAT).21.1/24 ethernet3 1.1.1.2:80 1.1.1.20:25611 10.1.1/24 1.1.1/24 1. consulte “NAT-Src desde un conjunto de DIP con desplazamiento de direcciones” en la página 25.1.1.1.20 1. asignando coherentemente cada dirección original a una determinada dirección traducida.1.1.1.20 siempre se traduce a 1.1.1.1. Orígenes traducidos Orígenes originales Destino NAT-Src from the Egress Interface IP Address: El dispositivo NetScreen traduce la dirección IP de origen original a la dirección de la interfaz emisora.1.21:35030 10.1.

1. Zona Untrust 1.1.2.1/24 ethernet1 10.1/24 2.2.1.2.2.2.5 (Dispositivo virtual) ethernet3 1. consulte “Traducción de direcciones de red de destino” en la página 35.2.2.2.2.1/24 2.8:7777 Zona Trust 10.8:80 Zona Trust 10. Para obtener más información. consulte “NAT-Dst con asignación de puertos” en la página 65.8:80 Origen Destino original Destino traducido Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 11 .8:80 Origen Destino original Destino traducido NAT-Dst to a Single IP Address without Port Mapping: El dispositivo NetScreen realiza NAT-dst pero no cambia el número del puerto de destino original.2.1.1/24 ethernet1 10.2. Zona Untrust 1.2.1.Capítulo 1 Traducción de direcciones Opciones de la traducción basada en directivas NAT-Dst to a Single IP Address with Port Mapping: El dispositivo NetScreen realiza la traducción de direcciones de red de destino (NAT-dst) y la asignación de puertos de destino.5 (Dispositivo virtual) ethernet3 1. Para obtener más información.1.1.1.

(Dispositivos virtuales) Zona DMZ 10. consulte “NAT-Dst: Asignación “n:n”” en la página 60.2.2.2. Observe que el desplazamiento de direcciones no admite asignaciones de puertos.8:80 10. 2.1/24 2.2. consulte “NAT-Dst: Asignación “n:1”” en la página 55.8.2.Capítulo 1 Traducción de direcciones Opciones de la traducción basada en directivas NAT-Dst from an IP Address Range to a Single IP Address: El dispositivo NetScreen realiza NAT-dst para traducir un rango de direcciones IP a una dirección IP única.2.1.5 2.2.2.1/24 ethernet2 10.2.1.2.8:80 Destinos originales Destino traducido NAT-Dst between IP Address Ranges: Cuando se aplica NAT-dst a un rango de direcciones IP.2.2.2. 2.2.2.2.8:80 Zona Untrust 1.9 se traduce siempre a 10.1.1.2.1. Si también habilita la asignación de puertos.9:80 1.1.8 y 2.9:80 1.2. Para obtener más información.6 2. el dispositivo NetScreen traducirá el número de puerto de destino original a otro número.2.9:80 ethernet3 1.1.1.2.2.2.5:25611 ethernet3 1. Para obtener más información.2.1. el dispositivo NetScreen mantiene una asignación constante de una dirección de destino original a una dirección traducida del rango especificado usando una técnica denominada desplazamiento de direcciones (“address shifting”).2.6:40365 Orígenes 2.8 se traduce siempre a 10.1.8:80 Zona Trust 10.1.9.2.2.2.1/24 ethernet1 10.2.2.2.2.1.1/24 Orígenes Destinos originales Destinos traducidos Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 12 .8:80 Zona Untrust 1. (Dispositivo virtual) 10.9 se traducen siempre a 10.2.8 y 2.2.2.

2.1. es necesario establecer una ruta a 2.2/32 (host virtual B).1. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 13 .2 1.3.3 permit set vrouter trust-vr route 2.3.3 1. Luego traduce la dirección IP de origen de 3. si el dispositivo NetScreen aplica una directiva que requiere NAT-dst al tráfico enviado del host A al host virtual B. ORIG DEST 1.2.1.3.3.3.2.2.1 El dispositivo NetScreen compara la información de IP y puerto contenida en el paquete con la información almacenada en su tabla de la sesión.2.3.3.2 a 3. consulte “Enrutamiento para NAT-Dst” en la página 42.1.3.3.1.2 ethernet3 1.10/24 2.1.2. el dispositivo NetScreen traduce la dirección IP de destino original de 2.2 en el tráfico de respuesta).1.3 ORIG DEST 3.2.2. set policy from “zone A” to “zone B” “host A” “virtual host B” any nat dst ip 3.10/24 ethernet1 Host virtual B 3.2.2.1.3.2.2.3. Carga de datos Carga de datos ORIG DEST 2.Capítulo 1 Traducción de direcciones Naturaleza direccional de NAT-Src y NAT-Dst NATURALEZA DIRECCIONAL DE NAT-SRC Y NAT-DST La aplicación de NAT-src es independiente de la de NAT-dst.2/32 interface ethernet1 Host A 1.2. Para obtener más información sobre cuestiones de enrutamiento NAT-dst.1. (También traduce la dirección IP de origen de 3.3 Carga de datos El dispositivo NetScreen traduce la dirección IP de destino de 2.2. Almacena la información de IP y dirección del puerto en su tabla de la sesión.3.3. Por ejemplo.1.2.1 2.3.3.3.2.1 Carga de datos Nota: Para que el dispositivo NetScreen pueda realizar una consulta de rutas para determinar las zonas de destino.1 3.2.1.3.1 Zona A ORIG DEST 1.2. Usted determina su aplicación al tráfico por el sentido indicado en una directiva.3 a 2.2 a 3.3.2 Zona B Host B 3.1.3.3.3 a 2.2.

3. Para que el dispositivo NetScreen traduzca la dirección IP de origen del host B cuando éste inicia tráfico al host A.1.1.10/24 Zona B ORIG DEST 3.1.3.1.3 a 1.1.3.3.3 1.3.1.1.3 Carga de datos 6.1.3 Carga de datos Carga de datos El dispositivo NetScreen compara la información de IP y puerto contenida en el paquete con la información almacenada en su tabla de la sesión.1 Conjunto de DIP 7 1.3. La directiva anterior especifica solamente el “host B” como dirección de origen.1. es innecesario habilitar PAT.1.1 1.3.1.1. el dispositivo NetScreen no traducirá la dirección IP de origen original del host B si éste inicia tráfico hacia el host A.3.3 1.1. en lugar de responder al tráfico procedente del host A. Si especifica números de puerto fijos para un conjunto de DIP consistente en una sola dirección IP.1.3 El dispositivo NetScreen traduce la dirección IP de origen de 3.1 3.1. ORIG DEST 1. Si el “host B” es el único host que utiliza el conjunto de DIP 7.1 Carga de datos Host B: 3.Capítulo 1 Traducción de direcciones Naturaleza direccional de NAT-Src y NAT-Dst Sin embargo.3 1.1.3. Consulte “Direcciones IP asignadas” en la página 92). solamente un host podrá utilizar ese conjunto en un momento dado.1. Almacena la información de IP y dirección del puerto en su tabla de la sesión.1. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 14 .3. no se muestra la traducción de direcciones de puertos (PAT).3.1. si crea la directiva antedicha especificando solamente NAT-dst desde el host A al host B.3 a 3.3.1.1.3.3. A continuación traduce la dirección IP de destino de 1.1 ORIG DEST 1.1.3 set policy from “zone B” to “zone A” “host B” “host A” any nat src dip-id 7 permit Host A: 1. set interface ethernet1 dip-id 7 1.3 Zona A ethernet3 1. debe configurar una segunda directiva en la que se especifique 6 NAT-src desde el host B al host A . (Este comportamiento es distinto al de las MIPs.1. ORIG DEST 1.1.1.3 – 1. Para no distraer la atención de los mecanismos de traducción de direcciones IP.1.10/24 ethernet1 3.1.1.

Este capítulo describe los diversos métodos de traducción de direcciones disponibles y está organizado en las siguientes secciones: • “Introducción a NAT-Src” en la página 16 • “NAT-Src desde un conjunto de DIP con PAT habilitada” en la página 18 • “NAT-Src desde un conjunto de DIP con PAT inhabilitada” en la página 22 • “NAT-Src desde un conjunto de DIP con desplazamiento de direcciones” en la página 25 • “NAT-Src desde la dirección IP de la interfaz de salida” en la página 31 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 15 .Capítulo 2 Traducción de direcciones de red de origen 2 NetScreen proporciona muchos métodos para realizar la traducción de direcciones de red de origen (NAT-src) y la traducción de direcciones de puertos de origen (PAT).

Para obtener más información. 1. Con PAT habilitada. los dispositivos NetScreen situados en ambos extremos del túnel deben traducir las direcciones IP de origen y de destino a direcciones que no se interfieran mutuamente. En estos casos se requiere PAT. consulte “Direcciones IP públicas” en la página 2 -67 y “Direcciones IP privadas” en la página 2 -68.535. el dispositivo NetScreen traduce la dirección de origen a la dirección de la interfaz de salida de la zona de destino. Aunque a todos los paquetes que reciben una nueva dirección IP de origen de ese conjunto se les asigna la misma dirección.Capítulo 2 Traducción de direcciones de red de origen Introducción a NAT-Src INTRODUCCIÓN A NAT-SRC A veces es necesario que el dispositivo NetScreen traduzca la dirección IP de origen original de un encabezado de paquete IP a otra dirección. Cuando una directiva requiere NAT-src y hace referencia a un conjunto de DIP específico. 2. cuando algún host con una dirección IP privada envía tráfico a un espacio de direcciones público. Por ejemplo. Si desea utilizar un conjunto de DIP con direcciones que se encuentran fuera de la subred de la interfaz de la zona de destino. el dispositivo NetScreen también mantiene un conjunto de números de puerto libres para asignar junto con direcciones del conjunto de DIP. cada uno obtiene un número de puerto diferente. Asimismo. debe definir un conjunto de DIP en una interfaz extendida. Si utiliza NAT-src pero no especifica un conjunto de DIP en la directiva. y qué sesiones pertenecen a qué hosts. el dispositivo NetScreen puede determinar qué paquetes pertenecen a qué sesión. que es 65. la cual. Nota: El conjunto de DIP debe utilizar direcciones de la misma subred que la interfaz predeterminada de la zona de destino a la que se hace referencia en la directiva. Para obtener más información sobre direcciones IP públicas y privadas.500 se calcula restando 1023 (los números reservados para los puertos bien conocidos) del número máximo de puertos. que se habilita automáticamente. La cifra de unos ~64. El conjunto de DIP puede ser tan pequeño como una sola dirección IP. puede atender a unos 64. si se habilita la traducción de direcciones de puertos (PAT). el dispositivo NetScreen debe traducir la dirección IP de origen privada a una dirección 1 pública .500 hosts simultáneamente2. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 16 . consulte “Interfaz extendida y DIP” en la página 2 -283. Un conjunto de direcciones IP dinámicas (DIP) proporciona al dispositivo NetScreen una fuente de direcciones que utiliza para realizar la traducción de direcciones de red de origen (NAT-src). al enviar tráfico desde un espacio de direcciones privado a través de una VPN a un sitio que utilice las mismas direcciones. Manteniendo una entrada en la tabla de sesiones con la correspondencia entre las direcciones original y traducida y los números de puerto original y traducido. el dispositivo NetScreen toma direcciones de ese conjunto al realizar la traducción.

el dispositivo NetScreen asigna una dirección de origen traducida al mismo host para todas sus sesiones simultáneas. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 17 . el dispositivo NetScreen puede asignar a un solo host diferentes direcciones para otras tantas sesiones simultáneas.Capítulo 2 Traducción de direcciones de red de origen Introducción a NAT-Src Para las aplicaciones que requieran trabajar con un número de puerto de origen invariable. Por el contrario. salvo que la DIP se defina como “sticky” (consulte “Direcciones DIP “sticky”” en la página 2 -282). debe desactivar PAT y definir un conjunto de DIP con un rango de direcciones IP suficientemente grandes para que cada host activo simultáneamente reciba una dirección traducida diferente. cuando el conjunto de DIP tiene habilitada PAT. Para trabajar con direcciones dinámicas (DIP) de puerto fijo.

d 5 perm Hos oca 10 1 1 5 25611 Zona Trus P OR G Ne Screen e herne 1 10 1 1 1 24 e herne 3 1 1 1 1 24 Con un o de D P con D 5 1 1 1 30 – 1 1 1 30 (PAT hab ada) Zona Un rus Serv dor web remo o 2 2 2 2 80 P DEST PTO OR G PTO DEST PROTO 10 1 1 5 2222 25611 80 HTTP E d spos vo Ne Sc een aduce a d ecc ón P de o gen de 10 1 1 5 a 1 1 1 30 y e pue o de o gen de 25611 a 41834 A macena a n o mac ón de P y de d ecc ón de pue o en su ab a de ses ones P OR G P DEST PTO OR G PTO DEST PROTO 1 1 1 30 P OR G 2222 41834 80 HTTP P DEST PTO OR G PTO DEST PROTO 2222 1 1 1 30 80 41834 HTTP E d spos vo Ne Sc een compa a a n o mac ón de P y pue o con en da en e paque e con a n o mac ón a macenada en su ab a de ses ones En onces aduce a d ecc ón P de des no de 1 1 1 30 a 10 1 1 5 y e pue o de des no de 41834 a 25611 P OR G P DEST PTO OR G PTO DEST PROTO 2222 10 1 1 5 80 25611 HTTP Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 18 .Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde un conjunto de DIP con PAT habilitada NAT-SRC DESDE UN CONJUNTO DE DIP CON PAT HABILITADA Al aplicar la traducción de direcciones de red de origen (NAT-src) con traducción de direcciones de puertos (PAT). el dispositivo NetScreen traduce direcciones IP y números de puertos y realiza una inspección del estado según se ilustra más abajo (sólo se muestran los elementos de los encabezados del paquete IP y del segmento TCP relevantes para NAT-src): se po cy rom rus o un rus any any h p na src d p.

2:80 (Dispositivo virtual) Origen original IP ORIG IP DEST PTO ORIG PTO DEST PROTO Origen traducido IP ORIG Destino IP DEST PTO ORIG PTO DEST PROTO 10.1.1. A continuación.1.1.2.30) y tiene PAT habilitada de forma predeterminada .1.1/24 Conjunto de DIP con ID 5 1.1.30.1.30 – 1.30.1.5:25611 ethernet1 10.1.1.1. o bien borrar la opción “Port Translation” en la página de configuración de DIP en WebUI. una interfaz asociada a la zona Untrust. Port Translation: (anule la selección). Cuando defina un conjunto de DIP.2.30 ethernet3 1.1. Por ejemplo.1.1.30.1.2 41834 80 HTTP 3.1.1.1. Para desactivar PAT.5 2.1. que es la entrada única en el conjunto de DIP 5 • • Traducir el número original del puerto de origen en el encabezado del segmento TCP o el encabezado del datagrama UDP a un número nuevo y exclusivo Enviar el tráfico HTTP con la dirección IP de origen y el número de puerto traducidos a través de ethernet3 a la zona Untrust Traducción de direcciones de red de origen (NAT-src) (Traduce la dirección IP de origen a un conjunto de DIP de una sola dirección.2.2.1.1. Zona Trust 10.30 1.Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde un conjunto de DIP con PAT habilitada Ejemplo: NAT-Src con PAT habilitada En este ejemplo definirá un conjunto de DIP 5 en ethernet3. la PAT 1.1.1. o bien Network > Interfaces > Edit (para ethernet3) > DIP: ID: 5. End: 1.1.30 fix-port.1/24 Zona Untrust 1.1.2.1.1.2. set interface ethernet3 dip 5 1.30 2.2 25611 80 HTTP 1. El conjunto de 3 DIP contiene una sola dirección IP (1.1. deberá agregar la palabra clave “fix-port” al final del comando CLI.30:41834 2.1.30. establecerá una directiva que ordene al dispositivo NetScreen realizar las siguientes tareas: • Permitir el tráfico HTTP desde cualquier dirección de la zona Trust a cualquier dirección de la zona Untrust • Traducir la dirección IP de origen en el encabezado de paquetes IP a 1.30 1. está habilitada).1. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 19 .1. Start: 1.1. el dispositivo NetScreen habilitará PAT de forma predeterminada.

Capítulo 2 Traducción de direcciones de red de origen

NAT-Src desde un conjunto de DIP con PAT habilitada

WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.1.1.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.1.1.1/24

2.

DIP
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los siguientes datos y haga clic en OK : ID: 5 IP Address Range: (seleccione), 1.1.1.30 ~ 1.1.1.30 Port Translation: (seleccione) In the same subnet as the interface IP or its secondary IPs: (seleccione)

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones

20

Capítulo 2 Traducción de direcciones de red de origen

NAT-Src desde un conjunto de DIP con PAT habilitada

3.

Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: HTTP Action: Permit > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la página de configuración básica: NAT: Source Translation: (seleccione) (DIP on): 5 (1.1.1.30 - 1.1.1.30)/X-late

CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24

2. 3.

DIP
set interface ethernet3 dip 5 1.1.1.30 1.1.1.30

Directiva
set policy from trust to untrust any any http nat src dip-id 5 permit save

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones

21

Capítulo 2 Traducción de direcciones de red de origen

NAT-Src desde un conjunto de DIP con PAT inhabilitada

NAT-SRC DESDE UN CONJUNTO DE DIP CON PAT INHABILITADA
En determinadas ocaciones, quizás le interese realizar la traducción de direcciones de red de origen (NAT-src) para la dirección IP, pero no la traducción de direcciones de puertos (PAT) del número de puerto de origen. Puede que una aplicación personalizada tenga el requisito específico de que la dirección del puerto de origen sea un número determinado. Es posible que el host de destino requiera que la dirección IP de origen y la dirección del puerto sean determinados números que permitan identificar el host de forma inequívoca. En tales casos, puede definir una directiva que ordene al dispositivo NetScreen realizar NAT-src sin PAT.

Ejemplo: NAT-Src con PAT inhabilitada
En este ejemplo definirá un conjunto de DIP 6 en ethernet3, una interfaz asociada a la zona Untrust. El conjunto de DIP contiene un rango de direcciones IP de 1.1.1.50 a 1.1.1.150. Desactivará la PAT y, a continuación, establecerá una directiva que ordene al dispositivo NetScreen realizar las siguientes tareas: • Permitir el tráfico para un servicio definido por el usuario llamado “e-stock” desde cualquier dirección de la 4 zona Trust a cualquier dirección de la zona Untrust • Traducir la dirección IP de origen en el encabezado de paquetes IP a cualquier dirección disponible en el conjunto de DIP 6 • Conservar el número del puerto de origen original en el encabezado del segmento TCP o en el encabezado del datagrama UDP • Enviar tráfico e-stock con la dirección IP de origen traducida y el número de puerto original a través de ethernet3 a la zona Untrust

WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.1.1.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT
4. Se presupone que previamente habrá configurado el servicio definido por el usuario “e-stock”. Este servicio ficticio requiere que todas las transacciones de e-stock se originen en números de puerto de origen específicos. Por esta razón, deberá desactivar PAT para el conjunto de DIP 6.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones

22

50 ~ 1.1/24 2. 1.50 .1. Directiva Policies > (From: Trust.1.Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde un conjunto de DIP con PAT inhabilitada Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1. Any Service: e-stock Action: Permit > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la página de configuración básica: NAT: Source Translation: (seleccione) DIP on: (seleccione).1.1.1.150 Port Translation: (anule la selección) In the same subnet as the interface IP or its secondary IPs: (seleccione) 3.1.1.1.1. 6 (1.1.150) Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 23 . DIP Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los siguientes datos y haga clic en OK : ID: 6 IP Address Range: (seleccione).1. Any Destination Address: Address Book Entry: (seleccione). To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione).

1.50 1. DIP set interface ethernet3 dip 6 1.1. 3.1/24 2.1.1.1.1.150 fix-port Directiva set policy from trust to untrust any any e-stock nat src dip-id 6 permit save Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 24 .1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde un conjunto de DIP con PAT inhabilitada CLI 1.1. Interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10.

Un posible uso para realizar NAT-src con desplazamiento de direcciones es proporcionar mayor granularidad a las directivas en otro dispositivo NetScreen que reciba tráfico del primero. ahora puede ser más selectivo y restrictivo con las directivas que establezca para el tráfico entrante desde el sitio A. Si desea que el dispositivo NetScreen aplique NAT-src a todas las direcciones de origen.Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde un conjunto de DIP con desplazamiento de direcciones NAT-SRC DESDE UN CONJUNTO DE DIP CON DESPLAZAMIENTO DE DIRECCIONES Puede definir una asignación “uno a uno” de una dirección IP de origen original a una dirección IP de origen traducida para un rango de direcciones IP. el administrador de NetScreen-B solamente puede configurar directivas genéricas para el tráfico que puede permitir desde el sitio A. Puede haber cualquier número de direcciones en el rango. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 25 . Por ejemplo. el dispositivo NetScreen deja pasar el tráfico procedente de todas las direcciones de origen permitidas en la directiva. Salvo que el administrador de NetScreen-B conozca las direcciones IP traducidas específicas. aplicando NAT-src con desplazamiento de direcciones a las direcciones que se encuentren dentro del rango del conjunto de DIP. Nota: El dispositivo NetScreen no admite la traducción de direcciones de puertos de origen (PAT) con desplazamiento de direcciones. el administrador de NetScreen-A en el sitio A define una directiva que traduce las direcciones de origen de sus hosts al comunicarse con NetScreen-B en el sitio B a través de un túnel VPN punto a punto. Si NetScreen-A aplica NAT-src utilizando direcciones de un conjunto de DIP sin desplazamiento de direcciones. Tal asignación garantiza que el dispositivo NetScreen traduzca siempre una determinada dirección IP de origen dentro de ese rango a la misma dirección traducida dentro de un conjunto de DIP. En tales casos. solamente podrá establecer directivas de tráfico entrante para el rango de direcciones de origen tomadas del conjunto de DIP de NetScreen-A. Puede incluso asignar una subred a otra subred. estableciendo una asignación “uno a uno” permanente de cada dirección original de una subred a su equivalente traducida en la otra subred. Recuerde que es posible utilizar un conjunto de DIP con desplazamiento de direcciones habilitado en una directiva aplicable a las direcciones de origen más allá del rango especificado en el conjunto. Por otra parte. si el administrador de NetScreen-B conoce cuáles son las direcciones de origen traducidas (gracias al desplazamiento de direcciones). pero dejando intactas las direcciones que queden fuera de ese rango. asegúrese de que el rango de direcciones de origen tenga un tamaño inferior o igual que el rango del conjunto de DIP.

1.15 a cinco direcciones entre 1.1.1.12.1.1. 1.1.105. y desea que la relación entre cada dirección original y traducida sea constante: Dirección IP de origen original 10.1. 10.1.11.1.1.1.11 y 10.104 1.1.1.Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde un conjunto de DIP con desplazamiento de direcciones Ejemplo: NAT-Src con desplazamiento de direcciones En este ejemplo definirá el conjunto de DIP 10 en ethernet3.14 y 10.13.103.1.1.1.1.1.1.13 10.1. Además. 10. a la misma dirección IP traducida.1.101 y 1.1. Desea traducir cinco direcciones entre 10.103 1.1. el dispositivo NetScreen siempre aplicará NAT-src desde una dirección IP determinada.1.1.1.14 10. 10.1. Configurará una directiva para el tráfico de la zona Trust a la zona Untrust que haga referencia a ese grupo de direcciones en una directiva a la que aplicará NAT-src con el conjunto de DIP 10.1.1.101 1.1.1.102 1.15 Dirección IP de origen traducida 1. Las direcciones de estos hosts son 10.13.11 10.1.15.1.1.1. como 10.1.1. establecerá una directiva que ordene al dispositivo NetScreen realizar las siguientes tareas: • • • Permitir el tráfico HTTP desde “group1” en la zona Trust a cualquier dirección en la zona Untrust Traducir la dirección IP de origen en el encabezado de paquetes IP a su correspondiente dirección en el conjunto de DIP 10 Enviar el tráfico HTTP con la dirección IP de origen y el número de puerto traducidos a través de ethernet3 a la zona Untrust Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 26 .1.1.1. una interfaz asociada a la zona Untrust.1. A continuación.12 10.105 Definirá las direcciones de cinco hosts en la zona Trust y las agregará a un grupo de direcciones llamado “group1”.1. La directiva ordenará al dispositivo NetScreen aplicar NAT-src siempre que un miembro de “group1” inicie tráfico HTTP hacia una dirección en la zona Untrust.

1.101 ~ 1.11 To: 1.1. DIP Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los siguientes datos y haga clic en OK : ID: 10 IP Shift: (seleccione) From: 10.105 In the same subnet as the interface IP or its secondary IPs: (seleccione) Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 27 .1. Interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.1.1.Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde un conjunto de DIP con desplazamiento de direcciones WebUI 1.1.1.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.1.1.1.1/24 2.

10. 10.1.1.1.1.13/32 Zone: Trust Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK : Address Name: host4 IP Address/Domain Name: IP/Netmask: (seleccione).14/32 Zone: Trust Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 28 .1.Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde un conjunto de DIP con desplazamiento de direcciones 3.1.1. 10. 10.11/32 Zone: Trust Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK : Address Name: host2 IP Address/Domain Name: IP/Netmask: (seleccione).12/32 Zone: Trust Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK : Address Name: host3 IP Address/Domain Name: IP/Netmask: (seleccione).1. Direcciones Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK : Address Name: host1 IP Address/Domain Name: IP/Netmask: (seleccione).

Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde un conjunto de DIP con desplazamiento de direcciones Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK : Address Name: host5 IP Address/Domain Name: IP/Netmask: (seleccione).15/32 Zone: Trust Objects > Addresses > Groups > (para Zone: Trust) New: Introduzca el siguiente nombre de grupo. group1 Destination Address: Address Book Entry: (seleccione). Seleccione host3 y utilice el botón << para trasladar la dirección de la columna “Available Members” a la columna “Group Members”. Seleccione host2 y utilice el botón << para trasladar la dirección de la columna “Available Members” a la columna “Group Members”. mueva las siguientes direcciones y haga clic en OK : Group Name: group1 Seleccione host1 y utilice el botón << para trasladar la dirección de la columna “Available Members” a la columna “Group Members”. Directiva Policies > (From: Trust. To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione). Seleccione host4 y utilice el botón << para trasladar la dirección de la columna “Available Members” a la columna “Group Members”. Seleccione host5 y utilice el botón << para trasladar la dirección de la columna “Available Members” a la columna “Group Members”. 10. 4.1.1. Any Service: HTTP Action: Permit Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 29 .

1.1.1.Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde un conjunto de DIP con desplazamiento de direcciones > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la página de configuración básica: NAT: Source Translation: (seleccione) (DIP on): 10 (1.1. Directiva set policy from trust to untrust group1 any http nat src dip-id 10 permit save Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 30 .1.1.105) CLI 1.1.1.1.1.1.1.1. 3.11/32 10.12/32 10.1.11 to 1.101 1.1.13/32 10.1.1.101 .1.15/32 group1 group1 group1 group1 group1 add add add add add host1 host2 host3 host4 host5 address address address address address 4.1.1. DIP set interface ethernet3 dip 10 shift-from 10.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1.1/24 2.14/32 10. Interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10.105 Direcciones set set set set set set set set set set address address address address address group group group group group trust trust trust trust trust host1 host2 host3 host4 host5 trust trust trust trust trust 10.1.

En tales casos. que es la dirección IP de ethernet3 (la interfaz asociada a la zona Untrust) y.1 2.1.1.2.2.2.2 25611 80 HTTP 1.1/24 Zona Untrust 1.2.1 Origen traducido Destino IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO 10. el dispositivo NetScreen siempre aplica PAT.1.1.2.1.1.1. por tanto.1.5:25611 ethernet1 10. en la zona de destino.1. Ejemplo: NAT-Src sin DIP En este ejemplo definirá una directiva que ordene al dispositivo NetScreen realizar las siguientes tareas: • Permitir el tráfico HTTP desde cualquier dirección de la zona Trust a cualquier dirección de la zona Untrust • Traducir la dirección IP de origen en el encabezado de los paquetes IP a 1.1. el dispositivo NetScreen traduce la dirección IP de origen a la dirección de la interfaz de salida.1.2:80 (Dispositivo virtual) Origen original 1.Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde la dirección IP de la interfaz de salida NAT-SRC DESDE LA DIRECCIÓN IP DE LA INTERFAZ DE SALIDA Si aplica NAT-src a una directiva pero no especifica un conjunto de DIP.1.2.1. de la interfaz de salida del tráfico enviado a cualquier dirección en la zona Untrust • Traducir el número original del puerto de origen en el encabezado del segmento TCP o el encabezado del datagrama UDP a un número nuevo y exclusivo • Enviar tráfico con la dirección IP de origen y el número de puerto traducidos a través de ethernet3 a la zona Untrust Traducción de direcciones de red de origen (NAT-src) (Traduce la dirección IP de origen a la dirección IP de la interfaz de salida. 1.1.1.1/24 ethernet3 1. Zona Trust 10.1:41834 2.1.5 2. PAT está habilitada).1.2 41834 80 HTTP Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 31 .1.1.1.

Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde la dirección IP de la interfaz de salida WebUI 1. Any Service: HTTP Action: Permit Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 32 . Any Destination Address: Address Book Entry: (seleccione).1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.1.1. To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione).1.1/24 2.1. Directiva Policies > (From: Trust. Interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.

1. Directiva set policy from trust to untrust any any http nat src permit save Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 33 .1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1. Interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10.1/24 2.Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde la dirección IP de la interfaz de salida > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la página de configuración básica: NAT: Source Translation: (seleccione) (DIP on): None (Use Egress Interface IP) CLI 1.

Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde la dirección IP de la interfaz de salida Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 34 .

Capítulo 3 Traducción de direcciones de red de destino 3 NetScreen proporciona muchos métodos para realizar la traducción de direcciones de red de destino (NAT-dst) y la traducción de direcciones de puertos de destino. Este capítulo describe los diversos métodos de traducción de direcciones disponibles y está organizado en las siguientes secciones: • “Introducción a NAT-Dst” en la página 36 – “Flujo de paquetes para NAT-Dst” en la página 38 – “Enrutamiento para NAT-Dst” en la página 42 “NAT-Dst: Asignación “1:1”” en la página 46 – “Traducción de una dirección a múltiples direcciones” en la página 51 “NAT-Dst: Asignación “n:1”” en la página 55 “NAT-Dst: Asignación “n:n”” en la página 60 “NAT-Dst con asignación de puertos” en la página 65 “NAT-Src y NAT-Dst en la misma directiva” en la página 70 • • • • • Nota: Para obtener información sobre la traducción de direcciones de destino usando una IP asignada (MIP) o dirección IP virtual (VIP). Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 35 . consulte “Direcciones IP asignadas y virtuales” en la página 91.

Puede necesitar que el dispositivo NetScreen traduzca una o varias direcciones IP públicas a una o varias direcciones privadas. La asignación de puertos es la traducción determinista de un número de puerto de destino original a otro número específico. La ilustración siguiente representa los conceptos de las relaciones NAT-dst “1:1” y “n:1”.Capítulo 3 Traducción de direcciones de red de destino Introducción a NAT-Dst INTRODUCCIÓN A NAT-DST Puede definir directivas para traducir la dirección de destino de una dirección IP a otra. En la asignación de puertos. “NAT-Dst: Asignación “n:1”” en la página 55 (Dispositivos virtuales) Destino original Destino traducido Ambas configuraciones admiten la asignación de puertos de destino. Nota: Las direcciones IP de destino original y traducida deben estar en la misma zona de seguridad. En la asignación de puertos. el dispositivo NetScreen traduce un número de puerto original predeterminado a otro número de puerto predeterminado. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 36 . el dispositivo NetScreen traduce un número de puerto de origen original asignado aleatoriamente a otro número asignado aleatoriamente. La relación de la dirección de destino original con la dirección de destino traducida puede ser de “1:1” (“una a una”). la relación del número original al traducido difiere con respecto a la traducción de direcciones de puertos (PAT). Con PAT. de “n:1” (muchas a una) o de “n:n” (muchas a muchas). El dispositivo NetScreen asigna tráfico desde aquí …… “NAT-Dst: Asignación “1:1”” en la página 46 (Dispositivo virtual) hasta aquí.

La ilustración siguiente representa el concepto de una relación múltiple (“n:n”) para NAT-dst. “NAT-Dst: Asignación “n:n”” en la página 60 (Dispositivos virtuales) Destino original Destino traducido La tabla de rutas debe contener entradas tanto de la dirección IP de destino original como de la dirección IP de destino traducida. Para garantizar que la decisión de enrutamiento cumpla con la directiva. consulte “Flujo de paquetes para NAT-Dst” en la página 38). tanto la dirección IP de destino original como la dirección IP traducida deben estar en la misma zona de seguridad. de modo que el dispositivo NetScreen asigne de forma fija cada dirección de destino original a una determinada dirección de destino traducida. A continuación. Observe que NetScreen no admite la asignación de puertos con desplazamiento de direcciones. (Para obtener más información sobre la relación entre la dirección IP de destino. realiza una segunda consulta de rutas con la dirección traducida para determinar a dónde enviar el paquete. la consulta de rutas y la consulta de directivas.Capítulo 3 Traducción de direcciones de red de destino Introducción a NAT-Dst Puede traducir un rango de direcciones de destino a otro rango (como una subred a otra) mediante el desplazamiento de direcciones. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 37 . El dispositivo NetScreen realiza una consulta de rutas utilizando la dirección IP de destino original para determinar la zona de destino y realizar la subsiguiente consulta de directivas.

4. ORIG DEST ORIG DEST 1.1.5 Origen ethernet3 3.5. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 38 .5.5 Destino traducido El dispositivo NetScreen todavía no ha realizado los pasos necesarios para determinar qué interfaz debe utilizar para remitir el paquete.1.4. – Si un mecanismo SCREEN detecta un comportamiento anómalo y está configurado para registrar el evento pero no bloquear el paquete.2/24 Zona DMZ Zona Untrust ethernet1 1.5 32455 80 Carga de datos ? ? ? ethernet2 2.Capítulo 3 Traducción de direcciones de red de destino Introducción a NAT-Dst Flujo de paquetes para NAT-Dst Los pasos siguientes describen la ruta de un paquete a través de un dispositivo NetScreen y las diferentes operaciones que realiza al aplicar la traducción de direcciones de red de destino. Esto se indica en la ilustración mediante los tres signos de interrogación.3/24 Zona Trust ethernet4 4.2.1.1. el dispositivo NetScreen registra el evento en la lista de contadores SCREEN para la interfaz de entrada y procede al paso siguiente.5.5.4.1/24 1. Si hay habilitadas opciones de SCREEN para la zona Untrust. 1.5:32455 y dirección IP de destino:número de puerto 5. que está asociada a la zona Untrust.1. el dispositivo NetScreen activa el módulo SCREEN en este momento.1.2.5. Un paquete HTTP con dirección IP de origen:número de puerto 1.1.4/24 Zona Custom1 5. el dispositivo NetScreen descarta el paquete y genera una entrada en el registro de eventos.5.5 5. 2.3.5 Destino original 4. La comprobación de SCREEN puede producir uno de los tres resultados siguientes: – Si un mecanismo SCREEN detecta un comportamiento anómalo y está configurado para bloquear el paquete correspondiente.4.3.1.5:80 llega a ethernet1.

5 no se utiliza en ninguna configuración MIP o VIP. el dispositivo NetScreen ejecuta el procesamiento rápido (Fast Processing). El módulo de sesiones realiza una consulta de sesión para comprobar si el paquete coincide con una sesión existente. el dispositivo NetScreen resuelve la MIP o VIP hacia la dirección IP de destino traducida y basa en ella su consulta de rutas. 1. Si 5. 4.5.5. El dispositivo NetScreen sólo comprueba si la dirección IP de destino se utiliza en una configuración VIP si el paquete llega una interfaz asociada a la zona Untrust. Si no ha habilitado ninguna opción de SCREEN para la zona Untrust.5. 3. El procesamiento rápido omite todos los pasos salvo el último. Si el paquete no coincide con una sesión existente. el dispositivo NetScreen ejecuta los pasos restantes con el procedimiento de procesamiento del primer paquete (First Packet Processing). Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 39 . porque la información generada por los pasos omitidos ya se obtuvo durante el procesamiento del primer paquete de la sesión. Si existe tal configuración. el dispositivo NetScreen procede al paso siguiente. el dispositivo NetScreen procede al paso siguiente.5. Si encuentra una directiva que permita el tráfico. el dispositivo NetScreen remite el paquete fuera de la interfaz de salida determinada en la consulta de rutas.5. Si el paquete coincide con una sesión existente. el dispositivo NetScreen procede inmediatamente al paso siguiente. El módulo de asignación de direcciones comprueba si una dirección IP asignada (MIP) o virtual (VIP)1 utiliza la dirección IP de destino 5. Entonces realiza una consulta de directivas entre las zonas Untrust y Global.Capítulo 3 Traducción de direcciones de red de destino Introducción a NAT-Dst – Si el mecanismo SCREEN no detecta ningún comportamiento anómalo. utilizando la información disponible en la entrada de sesiones existente para procesar el paquete.

Descubre que se accede a 5.0.0/0 1.5. 7.4.0/24 2. set policy from untrust to custom1 any v-server1 http nat dst ip 4.5.5.4.3.0.5 a 4.0. El dispositivo NetScreen efectúa una segunda consulta de rutas utilizando la dirección IP traducida y descubre que se accede a 4.5 permit (Previamente habrá definido la dirección “v-server1” con la dirección IP 5.0. es decir.5/32 Utilizar interfaz: ethernet1 ethernet1 ethernet2 ethernet3 ethernet4 ethernet4 En zona: Untrust Untrust DMZ Trust Custom1 Custom1 Usar puerta de enlace: 1.0.250 0.5.0 0.0.1.5.0.1.4. el módulo de rutas realiza una consulta de rutas de la dirección IP de destino original.1.5 a 4.5.Capítulo 3 Traducción de direcciones de red de destino Introducción a NAT-Dst 5.0 0.0. El motor de directivas realiza una consulta de directivas entre las zonas Untrust y Custom1 (según lo determinado por las correspondientes interfaces de entrada y de salida).5.0.4. El dispositivo NetScreen traduce la dirección IP de destino de 5.4.0.3.4.5/32 a través de ethernet4. que está asociada a la zona Custom1. utiliza la dirección IP de destino que aparece en el encabezado del paquete que llega a ethernet1.5/32 a través de ethernet4.4. Tabla de rutas trust-vr Para llegar a: 0.5.5/32. Está en la zona Custom1).0/24 4.0 0. (El módulo de rutas utiliza la interfaz de entrada para determinar qué enrutador virtual debe utilizar para la consulta de rutas).4. Las direcciones IP de origen y de destino y el servicio encuentran una directiva que desvía el tráfico HTTP de 5. Para determinar la zona de destino.5.0.0/24 5.5.5.0 6.2.4.1. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 40 .5.0/24 3.2. La directiva indica que no se requiere ninguna traducción de direcciones de red de origen ni ninguna traducción de direcciones de puertos de destino.0 0.4.0.

vlan 0.1. policy 21. time 30 6 (21):1. Zona Untrust ethernet1 1.4. El dispositivo NetScreen remite entonces el paquete fuera de ethernet4 y crea una nueva entrada en su tabla de la sesión (salvo que este paquete sea parte de una sesión existente y ya exista una entrada). 6.5 Destino Tiempo de espera de la sesión 30 unidades (30 x 10 = 300 segundos) id 482/s**.1.5 Origen ORIG DEST ORIG DEST 1.5/32455 -> 4.4. el ajuste para todos estos números de identificación es cero.1/24 1. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 41 .4.4.4. tun 0.1. El módulo de asignación de direcciones traduce la dirección IP de destino en el encabezado del paquete a 4.Capítulo 3 Traducción de direcciones de red de destino Introducción a NAT-Dst 8.1.5 4.4.1.5 32455 80 Carga de datos ethernet4 4. flag 04000000/00/00.5/80.1.5.4. 00b0d0a8aa2b.4. túnel VPN ni dispositivo de seguridad virtual (VSD).4. vsys 0.1.4/24 Identificación de la directiva aplicable a esta sesión Flags de estado de la sesión (sólo para uso interno) Zona Custom1 Sistema virtual al que pertenece esta sesión Identificación de sesión 4.1. VLAN.4. vsd 0 Identificación de la interfaz Flag de NSP (sólo para uso interno) Dirección IP/puerto de origen Dirección IP/puerto de destino Dirección MAC de origen en la primera trama ID VLAN ID túnel ID VSD Protocolo de transporte 6 = TCP Nota: Dado que en esta sesión no hay implicado ningún sistema virtual.

ésta define la asignación de la dirección de destino original a la dirección de destino traducida. determinando de este modo la interfaz de salida. mientras que la ruta a la dirección de destino traducida especifica la interfaz de salida a través de la cual el dispositivo NetScreen debe reenviar el paquete. y 10.2. el dispositivo NetScreen utiliza la dirección de destino original para realizar una consulta de rutas.1. el dispositivo NetScreen debe disponer en su tabla de enrutamiento de rutas tanto a la dirección de destino original que aparece en el encabezado del paquete como a la dirección de destino traducida (es decir. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 42 .Capítulo 3 Traducción de direcciones de red de destino Introducción a NAT-Dst Enrutamiento para NAT-Dst Al configurar las direcciones para NAT-dst. Al mismo tiempo.5 permit donde “oda1” es la dirección de destino original 10.5 es la dirección de destino traducida.1.1. la interfaz de salida proporciona la zona de destino (la zona a la que está asociada la interfaz) para que el dispositivo NetScreen pueda realizar una consulta de directivas. Cuando el dispositivo NetScreen encuentra una directiva aplicable. En resumen. El dispositivo NetScreen realiza entonces una segunda consulta de rutas para determinar la interfaz a través de la cual debe reenviar el paquete para alcanzar la nueva dirección de destino. Según lo explicado en “Flujo de paquetes para NAT-Dst” en la página 38.5.1. En los tres supuestos siguientes. la necesidad de introducir rutas estáticas cambia según la topología de red que rodea a las direcciones de destino a las que se refiere esta directiva: set policy from untrust to trust any oda1 http nat dst ip 10. la ruta a la dirección de destino original proporciona un medio de realizar la consulta de directivas. la dirección a la cual el dispositivo NetScreen reenvía el paquete).1.

0/24 a través de ethernet3 al configurar la dirección IP de la interfaz ethernet3 como 10.0.5/32 a través de ethernet3.2. deberá agregar una ruta adicional a 10.2.0/24 porque su ruta no especifica una puerta de enlace.1.1.1/24 Destino traducido 10.5/32 interface ethernet3 save Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 43 .1.5 (Dispositivo virtual) Nota: La zona Untrust no se muestra. ethernet3 10.1.1.5 Zona Trust 10.2. Destino original “oda1” 10.1.2.1. está ilustrada como si estuviese en la misma subred conectada que el espacio de direcciones 10.0.1. WebUI Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 10.1/24. Para completar los requisitos de enrutamiento.1.1. El dispositivo NetScreen agrega automáticamente una ruta a 10.0 CLI set vrouter trust-vr route 10. las rutas a las direcciones de destino originales y traducidas dirigen el tráfico a través de la misma interfaz.1.5 no se encuentra en la subred 10.1.1. ethernet3.1.0/24 Nota: Aunque 10.5/32 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 0.1.1.2.1.0/24.1.1.Capítulo 3 Traducción de direcciones de red de destino Introducción a NAT-Dst Direcciones conectadas a una interfaz En este escenario.

1.1.2.0/24 WebUI Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 10.0/24.Capítulo 3 Traducción de direcciones de red de destino Introducción a NAT-Dst Direcciones conectadas a una interfaz pero separadas por un enrutador En este escenario.0/24 interface ethernet3 gateway 10.2.2. El dispositivo NetScreen agrega automáticamente una ruta a 10.0/24 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 10.2. probablemente ya la haya configurado.0/24 10.1.1.1. ethernet3 10.0/24 a través de ethernet3 y a la puerta de enlace que conecta las subredes 10.2.0/24.1.5 Zona Trust 10.250 CLI set vrouter trust-vr route 10.1.0/24 y 10.1/24 Destino original “oda1” 10.250/24 (Dispositivo virtual) Nota: La zona Untrust no se muestra.2.250/24 10.1.1.1.1.1. En tal caso. no es necesario agregar ninguna ruta adicional sólo para que la directiva aplique NAT-dst a 10.1.2.1. deberá agregar una ruta a 10.0/24 a través de ethernet3 al configurar la dirección IP de la interfaz ethernet3 como 10. Nota: Dado que esta ruta es necesaria para alcanzar cualquier dirección en la subred 10.2.1.1.5 10.1. Para completar los requisitos de enrutamiento.1.1.1.5.1.1.1/24.1.2.1.250 save Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 44 . Destino traducido 10.1. las rutas a las direcciones de destino original y traducida dirigen el tráfico a través de ethernet3.1.1.

no es necesario agregar ninguna otra ruta para que el dispositivo NetScreen aplique NAT-dst de 10. 10.0/24 a través de ethernet3 y a 10.1/24 (Dispositivo virtual) Destino original “oda1” 10.1.5.1.2.1. El dispositivo NetScreen agrega automáticamente una ruta a 10.2.5 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 45 .1/24 y ethernet4 con la dirección IP 10.1.0/24 Zona Trust 10.1.1.2.5 a 10.2.2.1.1.2.1.0/24 ethernet4 10.1. Destino traducido 10.1.1.1.5 ethernet3 10.1.1/24 Nota: La zona Untrust no se muestra.1.2. Al colocar la dirección original de destino en la subred 10.0/24.1.Capítulo 3 Traducción de direcciones de red de destino Introducción a NAT-Dst Direcciones separadas por una interfaz En este escenario hay dos interfaces asociadas a la zona Trust: ethernet3 con la dirección IP 10.1/24.0/24 a través de ethernet4 cuando se configuran las direcciones IP de estas interfaces.0/24 y la dirección de destino traducida en la subred 10.1.1.1.1.1.

el dispositivo NetScreen traduce la dirección IP de destino y realiza una inspección de estado según se muestra a continuación (observe que solamente se muestran los elementos de los encabezados del paquete IP y del segmento TCP relevantes para NAT-dst): Or gen 2 2 2 5 36104 Zona Un rus P OR G Ne Screen e herne 3 1 1 1 1 24 Un rus e herne 2 10 1 1 1 24 DMZ D spos vo v ua Des no or g na 1 2 1 5 80 Zona DMZ Des no raduc do 10 1 1 5 80 P DEST PTO OR G PTO DEST PROTO 2225 1215 36104 80 HTTP E d spos vo Ne Sc een aduce a d ecc ón P de des no de 1 2 1 5 a 10 1 1 5 A macena a n o mac ón pa a as d ecc ones P y de pue o e núme o de pue o pe manece na e ado en su ab a de a ses ón P OR G P DEST PTO OR G PTO DEST PROTO 2225 P OR G 10 1 1 5 36104 80 HTTP P DEST PTO OR G PTO DEST PROTO 10 1 1 5 2225 80 36104 HTTP E d spos vo Ne Sc een compa a a n o mac ón de P y pue o con en da en e paque e con a n o mac ón a macenada en su ab a de a ses ón Luego aduce a d ecc ón P de o gen de 10 1 1 5 a 1215 P OR G P DEST PTO OR G PTO DEST PROTO 1215 2225 80 36104 HTTP Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 46 .Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “1:1” NAT-DST: ASIGNACIÓN “1:1” Al aplicar la traducción de direcciones de red de destino (NAT-dst) sin traducción de direcciones de puertos.

8 25611 80 HTTP IP DEST PTO ORIG PTO DEST PROTO IP DEST PTO ORIG PTO DEST PROTO 2.2.1.2.8 IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP DEST PTO ORIG PTO DEST PROTO 2.8 a 10. Destino original “oda2” 1.5 IP ORIG 1.1.2.8 en la zona DMZ Traducir la dirección IP de destino en el encabezado de paquetes IP de 1.8 40365 21 FTP Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 47 . Las zonas Untrust y DMZ se encuentran en el dominio de enrutamiento trust-vr.2.2.1.1/24.1.2.5 10.8 40365 21 FTP 2. Asociará ethernet2 a DMZ y le asignará la dirección IP 10.2.1.2. La directiva ordena al dispositivo NetScreen realizar las siguientes tareas: • • • • Permitir el tráfico FTP y HTTP (definido como grupo de servicios “http-ftp”) de cualquier dirección en la zona Untrust a la dirección original de destino denominada “oda2” con la dirección 1.1.1/24 Zona Untrust Origen 2.1.2.2.2.2.1.2.2.5 1.1.1.1.1/24 (Dispositivo virtual) Destino traducido 10.8 en la zona DMZ Asociará ethernet3 a la zona Untrust y le asignará la dirección IP 1.2.1.2.2.1/24.2.1.8 25611 80 HTTP 2.8 a través de ethernet2.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “1:1” Ejemplo: Traducción de destinos “1:1” En este ejemplo establecerá una directiva para realizar la traducción “1:1” de direcciones de red de destino (NAT-dst) sin cambiar las direcciones de los puertos de destino.1.2.5 IP ORIG 10.1.5 Zona DMZ IP ORIG ethernet2 10.2.1.2.2. También definirá una ruta a la dirección de destino original 1.8 Dejar intacto el número de puerto de destino original en el encabezado del segmento TCP (80 para HTTP y 21 para FTP) Reenviar el tráfico HTTP y FTP a 10.2.8 ethernet3 1.1.

Grupo de servicios Objects > Services > Groups: Introduzca el siguiente nombre de grupo. 1. Dirección Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK : Address Name: oda2 IP Address/Domain Name: IP/Netmask: (seleccione).1.1.1.1. mueva los siguientes servicios y haga clic en OK : Group Name: HTTP-FTP Seleccione HTTP y utilice el botón << para mover el servicio de la columna “Available Members” a la columna “Group Members”.1/24 2. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 48 .2.8/32 Zone: DMZ 3.1/24 Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.2. Interfaces Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “1:1” WebUI 1.

10. 4.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “1:1” Seleccione FTP y utilice el botón << para mover el servicio de la columna “Available Members” a la columna “Group Members”.0. oda2 Service: HTTP-FTP Action: Permit > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la página de configuración básica: NAT: Destination Translation: (seleccione) Translate to IP: (seleccione). Ruta Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 1.1.0 5.8 Map to Port: (anule la selección) Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 49 . Any Destination Address: Address Book Entry: (seleccione).8/32 Gateway: (seleccione) Interface: ethernet2 Gateway IP Address: 0.0. To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione). Directiva Policies > (From: Untrust.2.1.2.

1.8/32 interface ethernet2 Directiva set policy from untrust to dmz any oda2 http-ftp nat dst ip 10.2.8 permit save Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 50 .1.2.1/24 2.2.1. 5.2. 3.1. Ruta set vrouter trust-vr route 1. Dirección set address dmz oda2 1.1.8/32 Grupo de servicios set group service http-ftp set group service http-ftp add http set group service http-ftp add ftp 4.1/24 set interface ethernet2 zone dmz set interface ethernet2 ip 10.1. Interfaces set interface ethernet3 zone untrust set interface ethernet3 ip 1.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “1:1” CLI 1.

2.1.2.9 • Dejar intacto el número de puerto de destino original en el encabezado del segmento TCP (80 para HTTP y 21 para FTP) • Transmitir el tráfico HTTP a 10.2.8:21 Zona DMZ (Dispositivo virtual) Zona Untrust 2.2.8:80 1.1/24 Destino original “oda3” 1.2.9 (consulte el ejemplo siguiente). pero que dirijan el tráfico enviado a esa dirección a dos direcciones de destino traducidas diferentes basándose en el tipo de servicio.1.8 40365 21 FTP 2.2.5 10.2.1.8 25611 80 HTTP 2.8 IP DEST PTO ORIG PTO DEST PROTO IP DEST PTO ORIG PTO DEST PROTO 2.2. pero que el tráfico HTTP sea enviado desde host2 a 1.2.2.2.1.1.8 a 10.1/24 ethernet2 10.2. traducir la dirección IP de destino del encabezado del paquete IP de 1.2.2.37.1.1.2.1.1.1.5:25611 2.2.2.2.8.2.2.2.8:80 25611 80 HTTP IP DEST PTO ORIG PTO DEST PROTO IP DEST PTO ORIG PTO DEST PROTO 2. Ejemplo: Traducción de destinos “1:n” En este ejemplo creará dos directivas que utilicen la misma dirección de destino original (1.1.1.2. Quizás le interese que el dispositivo NetScreen desvíe el tráfico HTTP de 1. traducir la dirección IP de destino de 1.1.5 IP ORIG 10.2.1.1.2. Estas directivas ordenarán al dispositivo NetScreen realizar las siguientes tareas: • Permitir el tráfico FTP y HTTP procedente de cualquier dirección de la zona Untrust a una dirección definida por el usuario llamada “oda3” en la zona DMZ • Para el tráfico HTTP.1. En ambos casos. el dispositivo NetScreen desviará a diferentes direcciones traducidas el tráfico enviado a la misma dirección de destino original.2.2.5:40365 Origen IP ORIG Destino traducido 10.1.2.2.8 a 10.9:21 IP ORIG Destino traducido 10.9 en la zona DMZ ethernet3 1. O también que el dispositivo NetScreen desvíe el tráfico HTTP enviado desde host1 a 1.2.1.1.8 y el tráfico FTP a 10.1.8 y hacia 10.2.2.8 y el tráfico FTP de 1.1.8).1.5 1.9 40365 21 FTP Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 51 .2.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “1:1” Traducción de una dirección a múltiples direcciones El dispositivo NetScreen puede traducir la misma dirección de destino original a diversas direcciones de destino traducidas especificadas en diferentes directivas.1.8 hacia 10.2.8 • Para el tráfico FTP.5 IP ORIG 1. dependiendo del tipo de servicio o de la dirección de origen especificada en cada directiva.2.8 a 10.2.2.8 a 10.1.1.1.

1.1. Las zonas Untrust y DMZ se encuentran en el dominio de enrutamiento trust-vr.1.1/24 2.1. Dirección Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK : Address Name: oda3 IP Address/Domain Name: IP/Netmask: (seleccione).2.1.1/24 Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10. También definirá una ruta a la dirección de destino original 1. Interfaces Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.1.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “1:1” Asociará ethernet3 a la zona Untrust y le asignará la dirección IP 1. WebUI 1.1.8 a través de ethernet2.1/24. 1.2.2.2.1/24.1.8/32 Zone: DMZ Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 52 . Asociará ethernet2 a DMZ y le asignará la dirección IP 10.

10.0 4. Ruta Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 1. Any Destination Address: Address Book Entry: (seleccione). oda3 Service: HTTP Action: Permit > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la página de configuración básica: NAT: Destination Translation: (seleccione) Translate to IP: (seleccione).0.1.2. To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione).Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “1:1” 3.0. Directivas Policies > (From: Untrust.8/32 Gateway: (seleccione) Interface: ethernet2 Gateway IP Address: 0.1.2.8 Map to Port: (anule la selección) Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 53 .

1/24 2.1.1.1.2. Any Destination Address: Address Book Entry: (seleccione).1.1. Interfaces set interface ethernet3 zone untrust set interface ethernet3 ip 1.1/24 set interface ethernet2 zone dmz set interface ethernet2 ip 10. Dirección set address dmz oda3 1. oda3 Service: FTP Action: Permit > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la página de configuración básica: NAT: Destination Translation: (seleccione) Translate to IP: (seleccione).8/32 interface ethernet2 Directivas set policy from untrust to dmz any oda3 http nat dst ip 10. To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione).8 permit set policy from untrust to dmz any oda3 ftp nat dst ip 10. 10.2.8/32 Ruta set vrouter trust-vr route 1.2. 4.9 Map to Port: (anule la selección) CLI 1.1.2. 3.1.1.9 permit save Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 54 .2.2.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “1:1” Policies > (From: Untrust.

Opcionalmente.1/24 ethernet2 10.2.1.1.1.1.2.15 40365 80 HTTP Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 55 .1. En este caso.2.10:80 Destino traducido 10.1.6:40365 IP ORIG IP DEST PTO ORIG PTO DEST PROTO (Dispositivos virtuales) IP ORIG IP DEST PTO ORIG PTO DEST PROTO 1.1.20) en la zona DMZ • Traducir las direcciones IP de destino del encabezado de paquetes IP de 1.1.10) y “oda5” (1.5 IP ORIG 1.2. también puede especificar la asignación de puertos de destino.2.1.1.1.15 IP ORIG 25611 80 HTTP IP DEST PTO ORIG PTO DEST PROTO IP DEST PTO ORIG PTO DEST PROTO 1.1.1.5 10.2.1.1.1/24 Destino original “oda4” 1.20 a 10.2.10 y 1.1.2.2.15:80 Destino original “oda5” 1.10 y 1.2.1.1. el dispositivo NetScreen reenvía el tráfico enviado a varias direcciones de destino originales a una sola dirección de destino traducida.5:25611 1.2.1.2. Esta directiva ordena al dispositivo NetScreen realizar las siguientes tareas: • Permitir el tráfico HTTP procedente de cualquier dirección de la zona Untrust a un grupo de direcciones definido por el usuario denominado “oda45” con las direcciones “oda4” (1.20:80 Zona Untrust Zona DMZ Orígenes 1.1.15:80 10.2.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “n:1” NAT-DST: ASIGNACIÓN “N:1” La relación de la dirección de destino original con la dirección de destino traducida también puede ser “n:1”.6 10.1.1.2.20 40365 80 HTTP 1.1.2.1.20) a la misma dirección de destino traducida.15 en la zona DMZ ethernet3 1.1.1.15 • Dejar intacto el número de puerto de destino original en el encabezado del segmento TCP (80 para HTTP) • Reenviar el tráfico HTTP a 10.1.1.10 25611 80 HTTP 1.6 1. Ejemplo: Traducción de destinos “n:1” En este ejemplo creará una directiva que desviará el tráfico enviado a diferentes direcciones de destino originales (1.2.2.1.1.1.

1.2. Asociará ethernet2 a DMZ y le asignará la dirección IP 10. WebUI 1.2.1.20 a través de ethernet2. Interfaces Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.1.1. Direcciones Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK : Address Name: oda4 IP Address/Domain Name: IP/Netmask: (seleccione).2.10 y 1.1.2. Las zonas Untrust y DMZ se encuentran en el dominio de enrutamiento trust-vr.2. 1.20/32 Zone: DMZ Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 56 .10/32 Zone: DMZ Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK : Address Name: oda5 IP Address/Domain Name: IP/Netmask: (seleccione).1.1/24.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “n:1” Asociará ethernet3 a la zona Untrust y le asignará la dirección IP 1.1/24 2.1.1.2. 1. También definirá una ruta a las direcciones de destino originales 1.1/24.1/24 Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.1.1.

10/32 Gateway: (seleccione) Interface: ethernet2 Gateway IP Address: 0.0. mueva las siguientes direcciones y haga clic en OK : Group Name: oda45 Seleccione oda4 y utilice el botón << para trasladar la dirección de la columna “Available Members” a la columna “Group Members”. Seleccione oda5 y utilice el botón << para trasladar la dirección de la columna “Available Members” a la columna “Group Members”.0.0. Rutas Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 1.0.0 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 1.0 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 57 .Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “n:1” Objects > Addresses > Groups > (para Zone: DMZ) New: Introduzca el siguiente nombre de grupo. 3.2.2.20/32 Gateway: (seleccione) Interface: ethernet2 Gateway IP Address: 0.1.1.

Any Destination Address: Address Book Entry: (seleccione).2.1. Directiva Policies > (From: Untrust. To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione). 10.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “n:1” 4. oda45 Service: HTTP Action: Permit > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la página de configuración básica: NAT: Destination Translation: (seleccione) Translate to IP: (seleccione).15 Map to Port: (anule la selección) Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 58 .

Interfaces set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.20/32 interface ethernet2 4.2.1. Directiva set policy from untrust to dmz any oda45 http nat dst ip 10.1.1.2.2.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “n:1” CLI 1.1.1/24 2.10/32 interface ethernet2 set vrouter trust-vr route 1.1.1/24 set interface ethernet2 zone dmz set interface ethernet2 ip 10.1.2.10/32 address dmz oda5 1.20/32 group address dmz oda45 add oda4 group address dmz oda45 add oda5 3.1.2.2. Direcciones set set set set address dmz oda4 1.15 permit save Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 59 . Rutas set vrouter trust-vr route 1.

3.100.1.3. El rango de direcciones puede ser una subred o un subconjunto de direcciones dentro de una subred.3.1. Por ejemplo.150 permit Si cualquier host en zoneA inicia tráfico HTTP hacia una dirección dentro del rango definido en zoneB.1 a 10.137.50 y la dirección inicial del rango de direcciones traducidas es 10. las direcciones de origen y de destino.100.100.102 10.3.1. puede crear otra directiva que permita el tráfico desde cualquier host en zoneA a cualquier host en zoneB y colocarla después de la directiva 1 en la lista de directivas: set policy id 1 from zoneA to zoneB any addr1-50 http nat dst ip 10.3.3.1.1. que contiene todas las direcciones de 10. El dispositivo NetScreen solamente aplica NAT-dst si las zonas de origen y de destino.50 – 10.101 10.101 10.100.100.1 – 10.150 Si. NetScreen utiliza un mecanismo de desplazamiento de direcciones para mantener las relaciones entre el rango de direcciones de destino original después de traducirlas al nuevo rango de direcciones.3. si el rango de direcciones originales es 10.100. Por ejemplo.37.100.3 – 10.1.3.101 10.50.150 permit set policy id 2 from zoneA to zoneB any any any permit Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 60 .1.1.3.101. como 10. desea crear una directiva que aplique las traducciones antedichas al tráfico HTTP desde cualquier dirección de zoneA a un grupo de direcciones denominado “addr1-50”.1.1.48 – 10.103 … 10.100.1. el dispositivo NetScreen traduce las direcciones como sigue: • • • • • • 10.1. puede introducir el comando CLI siguiente: set policy id 1 from zoneA to zoneB any addr1-50 http nat dst ip 10.2 – 10. en zoneB.1.1 a 10.100.3.1.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “n:n” NAT-DST: ASIGNACIÓN “N:N” Puede utilizar la traducción de direcciones de red de destino (NAT-dst) para traducir un rango de direcciones IP a otro rango.3. el dispositivo NetScreen aplica esta directiva y traduce la dirección de destino a 10.49 – 10.1.149 10.100.1. por ejemplo.1.1.100.3. y el servicio especificados en la directiva coinciden con estos componentes en el paquete.1.1.148 10.1.1.100.

2.1.2.1 1.1.1/24.2.1.0/24 “oda6” 1.0/24 Asociará ethernet3 a la zona Untrust y le asignará la dirección IP 1.2.253 1.37 en la zona B.1.2 – 10.0/24 a una dirección correspondiente en la subred 10.2.2.1.1.1.2.1.2 1.1.1.1.2.2.2.1.2. El dispositivo NetScreen aplica la directiva 2 porque el servicio no es HTTP.1. Ejemplo: Traducción de destinos “n:n” En este ejemplo configurará una directiva que aplique NAT-dst cuando se envíe cualquier tipo de tráfico a cualquier host en una subred.254 – 10.253 – 10.2.3 1.51 en la zona B.0/24) a través de ethernet2.1.2.0/24 Dejar intacto el número de puerto de destino original en el encabezado del segmento TCP Reenviar el tráfico HTTP a la dirección traducida en la zona DMZ Zona Untrust ethernet3 1.1 – 10. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 61 .1.1. y entrega el tráfico sin traducir la dirección de destino. También definirá una ruta a la dirección de destino original (1.254 Destinos traducidos Destinos originales 10.1.2.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “n:n” Una vea configuradas estas dos directivas.2.1/24 ethernet2 10. los siguientes tipos de tráfico enviados desde un host en zoneA a un host en zoneB evitan el mecanismo de NAT-dst: • • Un host de zoneA inicia tráfico no HTTP hacia 10.1.1.1.1.1/24 Zona DMZ Internet 1.1. Un host de zoneA inicia tráfico HTTP hacia 10.1. ordenando al dispositivo NetScreen realizar las siguientes tareas: • • • • Permitir todos los tipos del tráfico desde cualquier dirección de la zona Untrust a cualquier dirección en la zona DMZ Traducir la dirección de destino original denominada “oda6” de la subred 1. El dispositivo NetScreen también aplica la directiva 2 porque la dirección de destino no pertenece al grupo de direcciones addr1-50. y entrega el tráfico sin traducir la dirección de destino.1.2.1. Asociará ethernet2 a DMZ y le asignará la dirección IP 10.1/24.3 – 10. Las zonas Untrust y DMZ se encuentran en el dominio de enrutamiento trust-vr.2.

Ruta Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 1.0/24 Gateway: (seleccione) Interface: ethernet2 Gateway IP Address: 0.1/24 Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.1.0/24 Zone: DMZ 3.0.2.1/24 2. Dirección Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK : Address Name: oda6 IP Address/Domain Name: IP/Netmask: (seleccione).2.0.1. 1. Interfaces Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “n:n” WebUI 1.0 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 62 .1.1.1.2.

10. oda6 Service: Any Action: Permit > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la página de configuración básica: NAT: Destination Translation: (seleccione) Translate to IP Range: (seleccione).Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “n:n” 4.2.1.2.254 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 63 . Any Destination Address: Address Book Entry: (seleccione).1. To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione).0 – 10. Directiva Policies > (From: Untrust.

Dirección set address dmz oda6 1.1. Interfaces set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.254 permit save Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 64 .0/24 interface ethernet2 Directiva set policy from untrust to dmz any oda6 any nat dst ip 10.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “n:n” CLI 1.1 10.1/24 set interface ethernet2 zone dmz set interface ethernet2 ip 10.2. 3.1.2.1.1.1.1/24 2.2. 4.2.1.0/24 Ruta set vrouter trust-vr route 1.2.

1/24 ethernet2: Zona DMZ.2.15/32 en la zona DMZ.15 en la zona DMZ • Traducir la dirección IP de destino original denominada “oda7” de 1. Estas directivas ordenarán al dispositivo NetScreen realizar las siguientes tareas: • Permitir Telnet desde cualquier dirección en las zonas Untrust y Trust hacia 1.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst con asignación de puertos NAT-DST CON ASIGNACIÓN DE PUERTOS Cuando se configura el dispositivo NetScreen para realizar la traducción de direcciones de red de destino (NAT-dst).1/24 Definirá una entrada de dirección “oda7” con la dirección IP 1. el dispositivo NetScreen realiza NAT-dst sin asignación de puertos (puerto de destino 80 -> 80). uno en el puerto 80 y otro en el puerto 8081. Una razón para habilitar la asignación de puertos es admitir múltiples procesos de servidor para un solo servicio en un solo host.2. El host puede distinguir el tráfico HTTP dirigido a ambos servidores web por los dos diferentes números de puerto de destino. puede habilitar opcionalmente la asignación de puertos.1.1.2.1. Para el servicio 1 de HTTP.1. 10.1. Consulte “NAT-Dst: Asignación “n:n”” en la página 60. 10.2.2.1. el dispositivo NetScreen aplica NAT-dst a la misma dirección IP de destino con asignación de puertos (puerto destino 80 -> 8081).2. 1.1.15 • Traducir el número de puerto de destino original en el encabezado del segmento TCP de 23 a 2200 • Reenviar el tráfico Telnet a la dirección traducida en la zona DMZ Configurará los siguientes enlaces de interfaz a zona y asignaciones de direcciones: • • • ethernet1: Zona Trust.1. un host puede ejecutar dos servidores web. Por ejemplo. Untrust y DMZ se encuentran en el dominio de enrutamiento trust-vr.15 a 10. Ejemplo: NAT-dst con asignación de puertos En este ejemplo creará dos directivas que apliquen NAT-dst y asignación de puertos al tráfico Telnet procedente de las zonas Trust y Untrust y dirigido a un servidor Telnet en la zona DMZ. Para el servicio 2 de HTTP.1/24 ethernet3: Zona Untrust. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 65 .1. Las tres zonas Trust. Nota: NetScreen no admite la asignación de puertos para NAT-dst con desplazamiento de direcciones. También definirá una ruta a la dirección de destino original 1.15 a través de ethernet2.1.

15/32 Zone: DMZ Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 66 . Interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.1.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.1.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst con asignación de puertos WebUI 1.1.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.1. Dirección Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK : Address Name: oda7 IP Address/Domain Name: IP/Netmask: (seleccione).1.1/24 2.2. 1.2.1.

1.2.15 Map to Port: (seleccione).1.0.2. Ruta Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 1.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst con asignación de puertos 3. 2200 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 67 . Any Destination Address: Address Book Entry: (seleccione).0. To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione).0 4.15/32 Gateway: (seleccione) Interface: ethernet2 Gateway IP Address: 0. Directivas Policies > (From: Trust. oda7 Service: Telnet Action: Permit > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la página de configuración básica: NAT: Destination Translation: (seleccione) Translate to IP: (seleccione). 10.

2. oda7 Service: Telnet Action: Permit > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la página de configuración básica: NAT: Destination Translation: (seleccione) Translate to IP: (seleccione). To: DMZ) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione).Capítulo 3 Traducción de direcciones de red de destino NAT-Dst con asignación de puertos Policies > (From: Untrust. 2200 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 68 . Any Destination Address: Address Book Entry: (seleccione). 10.15 Map to Port: (seleccione).1.

15/32 interface ethernet2 Directivas set policy from trust to dmz any oda7 telnet nat dst ip 10.1.15 port 2200 permit set policy from untrust to dmz any oda7 telnet nat dst ip 10.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 1.1. 3.2. Interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10.1.2.2.1/24 2.1.15/32 Ruta set vrouter trust-vr route 1.2.1.1/24 set interface ethernet1 nat set interface ethernet2 zone dmz set interface ethernet2 ip 10.Capítulo 3 Traducción de direcciones de red de destino NAT-Dst con asignación de puertos CLI 1.1.1.15 port 2200 permit save Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 69 . Dirección set address dmz oda7 1.1.1. 4.

173.2 – tunnel. NetScreen-1 reenvía su tráfico a través de uno de dos túneles 2 VPN basados en rutas para alcanzar los servidores de destino .1/30 – tunnel.173.10.50.173.173. 10. que tiene la dirección IP 10.0/24 y 10.0/24 para este fin.1/24 y está asociada a la zona Trust.1. Para mantener la independencia y flexibilidad de direccionamiento.0/24 a 10.7. 3.1.173. 10.2–10.10.40. Las interfaces de túnel asociadas a estos túneles se encuentran en la zona Untrust. Deberá utilizar una configuración de VPN basada en rutas con NAT-dst.0/24 2.173.50.6 • Cuando NetScreen-1 realiza NAT-dst.173.5/30 • Cada interfaz de túnel admite los siguientes conjuntos de DIP con PAT habilitada: – tunnel.173.2.30.173. Esta combinación proporciona un medio para cambiar tanto la dirección IP de origen como la de destino en un único punto de la ruta de datos. DIP ID 5: 10.1. Debido a que los clientes podrían tener las mismas direcciones que los servidores a los que desean conectarse. DIP ID 6: 10.0/24. 10.10.10. 10.1–10.Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva NAT-SRC Y NAT-DST EN LA MISMA DIRECTIVA Puede combinar la traducción de direcciones de red de origen y de destino (NAT-src y NAT-dst) en una misma directiva. Estas direcciones se utilizan de la siguiente forma: • Las dos interfaces de túnel tienen las siguientes asignaciones de direcciones: – tunnel.6–10. El proveedor de servicios ordena a los clientes y a los administradores de la granja de servidores que reserven las direcciones 10. 10.173. NetScreen-1 debe realizar la traducción de las direcciones tanto de origen como de destino (NAT-src y NAT-dst).173. consulte “NAT-Dst: Asignación “n:n”” en la página 60.40.20.20.0/24 a 10. Las VPNs basadas en directivas no admiten NAT-dst.1.30. traduce las direcciones de destino originales mediante desplazamiento de direcciones como sigue3: – 10.173.0/24 – 10.173.10.10.10.0/24.2.173. Para obtener más información sobre el desplazamiento de direcciones al realizar NAT-dst. Ejemplo: NAT-Src y NAT-Dst combinadas En este ejemplo configurará un dispositivo NetScreen (NetScreen-1) que se encontrará entre los clientes y las granjas de servidores de un proveedor de servicios. Los clientes se conectan a NetScreen-1 a través de ethernet1.173. Las dos zonas Trust y Untrust se encuentran en el dominio de enrutamiento trust-vr.10. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 70 .173. los dispositivos NetScreen que protegen las granjas de servidores NetScreen-A y NetScreen-B realizan NAT-dst.

1/24 • Destino traducido 10.173.10.0.2.2.100.173.0.2. Trust 10.0/24 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 71 .1.0/24 ethernet1 ethernet3 • Destino traducido 10.3.1. NetScreen-1 tunnel.50.100.0/0 .1. como administrador de NetScreen-1.1/30 NAT-src • Conjunto de DIP 10.173.173.1/24 NAT-dst • Destino original 10.100.0/24 • Destino traducido 10.173.0/24 10.20.1. no tiene ningún control sobre las direcciones de origen y de destino.10.30.0/24 Los clientes con direcciones IP de origen diferentes se conectan a los servidores de un proveedor de servicios a través de túneles VPN. La identificación del proxy tanto para vpn1 como para vpn2 es 0.173.2 NAT-dst NetScreen-A • Destino original 10.0/24 Untrust 2.1/24 vpn1 vpn2 Zona Trust Enrutador El dispositivo NetScreen realiza NAT-src y NAT-dst porque usted.100.0/24 10.2 – 10.2.3.1.6 – 10. NetScreen-1 tunnel.0/0 .173. Nota: La configuración para NetScreen-1 se proporciona en primer lugar.3. (Para ver los detalles sobre estas propuestas.10.3.1/24 1. consulte “Negociación de túnel” en la página 5 -11). Direcciones de clientes 10.0/24 tunnel.0/24 10.10.173. 10.40.100.0/24 NetScreen-1 NetScreen-A 10.10.1.173.100.50.100. Los dos dispositivos NetScreen que protegen las granjas de servidores también realizan NAT-dst para conservar la independencia y flexibilidad de direccionamiento.1. Trust 10.1/24 NAT-dst • Destino original 10.3. NetScreen-1 podrá procesar las peticiones de servicio de los clientes. clave previamente compartida (“netscreen1” para vpn1 y “netscreen2” para vpn2).Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva Las configuraciones para ambos túneles—vpn1 y vpn2—utilizan los parámetros siguientes: AutoKey IKE. Mientras haya un espacio de direcciones mutuamente neutral para traducir direcciones entrantes y salientes.1.2.173.100. 10.10.any.3/24.5/30 NAT-src • Conjunto de DIP 10.0. 10. Después se incluyen las configuraciones de VPN para NetScreen-A y NetScreen-B.0/24 Zona Untrust NetScreen-B Untrust 3.6 NAT-dst • Destino original 10.30.2.0.2. así como el nivel de seguridad predefinido como “Compatible” para propuestas de Fase 1 y Fase 2.100.0/24 NetScreen-B 10.2.1.2.1/24 tunnel.2/24.173.1.0.173.1.0/24 • Destino traducido 10. 10.

1.1.173.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.173.1 Zone (VR): Untrust (trust-vr) Fixed IP: (seleccione) IP Address / Netmask: 10.1/30 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK : Tunnel Interface Name: tunnel.1/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK : Tunnel Interface Name: tunnel.1.Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva WebUI (NetScreen-1) 1.5/30 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 72 .1 Zone (VR): Untrust (trust-vr) Fixed IP: (seleccione) IP Address / Netmask: 10.1.10. Interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.10.

173.6 ~ 10.10.20.40. 10.0/24 Zone: Untrust Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 73 .6 Port Translation: (seleccione) In the same subnet as the interface IP or its secondary IPs: (seleccione) 3. 10.2 Port Translation: (seleccione) In the same subnet as the interface IP or its secondary IPs: (seleccione) Network > Interfaces > Edit (para tunnel. 10.0/24 Zone: Untrust Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: serverfarm-B IP Address/Domain Name: IP/Netmask: (seleccione).Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva 2.173.10.10. 10.173.173.2) > DIP > New: Introduzca los siguientes datos y haga clic en OK : ID: 6 IP Address Range: (seleccione). Direcciones Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: serverfarm-A IP Address/Domain Name: IP/Netmask: (seleccione).1) > DIP > New: Introduzca los siguientes datos y haga clic en OK : ID: 5 IP Address Range: (seleccione).173.2 ~ 10. Conjuntos de DIP Network > Interfaces > Edit (para tunnel.173.10.

0. Address/Hostname: 2.2.2 Preshared Key: netscreen1 Security Level: Compatible Outgoing Interface: ethernet3 4 > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la página de configuración básica de AutoKey IKE: Bind to Tunnel Interface: (seleccione). aunque en este caso se encuentran en la misma zona.0.0.0/0 Service: ANY 4. tunnel.0/0 Remote IP / Netmask: 0. VPNs VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK : VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: (seleccione) Gateway Name: gw-A Type: Static IP: (seleccione).0. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 74 . La interfaz de salida no necesita estar en la misma zona a la que está asociada la interfaz del túnel.Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva 4.1 Proxy-ID: (seleccione) Local IP / Netmask: 0.2.

2 Proxy-ID: (seleccione) Local IP / Netmask: 0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.0.0/0 Remote IP / Netmask: 0.0/0 Service: ANY 5.1. tunnel.3.Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK : VPN Name: vpn2 Security Level: Compatible Remote Gateway: Create a Simple Gateway: (seleccione) Gateway Name: gw-B Type: Static IP: (seleccione).250 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 75 .0. Rutas Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 0.1.0.0.3.0.3 Preshared Key: netscreen2 Security Level: Compatible Outgoing Interface: ethernet3 > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la página de configuración básica de AutoKey IKE: Bind to Tunnel Interface: (seleccione). Address/Hostname: 3.0.

50.173.173.0/24 Gateway: (seleccione) Interface: tunnel.0/24 Gateway: (seleccione) Interface: tunnel.0.0.0/24 Gateway: (seleccione) Interface: tunnel.2 Gateway IP Address: 0.0.40.0.30.0.173.0.0 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 10.0 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 10.0/24 Gateway: (seleccione) Interface: tunnel.1 Gateway IP Address: 0.Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 10.0.173.20.2 Gateway IP Address: 0.0.1 Gateway IP Address: 0.0 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 10.0 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 76 .

Directivas Policies > (From: Trust.2–10.Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva 6.173. 10. serverfarm-A Service: ANY Action: Permit Position at Top: (seleccione) > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la página de configuración básica de Policy: NAT: Source Translation: (seleccione) (DIP on): 5 (10.0 – 10.30.10.173.2)/X-late Destination Translation: (seleccione) Translate to IP Range: (seleccione).10.255 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 77 .173. Any Destination Address: Address Book Entry: (seleccione).30. To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione).173.

Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva Policies > (From: Trust. 10.50. serverfarm-B Service: ANY Action: Permit Position at Top: (seleccione) > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la página de configuración básica de Policy: NAT: Source Translation: (seleccione) (DIP on): 6 (10.255 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 78 .6–10.6)/X-late Destination Translation: (seleccione) Translate to IP Range: (seleccione). Any Destination Address: Address Book Entry: (seleccione).173.173. To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione).0 – 10.173.173.10.10.50.

Conjuntos de DIP set interface tunnel.2 set interface tunnel.1/24 set interface tunnel.173.2 ip 10.0.173. Interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10.0/0 any Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 79 . Direcciones set address untrust serverfarm-A 10.173.0/24 set address untrust serverfarm-B 10.0.2 main outgoing-interface ethernet3 preshare netscreen1 sec-level compatible set vpn vpn1 gateway gw-A sec-level compatible set vpn vpn1 bind interface tunnel.0/0 remote-ip 0.0. VPNs set ike gateway gw-A ip 2.10.173.10.10.1 zone untrust set interface tunnel.10.1/30 set interface tunnel.0.2.1.173.1.10.2 zone untrust set interface tunnel.1 ip 10.20.1.Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva CLI (NetScreen-1) 1.6 3.1 dip-id 5 10.5/30 2.2 dip-id 6 10.40.6 10.1.2 10.1 set vpn vpn1 proxy-id local-ip 0.0/24 4.173.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.2.173.173.10.

173.2 10.1.250 10.3.173.20.0.0/0 remote-ip 0.50.0.1 10.173.3 main outgoing-interface ethernet3 preshare netscreen2 sec-level compatible set vpn vpn2 gateway gw-B sec-level compatible set vpn vpn2 bind interface tunnel.0/0 interface ethernet3 gateway 1.255 permit set policy top from trust to untrust any serverfarm-B any nat src dip-id 6 dst ip 10.50.Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva set ike gateway gw-B ip 3.1.30.30.0.50.0. Rutas set set set set set vrouter vrouter vrouter vrouter vrouter trust-vr trust-vr trust-vr trust-vr trust-vr route route route route route 0. Directivas set policy top from trust to untrust any serverfarm-A any nat src dip-id 5 dst ip 10.0/24 interface tunnel.1 10.255 permit save Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 80 .173.2 6.173.0/24 interface tunnel.30.0/0 any 5.2 set vpn vpn2 proxy-id local-ip 0.40.0/24 interface tunnel.0 10.3.173.0/24 interface tunnel.0.0 10.173.173.0.

2.1/24 2. Interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10. Direcciones Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: serverfarm-A IP Address/Domain Name: IP/Netmask: (seleccione).2.2.Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva WebUI (NetScreen-A) 1. 10.173.1 Zone (VR): Untrust (trust-vr) Fixed IP: (seleccione) IP Address / Netmask: 10.2.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 2.30.1.2/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK : Tunnel Interface Name: tunnel.100.0/24 Zone: Trust Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 81 .

0/0 Remote IP / Netmask: 0. VPN VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK : VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: (seleccione) Gateway Name: gw-1 Type: Static IP: (seleccione).0.2/32 Zone: Untrust 3.173. 10.0/0 Service: ANY Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 82 .1. tunnel.0.Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: customer1 IP Address/Domain Name: IP/Netmask: (seleccione).0.1 Preshared Key: netscreen1 Security Level: Compatible Outgoing Interface: ethernet3 > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la página de configuración básica de AutoKey IKE: Bind to Tunnel Interface: (seleccione). Address/Hostname: 1.1.10.1 Proxy-ID: (seleccione) Local IP / Netmask: 0.0.

0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 2.Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva 4.0.0.1 Gateway IP Address: 0.0/24 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 0.10.0. Rutas Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 0.0.0.173.250 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 10.2.173.0.30.0 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 10.0 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 83 .2/32 Gateway: (seleccione) Interface: tunnel.2.

1.1.255 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 84 . customer1 Destination Address: Address Book Entry: (seleccione). Directiva Policies > (From: Untrust.Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva 5. To: Trust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione). 10.100. serverfarm-A Service: ANY Action: Permit Position at Top: (seleccione) > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la página de configuración básica de Policy: NAT: Destination Translation: (seleccione) Translate to IP Range: (seleccione).0 – 10.100.

2.2.1 main outgoing-interface ethernet3 preshare netscreen1 sec-level compatible set vpn vpn1 gateway gw-1 sec-level compatible set vpn vpn1 bind interface tunnel.250 set vrouter trust-vr route 10.0/0 any 4.0.0.0/24 interface ethernet1 5.0/24 set address untrust customer1 10.1 set vpn vpn1 proxy-id local-ip 0.0. VPN set ike gateway gw-1 ip 1.0.1 ip 10.Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva CLI (NetScreen-A) 1.255 permit save Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 85 .0/0 interface ethernet3 gateway 2.2/32 3.1.1/24 2.30.1.2/32 interface tunnel.10.10.100.2/24 set interface tunnel.173.100. Direcciones set address trust serverfarm-A 10.173.1.2.30.2.2.173.173.0.100.2. Rutas set vrouter trust-vr route 0. Interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10.1 set vrouter trust-vr route 10.0 10.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 2.1 zone untrust set interface tunnel.1.1.0/0 remote-ip 0.0. Directiva set policy top from untrust to trust customer1 serverfarm-A any nat dst ip 10.

3. Direcciones Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: serverfarm-B IP Address/Domain Name: IP/Netmask: (seleccione).0/24 Zone: Trust Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 86 .Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva WebUI (NetScreen-B) 1.173.50.3/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK : Tunnel Interface Name: tunnel. Interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.1/24 2.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 3.3.3.1 Zone (VR): Untrust (trust-vr) Fixed IP: (seleccione) IP Address / Netmask: 10.2.100.3. 10.

10.Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: customer1 IP Address/Domain Name: IP/Netmask: (seleccione). VPN VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK : VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: (seleccione) Gateway Name: gw-1 Type: Static IP: (seleccione).0/0 Service: ANY Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 87 .1. Address/Hostname: 1.173.1.1 Proxy-ID: (seleccione) Local IP / Netmask: 0. tunnel.0/0 Remote IP / Netmask: 0.0.6/32 Zone: Untrust 3.1 Preshared Key: netscreen2 Security Level: Compatible Outgoing Interface: ethernet3 > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la página de configuración básica de AutoKey IKE: Bind to Tunnel Interface: (seleccione).0.0.0. 10.

Capítulo 3 Traducción de direcciones de red de destino

NAT-Src y NAT-Dst en la misma directiva

4.

Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 3.3.3.250 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 10.173.10.6/32 Gateway: (seleccione) Interface: tunnel.1 Gateway IP Address: 0.0.0.0 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 10.173.50.0/24 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 0.0.0.0

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones

88

Capítulo 3 Traducción de direcciones de red de destino

NAT-Src y NAT-Dst en la misma directiva

5.

Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), customer1 Destination Address: Address Book Entry: (seleccione), serverfarm-B Service: ANY Action: Permit Position at Top: (seleccione) > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la página de configuración básica de Policy: NAT: Destination Translation: (seleccione) Translate to IP Range: (seleccione), 10.100.2.0 – 10.100.2.255

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones

89

Capítulo 3 Traducción de direcciones de red de destino

NAT-Src y NAT-Dst en la misma directiva

CLI (NetScreen-B)
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.100.2.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 3.3.3.3/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip 10.3.3.1/24

2.

Direcciones
set address trust serverfarm-B 10.173.50.0/24 set address untrust customer1 10.173.10.6/32

3.

VPN
set ike gateway gw-1 ip 1.1.1.1 main outgoing-interface ethernet3 preshare netscreen2 sec-level compatible set vpn vpn2 gateway gw-1 sec-level compatible set vpn vpn2 bind interface tunnel.1 set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any

4.

Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250 set vrouter trust-vr route 10.173.10.6/32 interface tunnel.1 set vrouter trust-vr route 10.173.50.0/24 interface ethernet1

5.

Directiva
set policy top from untrust to trust customer1 serverfarm-B any nat dst ip 10.100.2.0 10.100.2.255 permit save

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones

90

Capítulo 4

Direcciones IP asignadas y virtuales

4

NetScreen proporciona muchos métodos para realizar la traducción de direcciones IP de destino y de direcciones de puertos de destino. Este capítulo describe cómo utilizar direcciones IP asignadas (MIP) y direcciones IP virtuales (VIP) y está subdividido en las siguientes secciones: • “Direcciones IP asignadas” en la página 92 – “MIP y la zona Global” en la página 93 – “MIP-Same-as-Untrust” en la página 103 – “MIP y la interfaz de bucle invertido (loopback)” en la página 107 “Direcciones IP virtuales” en la página 118 – “VIP y la zona Global” en la página 121

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones

91

Capítulo 4 Direcciones IP asignadas y virtuales

Direcciones IP asignadas

DIRECCIONES IP ASIGNADAS
Una dirección IP asignada (MIP) es una asignación directa (“1:1”) de una dirección IP a otra. El dispositivo NetScreen reenvía el tráfico entrante destinado a una MIP al host a cuya dirección apunta la MIP. En esencia, una MIP es la traducción de una dirección de destino estática, la correspondencia de una dirección IP de destino en un encabezado de paquete IP con otra dirección IP estática. Cuando un host de MIP inicia tráfico saliente, el dispositivo NetScreen traduce la dirección IP de origen del host a la correspondiente a la dirección MIP. Esta simetría de la traducción bidireccional difiere del comportamiento de la traducción de direcciones de origen y de destino (consulte “Naturaleza direccional de NAT-Src y NAT-Dst” en la página 13). Las MIPs permiten que el tráfico entrante alcance las direcciones privadas de una zona cuya interfaz se encuentra en modo NAT. Las MIPs también proporcionan una solución parcial al problema de la superposición de espacios de direcciones1 en dos sitios conectados mediante un túnel VPN. (Para ver la solución completa a este problema, consulte “Sitios VPN con direcciones superpuestas” en la página 5 -203). Puede crear una MIP en la misma subred que una interfaz de túnel con una dirección IP o máscara de red, o bien en la misma subred que la dirección IP o máscara de red de una interfaz asociada a una zona de seguridad de capa 3 (L3)2. Aunque las MIPs se configuran para interfaces asociadas a zonas de túnel y a zonas de seguridad, las MIPs definidas se almacenan en la zona Global.
Mapped IP: El tráfico entrante desde la zona Untrust se asigna de 210.1.1.5 a 10.1.1.5 en la zona Trust. Espacio de direcciones público Nota: La MIP (1.1.1.5) se encuentra en la misma subred que la interfaz de la zona Untrust (1.1.1.1/24), pero está en otra zona. MIP 1.1.1.5 -> 10.1.1.5 Zona Global Zona Trust 10.1.1.5

Internet

Zona Untrust

Interfaz de la zona Untrust ethernet3, 1.1.1.1/24 interfaz de la zona Trust ethernet1, 10.1.1.1/24 modo NAT Espacio de direcciones privado
1.

Un espacio de direcciones superpuesto se produce cuando los rangos de direcciones IP de dos redes coinciden parcial o totalmente.

2. Una excepción es una MIP definida para una interfaz en la zona Untrust. Esa MIP puede encontrarse en una subred diferente de una dirección IP de interfaz de la zona Untrust. Sin embargo, en tal caso deberá agregar una ruta en el enrutador externo que apunte a una interfaz de la zona Untrust para que el tráfico entrante pueda alcanzar la MIP. Asimismo, deberá definir una ruta estática en el dispositivo NetScreen asociando la MIP a la interfaz que la alberga.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones

92

Puede utilizar estas direcciones MIP como direcciones de destino en directivas entre dos zonas cualesquiera. pero una dirección MIP no puede encontrarse en un conjunto de DIP. consulte “Directivas globales” en la página 2 -312).Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas Nota: En algunos dispositivos NetScreen. Puede asignar una relación de “dirección a dirección” o de “subred a subred”. Cuando se define una configuración de direcciones IP “subred a subred”. como zona de destino en una directiva que haga referencia a una MIP. La libreta de direcciones de la zona Global almacena todas las MIPs. sin importar a qué zona pertenezcan sus interfaces. Aunque el dispositivo NetScreen almacena MIPs en la zona Global. (Para obtener más información sobre las directivas Global. y como direcciones de destino al definir una directiva Global. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 93 . puede utilizar la zona Global o la zona que contiene la dirección a la que apunta la MIP. MIP y la zona Global Al establecer una MIP para una interfaz en cualquier zona se genera una entrada para la MIP en la libreta de direcciones de la zona Global. la máscara de red se aplica tanto a la subred de direcciones IP asignadas como a la subred IP original. una MIP puede utilizar la misma dirección que una interfaz.

1. Zona Global Interfaz de la zona Untrust ethernet2. Zona Untrust Internet MIP 1.1. A continuación configurará una MIP para dirigir el tráfico HTTP entrante destinado a 1. al host con la dirección a la que apunta la MIP) de la zona Trust.5 llega a ethernet2.1.1/24.1. Nota: Para una dirección IP asignada o para el host al que apunta no se requiere ninguna entrada en la libreta de direcciones.1.1.1. Todas las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr.1.1/24 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 94 . Asociará ethernet2 a la zona Untrust y le asignará la dirección IP 1.5 de la zona Trust. por lo tanto. El dispositivo NetScreen consulta la ruta de 10.1. El dispositivo NetScreen consulta la ruta de una MIP en ethernet2 y resuelve 1.1.5.5 en la zona Untrust a un servidor web en la dirección IP 10.5 y reenvía el tráfico fuera de ethernet1.1.1. Finalmente.1.1.1. 1.1. creará una directiva que permita el tráfico HTTP desde cualquier dirección de la zona Untrust a la dirección MIP (y.1/24 Interfaz de la zona Trust ethernet1.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas Ejemplo: MIP en una interfaz de la zona Untrust En este ejemplo asociará ethernet1 a la zona Trust y le asignará la dirección IP 10.1.1/24.1.1.1.1.1.5 Zona Trust 2 3 El tráfico destinado a 1.5 (configurada en ethernet2) 1 2 3 1 Servidor web 10.1. 10.1.1.5 como 10.1.5 -> 10.

1.1/24 2.1.1.255. Interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.255 Host IP Address: 10.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.5 Netmask: 255.255.5 Host Virtual Router Name: trust-vr Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 95 .1.1.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas WebUI 1.1. MIP Network > Interfaces > Edit (para ethernet2) > MIP > New: Introduzca los siguientes datos y haga clic en OK : Mapped IP: 1.1.1.

Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas 3.1.254 dentro de una subred de clase C mediante la interfaz de línea de comandos (CLI).5) Service: HTTP Action: Permit CLI 1.1. asignando la dirección a un solo host.5 host 10.1.1. Estos argumentos se incluyen en este comando por coherencia con la configuración de WebUI.255.128 netmask 255.1. El enrutador virtual predeterminado es trust-vr.1.5 host 10.10. Tenga cuidado de no utilizar un rango de direcciones que incluya las direcciones de la interfaz o del enrutador. Any Destination Address: Address Book Entry: (seleccione).10.129 a 10. Directiva Policies > (From: Untrust. la máscara de red de una MIP es de 32 bits (255. 4. Por ejemplo.255.1. También puede definir una MIP para un rango de direcciones.1/24 2. para definir 1.5) http permit save 3.255 4 vrouter trust-vr 3 3.1.255.1.1.1/24 set interface ethernet1 nat set interface ethernet2 zone untrust set interface ethernet2 ip 1.10.1. MIP set interface ethernet2 mip 1.255.1.1. Interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10.1. De forma predeterminada. To: Trust) New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione). utilice la sintaxis siguiente: set interface interface mip 1. Directiva set policy from untrust to trust any mip(1.255. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 96 . MIP(1.128 .255.1.1.1. No es necesario especificar que el enrutador virtual es trust-vr ni que la MIP tiene una máscara de red de 32 bits.5 como MIP para las direcciones 10.1.5 netmask 255.1.255).

a la que asociará ethernet3. Creará una zona de seguridad llamada “X-Net”.1.1.1/24. debe establecerse una ruta en los enrutadores de cada una de las otras zonas que dirija el tráfico entrante hacia la dirección IP de sus respectivas interfaces con el fin de alcanzar la MIP5.1.1. e interface es la interfaz en la que se configuró la MIP. Definirá una dirección para 1.1 (dirección IP de ethernet3).1/24) para asignarla a un servidor web de la zona Trust (10. 5.1/24.3. puede alcanzar una MIP determinada a través de otras interfaces distintas de la utilizada para configurar esa MIP. no es necesario agregar una ruta al dispositivo NetScreen para que el tráfico alcance la MIP a través de otra interfaz.1.1.1. Nota: Deberá introducir una ruta en el enrutador de la zona “X-Net” que dirija el tráfico destinado a 1. 1. Todas las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr.1. En este ejemplo configurará una MIP (1. Si la MIP se encuentra en la misma subred que la interfaz en la cual fue configurada.1. Para lograrlo.1. es necesario agregar una ruta estática a la tabla de enrutamiento de NetScreen.5) en la interfaz de la zona Untrust (ethernet2.5). y asignará a la interfaz la dirección IP 1. donde name_str es el enrutador virtual al que pertenece la interfaz especificada.3. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 97 . Sin embargo.5 (MIP) a 1. Utilice el comando set vrouter name_str route ip_addr interface interface (o su equivalente en WebUI).1. La interfaz asociada a la zona Trust será ethernet1 con la dirección IP 10. También configurará una directiva para permitir que el tráfico HTTP pase desde la zona Untrust a la zona Trust. si la MIP se encuentra en una subred distinta que la dirección IP de su interfaz (lo cual sólo es posible con una MIP en una interfaz de la zona Untrust).Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas Ejemplo: Acceder a una MIP desde diferentes zonas Aunque el tráfico proceda de zonas diferentes.3.1.5 que se utilizará en una directiva para permitir tráfico HTTP desde cualquier dirección de la zona “X-Net” a la MIP en la zona Untrust.3.

encuentra una MIP en eth2 y reenvía el paquete a eth2.5 llega a eth2 y eth3.1. 1.1.1.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 98 .5 y reenvía el tráfico fuera de eth1.1. 1 2 Servidor web 10.1.5.1.1.1.1.1.3.5 (configurada en ethernet2) 1 2 Zona Global El tráfico destinado a 1.3.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas Zona Untrust Internet Interfaz de la zona Untrust ethernet2.1.1/24 3 Zona X-Net Nota: Deberá agregar una ruta a este enrutador que apunte a 1. eth2: El dispositivo NetScreen consulta la ruta de una MIP en eth2 y resuelve 1. MIP 1.1.1. Interfaces y zonas Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK : Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10. 10.1.5.1.1/24 Interfaz de la zona X-Net ethernet3.1.1.1.5 -> 10. donde la MIP se resuelve como 10. 1.5 Zona Trust 3 El dispositivo NetScreen consulta la ruta de 10. eth3: La consulta de rutas de una MIP en eth3 no encuentra nada.1.5 como 10. WebUI 1.1/24 Interfaz de la zona Trust ethernet1.1.5.1.3.3.1 para alcanzar 1.1. NetScreen comprueba otras interfaces.1.1.

1.1.255 Host IP Address: 10.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.3.255.1/24 Network > Zones > New: Introduzca los siguientes datos y haga clic en OK : Zone Name: X-Net Virtual Router Name: untrust-vr Zone Type: Layer 3 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: X-Net IP Address/Netmask: 1.1. 1. Dirección Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: 1.3.1.1.5 Host Virtual Router Name: trust-vr Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 99 .5 Netmask: 255.1.5 IP Address/Domain Name: IP/Netmask: (seleccione).1/24 2.1.1. MIP Network > Interfaces > Edit (para ethernet2) > MIP > New: Introduzca los siguientes datos y haga clic en OK : Mapped IP: 1.1.1.5/32 Zone: Untrust 3.255.

1. Any Destination Address: Address Book Entry: (seleccione).5) Service: HTTP Action: Permit Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 100 .1. To: Trust) New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione). Any Destination Address: Address Book Entry: (seleccione).Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas 4. Directivas Policies > (From: X-Net.1.1. To: Untrust) New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione). MIP(1. 1.5 Service: HTTP Action: Permit Policies > (From: Untrust.

1/24 2.1.1. Dirección set address untrust “1.5” 1.1.5” http permit set policy from untrust to trust any mip(1. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 101 .1.1. Interfaces y zonas set interface ethernet1 zone trust set interface ethernet1 ip 10.255.1/24 set interface ethernet1 nat set interface ethernet2 zone untrust set interface ethernet2 ip 1.3.255) y el enrutador virtual predeterminado es trust-vr.1. Estos argumentos se incluyen aquí por coherencia con la configuración de WebUI. 3.1. la máscara de red de una MIP es de 32 bits (255.1.1.5 host 10.1. Directivas set policy from X-Net to untrust any “1.5 netmask 255.255. De forma predeterminada.5) http permit save 6.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas CLI 1.5/32 MIP set interface ethernet2 mip 1.1.1/24 set zone name X-Net set interface ethernet3 zone X-Net set interface ethernet3 ip 1.1.255.1.1.3.255 6 vrouter trust-vr 4.255.1.1. No es necesario especificar estos datos en el comando.

deberá crear una MIP en la misma subred que la interfaz “tunnel.3.25 Host Virtual Router Name: trust-vr CLI set interface tunnel.255. Estos argumentos se incluyen aquí por coherencia con la configuración de WebUI.1.3. No es necesario especificar estos datos en el comando. 7.1.25 netmask 255.1.25 Netmask: 255.8) > MIP > New: Introduzca los siguientes datos y haga clic en OK : Mapped IP: 10.255 7 vrouter trust-vr save Nota: Cuando el administrador remoto agrega la dirección del servidor en su libreta de direcciones de la zona Untrust. WebUI Network > Interfaces > Edit (para tunnel.1. De lo contrario.255.8”. (Para ver un ejemplo más completo de una MIP con una interfaz de túnel.20. La dirección IP física de un servidor en la red de la zona Trust es 10. para que el administrador local pueda agregar una dirección de la zona Untrust que no esté en conflicto con las direcciones locales de la zona Trust.3.25 host 10.25).20.1. Para permitir que un sitio remoto pueda acceder al servidor local a través de un túnel VPN cuya red en la zona Trust utiliza un espacio de direcciones solapado.0/24 y la dirección IP de la interfaz de túnel “tunnel.255.8 mip 10. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 102 .1.20.255 Host IP Address: 10.3.25).1.8” es 10.1. debe introducir la MIP (10.255.1.25. la máscara de red de una MIP es de 32 bits (255.3.1.255.1. el espacio de direcciones IP de la red en la zona Trust es 10.20. no la dirección IP física del servidor (10.20. la dirección de origen en la directiva de tráfico entrante parecería estar en la zona Trust.255) y el enrutador virtual predeterminado es trust-vr. La dirección MIP es 10.255.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas Ejemplo: Agregar una MIP a una interfaz de túnel En este ejemplo. De forma predeterminada.25/32. El administrador remoto también debe aplicar NAT-src basada en directivas (utilizando DIP) en los paquetes salientes dirigidos al servidor a través de la VPN. consulte “Sitios VPN con direcciones superpuestas” en la página 5 -203).

siempre que no haya ningún túnel VPN o L2TP configurado en la interfaz de Untrust. por ejemplo.66.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas MIP-Same-as-Untrust Dado que las direcciones IPv4 se están agotando. http://209. Si solamente dispone de una dirección IP para la interfaz asociada a la zona Untrust (ya que la interfaz asociada a la zona Trust está en modo de traducción de direcciones de red o NAT). perderá la administración web del dispositivo NetScreen a través de esa interfaz (debido a que todo el tráfico HTTP entrante dirigido a esa dirección está asignado a un servidor o host interno). al utilizar la dirección IP de la interfaz de la zona Untrust como MIP. haga lo siguiente: 1. cambiando el número de puerto para la administración web. puede utilizar la dirección IP de la interfaz de la zona Untrust como dirección IP asignada (MIP) para proporcionar acceso entrante a un servidor o host interno. el dispositivo reenvía automáticamente los paquetes IKE o L2TP entrantes al punto final del túnel. el dispositivo NetScreen asigna a una dirección interna especificada todo el tráfico entrante que utilice la interfaz de la zona Untrust.170:5000. o bien a un punto final del túnel VPN o L2TP. los proveedores de servicios de Internet (ISPs) son cada vez más reacios a dar más de una o dos direcciones IP a sus clientes. Si crea una directiva en la cual la dirección de destino sea una MIP que utilice la dirección IP de la interfaz de la zona Untrust y especifica HTTP como servicio en la directiva. Admin > Web: Introduzca un número de puerto registrado (de 1024 a 65.157. Cuando se conecte de nuevo a la interfaz de la zona Untrust para administrar el dispositivo. 2. Para cambiar el número de puerto de administración web. Una MIP asigna el tráfico entrante a otra dirección el tráfico entrante a una dirección. agregue el número de puerto a la dirección IP. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 103 . por lo tanto. Haga clic en Apply . Aún así podrá administrar el dispositivo a través de la interfaz de la zona Untrust mediante WebUI.535) en el campo “HTTP Port”. Si la MIP de la interfaz Untrust está asignada a un punto final del túnel VPN o L2TP.

en la zona Trust. Interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10. por lo tanto.1. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 104 .1. Puerto HTTP Configuration > Admin > Management: Escriba 8080 en el campo “HTTP Port” y haga clic en Apply . Por lo tanto.5 en la zona Trust.1. el 80) desde la zona Untrust a la MIP y. De forma predeterminada. WebUI 1. esta opción ya está habilitada para las interfaces asociadas a la zona Trust. deberá cambiar el número del puerto de administración a 8080. al host con la dirección a la que apunta la MIP.1/24) como MIP para un servidor web cuya dirección IP real sea 10.1. Como desea conservar el acceso de administración web a la interfaz ethernet3. (La conexión HTTP se perderá).1.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas Ejemplo: MIP en la interfaz Untrust En este ejemplo seleccionará la dirección IP de la interfaz de la zona Untrust (ethernet3. Luego creará una directiva que permita el servicio HTTP (en el número de puerto HTTP predeterminado.1. 1. 8.1.1/24 Introduzca los siguientes datos y haga clic en OK: NAT:8 (seleccione) Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.1.1/24 2. cualquier interfaz que se asocie a la zona Trust estará en modo NAT.

(Si actualmente está administrando el dispositivo a través de la interfaz Untrust.1. La máscara de red de una MIP que utilice una dirección IP de la interfaz de la zona Untrust debe ser de 32 bits.1.1:8080 ).255.1 9 Netmask: 255. To: Trust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione).Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas 3. Any Destination Address: Address Book Entry: (seleccione).0.255 Host IP Address: 10.1.5 Host Virtual Router Name: trust-vr 5. MIP Network > Interface > Edit (para ethernet3) > MIP > New: Introduzca los siguientes datos y haga clic en OK : Mapped IP: 1.1. agregando 8080 a la dirección IP en el campo de la dirección URL de su explorador web. Directiva Policies > (From: Untrust.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.255.1. Reconexión Vuelva a conectarse al dispositivo NetScreen.1.1.1.250 6. 4. escriba http://1.1) Service: HTTP Action: Permit 9.1. Ruta Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 0.1. MIP(1. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 105 .

De forma predeterminada.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas CLI 1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.255) y el enrutador virtual predeterminado es trust-vr.1.1.255. Interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10.1 host 10.1) http permit save 10. 3. 5.1. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 106 .1. Ruta set vrouter trust-vr route 0.0.5 netmask 255.1.255.1.1.1.250 Directiva set policy from untrust to trust any mip(1.0.1.255 10 vrouter trust-vr 4.255. la máscara de red de una MIP es de 32 bits (255.1.1.1/24 2. No es necesario especificar estos datos en el comando.255. Estos argumentos se incluyen aquí por coherencia con la configuración de WebUI.0/0 interface ethernet3 gateway 1. Puerto HTTP set admin port 8080 MIP set interface ethernet3 mip 1.1.

agregue las interfaces como miembros del grupo de bucle invertido. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 107 .Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas MIP y la interfaz de bucle invertido (loopback) Definir una MIP en la interfaz loopback permite que esa MIP sea accesible desde un grupo de interfaces.id_num (donde id_num corresponde al número de identificación que permite identificar de forma inequívoca la interfaz en el dispositivo) y asignar una dirección IP a la interfaz (consulte “Interfaces loopback” en la página 2 -76). Puede imaginar la interfaz de bucle invertido como un contenedor de recursos que contiene una dirección MIP. Deberá configurar una interfaz de bucle invertido con el nombre loopback. Zona Untrust Interlocutor de VPN Túneles VPN Interfaces de túnel: Miembros del grupo de la interfaz loopback Interfaz de la zona Untrust Interlocutor de VPN El tráfico de ambas VPNs puede alcanzar la dirección MIP en la interfaz loopback. Para permitir que otras interfaces puedan utilizar una MIP en la interfaz de bucle invertido. Dirección MIP (definida en la interfaz de bucle invertido pero almacenada en la zona Global) Interfaz de la zona Trust Interfaz de bucle invertido (en la zona Untrust) Zona Trust Host MIP El tráfico procedente de la dirección MIP sale a través de la interfaz de la zona Trust al host MIP. El host de la MIP puede también iniciar tráfico a un sitio remoto a través del túnel apropiado. La principal aplicación de esta característica es permitir el acceso a un host a través de uno de varios túneles VPN usando una sola dirección MIP.

100.1/24 Las interfaces de túnel forman parte del grupo de interfaces loopback.3 .1.1.1. zona Untrust. asociada a vpn2 loopback.3 .100.3 contiene la dirección MIP 10. 10.1.1. Cualquier tipo de interfaz puede ser miembro de un grupo de bucle invertido siempre que tenga una dirección IP.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas La interfaz de bucle invertido y las interfaces quela forman deben encontrarse en diferentes subredes IP de la misma zona. la configuración de la interfaz loopback tendrá preferencia. 10.1/24 ethernet3. Si configura una MIP en una interfaz de bucle invertido y en una de las interfaces que la componen.1.1/24 tunnel. asociada a vpn1 tunnel. asignada a un host en la dirección 10.1.5.1/24. 1. La interfaz loopback. Una interfaz de bucle invertido no puede formar parte de otro grupo de bucle invertido.5 de la zona Trust. 10.10. zona Untrust.20.1. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 108 . zona Trust.1. 10.2.1. zona Untrust.1.1/24. Ejemplo: MIP para dos interfaces de túnel En este ejemplo configurará las interfaces siguientes: • • • • • ethernet1. zona Untrust.

100. el dispositivo NetScreen encuentra una coincidencia en loopback.3. De nuevo.100.1/24 loopback. También definirá las direcciones.2.1.1.1.5 también puede llegar a través de un túnel VPN asociado a tunnel.1.1.5 Host MIP 10.0/24 gw2 vpn2 tunnel.1.1.100.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas Espacio de direcciones privado detrás de gw1: 10.100.1.1/24 Interfaces de túnel: Miembros del grupo de la interfaz de bucle invertido ethernet1 10.1.1.5 y reenvía el paquete al host MIP.1.1. 10. el dispositivo NetScreen busca la MIP en la interfaz de bucle invertido denominada loopback.1.2. el dispositivo NetScreen traduce la IP original de destino (10.5) a la dirección IP del host (10.3 y traduce la IP de destino original 10. directivas y túneles VPN necesarios para completar la configuración.1/24 Espacio de direcciones privado detrás de gw2: 10.0/24 gw1 vpn1 Zona Untrust ethernet3 1. El tráfico destinado a 10.1. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 109 .5 Cuando un paquete destinado a 10.1.3.1/24 (en zona Untrust) Zona Trust Dirección MIP: 10.3.2.1.5 llega a través de un túnel VPN a tunnel.1/24 tunnel. 10.1.3 10.1.10.5 a 10.1.1.5 -> 10. rutas.20.1.100.1.1.100. Cuando encuentra una coincidencia en loopback.5) y reenvía el paquete a través de ethernet1 al host MIP. Todas las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr.1.

1/24 11. De forma predeterminada.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas WebUI 1.100.1. cualquier interfaz que se asocie a la zona Trust estará en modo NAT.1/24 Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y haga clic en OK : Interface Name: loopback. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 110 .1.3 Zone: Untrust (trust-vr) IP Address / Netmask: 10. Interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10. Por lo tanto. esta opción ya está habilitada para las interfaces asociadas a la zona Trust.1.1.1/24 Introduzca los siguientes datos y haga clic en OK: NAT:11 (seleccione) Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.1.

1.3 en la lista desplegable “Member of Loopback Group” y haga clic en OK .Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply : Tunnel Interface Name: tunnel.255 Host IP Address: 10.1/24 Seleccione loopback.100.3 en la lista desplegable “Member of Loopback Group” y haga clic en OK .5 Host Virtual Router Name: trust-vr Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 111 .1.20.1.255.5 Netmask: 255.255.1 Zone (VR): Untrust (trust-vr) Fixed IP: (seleccione) IP Address / Netmask: 10.3) > MIP > New: Introduzca los siguientes datos y haga clic en OK : Mapped IP: 10. 2.2 Zone (VR): Untrust (trust-vr) Fixed IP: (seleccione) IP Address / Netmask: 10.1. Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply : Tunnel Interface Name: tunnel.1. MIP Network > Interfaces > Edit (para loopback.10.1/24 Seleccione loopback.

1.3. Direcciones Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: local_lan IP Address/Domain Name: IP/Netmask: (seleccione).0/24 Zone: Untrust Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 112 .0/24 Zone: Trust Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: peer-1 IP Address/Domain Name: IP/Netmask: (seleccione).1.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas 3.0/24 Zone: Untrust Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: peer-2 IP Address/Domain Name: IP/Netmask: (seleccione). 10. 10. 10.1.2.1.

0/0 Remote IP / Netmask: 0.0/0 Service: ANY VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK : VPN Name: vpn2 Security Level: Compatible Remote Gateway: Create a Simple Gateway: (seleccione) Gateway Name: gw2 Type: Static IP: (seleccione).0.0. Address/Hostname: 3.3.3.2 Preshared Key: netscreen1 Security Level: Compatible Outgoing Interface: ethernet3 > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la página de configuración básica de AutoKey IKE: Bind to Tunnel Interface: (seleccione).0. tunnel.0. VPNs VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK : VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: (seleccione) Gateway Name: gw1 Type: Static IP: (seleccione).1 Proxy-ID: (seleccione) Local IP / Netmask: 0. Address/Hostname: 2.2.2.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas 4.3 Preshared Key: netscreen2 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 113 .

0/24 Gateway: (seleccione) Interface: tunnel.1. tunnel.2 Proxy-ID: (seleccione) Local IP / Netmask: 0.1.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas Security Level: Compatible Outgoing Interface: ethernet3 > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la página de configuración básica de AutoKey IKE: Bind to Tunnel Interface: (seleccione).0/0 Service: ANY 5.2 Gateway IP Address: 0.0.1 Gateway IP Address: 0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.0 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 10.1.0 Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 0. Rutas Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address / Netmask: 10.0.0.0.0.250 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 114 .2.0.0.0/24 Gateway: (seleccione) Interface: tunnel.3.0.0/0 Remote IP / Netmask: 0.0.1.

5) Service: ANY Action: Permit Policies > (From: Untrust.1.1.5) Service: ANY Action: Permit Policies > (From: Trust. peer-2 Destination Address: Address Book Entry: (seleccione). MIP(10. To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione). MIP(10. peer-1 Destination Address: Address Book Entry: (seleccione).100. To: Trust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione).Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas 6. local_lan Destination Address: Address Book Entry: (seleccione).100. To: Trust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione). Directivas Policies > (From: Untrust. Any Service: ANY Action: Permit Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 115 .

255.255.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.3 ip 10.3 mip 10.1.2 loopback-group loopback.10.0/24 12.0/24 set address untrust peer-1 10.5 netmask 255.1/24 set interface loopback. No es necesario especificar estos datos en el comando.1.1.255. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 116 .2.255.100.1.1.2 ip 10.1 loopback-group loopback.1.3 zone trust set interface loopback. Direcciones set address trust local_lan 10.5 host 10.1/24 set interface tunnel.1.100.255 12 vrouter trust-vr 3.1.1.1/24 set interface tunnel.1. MIP set interface loopback.2 zone untrust set interface tunnel. Estos argumentos se incluyen aquí por coherencia con la configuración de WebUI.1 ip 10. De forma predeterminada.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas CLI 1.0/24 set address untrust peer-2 10. la máscara de red de una MIP es de 32 bits (255.1 zone untrust set interface tunnel.1.1.1.1/24 set interface tunnel.3 2. Interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10.255) y el enrutador virtual predeterminado es trust-vr.3 set interface tunnel.20.1.3.

2 outgoing-interface ethernet3 preshare netscreen1 sec-level compatible set vpn vpn1 gateway gw1 sec-level compatible set vpn vpn1 bind interface tunnel. VPNs set ike gateway gw1 address 2.1.0.0.1.2.100.1 set vrouter trust-vr route 10.3 outgoing-interface ethernet3 preshare netscreen2 sec-level compatible set vpn vpn2 gateway gw2 sec-level compatible set vpn vpn2 bind interface tunnel.0/24 interface tunnel.5) any permit set policy from trust to untrust local_lan any any permit save Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 117 .1.0/0 interface ethernet3 gateway 1.2.0.3.0.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas 4.1.0.0.1 set vpn vpn1 proxy-id local-ip 0.2.0/0 remote-ip 0.0/24 interface tunnel.0/0 remote-ip 0.0.1.250 6.0/0 any 5.0.2 set vrouter untrust-vr route 0.100.3.2 set vpn vpn2 proxy-id local-ip 0.3.5) any permit set policy top from untrust to trust peer-2 mip(10. Rutas set vrouter trust-vr route 10.1.0. Directivas set policy top from untrust to trust peer-1 mip(10.0.0/0 any set ike gateway gw2 address 3.

1.10 10. Por ejemplo: • • • Un paquete HTTP destinado a 1.20. 1.2.20 SMTP (25) Interfaz de la zona Untrust eth3.1.1.3:25 podría asignarse a un servidor de correo en 10.1. Un paquete FTP destinado a 1.1/24 Tabla de reenvíos de direcciones IP virtuales IP de interfaz en zona Untrust 1.20 10.1.1.1.1.3 Puerto 80 (HTTP) 21 (FTP) 25 (SMTP) Reenviar a IP de host en la zona Trust 10.1.30.1.1.10 Servidor FTP FTP (21) 10.1.1.1.1.1/24 1.1.1.1.1.1.1.3 y puerto 80) podría asignarse a un servidor web en 10.3:80 (dirección IP 1.1.30 eth1.1.3:21 podría asignarse a un servidor FTP en 10.30 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 118 .1/24 1.1. 1.1.1.2.1.1.1. Los direcciones IP de destino son iguales. Un paquete SMTP destinado a 1.3 Servidor web 10.1.3 1.1.1.1/24 VIP en la zona Global 1.1.1.1. Los números de los puertos de destino determinan a qué host debe reenviar el tráfico el dispositivo NetScreen. Zona Untrust Zona Global Zona Trust HTTP (80) Internet VIP 1.1.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP virtuales DIRECCIONES IP VIRTUALES Una dirección IP virtual IP (VIP) asigna el tráfico recibido en una dirección IP a otra dirección basándose en el número del puerto de destino que figura en el encabezado del segmento TCP o UDP.1.1.1.1.1/24 Servidor de correo Interfaz de la zona Trust 10.1.3 1.1.10.

cuando un host VIP inicia tráfico saliente. ejecute cualquiera de los siguientes procedimientos: En WebUI (Network > Interfaces > Edit (para una interfaz en la zona Untrust) > VIP: Si configura una VIP para que utilice la misma dirección IP que una interfaz de la zona Untrust en un dispositivo NetScreen que admita múltiples VIPs. Si hay configurada alguna VIP normal. Para definir una IP virtual necesitará la información siguiente: • • • La dirección IP de la VIP debe pertenecer a la misma subred que una interfaz en la zona Untrust o. las otras VIPs “normales” dejarán de ser utilizables.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP virtuales El dispositivo NetScreen reenvía el tráfico entrante destinado a una VIP al host a cuya dirección apunta la VIP. una interfaz en la zona Untrust puede recibir su dirección IP dinámicamente a través de DHCP o PPPoE. el dispositivo NetScreen traduce solamente la dirección IP de origen original a otra dirección si previamente se configuró NAT en la interfaz de entrada o NAT-src en una directiva aplicable al tráfico originado en ese host. incluso puede tener la misma dirección que esa interfaz Las direcciones IP de los servidores que procesan las peticiones El tipo de servicio que el dispositivo NetScreen debe remitir desde la VIP a la dirección IP del host Nota: En una interfaz de la zona Untrust solamente se puede establecer una VIP. no podrá crear una VIP mediante una interfaz de la zona Untrust salvo que elimine primero la VIP normal. en 13 algunos dispositivos NetScreen. Se pueden establecer asignaciones (correspondencias) para servicios predefinidos y servicios definidos por el usuario. si está ejecutando dos servidores FTP en el mismo equipo. Sólo quienes conozcan de antemano el número de puerto virtual y lo incluyan en el encabezado de paquete de la dirección IP podrán obtener acceso al segundo servidor FTP. Una sola VIP puede distinguir servicios personalizados con los mismos números de puerto de origen y de destino pero diferentes medios de transporte. Sin embargo. el dispositivo NetScreen no traduce la dirección IP de origen en el tráfico procedente de un host VIP. puede utilizar números de puerto virtuales para los servicios conocidos.535. En caso contrario. Por ejemplo. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 119 . Si desea utilizar una VIP de este modo. no sólo entre 1024 y 65.535. • • • 13. puede ejecutar uno de ellos en el puerto 21 y el otro en el puerto 2121. Algunas notas sobre las VIPs de NetScreen: • Si está ejecutando múltiples procesos de servidor en un solo equipo. En algunos dispositivos NetScreen. Los servicios personalizados pueden utilizar cualquier número de puerto de destino o rango de números entre 1 y 65.

Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP virtuales • Una sola VIP puede admitir servicios personalizados con múltiples entradas de puertos mediante la creación de varias entradas de servicios bajo esa VIP (una por cada puerto en el servicio). De forma predeterminada. • Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 120 . primero debe ejecutar el comando CLI set vip multi -port . Para poder utilizar servicios de múltiples puertos en una VIP. debe definir una ruta para alcanzarlo. en una VIP se pueden utilizar servicios de puerto único. Si el host se encuentra en un dominio de enrutamiento distinto de trust-vr. (Consulte “Ejemplo: VIP con servicios personalizados y de múltiples puertos” en la página 125). y enseguida reiniciar el dispositivo NetScreen. El host al que el dispositivo NetScreen asigne el tráfico VIP debe ser accesible desde trust-vr.

1/24.1.1. Asociará la interfaz ethernet3 a la zona Untrust y le asignará la dirección IP 1. Una vez que el enrutador envía tráfico a ethernet2.1. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 121 .1.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP virtuales VIP y la zona Global Al establecer una VIP para una interfaz en la zona Untrust se genera una entrada en la libreta de direcciones de la zona Global.1. suponga que ethernet2 está asociada a una zona definida por el usuario y que ha configurado un enrutador en esa zona para que envíe a ethernet2 el tráfico destinado a 1.10.10 y creará una directiva que permita al tráfico procedente de la zona Untrust alcanzar la VIP en la zona Trust (y. 10.1.1. debe establecer una ruta para 1. 1.1. Ejemplo: Configurar servidores de IPs virtuales En este ejemplo asociará la interfaz ethernet1 a la zona Trust y le asignará la dirección IP 10. Por ejemplo. Tampoco se requiere ninguna entrada en la libreta de direcciones para el host al que una VIP reenvía tráfico.1.0/24). Si desea que el tráfico HTTP procedente de una zona de seguridad distinta de la zona Untrust acceda a la VIP.10 Interfaz de la zona Untrust eth3.1/24 Interfaz de la zona Trust eth1. La libreta de direcciones de la zona Global mantiene un registro de todas las VIPs de todas las interfaces. Zona Untrust Zona Global Zona Trust Internet HTTP (80) VIP 1.1. por lo tanto.1/24 14.10 y lo envía a través de ethernet1 a la zona Trust. que lo asigna a 10.10 para reenviar el tráfico HTTP entrante a un servidor web en 10.1. el mecanismo de reenvío del dispositivo NetScreen localiza la VIP en ethernet3.1. Puede utilizar estas direcciones VIP como dirección de destino en directivas entre dos zonas cualesquiera.1.1. y como dirección de destino en directivas Global.1. sin importar a qué zona pertenezca cada interfaz.1.1.1.1/24.1.1. al host con la dirección a la que apunta la VIP).1. Seguidamente configurará una VIP en 1.1.1. Dado que la VIP se encuentra en la misma subred que la interfaz de la zona Untrust (1. Este proceso es similar al descrito en “Ejemplo: Acceder a una MIP desde diferentes zonas” en la página 97.10 Servidor web 10. También deberá establecer una directiva que permita el tráfico HTTP procedente de la zona de origen a la VIP en la zona Trust. no es necesario 14 definir una ruta para que el tráfico procedente de la zona Untrust la alcance .10 en el enrutador y en la otra zona que apunte a una interfaz asociada a esa zona. Todas las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr.1.

1.1.10 Network > Interfaces > Edit (para ethernet3) > VIP > New VIP Service: Introduzca los siguientes datos y haga clic en OK : Virtual IP: 1.10 Virtual Port: 80 Map to Service: HTTP (80) Map to IP: 10.1.1.10 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 122 .1.1.1.1. Interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10. VIP Network > Interfaces > Edit (para ethernet3) > VIP: Introduzca la siguiente dirección y haga clic en Add : Virtual IP Address: 1.1.1/24 2.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP virtuales WebUI 1.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.1.

Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP virtuales 3.1.1.1.1.10 Directiva set policy from untrust to trust any vip(1.1.1. Interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10. VIP set interface ethernet3 vip 1. 3.1/24 2. VIP(1.1. Directiva Policies > (From: Untrust. ANY Destination Address: Address Book Entry: (seleccione).1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet2 ip 1.10 80 http 10. To: Trust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione).1.1.1.1.10) Service: HTTP Action: Permit CLI 1.10) http permit save Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 123 .

primero debe eliminar cualquier directiva existente asociada a ella.10 port 80 set interface ethernet3 vip 1. Para poder eliminar una VIP.1.10 2211 http 10.1. Network > Interfaces > Edit (para ethernet3) > VIP: Haga clic en Remove en la sección “VIP Configure” correspondiente a 1.10 save Ejemplo: Eliminar una configuración VIP En este ejemplo eliminará la configuración VIP que creó y modificó anteriormente.1. WebUI Network > Interfaces > Edit (para ethernet3) > VIP > Edit (en la sección “VIP Services Configure” correspondiente a 1. El número de identificación de la directiva creada en el “Ejemplo: Configurar servidores de IPs virtuales” en la página 121 es 5.10): Introduzca los siguientes datos y haga clic en OK : Virtual Port: 2211 CLI unset interface ethernet3 vip 1. Desde ese momento. To: Trust) > Go: Haga clic en Remove para la directiva con ID 5.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP virtuales Ejemplo: Editar una configuración de VIP En este ejemplo modificará la configuración del servidor de IP virtuales que creó en el ejemplo anterior.1.10 save Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 124 .1. Para restringir el acceso al servidor web.1.1. CLI unset policy id 5 unset interface ethernet3 vip 1.10.1. WebUI Policies > (From: Untrust.1. sólo podrán utilizar el servidor web quienes sepan que deben utilizar el número de puerto 2211 para conectarse a él.1.1.1. cambiará el número de puerto virtual para el tráfico HTTP de 80 (predeterminado) a 2211.

1.1.1.1.1.1.1. 1. 5632 -> 5631. 5632 5983 Número de puerto real 53 80 5631. 5632 389 Dirección IP del host 10.3 Zona Global Zona Trust Servidor DNS: 10. UDP Número de puerto virtual 53 80 5631. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 125 . DNS y PCAnywhere.1. Para HTTP.1.1.1.1.4 10.3 Servidor LDAP: 10. UDP TCP TCP.1.1.3 DNS 53 -> 53 Zona Untrust Administrador remoto 3. UDP TCP.1.1.1.3 para enrutar los siguientes servicios hacia las direcciones internas siguientes: Servicio DNS HTTP PCAnywhere LDAP Transporte TCP.1. se utiliza un número de puerto virtual (5983) para agregar un nivel adicional de seguridad al tráfico de autenticación de LDAP. 5632 VIP 1.1.1.4 10.5.1. Para LDAP.3.3.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP virtuales Ejemplo: VIP con servicios personalizados y de múltiples puertos En el ejemplo siguiente configurará una VIP en 1.4 HTTP 80 -> 80 PCAnywhere 5631.3 10.1.5 Servidor web: 10.1.1.5 LDAP 5983 -> 389 Interfaz de la zona Untrust Interfaz de la zona Trust eth3.1.1/24 La VIP enruta (reenvía) las consultas DNS al servidor DNS en 10. 10. el tráfico HTTP al servidor web en 10.1/24 eth1.4 y las comprobaciones de autenticación a la base de datos del servidor LDAP en 10.1.3.1.1. los números de puerto virtuales siguen siendo iguales que los números de puerto reales.

1.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK: Zone Name: Untrust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 1.1. WebUI 1. 3.3.3.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP virtuales Para administrar remotamente el servidor HTTP. También introducirá la dirección del administrador remoto de 3. Todas las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr. PCAnywhere es un servicio de puertos múltiples que envía y recibe datos a través del puerto TCP 5631 y comprobaciones de estado a través del puerto UDP 5632.1/24 2.3. Dirección Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: Remote Admin IP Address/Domain Name: IP/Netmask: (seleccione).3.1.3/32 Zone: Untrust Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 126 .3 en la libreta de direcciones de la zona Untrust y configurará directivas del tráfico desde la zona Untrust a la zona Trust para todo el tráfico que deba utilizar las VIPs. definirá un servicio personalizado y lo llamará PCAnywhere.1. Interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.

Dirección y servicios VIP15 Network > Interfaces > Edit (para ethernet3) > VIP: haga clic aquí para configurar: Escriba 1.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP virtuales 3. Servicio personalizado Object > Services > Custom > New: Introduzca los siguientes datos y haga clic en OK : Service Name: PCAnywhere No 1: Transport Protocol: TCP Source Port Low: 0 Source Port High: 65535 Destination Port Low: 5631 Destination Port High: 5631 No 2: Transport Protocol: UDP Source Port Low: 0 Source Port High: 65535 Destination Port Low: 5632 Destination Port High: 5632 4.1.3 15.3 en el campo “Virtual IP Address” y haga clic en Add . > New VIP Service: Introduzca los siguientes datos y haga clic en OK : Virtual IP: 1. deberá ejecutar el comando CLI set vip multi-port . Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 127 .1. Para habilitar la VIP de modo que pueda trabajar con servicios de múltiples puertos.1. guardar la configuración y seguidamente reiniciar el dispositivo.1.1.1.3 Virtual Port: 53 Map to Service: DNS Map to IP: 10.

1.1. Para servicios de múltiples puertos.1. introduzca el número de puerto más bajo del servicio como número de puerto virtual. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 128 . desbaratando los ataques comunes que buscan servicios en los números de puerto estándar. La utilización de números de puerto no estándar agrega otra capa de seguridad.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP virtuales > New VIP Service: Introduzca los siguientes datos y haga clic en OK : Virtual IP: 1.1.1.1.3 Virtual Port: 598317 Map to Service: LDAP Map to IP: 10.3 Virtual Port: 80 Map to Service: HTTP Map to IP: 10.1.1. 17.5 16.1.1.1.1.4 > New VIP Service: Introduzca los siguientes datos y haga clic en OK : Virtual IP: 1.3 Virtual Port: 5631 16 Map to Service: PCAnywhere Map to IP: 10.4 > New VIP Service: Introduzca los siguientes datos y haga clic en OK : Virtual IP: 1.

To: Trust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione).1.3) Service: LDAP Action: Permit Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 129 . Directivas Policies > (From: Untrust.1.1.1. VIP(1. VIP(1.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP virtuales 5.1. VIP(1. To: Trust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione).3) Service: HTTP Action: Permit Policies > (From: Untrust. Any Destination Address: Address Book Entry: (seleccione). Any Destination Address: Address Book Entry: (seleccione). To: Trust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione).3) Service: DNS Action: Permit Policies > (From: Untrust.1. Any Destination Address: Address Book Entry: (seleccione).

Dirección y servicios VIP set vip multi -port save reset System reset. 3. are you sure? y/[n] y Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 130 . Interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10. Dirección set address untrust “Remote Admin” 3.1.3) Service: PCAnywhere Action: Permit CLI 1.3.3.1/24 2.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.3/32 Servicio personalizado set service pcanywhere protocol udp src-port 0-65535 dst-port 5631-5631 set service pcanywhere + tcp src-port 0-65535 dst-port 5632-5632 4.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP virtuales Policies > (From: Untrust.1. Remote Admin Destination Address: Address Book Entry: (seleccione).1. VIP(1.1. To: Trust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione).1.

1.1.1. Directivas set policy set policy set policy set policy save from untrust to trust any vip(1.1.1.3 + 80 http 10.1.3 53 dns 10.1.1.1.1.3 1.1.1.1.3) http permit from untrust to trust any vip(1.3) ldap permit from untrust to trust “Remote Admin” vip(1. Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 131 .1.1.3 1.1.3) pcanywhere permit 18.1.1.4 18 + 5631 pcanywhere 10. introduzca el número de puerto más bajo del servicio como número de puerto virtual.3 1.1. Para servicios de múltiples puertos.4 + 5983 ldap 10.1.1.3) dns permit from untrust to trust any vip(1.1.1.5 5.Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP virtuales set set set set interface interface interface interface ethernet3 ethernet3 ethernet3 ethernet3 vip vip vip vip 1.1.

Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP virtuales Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 132 .

60 traducción “1:1” 46 traducción “1:n” 51 traducción unidireccional 8. sin asignación de puertos 11 rango de direcciones 6 rango de direcciones a IP única 12. 36. 31–33 puerto fijo 17. 13 nombres convenciones viii P PAT 16 puertos números de puerto 128 N NAT definición 2 NAT-src con NAT-dst 70–90 NAT basada en directivas véase NAT-dst y NAT-src NAT-dst 36–90 asignación de puertos 5. 65 con MIPs o VIPs 4 consideraciones sobre las rutas 37. puerto fijo 9 conjuntos de DIP 2 T traducción de direcciones véase NAT. 36 M MIP 92 alcanzable desde otras zonas 97 crear direcciones 94 crear en interfaz de zona 94 crear en una interfaz de túnel 102 definición 8 enrutador virtual predeterminado 96 máscara de red predeterminada 96 rango de direcciones 96 same-as-untrust. 22–24 traducción de direcciones de puertos 3 traducción unidireccional 8. y NAT-src V VIP alcanzable desde otras zonas 121 configuración 121 definición 8 editar 124 eliminar 124 información necesaria 119 servicios personalizados y multipuerto 125– 131 servicios personalizados. 13 NAT-src 2. consideraciones sobre el rango 25 interfaz de salida 10. 55 rango de direcciones a rango de direcciones 12. NAT-dst. 18–21 conjunto de DIP. interfaz 103–106 traducción bidireccional 8 zona global 93 C CLI convenciones iv set vip multi -port 120 conjuntos de caracteres compatibles con ScreenOS viii conjuntos de DIP consideraciones sobre direcciones 16 NAT-src 2 tamaño 16 convenciones CLI iv ilustración vii nombres viii WebUI v crear direcciones MIP 94 desplazamiento de direcciones 25–30 desplazamiento de direcciones. 42–45 desplazamiento de direcciones 7.Índice Índice A asignación de puertos 5. 60 flujo de paquetes 38–41 IP única con asignación de puerto 11 IP única. 37. números de puerto bajos 119 zona global 121 D dirección IP asignada véase MIP direcciones IP virtuales 118 F flujo de paquetes NAT-dst 38–41 I ilustración convenciones vii interfaces MIP 92 VIP 118 IP virtual véase VIP W Z WebUI convenciones v zona global 121 zonas global 121 Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones IX-I . 16–33 basada en interfaces 3 conjunto de DIP con desplazamiento de direcciones 10 conjunto de DIP con PAT 9.

Índice Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones IX-II .

Sign up to vote on this title
UsefulNot useful