CE v7 SP

NetScreen conceptos y ejemplos
Manual de referencia de ScreenOS
Volumen 7: Traducción de direcciones
ScreenOS 5.1.0
Ref. 093-1372-000-SP
Revisión B
Copyright Notice The following information is for FCC compliance of Class B devices: The
equipment described in this manual generates and may radiate radio-frequency
Copyright © 2004 Juniper Networks, Inc. All rights reserved. energy. If it is not installed in accordance with NetScreen’s installation
instructions, it may cause interference with radio and television reception. This
Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen equipment has been tested and found to comply with the limits for a Class B
Technologies, GigaScreen, and the NetScreen logo are registered trademarks digital device in accordance with the specifications in part 15 of the FCC rules.
of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, These specifications are designed to provide reasonable protection against
NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, such interference in a residential installation. However, there is no guarantee
NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, that interference will not occur in a particular installation.
NetScreen-Global PRO Express, NetScreen-Remote Security Client,
NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, If this equipment does cause harmful interference to radio or television
NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen reception, which can be determined by turning the equipment off and on, the
ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and user is encouraged to try to correct the interference by one or more of the
registered trademarks are the property of their respective companies. following measures:
Information in this document is subject to change without notice. • Reorient or relocate the receiving antenna.
No part of this document may be reproduced or transmitted in any form or by • Increase the separation between the equipment and receiver.
any means, electronic or mechanical, for any purpose, without receiving written
permission from: • Consult the dealer or an experienced radio/TV technician for help.
Juniper Networks, Inc. • Connect the equipment to an outlet on a circuit different from that to
ATTN: General Counsel which the receiver is connected.
1194 N. Mathilda Ave. Caution: Changes or modifications to this product could void the user's
Sunnyvale, CA 94089-1206 warranty and authority to operate this device.
FCC Statement Disclaimer

The following information is for FCC compliance of Class A devices: This THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE
equipment has been tested and found to comply with the limits for a Class A ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION
digital device, pursuant to part 15 of the FCC rules. These limits are designed to PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED
provide reasonable protection against harmful interference when the equipment HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE
is operated in a commercial environment. The equipment generates, uses, and SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR
can radiate radio-frequency energy and, if not installed and used in accordance NETSCREEN REPRESENTATIVE FOR A COPY.
with the instruction manual, may cause harmful interference to radio
communications. Operation of this equipment in a residential area is likely to
cause harmful interference, in which case users will be required to correct the
interference at their own expense.
Contenido
Contenido
Prefacio ........................................................................ iii NAT-Src desde un conjunto de DIP con
desplazamiento de direcciones ..............................25
Convenciones ........................................................... iv
Ejemplo: NAT-Src con desplazamiento de
Convenciones de la interfaz de línea direcciones .......................................................... 26
de comandos (CLI) ...................................................... iv
NAT-Src desde la dirección IP de la interfaz
Convenciones de la interfaz gráfica (WebUI) ............... v
de salida ..................................................................31
Convenciones para las ilustraciones...........................vii
Ejemplo: NAT-Src sin DIP ....................................... 31
Convenciones de nomenclatura y conjuntos de
caracteres ..................................................................viii Capítulo 3 Traducción de direcciones de red
Documentación de NetScreen
de destino ...................................................................35
de Juniper Networks .................................................. ix Introducción a NAT-Dst .............................................36
Flujo de paquetes para NAT-Dst................................. 38
Capítulo 1 Traducción de direcciones.........................1
Enrutamiento para NAT-Dst......................................... 42
Introducción a la traducción de direcciones ............2 Direcciones conectadas a una interfaz .............. 43
Traducción de direcciones de red de origen ..............2 Direcciones conectadas a una interfaz pero
Traducción de direcciones de red de destino.............4 separadas por un enrutador ............................... 44
Direcciones separadas por una interfaz.............. 45
Opciones de la traducción basada en directivas.....9
NAT-Dst: Asignación “1:1” .........................................46
Naturaleza direccional de NAT-Src y NAT-Dst ...........13
Ejemplo: Traducción de destinos “1:1”................ 47
Capítulo 2 Traducción de direcciones de red Traducción de una dirección a múltiples
de origen .....................................................................15 direcciones ................................................................ 51
Introducción a NAT-Src .............................................16 Ejemplo: Traducción de destinos “1:n”................ 51
NAT-Dst: Asignación “n:1” .........................................55
NAT-Src desde un conjunto de DIP con PAT
habilitada.................................................................18 Ejemplo: Traducción de destinos “n:1”................ 55
Ejemplo: NAT-Src con PAT habilitada....................19 NAT-Dst: Asignación “n:n” .........................................60
NAT-Src desde un conjunto de DIP con PAT Ejemplo: Traducción de destinos “n:n”................ 61
inhabilitada ..............................................................22 NAT-Dst con asignación de puertos .........................65
Ejemplo: NAT-Src con PAT inhabilitada .................22 Ejemplo: NAT-dst con asignación de puertos ...... 65
Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones i

Contenido
NAT-Src y NAT-Dst en la misma directiva ..................70 MIP-Same-as-Untrust ................................................. 103

Ejemplo: MIP en la interfaz Untrust ..................... 104
Ejemplo: NAT-Src y NAT-Dst combinadas..............70
MIP y la interfaz de bucle invertido (loopback) ....... 107
Capítulo 4 Direcciones IP asignadas y virtuales .........91 Ejemplo: MIP para dos interfaces de túnel ........ 108
Direcciones IP virtuales...........................................118
Direcciones IP asignadas .........................................92
VIP y la zona Global ................................................. 121
MIP y la zona Global ..................................................93 Ejemplo: Configurar servidores de IPs virtuales.. 121
Ejemplo: MIP en una interfaz de la zona Untrust...94 Ejemplo: Editar una configuración de VIP ......... 124
Ejemplo: Acceder a una MIP desde diferentes Ejemplo: Eliminar una configuración VIP ........... 124
zonas ....................................................................97 Ejemplo: VIP con servicios personalizados
y de múltiples puertos........................................ 125
Ejemplo: Agregar una MIP a una interfaz
de túnel ..............................................................102 Índice ......................................................................... IX-I
Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones ii

Prefacio
El Volumen 7, “Traducción de direcciones” trata de los diferentes métodos disponibles en ScreenOS para realizar la
traducción de direcciones. Este volumen contiene los siguientes capítulos que describen cómo configurar el
dispositivo NetScreen para realizar los siguientes tipos de traducción:
• Capítulo 1, Traducción de direcciones: un resumen de las diferentes opciones de traducción, descritas en
detalle en los capítulos subsiguientes.
• Capítulo 2, Traducción de direcciones de red de origen: (NAT-src) la traducción de la dirección IP de origen
en el encabezado de un paquete, con y sin traducción de direcciones de puertos (PAT).
• Capítulo 3, Traducción de direcciones de red de destino: (NAT-dst) la traducción de la dirección IP de
destino en el encabezado de un paquete, con y sin asignación de direcciones de puertos de destino. Esta
sección también contiene información sobre el flujo de paquetes al ejecutar NAT-src, aspectos importantes
sobre el enrutamiento y desplazamiento de direcciones (“address shifting”).
• Capítulo 4, Direcciones IP asignadas y virtuales: la asignación de una dirección IP de destino a otra
basándose solamente en la dirección IP (IP asignada) o basándose en la dirección IP de destino y el
número del puerto de destino (IP virtual).
Nota: Para obtener más información sobre la traducción de direcciones de origen de una red basada en interfaces
(denominada simplemente NAT), consulte “Modo NAT” en la página 2 -127.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones iii

Prefacio Convenciones
CONVENCIONES
Este documento contiene distintos tipos de convenciones, que se explican en las siguientes secciones:
• Convenciones de la interfaz de línea de comandos (CLI)
• “Convenciones de la interfaz gráfica (WebUI)” en la página v
• “Convenciones para las ilustraciones” en la página vii
• “Convenciones de nomenclatura y conjuntos de caracteres” en la página viii
Convenciones de la interfaz de línea de comandos (CLI)

Las siguientes convenciones se utilizan para representar la sintaxis de los comandos de la interfaz de línea de
comandos (CLI):
• Los comandos entre corchetes [ ] son opcionales.
• Los elementos entre llaves { } son obligatorios.
• Si existen dos o más opciones alternativas, aparecerán separadas entre sí por barras verticales ( | ).
Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage
significa “establecer las opciones de administración de la interfaz ethernet1, ethernet2 o ethernet3”.
• Las variables aparecen en cursiva. Por ejemplo:
set admin user name password
Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salvo en el caso de las variables,
que siempre aparecen en cursiva ). Por ejemplo: “Utilice el comando get system para visualizar el número de serie
de un dispositivo NetScreen”.
Nota: Para escribir palabras clave, basta con introducir los primeros caracteres que permitan al sistema reconocer
de forma inequívoca la palabra que se está introduciendo. Por ejemplo, es suficiente escribir set adm u joe
j12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54 . Aunque este método se
puede utilizar para introducir comandos, en la presente documentación todos ellos se representan con sus
palabras completas.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones iv

Convenciones de la interfaz gráfica (WebUI)

En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegación de la WebUI por las que se
pasa al hacer clic en opciones de menú y vínculos. Por ejemplo, la ruta para abrir el cuadro de diálogo de
configuración de direcciones se representa como sigue: Objects > Addresses > List > New . A continuación se
muestra la secuencia de navegación.
1. Haga clic en Objects en la columna de menú. 3. Haga clic en List.

La opción de menú Objects se desplegará para Aparecerá la tabla de libretas de direcciones.
mostrar las opciones subordinadas que contiene. 4. Haga clic en el vínculo New.
2. (Menú Applet) Sitúe el mouse sobre Addresses. Aparecerá el cuadro de diálogo de configuración
(Menú DHTML) Haga clic en Addresses. de nuevas direcciones.
La opción de menú Addresses se desplegará para
mostrar las opciones subordinadas que contiene.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones v

Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de diálogo apropiado, donde
podrá definir objetos y establecer parámetros de ajuste. El conjunto de instrucciones de cada tarea se divide en dos
partes: la ruta de navegación y los datos de configuración. Por ejemplo, el siguiente conjunto de instrucciones
incluye la ruta al cuadro de diálogo de configuración de direcciones y los ajustes de configuración que se deben
realizar:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
Nota: En este ejemplo, no hay

Address Name: addr_1
instrucciones para el campo
Comment, por lo que se deja
en blanco.
IP Address Name/Domain Name:
Zone: Untrust
Haga clic
en OK .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones vi

Convenciones para las ilustraciones

Los siguientes gráficos conforman el conjunto básico de imágenes utilizado en las ilustraciones de este manual:
Red de área local (LAN) con

Dispositivo NetScreen genérico una única subred
(ejemplo: 10.1.1.0/24)
Dominio de enrutamiento virtual Internet
Rango de direcciones IP dinámicas

Zona de seguridad (DIP)
Equipo de escritorio
Interfaces de zonas de seguridad
Blanca = interfaz de zona protegida
(ejemplo: zona Trust)
Negra = interfaz de zona externa Equipo portátil
(ejemplo: zona sin confianza o zona Untrust)
Dispositivo de red genérico

Interfaz de túnel
(ejemplos: servidor NAT,
concentrador de acceso)
Túnel VPN
Servidor
Icono de enrutador (router)
Icono de conmutador (switch)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones vii

Convenciones de nomenclatura y conjuntos de caracteres

ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones, usuarios
administradores, servidores de autenticación, puertas de enlace IKE, sistemas virtuales, túneles de VPN y zonas)
definidas en las configuraciones de ScreenOS.
• Si la secuencia de caracteres que conforma un nombre contiene al menos un espacio, la
cadena completa deberá entrecomillarse mediante comillas dobles ( “ ); por ejemplo,
set address trust “ local LAN” 10.1.1.0/24 .
• NetScreen eliminará cualquier espacio al comienzo o al final de una cadena entrecomillada;
por ejemplo, “ local LAN ” se transformará en “local LAN”.
• NetScreen tratará varios espacios consecutivos como uno solo.
• En las cadenas de nombres se distingue entre mayúsculas y minúsculas; por el contrario, en
muchas palabras clave de la interfaz de línea de comandos pueden utilizarse indistintamente.
Por ejemplo, “local LAN” es distinto de “local lan”.
ScreenOS admite los siguientes conjuntos de caracteres:
• Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de múltiples bytes (MBCS). Algunos
ejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS,
también conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano
y el japonés.
Nota: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS,
según el conjunto de caracteres que admita el explorador web.
• Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepción de las comillas dobles ( “ ),
que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones viii

Prefacio Documentación de NetScreen de Juniper Networks
DOCUMENTACIÓN DE NETSCREEN DE JUNIPER NETWORKS

Para obtener documentación técnica sobre cualquier producto NetScreen de Juniper Networks, visite
www.juniper.net/techpubs/.
Para obtener soporte técnico, abra un expediente de soporte utilizando el vínculo “Case Manager” en la página web
http://www.juniper.net/support/ o llame al teléfono 1-888-314-JTAC (si llama desde los EE.UU.) o al
+1-408-745-9500 (si llama desde fuera de los EE.UU.).
Si encuentra algún error o omisión en esta documentación, póngase en contacto con nosotros a través de la
siguiente dirección de correo electrónico:
techpubs-comments@juniper.net
Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones ix

Prefacio Documentación de NetScreen de Juniper Networks
Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones x

Capítulo 1
Traducción de direcciones
1
NetScreen proporciona muchos métodos para realizar la traducción de direcciones IP de origen y de destino y de
direcciones del puerto de destino. Este capítulo describe los diversos métodos de traducción de direcciones
disponibles y está organizado en las siguientes secciones:
• “Introducción a la traducción de direcciones” en la página 2
– “Traducción de direcciones de red de origen” en la página 2
– “Traducción de direcciones de red de destino” en la página 4
• “Opciones de la traducción basada en directivas” en la página 9
• “Naturaleza direccional de NAT-Src y NAT-Dst” en la página 13
Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 1

Capítulo 1 Traducción de direcciones Introducción a la traducción de direcciones
INTRODUCCIÓN A LA TRADUCCIÓN DE DIRECCIONES

NetScreen proporciona varios mecanismos para aplicar la traducción de direcciones de red (NAT). El concepto de
NAT abarca la traducción de direcciones IP en los encabezados de paquetes IP y, opcionalmente, la traducción del
número de puerto en el segmento TCP o en el encabezado del datagrama UDP. La traducción puede implicar la
dirección de origen (y opcionalmente el número del puerto de origen), la dirección de destino (y opcionalmente el
número de puerto de destino), o una combinación de elementos traducidos.
Traducción de direcciones de red de origen

Al realizar la traducción de direcciones de red de origen (NAT-src), el dispositivo NetScreen traduce la dirección IP
de origen original a otra dirección. La dirección traducida puede proceder de un conjunto de direcciones IP
dinámicas (DIP) o de la interfaz de salida del dispositivo NetScreen. Si el dispositivo NetScreen toma la dirección
traducida de un conjunto de DIP, puede hacerlo de forma arbitraria o determinista; es decir, puede tomar cualquier
dirección del conjunto de DIP al azar o puede tomar una y otra vez una dirección específica relacionada con la
1
dirección IP original de origen . Si la dirección traducida procede de la interfaz de salida, el dispositivo NetScreen
traduce la dirección IP de origen en todos los paquetes a la dirección IP de esa interfaz. Puede configurar el
dispositivo NetScreen para aplicar NAT-src a nivel de interfaz o a nivel de directiva. Si configura una directiva para
aplicar NAT-src y la interfaz de ingreso se encuentra en modo NAT, los ajustes de NAT-src basada en directivas
tienen preferencia sobre la NAT basada en interfaz2. (Este capítulo se centra en NAT-src basada en directivas. Para
obtener más detalles sobre NAT-src basada en interfaz (también llamada simplemente NAT), consulte “Modo NAT”
en la página 2 -127. Para obtener más información sobre conjuntos de DIP, consulte “Conjuntos de DIP” en la página
2 -278).
Traducción de la dirección IP de origen
Dirección IP de origen original Dirección IP de origen traducida
IP de IP de IP de IP de
origen destino origen destino
Paquete IP 10.1.1.5 2.2.2.2 Carga de datos 1.1.1.5 2.2.2.2 Carga de datos
1. La traducción de direcciones determinista utiliza una técnica llamada “desplazamiento de direcciones” (“address shifting”), que se explica más adelante en
este capítulo. Para obtener más información sobre el desplazamiento de direcciones aplicado a NAT-src, consulte “NAT-Src desde un conjunto de DIP con
desplazamiento de direcciones” en la página 25. Para obtener más información sobre el desplazamiento de direcciones aplicado a NAT-dst, consulte
“NAT-Src y NAT-Dst en la misma directiva” en la página 70.
2. Puede utilizar NAT-src basada en directivas cuando la interfaz de ingreso se encuentra en el modo Route o NAT. Si se encuentra en modo NAT, los
parámetros de NAT-src a nivel de directivas reemplazan a los parámetros de NAT a nivel de interfaz.

Con NAT-src basada en directivas, puede elegir opcionalmente que el dispositivo NetScreen realice la traducción
de direcciones del puerto (PAT) del número original del puerto de origen. Con PAT habilitada, el dispositivo
NetScreen puede traducir hasta unas 64.500 direcciones IP diferentes a una sola dirección IP con hasta unos
64.500 puertos diferentes3. El dispositivo NetScreen utiliza el número traducido de puerto único para mantener la
información del estado de la sesión correspondiente al tráfico entrante y saliente de la misma dirección IP única.
Para NAT-src basada en interfaces (conocida simplemente como “NAT”), la traducción de direcciones de puertos
está habilitada automáticamente. Dado que el dispositivo NetScreen traduce todas las direcciones IP originales a la
misma dirección IP traducida (la de la interfaz de salida), el dispositivo NetScreen utiliza el número de puerto
traducido para identificar a qué sesión corresponde cada paquete. De forma similar, si un conjunto de DIP consta
solamente de una dirección IP y se desea que el dispositivo NetScreen aplique NAT-src a varios equipos utilizando
esa dirección, entonces se requiere PAT por la misma razón.
Traducción de direcciones IP de origen y

traducción de direcciones de puertos de origen
Direcciones originales de puertos e IPs de origen Direcciones traducidas de puertos e IPs de origen
Puerto Puerto Puerto Puerto

Segmento TCP o
datagrama UDP 30777 53 Carga de datos 44235 53 Carga de datos
3. Con PAT habilitada, el dispositivo NetScreen mantiene un conjunto de números de puerto libres para asignar junto con direcciones del conjunto de DIP. La
cifra de unos ~64.500 se calcula restando 1023 (los números reservados para los puertos bien conocidos) del número máximo de puertos, que es 65.535.
Por lo tanto, cuando el dispositivo NetScreen realiza NAT-src con un conjunto de DIP que contiene una sola dirección IP y la traducción PAT está habilitada,
el dispositivo NetScreen puede traducir las direcciones IP originales de hasta unos ~64.500 equipos a una sola dirección IP y cada número de puerto original
a un número de puerto único.

En aplicaciones personalizadas que requieran un número específico de puerto de origen para funcionar
correctamente, la ejecución de PAT provoca que esas aplicaciones fallen. Para prevenir tales casos, puede
desactivar PAT.
Nota: Para obtener más información sobre NAT-src, consulte “Traducción de direcciones de red de origen” en la
página 15.
Traducción de direcciones de red de destino

NetScreen ofrece los tres mecanismos siguientes para realizar la traducción de direcciones de red de destino
(NAT-dst):
• NAT-dst basada en directivas
• Dirección IP asignada (MIP)
• Dirección IP virtual (VIP)
Las tres opciones traducen la dirección IP original de destino del encabezado del paquete IP a otra dirección. Con
NAT-dst basada en directivas y VIPs, también tiene la opción de habilitar la asignación de puertos4.
Nota: NetScreen no admite el uso de NAT-dst basada en directivas en combinación con MIPs y VIPs. Si tiene
configurada una MIP o VIP, el dispositivo NetScreen la aplicará a cualquier tráfico al que también sea aplicable una
configuración NAT-dst basada en directivas. En otras palabras, las MIPs y VIPs desactivan NAT-dst basada en
directivas si el dispositivo NetScreen se configura accidentalmente para aplicar ambas al mismo tráfico.
4. Para obtener más información sobre la asignación de puertos, consulte “NAT-dst basada en directivas” en las páginas siguientes, así como “Traducción de
direcciones de red de destino” en la página 35.

NAT-dst basada en directivas: Puede configurar una directiva para traducir una dirección IP de destino a otra
dirección, un rango de direcciones IP a una sola dirección IP, o un rango de direcciones IP a otro rango. Cuando
una sola dirección IP de destino se traduce a otra dirección IP o un rango de direcciones IP se traduce a una sola
dirección IP, NetScreen puede admitir NAT-dst con o sin asignación de puertos. La asignación de puertos es la
traducción determinista de un número de puerto de destino original a otro número específico, a diferencia de PAT,
que traduce cualquier número de puerto de origen original asignado aleatoriamente por el equipo iniciador a otro
número asignado aleatoriamente por el dispositivo NetScreen.
Traducción de direcciones IP de destino sin

asignación de puertos de destino
Dirección IP de destino original Dirección IP de destino traducida
Traducción de direcciones IP de destino con

asignación de puertos de destino
Direcciones IP de destino y de puertos originales Direcciones IP de destino y de puertos traducidas
Puerto Puerto Puerto Puerto

Segmento TCP o
datagrama UDP 44235 6055 Carga de datos 44235 53 Carga de datos

Cuando se configura una directiva para ejecutar NAT-dst con el fin de traducir un rango de direcciones a una sola
dirección, el dispositivo NetScreen traduce cualquier dirección IP de destino del rango de direcciones de destino
originales definido por el usuario a una sola dirección. También puede habilitar la asignación de puertos.
Traducción de las direcciones IP de destino de un rango de direcciones IP a una dirección IP única
Direcciones IP de destino originales Direcciones IP de destino traducidas
IP ORIG IP DEST IP ORIG IP DEST
Paquetes IP 1.1.1.5 2.2.2.2 Carga de datos 1.1.1.5 10.3.1.6 Carga de datos
1.1.1.5 2.2.2.3 Carga de datos 1.1.1.5 10.3.1.6 Carga de datos
Traducc ón de d recc ones P de des no de un rango de d recc ones P a una d recc ón P ún ca con as gnac ón de puer os de des no
D recc ones P de des no y de puer os or g na es D recc ones P de des no y de puer os raduc das
P OR G P DEST P OR G P DEST
Paque e P 1 1115 2222 Carga de da os 1115 10 3 1 6 Carga de da os
Puer o Puer o Puer o Puer o

or gen des no or gen des no
Segmen o 44235 8000 Carga de da os 44235 80 Carga de da os
TCP 1
Paque e P 2 1115 2223 Carga de da os 1115 10 3 1 6 Carga de da os
Segmen o 28560 8000 Carga de da os 28560 80 Carga de da os

TCP 2

Al configurar una directiva para realizar NAT-dst en un rango de direcciones, el dispositivo NetScreen utiliza el
desplazamiento de direcciones para traducir una dirección IP de destino de un rango de direcciones de destino
originales a una dirección conocida de otro rango de direcciones.
Traducción de direcciones IP de destino con

desplazamiento de direcciones
Direcciones IP de destino originales Direcciones IP de destino traducidas
Paquetes IP 1.1.1.5 2.2.2.2 Carga de datos 1.1.1.5 10.3.1.6 Carga de datos
Al realizar NAT-dst en un rango de direcciones IP, el dispositivo NetScreen mantiene una correspondencia entre
cada dirección IP de un rango de direcciones y la dirección IP correspondiente en otro rango de direcciones.
Nota: NAT-src y NAT-dst se pueden combinar en la misma directiva. Cada mecanismo de traducción funciona de
forma independiente y unidireccional. Es decir, si habilita NAT-dst para el tráfico de zone1 a zone2, el dispositivo
NetScreen no aplicará NAT-src al tráfico originado en zone2 y destinado a zone1 salvo que lo configure
específicamente para hacerlo. Para obtener más información, consulte “Naturaleza direccional de NAT-Src y
NAT-Dst” en la página 13. Para obtener más información sobre NAT-dst, consulte “Traducción de direcciones de
red de destino” en la página 35.

MIPs: Una MIP es una asignación (correspondencia) de una dirección IP a otra dirección IP. Una de las direcciones
debe definirse en la misma subred que una dirección IP de interfaz. La otra dirección pertenece al host al que se
desea dirigir el tráfico. La traducción de direcciones para una MIP se comporta de forma bidireccional, de modo que
el dispositivo NetScreen traduce la dirección IP de destino de todo el tráfico dirigido a una MIP a la dirección IP del
host, y la dirección IP de origen de todo el tráfico procedente de la dirección IP del host a la dirección MIP. Las
MIPS no admiten asignaciones de puertos. Para obtener más información sobre MIPs, consulte “Direcciones IP
asignadas” en la página 92.
VIPs: Una VIP es una asignación (correspondencia) de una dirección IP a otra dirección IP basada en el número de
puerto de destino. Una sola dirección IP definida en la misma subred que una interfaz puede contener asignaciones
5
de varios servicios (identificados por los diferentes números de puertos de destino) a otros tantos hosts . Las VIPs
también admiten asignaciones de puertos. A diferencia de las MIPs, la traducción de direcciones para una VIP
ocurre de forma unidireccional. El dispositivo NetScreen traduce la dirección IP de destino en todo el tráfico
entrante a una VIP a la dirección IP de un host. (El dispositivo NetScreen solamente comprueba si la dirección IP de
destino está asociada a una VIP en los paquetes que llegan a una interfaz asociada a la zona Untrust). El
dispositivo NetScreen no traduce la dirección IP de origen inicial del tráfico saliente de un host VIP a la de la
dirección VIP. En lugar de ello, el dispositivo NetScreen aplica NAT-src basada en interfaces o basada en directivas
si previamente ha sido configurado. De no ser así, el dispositivo NetScreen no aplicará NAT-src al tráfico originado
en un host VIP. Para obtener más información sobre VIPs, consulte “Direcciones IP virtuales” en la página 118.
Mientras que los mecanismos de traducción de direcciones para MIPs y VIPs son bidireccionales, la funcionalidad
proporcionada por NAT-src y NAT-dst basadas en directivas mantienen separada la traducción de direcciones de
los tráficos entrante y saliente, aumentando las posibilidades de control y la seguridad. Por ejemplo, si utiliza una
asignación MIP a un servidor Web, siempre que ese servidor inicie un tráfico saliente para obtener una
actualización o parche, su actividad quedará expuesta, siendo susceptible de que un posible atacante la utilice. Los
métodos de traducción de direcciones basada en directivas permiten definir una asignación de direcciones cuando
el servidor web recibe tráfico (mediante NAT-dst) y otra asignación cuando inicia tráfico (mediante NAT-src).
Manteniendo sus actividades ocultas, puede proteger mejor el servidor contra cualquiera que intente recopilar
información para preparar un ataque. En esta versión de ScreenOS, NAT-src y NAT-dst basadas en directivas
ofrecen una estrategia común que puede duplicar y sobrepasar la funcionalidad de MIPs y VIPs basadas en
interfaces.
5. En algunos dispositivos NetScreen se puede definir una VIP para actuar del mismo modo que una dirección IP de interfaz. Esta posibilidad resulta muy útil
cuando el dispositivo NetScreen solamente tiene asignada una dirección IP, y cuando ésta se asigna dinámicamente.

Capítulo 1 Traducción de direcciones Opciones de la traducción basada en directivas
OPCIONES DE LA TRADUCCIÓN BASADA EN DIRECTIVAS

NetScreen proporciona los siguientes métodos para aplicar la traducción de direcciones de las redes de origen y de
destino (NAT-src) y (NAT-dst). Observe que NAT-src y NAT-dst se pueden combinar dentro de una misma directiva.
NAT-Src from a DIP Pool with PAT: El dispositivo NetScreen traduce la dirección IP de origen original a una
dirección tomada de un conjunto de direcciones IP dinámicas (DIP). El dispositivo NetScreen también aplica la
traducción de direcciones de origen de los puertos (PAT). Para obtener más información, consulte “NAT-Src desde
un conjunto de DIP con PAT habilitada” en la página 18.
Conjunto de DIP con ID 5
1.1.1.10 – 1.1.1.40
1.1.1.20
Zona Trust ethernet1 ethernet3 Zona Untrust
10.1.1.1/24 1.1.1.1/24
10.1.1.5:25611 1.1.1.20:41834 2.2.2.2:80
(Dispositivo virtual)
Origen original Origen traducido Destino
Nota: En esta ilustración y en las siguientes se utiliza un “dispositivo virtual” para representar una dirección de
origen o de destino traducida cuando dicha dirección no pertenece a un dispositivo real.
NAT-Src from a DIP Pool without PAT: El dispositivo NetScreen traduce la dirección IP de origen original a una
dirección tomada de un conjunto DIP. El dispositivo NetScreen no aplica PAT de origen. Para obtener más
información, consulte “NAT-Src desde un conjunto de DIP con PAT inhabilitada” en la página 22.
Conjunto de DIP con ID 5
1.1.1.10 – 1.1.1.40
1.1.1.25
10.1.1.1/24 1.1.1.1/24
10.1.1.6:35030 1.1.1.25:35030 2.2.2.2:80

NAT-Src from a DIP Pool with Address Shifting: El dispositivo NetScreen traduce la dirección IP de origen
original a una dirección tomada de un conjunto de direcciones IP dinámicas (DIP), asignando coherentemente cada
dirección original a una determinada dirección traducida. El dispositivo NetScreen no aplica la traducción de
direcciones de los puertos de origen (PAT). Para obtener más información, consulte “NAT-Src desde un conjunto de
DIP con desplazamiento de direcciones” en la página 25.
Conjunto de DIP
con ID 5
1.1.1.10 – 1.1.1.40 1.1.1.20
Zona Trust ethernet1 ethernet3 1.1.1.21
1.1.1.1/24 Zona Untrust
10.1.1.1/24
10.1.1.20:25611 1.1.1.20:25611
2.2.2.2:80
10.1.1.21:35030 1.1.1.21:35030
10.1.1.20 siempre se traduce a 1.1.1.20. (Dispositivos virtuales)

10.1.1.21 siempre se traduce a 1.1.1.21.
Orígenes originales Orígenes traducidos Destino
NAT-Src from the Egress Interface IP Address: El dispositivo NetScreen traduce la dirección IP de origen original
a la dirección de la interfaz emisora. El dispositivo NetScreen también aplica PAT de origen. Para obtener más
información, consulte “NAT-Src desde la dirección IP de la interfaz de salida” en la página 31.

10.1.1.1/24 1.1.1.1/24
10.1.1.5:25611 1.1.1.1:41834 2.2.2.2:80
(Dispositivo
virtual)
Origen original 1.1.1.1 Origen Destino
traducido

NAT-Dst to a Single IP Address with Port Mapping: El dispositivo NetScreen realiza la traducción de direcciones
de red de destino (NAT-dst) y la asignación de puertos de destino. Para obtener más información, consulte
“NAT-Dst con asignación de puertos” en la página 65.
2.2.2.8:7777
Zona Untrust ethernet3 ethernet1 Zona Trust
1.1.1.1/24 10.2.2.1/24
1.1.1.5
10.2.2.8:80
(Dispositivo
virtual)
Origen Destino original Destino traducido
NAT-Dst to a Single IP Address without Port Mapping: El dispositivo NetScreen realiza NAT-dst pero no cambia
el número del puerto de destino original. Para obtener más información, consulte “Traducción de direcciones de red
de destino” en la página 35.
2.2.2.8:80
Zona Untrust ethernet3 ethernet1 Zona Trust
1.1.1.1/24 10.2.2.1/24
1.1.1.5 10.2.2.8:80
(Dispositivo
virtual)
Origen
Destino original Destino traducido

NAT-Dst from an IP Address Range to a Single IP Address: El dispositivo NetScreen realiza NAT-dst para
traducir un rango de direcciones IP a una dirección IP única. Si también habilita la asignación de puertos, el
dispositivo NetScreen traducirá el número de puerto de destino original a otro número. Para obtener más
información, consulte “NAT-Dst: Asignación “n:1”” en la página 55.
2.2.2.8:80
Zona Untrust ethernet3 ethernet2 Zona DMZ
1.1.1.5:25611 1.1.1.1/24 10.2.2.1/24
10.2.2.8:80
2.2.2.9:80 10.2.2.8:80
2.2.2.8 y 2.2.2.9 se traducen
1.1.1.6:40365 siempre a 10.2.2.8.
Orígenes (Dispositivos virtuales) Destino

traducido
Destinos
originales
NAT-Dst between IP Address Ranges: Cuando se aplica NAT-dst a un rango de direcciones IP, el dispositivo
NetScreen mantiene una asignación constante de una dirección de destino original a una dirección traducida del
rango especificado usando una técnica denominada desplazamiento de direcciones (“address shifting”). Observe
que el desplazamiento de direcciones no admite asignaciones de puertos. Para obtener más información, consulte
“NAT-Dst: Asignación “n:n”” en la página 60.
2.2.2.8:80 10.2.2.8:80
Zona Untrust ethernet3 ethernet1
1.1.1.1/24 10.2.2.1/24 Zona Trust
1.1.1.5
2.2.2.9:80 10.2.2.9:80
1.1.1.6
2.2.2.8 se traduce siempre a 10.2.2.8
y 2.2.2.9 se traduce siempre a 10.2.2.9.
Orígenes
Destinos Destinos
originales traducidos

Capítulo 1 Traducción de direcciones Naturaleza direccional de NAT-Src y NAT-Dst
NATURALEZA DIRECCIONAL DE NAT-SRC Y NAT-DST

La aplicación de NAT-src es independiente de la de NAT-dst. Usted determina su aplicación al tráfico por el sentido
indicado en una directiva. Por ejemplo, si el dispositivo NetScreen aplica una directiva que requiere NAT-dst al
tráfico enviado del host A al host virtual B, el dispositivo NetScreen traduce la dirección IP de destino original de
2.2.2.2 a 3.3.3.3. (También traduce la dirección IP de origen de 3.3.3.3 a 2.2.2.2 en el tráfico de respuesta).
set policy from “zone A” to “zone B” “host A” “virtual host B” any nat dst ip 3.3.3.3 permit
set vrouter trust-vr route 2.2.2.2/32 interface ethernet1
Host A ethernet3 ethernet1 Host virtual B Host B

1.1.1.1 1.1.1.10/24 3.3.3.10/24 2.2.2.2 3.3.3.3
Zona A Zona B
ORIG DEST
1.1.1.1 2.2.2.2 Carga de datos
El dispositivo NetScreen traduce la

dirección IP de destino de 2.2.2.2 a
3.3.3.3. Almacena la información de IP y
dirección del puerto en su tabla de la
sesión.
ORIG DEST
ORIG DEST
El dispositivo NetScreen compara la

información de IP y puerto contenida en el
paquete con la información almacenada
en su tabla de la sesión. Luego traduce la
dirección IP de origen de 3.3.3.3 a 2.2.2.2.
ORIG DEST
Nota: Para que el dispositivo NetScreen pueda realizar una consulta de rutas para determinar las zonas de
destino, es necesario establecer una ruta a 2.2.2.2/32 (host virtual B). Para obtener más información sobre
cuestiones de enrutamiento NAT-dst, consulte “Enrutamiento para NAT-Dst” en la página 42.

Capítulo 1 Traducción de direcciones Naturaleza direccional de NAT-Src y NAT-Dst
Sin embargo, si crea la directiva antedicha especificando solamente NAT-dst desde el host A al host B, el
dispositivo NetScreen no traducirá la dirección IP de origen original del host B si éste inicia tráfico hacia el host A,
en lugar de responder al tráfico procedente del host A. Para que el dispositivo NetScreen traduzca la dirección IP de
origen del host B cuando éste inicia tráfico al host A, debe configurar una segunda directiva en la que se especifique
6
NAT-src desde el host B al host A . (Este comportamiento es distinto al de las MIPs. Consulte “Direcciones IP
asignadas” en la página 92).
set interface ethernet1 dip-id 7 1.1.1.3 1.1.1.3
set policy from “zone B” to “zone A” “host B” “host A” any nat src dip-id 7 permit
Host A: Conjunto de DIP 7 ethernet3 ethernet1 Host B:

1.1.1.1 1.1.1.3 – 1.1.1.3 1.1.1.10/24 3.3.3.10/24 3.3.3.3
Zona A Zona B
ORIG DEST
El dispositivo NetScreen traduce la

dirección IP de origen de 3.3.3.3 a 1.1.1.3.
Almacena la información de IP y dirección
del puerto en su tabla de la sesión.
ORIG DEST
ORIG DEST
El dispositivo NetScreen compara la

información de IP y puerto contenida en el
paquete con la información almacenada en
su tabla de la sesión. A continuación
traduce la dirección IP de destino de 1.1.1.3
a 3.3.3.3.
ORIG DEST
6. Para no distraer la atención de los mecanismos de traducción de direcciones IP, no se muestra la traducción de direcciones de puertos (PAT). Si especifica
números de puerto fijos para un conjunto de DIP consistente en una sola dirección IP, solamente un host podrá utilizar ese conjunto en un momento dado.
La directiva anterior especifica solamente el “host B” como dirección de origen. Si el “host B” es el único host que utiliza el conjunto de DIP 7, es innecesario
habilitar PAT.

Capítulo 2
Traducción de direcciones de red de origen

2
NetScreen proporciona muchos métodos para realizar la traducción de direcciones de red de origen (NAT-src) y la
traducción de direcciones de puertos de origen (PAT). Este capítulo describe los diversos métodos de traducción de
direcciones disponibles y está organizado en las siguientes secciones:
• “Introducción a NAT-Src” en la página 16
• “NAT-Src desde un conjunto de DIP con PAT habilitada” en la página 18
• “NAT-Src desde un conjunto de DIP con PAT inhabilitada” en la página 22
• “NAT-Src desde un conjunto de DIP con desplazamiento de direcciones” en la página 25
• “NAT-Src desde la dirección IP de la interfaz de salida” en la página 31

Capítulo 2 Traducción de direcciones de red de origen Introducción a NAT-Src
INTRODUCCIÓN A NAT-SRC
A veces es necesario que el dispositivo NetScreen traduzca la dirección IP de origen original de un encabezado de
paquete IP a otra dirección. Por ejemplo, cuando algún host con una dirección IP privada envía tráfico a un espacio
de direcciones público, el dispositivo NetScreen debe traducir la dirección IP de origen privada a una dirección
1
pública . Asimismo, al enviar tráfico desde un espacio de direcciones privado a través de una VPN a un sitio que
utilice las mismas direcciones, los dispositivos NetScreen situados en ambos extremos del túnel deben traducir las
direcciones IP de origen y de destino a direcciones que no se interfieran mutuamente.
Un conjunto de direcciones IP dinámicas (DIP) proporciona al dispositivo NetScreen una fuente de direcciones que
utiliza para realizar la traducción de direcciones de red de origen (NAT-src). Cuando una directiva requiere NAT-src
y hace referencia a un conjunto de DIP específico, el dispositivo NetScreen toma direcciones de ese conjunto al
realizar la traducción.
Nota: El conjunto de DIP debe utilizar direcciones de la misma subred que la interfaz predeterminada de la zona de
destino a la que se hace referencia en la directiva. Si desea utilizar un conjunto de DIP con direcciones que se
encuentran fuera de la subred de la interfaz de la zona de destino, debe definir un conjunto de DIP en una interfaz
extendida. Para obtener más información, consulte “Interfaz extendida y DIP” en la página 2 -283.
El conjunto de DIP puede ser tan pequeño como una sola dirección IP, la cual, si se habilita la traducción de
direcciones de puertos (PAT), puede atender a unos 64.500 hosts simultáneamente2. Aunque a todos los paquetes
que reciben una nueva dirección IP de origen de ese conjunto se les asigna la misma dirección, cada uno obtiene
un número de puerto diferente. Manteniendo una entrada en la tabla de sesiones con la correspondencia entre las
direcciones original y traducida y los números de puerto original y traducido, el dispositivo NetScreen puede
determinar qué paquetes pertenecen a qué sesión, y qué sesiones pertenecen a qué hosts.
Si utiliza NAT-src pero no especifica un conjunto de DIP en la directiva, el dispositivo NetScreen traduce la dirección
de origen a la dirección de la interfaz de salida de la zona de destino. En estos casos se requiere PAT, que se
habilita automáticamente.
1. Para obtener más información sobre direcciones IP públicas y privadas, consulte “Direcciones IP públicas” en la página 2 -67 y “Direcciones IP privadas”
en la página 2 -68.
2. Con PAT habilitada, el dispositivo NetScreen también mantiene un conjunto de números de puerto libres para asignar junto con direcciones del conjunto de
DIP. La cifra de unos ~64.500 se calcula restando 1023 (los números reservados para los puertos bien conocidos) del número máximo de puertos, que es
65.535.

Capítulo 2 Traducción de direcciones de red de origen Introducción a NAT-Src
Para las aplicaciones que requieran trabajar con un número de puerto de origen invariable, debe desactivar PAT y
definir un conjunto de DIP con un rango de direcciones IP suficientemente grandes para que cada host activo
simultáneamente reciba una dirección traducida diferente. Para trabajar con direcciones dinámicas (DIP) de puerto
fijo, el dispositivo NetScreen asigna una dirección de origen traducida al mismo host para todas sus sesiones
simultáneas. Por el contrario, cuando el conjunto de DIP tiene habilitada PAT, el dispositivo NetScreen puede
asignar a un solo host diferentes direcciones para otras tantas sesiones simultáneas, salvo que la DIP se defina
como “sticky” (consulte “Direcciones DIP “sticky”” en la página 2 -282).

Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde un conjunto de DIP con PAT habilitada
NAT-SRC DESDE UN CONJUNTO DE DIP CON PAT HABILITADA

Al aplicar la traducción de direcciones de red de origen (NAT-src) con traducción de direcciones de puertos (PAT),
el dispositivo NetScreen traduce direcciones IP y números de puertos y realiza una inspección del estado según se
ilustra más abajo (sólo se muestran los elementos de los encabezados del paquete IP y del segmento TCP
relevantes para NAT-src):
se po cy rom rus o un rus any any h p na src d p- d 5 perm
Ne Screen Con un o de D P con D 5

Hos oca e herne 1 10 1 1 1 24 1 1 1 30 – 1 1 1 30 Serv dor web remo o
10 1 1 5 25611 e herne 3 1 1 1 1 24 (PAT hab ada) 2 2 2 2 80
Zona Trus Zona Un rus

P OR G P DEST PTO OR G PTO DEST PROTO
10 1 1 5 2222 25611 80 HTTP
E d spos vo Ne Sc een aduce a

d ecc ón P de o gen de 10 1 1 5 a
1 1 1 30 y e pue o de o gen de 25611 a
41834 A macena a n o mac ón de P y
de d ecc ón de pue o en su ab a de
ses ones
1 1 1 30 2222 41834 80 HTTP

2222 1 1 1 30 80 41834 HTTP
E d spos vo Ne Sc een compa a a

n o mac ón de P y pue o con en da en e
paque e con a n o mac ón a macenada
en su ab a de ses ones En onces aduce
a d ecc ón P de des no de 1 1 1 30 a
10 1 1 5 y e pue o de des no de 41834 a
25611
2222 10 1 1 5 80 25611 HTTP

Ejemplo: NAT-Src con PAT habilitada

En este ejemplo definirá un conjunto de DIP 5 en ethernet3, una interfaz asociada a la zona Untrust. El conjunto de
3
DIP contiene una sola dirección IP (1.1.1.30) y tiene PAT habilitada de forma predeterminada . A continuación,
establecerá una directiva que ordene al dispositivo NetScreen realizar las siguientes tareas:
• Permitir el tráfico HTTP desde cualquier dirección de la zona Trust a cualquier dirección de la zona Untrust
• Traducir la dirección IP de origen en el encabezado de paquetes IP a 1.1.1.30, que es la entrada única en
el conjunto de DIP 5
• Traducir el número original del puerto de origen en el encabezado del segmento TCP o el encabezado del
datagrama UDP a un número nuevo y exclusivo
• Enviar el tráfico HTTP con la dirección IP de origen y el número de puerto traducidos a través de ethernet3
a la zona Untrust
Traducción de direcciones de red de origen (NAT-src) Conjunto de DIP con ID 5

(Traduce la dirección IP de origen a un conjunto de DIP 1.1.1.30 – 1.1.1.30
de una sola dirección, la PAT 1.1.1.30. está habilitada).
1.1.1.30
10.1.1.1/24 1.1.1.1/24
10.1.1.5:25611 1.1.1.30:41834 2.2.2.2:80
IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO
10.1.1.5 2.2.2.2 25611 80 HTTP 1.1.1.30 2.2.2.2 41834 80 HTTP
3. Cuando defina un conjunto de DIP, el dispositivo NetScreen habilitará PAT de forma predeterminada. Para desactivar PAT, deberá agregar la palabra clave
“fix-port” al final del comando CLI, o bien borrar la opción “Port Translation” en la página de configuración de DIP en WebUI. Por ejemplo, set interface
ethernet3 dip 5 1.1.1.30 1.1.1.30 fix-port, o bien Network > Interfaces > Edit (para ethernet3) > DIP: ID: 5; Start: 1.1.1.30; End: 1.1.1.30; Port Translation:
(anule la selección).

WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en OK :

Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Untrust
2. DIP
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los siguientes datos y haga clic en
OK :
ID: 5
IP Address Range: (seleccione), 1.1.1.30 ~ 1.1.1.30
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)

3. Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Service: HTTP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): 5 (1.1.1.30 - 1.1.1.30)/X-late
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust

2. DIP
set interface ethernet3 dip 5 1.1.1.30 1.1.1.30
3. Directiva
set policy from trust to untrust any any http nat src dip-id 5 permit
save

Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde un conjunto de DIP con PAT inhabilitada
NAT-SRC DESDE UN CONJUNTO DE DIP CON PAT INHABILITADA

En determinadas ocaciones, quizás le interese realizar la traducción de direcciones de red de origen (NAT-src) para
la dirección IP, pero no la traducción de direcciones de puertos (PAT) del número de puerto de origen. Puede que
una aplicación personalizada tenga el requisito específico de que la dirección del puerto de origen sea un número
determinado. Es posible que el host de destino requiera que la dirección IP de origen y la dirección del puerto sean
determinados números que permitan identificar el host de forma inequívoca. En tales casos, puede definir una
directiva que ordene al dispositivo NetScreen realizar NAT-src sin PAT.
Ejemplo: NAT-Src con PAT inhabilitada
En este ejemplo definirá un conjunto de DIP 6 en ethernet3, una interfaz asociada a la zona Untrust. El conjunto de
DIP contiene un rango de direcciones IP de 1.1.1.50 a 1.1.1.150. Desactivará la PAT y, a continuación, establecerá
una directiva que ordene al dispositivo NetScreen realizar las siguientes tareas:
• Permitir el tráfico para un servicio definido por el usuario llamado “e-stock” desde cualquier dirección de la
4
zona Trust a cualquier dirección de la zona Untrust
• Traducir la dirección IP de origen en el encabezado de paquetes IP a cualquier dirección disponible en el
conjunto de DIP 6
• Conservar el número del puerto de origen original en el encabezado del segmento TCP o en el encabezado
del datagrama UDP
• Enviar tráfico e-stock con la dirección IP de origen traducida y el número de puerto original a través de
ethernet3 a la zona Untrust
WebUI
1. Interfaces
Zone Name: Trust
Interface Mode: NAT
4. Se presupone que previamente habrá configurado el servicio definido por el usuario “e-stock”. Este servicio ficticio requiere que todas las transacciones de
e-stock se originen en números de puerto de origen específicos. Por esta razón, deberá desactivar PAT para el conjunto de DIP 6.

Zone Name: Untrust
2. DIP
OK :
ID: 6
Port Translation: (anule la selección)
3. Directiva
Source Address:
Service: e-stock
Action: Permit
NAT:
DIP on: (seleccione), 6 (1.1.1.50 - 1.1.1.150)

CLI
1. Interfaces

2. DIP
set interface ethernet3 dip 6 1.1.1.50 1.1.1.150 fix-port
3. Directiva
set policy from trust to untrust any any e-stock nat src dip-id 6 permit
save

Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde un conjunto de DIP con desplazamiento de direcciones
NAT-SRC DESDE UN CONJUNTO DE DIP CON DESPLAZAMIENTO DE DIRECCIONES

Puede definir una asignación “uno a uno” de una dirección IP de origen original a una dirección IP de origen
traducida para un rango de direcciones IP. Tal asignación garantiza que el dispositivo NetScreen traduzca siempre
una determinada dirección IP de origen dentro de ese rango a la misma dirección traducida dentro de un conjunto
de DIP. Puede haber cualquier número de direcciones en el rango. Puede incluso asignar una subred a otra subred,
estableciendo una asignación “uno a uno” permanente de cada dirección original de una subred a su equivalente
traducida en la otra subred.
Un posible uso para realizar NAT-src con desplazamiento de direcciones es proporcionar mayor granularidad a las
directivas en otro dispositivo NetScreen que reciba tráfico del primero. Por ejemplo, el administrador de
NetScreen-A en el sitio A define una directiva que traduce las direcciones de origen de sus hosts al comunicarse
con NetScreen-B en el sitio B a través de un túnel VPN punto a punto. Si NetScreen-A aplica NAT-src utilizando
direcciones de un conjunto de DIP sin desplazamiento de direcciones, el administrador de NetScreen-B solamente
puede configurar directivas genéricas para el tráfico que puede permitir desde el sitio A. Salvo que el administrador
de NetScreen-B conozca las direcciones IP traducidas específicas, solamente podrá establecer directivas de tráfico
entrante para el rango de direcciones de origen tomadas del conjunto de DIP de NetScreen-A. Por otra parte, si el
administrador de NetScreen-B conoce cuáles son las direcciones de origen traducidas (gracias al desplazamiento
de direcciones), ahora puede ser más selectivo y restrictivo con las directivas que establezca para el tráfico
entrante desde el sitio A.
Recuerde que es posible utilizar un conjunto de DIP con desplazamiento de direcciones habilitado en una directiva
aplicable a las direcciones de origen más allá del rango especificado en el conjunto. En tales casos, el dispositivo
NetScreen deja pasar el tráfico procedente de todas las direcciones de origen permitidas en la directiva, aplicando
NAT-src con desplazamiento de direcciones a las direcciones que se encuentren dentro del rango del conjunto de
DIP, pero dejando intactas las direcciones que queden fuera de ese rango. Si desea que el dispositivo NetScreen
aplique NAT-src a todas las direcciones de origen, asegúrese de que el rango de direcciones de origen tenga un
tamaño inferior o igual que el rango del conjunto de DIP.
Nota: El dispositivo NetScreen no admite la traducción de direcciones de puertos de origen (PAT) con
desplazamiento de direcciones.

Ejemplo: NAT-Src con desplazamiento de direcciones

En este ejemplo definirá el conjunto de DIP 10 en ethernet3, una interfaz asociada a la zona Untrust. Desea traducir
cinco direcciones entre 10.1.1.11 y 10.1.1.15 a cinco direcciones entre 1.1.1.101 y 1.1.1.105, y desea que la
relación entre cada dirección original y traducida sea constante:
Dirección IP de origen Dirección IP de origen

original traducida
10.1.1.11 1.1.1.101
10.1.1.12 1.1.1.102
10.1.1.13 1.1.1.103
10.1.1.14 1.1.1.104
10.1.1.15 1.1.1.105
Definirá las direcciones de cinco hosts en la zona Trust y las agregará a un grupo de direcciones llamado “group1”.
Las direcciones de estos hosts son 10.1.1.11, 10.1.1.12, 10.1.1.13, 10.1.1.14 y 10.1.1.15. Configurará una directiva
para el tráfico de la zona Trust a la zona Untrust que haga referencia a ese grupo de direcciones en una directiva a
la que aplicará NAT-src con el conjunto de DIP 10. La directiva ordenará al dispositivo NetScreen aplicar NAT-src
siempre que un miembro de “group1” inicie tráfico HTTP hacia una dirección en la zona Untrust. Además, el
dispositivo NetScreen siempre aplicará NAT-src desde una dirección IP determinada, como 10.1.1.13, a la misma
dirección IP traducida, 1.1.1.103.
A continuación, establecerá una directiva que ordene al dispositivo NetScreen realizar las siguientes tareas:
• Permitir el tráfico HTTP desde “group1” en la zona Trust a cualquier dirección en la zona Untrust
• Traducir la dirección IP de origen en el encabezado de paquetes IP a su correspondiente dirección en el
conjunto de DIP 10
• Enviar el tráfico HTTP con la dirección IP de origen y el número de puerto traducidos a través de ethernet3
a la zona Untrust

WebUI
1. Interfaces
Zone Name: Trust

Interface Mode: NAT
Zone Name: Untrust
2. DIP
OK :
ID: 10
IP Shift: (seleccione)
From: 10.1.1.11
To: 1.1.1.101 ~ 1.1.1.105

3. Direcciones
Objects > Addresses > List > New: Introduzca la siguiente información y haga clic en OK :
Address Name: host1
Zone: Trust
Address Name: host2
Zone: Trust
Address Name: host3
Zone: Trust
Address Name: host4
Zone: Trust

Address Name: host5
Zone: Trust
Objects > Addresses > Groups > (para Zone: Trust) New: Introduzca el siguiente nombre de grupo, mueva
las siguientes direcciones y haga clic en OK :
Group Name: group1
Seleccione host1 y utilice el botón << para trasladar la dirección de la
columna “Available Members” a la columna “Group Members”.
4. Directiva
Source Address:
Address Book Entry: (seleccione), group1
Service: HTTP
Action: Permit

NAT:
(DIP on): 10 (1.1.1.101 - 1.1.1.105)
CLI
1. Interfaces

2. DIP
set interface ethernet3 dip 10 shift-from 10.1.1.11 to 1.1.1.101 1.1.1.105
3. Direcciones
set address trust host1 10.1.1.11/32
set group address trust group1 add host1

4. Directiva
set policy from trust to untrust group1 any http nat src dip-id 10 permit
save

Capítulo 2 Traducción de direcciones de red de origen NAT-Src desde la dirección IP de la interfaz de salida
NAT-SRC DESDE LA DIRECCIÓN IP DE LA INTERFAZ DE SALIDA

Si aplica NAT-src a una directiva pero no especifica un conjunto de DIP, el dispositivo NetScreen traduce la dirección
IP de origen a la dirección de la interfaz de salida. En tales casos, el dispositivo NetScreen siempre aplica PAT.
Ejemplo: NAT-Src sin DIP

En este ejemplo definirá una directiva que ordene al dispositivo NetScreen realizar las siguientes tareas:
• Permitir el tráfico HTTP desde cualquier dirección de la zona Trust a cualquier dirección de la zona Untrust
• Traducir la dirección IP de origen en el encabezado de los paquetes IP a 1.1.1.1, que es la dirección IP de
ethernet3 (la interfaz asociada a la zona Untrust) y, por tanto, de la interfaz de salida del tráfico enviado a
cualquier dirección en la zona Untrust
• Traducir el número original del puerto de origen en el encabezado del segmento TCP o el encabezado del
datagrama UDP a un número nuevo y exclusivo
• Enviar tráfico con la dirección IP de origen y el número de puerto traducidos a través de ethernet3 a la zona
Untrust
Traducción de direcciones de red de origen (NAT-src)

(Traduce la dirección IP de origen a la dirección IP de la interfaz de
salida, 1.1.1.1, en la zona de destino. PAT está habilitada).

10.1.1.1/24 1.1.1.1/24
10.1.1.5:25611 1.1.1.1:41834 2.2.2.2:80
(Dispositivo
virtual)
1.1.1.1
Origen original Destino
Origen traducido
10.1.1.5 2.2.2.2 25611 80 HTTP 1.1.1.1 2.2.2.2 41834 80 HTTP

WebUI
1. Interfaces
Zone Name: Trust

Interface Mode: NAT
Zone Name: Untrust
2. Directiva
Source Address:
Service: HTTP
Action: Permit

NAT:
(DIP on): None (Use Egress Interface IP)
CLI
1. Interfaces

2. Directiva
set policy from trust to untrust any any http nat src permit
save


Capítulo 3
Traducción de direcciones de red de destino

3
NetScreen proporciona muchos métodos para realizar la traducción de direcciones de red de destino (NAT-dst) y la
traducción de direcciones de puertos de destino. Este capítulo describe los diversos métodos de traducción de
direcciones disponibles y está organizado en las siguientes secciones:
• “Introducción a NAT-Dst” en la página 36
– “Flujo de paquetes para NAT-Dst” en la página 38
– “Enrutamiento para NAT-Dst” en la página 42
• “NAT-Dst: Asignación “1:1”” en la página 46
– “Traducción de una dirección a múltiples direcciones” en la página 51
• “NAT-Dst: Asignación “n:1”” en la página 55
• “NAT-Dst: Asignación “n:n”” en la página 60
• “NAT-Dst con asignación de puertos” en la página 65
• “NAT-Src y NAT-Dst en la misma directiva” en la página 70
Nota: Para obtener información sobre la traducción de direcciones de destino usando una IP asignada (MIP) o
dirección IP virtual (VIP), consulte “Direcciones IP asignadas y virtuales” en la página 91.

Capítulo 3 Traducción de direcciones de red de destino Introducción a NAT-Dst
INTRODUCCIÓN A NAT-DST
Puede definir directivas para traducir la dirección de destino de una dirección IP a otra. Puede necesitar que el
dispositivo NetScreen traduzca una o varias direcciones IP públicas a una o varias direcciones privadas. La relación
de la dirección de destino original con la dirección de destino traducida puede ser de “1:1” (“una a una”), de “n:1”
(muchas a una) o de “n:n” (muchas a muchas). La ilustración siguiente representa los conceptos de las relaciones
NAT-dst “1:1” y “n:1”.
El dispositivo NetScreen
asigna tráfico desde aquí …… hasta aquí.
Nota: Las direcciones IP de
destino original y traducida
“NAT-Dst: Asignación deben estar en la misma zona
“1:1”” en la página 46 de seguridad.
“NAT-Dst: Asignación
(Dispositivos virtuales)
“n:1”” en la página 55
Destino Destino
original traducido
Ambas configuraciones admiten la asignación de puertos de destino. La asignación de puertos es la traducción

determinista de un número de puerto de destino original a otro número específico. En la asignación de puertos, la
relación del número original al traducido difiere con respecto a la traducción de direcciones de puertos (PAT). En la
asignación de puertos, el dispositivo NetScreen traduce un número de puerto original predeterminado a otro
número de puerto predeterminado. Con PAT, el dispositivo NetScreen traduce un número de puerto de origen
original asignado aleatoriamente a otro número asignado aleatoriamente.

Puede traducir un rango de direcciones de destino a otro rango (como una subred a otra) mediante el
desplazamiento de direcciones, de modo que el dispositivo NetScreen asigne de forma fija cada dirección de
destino original a una determinada dirección de destino traducida. Observe que NetScreen no admite la asignación
de puertos con desplazamiento de direcciones. La ilustración siguiente representa el concepto de una relación
múltiple (“n:n”) para NAT-dst.
“NAT-Dst: Asignación
(Dispositivos virtuales)
“n:n”” en la página 60
Destino Destino
original traducido
La tabla de rutas debe contener entradas tanto de la dirección IP de destino original como de la dirección IP de
destino traducida. El dispositivo NetScreen realiza una consulta de rutas utilizando la dirección IP de destino
original para determinar la zona de destino y realizar la subsiguiente consulta de directivas. A continuación, realiza
una segunda consulta de rutas con la dirección traducida para determinar a dónde enviar el paquete. Para
garantizar que la decisión de enrutamiento cumpla con la directiva, tanto la dirección IP de destino original como la
dirección IP traducida deben estar en la misma zona de seguridad. (Para obtener más información sobre la relación
entre la dirección IP de destino, la consulta de rutas y la consulta de directivas, consulte “Flujo de paquetes para
NAT-Dst” en la página 38).

Flujo de paquetes para NAT-Dst

Los pasos siguientes describen la ruta de un paquete a través de un dispositivo NetScreen y las diferentes
operaciones que realiza al aplicar la traducción de direcciones de red de destino.
1. Un paquete HTTP con dirección IP de origen:número de puerto 1.1.1.5:32455 y dirección IP de
destino:número de puerto 5.5.5.5:80 llega a ethernet1, que está asociada a la zona Untrust.
Zona DMZ
ORIG DEST ORIG DEST ethernet2
1.1.1.5 5.5.5.5 32455 80 Carga de datos
2.2.2.2/24
?
Zona Untrust
Zona Trust
ethernet1 ethernet3
1.1.1.1/24 ? 3.3.3.3/24
1.1.1.5
Origen ? ethernet4 Zona Custom1
4.4.4.4/24
5.5.5.5 4.4.4.5
Destino original Destino traducido
El dispositivo NetScreen todavía no ha realizado los pasos necesarios para determinar qué interfaz debe utilizar
para remitir el paquete. Esto se indica en la ilustración mediante los tres signos de interrogación.
2. Si hay habilitadas opciones de SCREEN para la zona Untrust, el dispositivo NetScreen activa el módulo
SCREEN en este momento. La comprobación de SCREEN puede producir uno de los tres resultados
siguientes:
– Si un mecanismo SCREEN detecta un comportamiento anómalo y está configurado para bloquear el
paquete correspondiente, el dispositivo NetScreen descarta el paquete y genera una entrada en el
registro de eventos.
– Si un mecanismo SCREEN detecta un comportamiento anómalo y está configurado para registrar el
evento pero no bloquear el paquete, el dispositivo NetScreen registra el evento en la lista de
contadores SCREEN para la interfaz de entrada y procede al paso siguiente.

– Si el mecanismo SCREEN no detecta ningún comportamiento anómalo, el dispositivo NetScreen

procede al paso siguiente.
Si no ha habilitado ninguna opción de SCREEN para la zona Untrust, el dispositivo NetScreen procede
inmediatamente al paso siguiente.
3. El módulo de sesiones realiza una consulta de sesión para comprobar si el paquete coincide con una
sesión existente.
Si el paquete no coincide con una sesión existente, el dispositivo NetScreen ejecuta los pasos restantes
con el procedimiento de procesamiento del primer paquete (First Packet Processing).
Si el paquete coincide con una sesión existente, el dispositivo NetScreen ejecuta el procesamiento rápido
(Fast Processing), utilizando la información disponible en la entrada de sesiones existente para procesar el
paquete. El procesamiento rápido omite todos los pasos salvo el último, porque la información generada
por los pasos omitidos ya se obtuvo durante el procesamiento del primer paquete de la sesión.
4. El módulo de asignación de direcciones comprueba si una dirección IP asignada (MIP) o virtual (VIP)1
utiliza la dirección IP de destino 5.5.5.5.
Si existe tal configuración, el dispositivo NetScreen resuelve la MIP o VIP hacia la dirección IP de destino
traducida y basa en ella su consulta de rutas. Entonces realiza una consulta de directivas entre las zonas
Untrust y Global. Si encuentra una directiva que permita el tráfico, el dispositivo NetScreen remite el
paquete fuera de la interfaz de salida determinada en la consulta de rutas.
Si 5.5.5.5 no se utiliza en ninguna configuración MIP o VIP, el dispositivo NetScreen procede al paso
siguiente.
1. El dispositivo NetScreen sólo comprueba si la dirección IP de destino se utiliza en una configuración VIP si el paquete llega una interfaz asociada a la zona
Untrust.

5. Para determinar la zona de destino, el módulo de rutas realiza una consulta de rutas de la dirección IP de
destino original; es decir, utiliza la dirección IP de destino que aparece en el encabezado del paquete que
llega a ethernet1. (El módulo de rutas utiliza la interfaz de entrada para determinar qué enrutador virtual
debe utilizar para la consulta de rutas). Descubre que se accede a 5.5.5.5/32 a través de ethernet4, que
está asociada a la zona Custom1.
Tabla de rutas
trust-vr
Para llegar a: Utilizar interfaz: En zona: Usar puerta de
enlace:
0.0.0.0/0 ethernet1 Untrust 1.1.1.250
1.1.1.0/24 ethernet1 Untrust 0.0.0.0
2.2.2.0/24 ethernet2 DMZ 0.0.0.0
3.3.3.0/24 ethernet3 Trust 0.0.0.0
4.4.4.0/24 ethernet4 Custom1 0.0.0.0
5.5.5.5/32 ethernet4 Custom1 0.0.0.0
6. El motor de directivas realiza una consulta de directivas entre las zonas Untrust y Custom1 (según lo
determinado por las correspondientes interfaces de entrada y de salida). Las direcciones IP de origen y de
destino y el servicio encuentran una directiva que desvía el tráfico HTTP de 5.5.5.5 a 4.4.4.5.
set policy from untrust to custom1 any v-server1 http nat dst ip 4.4.4.5 permit
(Previamente habrá definido la dirección “v-server1” con la dirección IP 5.5.5.5/32. Está en la zona
Custom1).
El dispositivo NetScreen traduce la dirección IP de destino de 5.5.5.5 a 4.4.4.5. La directiva indica que no
se requiere ninguna traducción de direcciones de red de origen ni ninguna traducción de direcciones de
puertos de destino.
7. El dispositivo NetScreen efectúa una segunda consulta de rutas utilizando la dirección IP traducida y
descubre que se accede a 4.4.4.5/32 a través de ethernet4.

8. El módulo de asignación de direcciones traduce la dirección IP de destino en el encabezado del paquete a

4.4.4.5. El dispositivo NetScreen remite entonces el paquete fuera de ethernet4 y crea una nueva entrada
en su tabla de la sesión (salvo que este paquete sea parte de una sesión existente y ya exista una entrada).
Zona Untrust ORIG DEST ORIG DEST

1.1.1.5 4.4.4.5 32455 80 Carga de datos
ethernet1
1.1.1.1/24
1.1.1.5
Origen Zona Custom1
ethernet4
4.4.4.4/24
Sistema virtual al que Identificación de la directiva 4.4.4.5

pertenece esta sesión aplicable a esta sesión Destino
Identificación Flags de estado de la sesión Tiempo de espera de la sesión 30 unidades

de sesión (sólo para uso interno) (30 x 10 = 300 segundos)
id 482/s**, vsys 0, flag 04000000/00/00, policy 21, time 30

6 (21):1.1.1.5/32455 -> 4.4.4.5/80, 6, 00b0d0a8aa2b, vlan 0, tun 0, vsd 0
Identificación Dirección IP/puerto Dirección IP/puerto Dirección MAC de origen ID

de la interfaz de origen de destino en la primera trama túnel
ID ID
Flag de NSP (sólo Protocolo de VLAN VSD
para uso interno) transporte
6 = TCP
Nota: Dado que en esta sesión no hay implicado ningún sistema virtual, VLAN, túnel VPN ni dispositivo
de seguridad virtual (VSD), el ajuste para todos estos números de identificación es cero.

Enrutamiento para NAT-Dst

Al configurar las direcciones para NAT-dst, el dispositivo NetScreen debe disponer en su tabla de enrutamiento de
rutas tanto a la dirección de destino original que aparece en el encabezado del paquete como a la dirección de
destino traducida (es decir, la dirección a la cual el dispositivo NetScreen reenvía el paquete). Según lo explicado
en “Flujo de paquetes para NAT-Dst” en la página 38, el dispositivo NetScreen utiliza la dirección de destino original
para realizar una consulta de rutas, determinando de este modo la interfaz de salida. Al mismo tiempo, la interfaz de
salida proporciona la zona de destino (la zona a la que está asociada la interfaz) para que el dispositivo NetScreen
pueda realizar una consulta de directivas. Cuando el dispositivo NetScreen encuentra una directiva aplicable, ésta
define la asignación de la dirección de destino original a la dirección de destino traducida. El dispositivo NetScreen
realiza entonces una segunda consulta de rutas para determinar la interfaz a través de la cual debe reenviar el
paquete para alcanzar la nueva dirección de destino. En resumen, la ruta a la dirección de destino original
proporciona un medio de realizar la consulta de directivas, mientras que la ruta a la dirección de destino traducida
especifica la interfaz de salida a través de la cual el dispositivo NetScreen debe reenviar el paquete.
En los tres supuestos siguientes, la necesidad de introducir rutas estáticas cambia según la topología de red que
rodea a las direcciones de destino a las que se refiere esta directiva:
set policy from untrust to trust any oda1 http nat dst ip 10.1.1.5 permit
donde “oda1” es la dirección de destino original 10.2.1.5, y 10.1.1.5 es la dirección de destino traducida.

Direcciones conectadas a una interfaz

En este escenario, las rutas a las direcciones de destino originales y traducidas dirigen el tráfico a través de la
misma interfaz, ethernet3. El dispositivo NetScreen agrega automáticamente una ruta a 10.1.1.0/24 a través de
ethernet3 al configurar la dirección IP de la interfaz ethernet3 como 10.1.1.1/24. Para completar los requisitos de
enrutamiento, deberá agregar una ruta adicional a 10.2.1.5/32 a través de ethernet3.
Destino original Destino

Nota: La zona Untrust no se muestra. ethernet3 “oda1” traducido Zona Trust
10.1.1.1/24 10.2.1.5 10.1.1.5
10.1.1.0/24
Nota: Aunque 10.2.1.5 no se encuentra en la subred 10.1.1.0/24 porque su ruta no especifica una puerta de
enlace, está ilustrada como si estuviese en la misma subred conectada que el espacio de direcciones 10.1.1.0/24.
WebUI
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :
Network Address / Netmask: 10.2.1.5/32
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 0.0.0.0
CLI
save

Direcciones conectadas a una interfaz pero separadas por un enrutador

En este escenario, las rutas a las direcciones de destino original y traducida dirigen el tráfico a través de ethernet3. El
dispositivo NetScreen agrega automáticamente una ruta a 10.1.1.0/24 a través de ethernet3 al configurar la dirección
IP de la interfaz ethernet3 como 10.1.1.1/24. Para completar los requisitos de enrutamiento, deberá agregar una ruta
a 10.2.1.0/24 a través de ethernet3 y a la puerta de enlace que conecta las subredes 10.1.1.0/24 y 10.2.1.0/24.
Nota: Dado que esta ruta es necesaria para alcanzar cualquier dirección en la subred 10.2.1.0/24, probablemente
ya la haya configurado. En tal caso, no es necesario agregar ninguna ruta adicional sólo para que la directiva
aplique NAT-dst a 10.2.1.5.
Destino Destino original

Nota: La zona Untrust no se muestra. traducido “oda1” Zona Trust
ethernet3 10.1.1.5 10.2.1.5
10.1.1.1/24
10.1.1.250/24
10.1.1.0/24 10.2.1.0/24
10.2.1.250/24
WebUI
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :
CLI
set vrouter trust-vr route 10.2.1.0/24 interface ethernet3 gateway 10.1.1.250
save

Direcciones separadas por una interfaz

En este escenario hay dos interfaces asociadas a la zona Trust: ethernet3 con la dirección IP 10.1.1.1/24 y
ethernet4 con la dirección IP 10.2.1.1/24. El dispositivo NetScreen agrega automáticamente una ruta a 10.1.1.0/24
a través de ethernet3 y a 10.2.1.0/24 a través de ethernet4 cuando se configuran las direcciones IP de estas
interfaces. Al colocar la dirección original de destino en la subred 10.2.1.0/24 y la dirección de destino traducida en
la subred 10.1.1.0/24, no es necesario agregar ninguna otra ruta para que el dispositivo NetScreen aplique NAT-dst
de 10.1.1.5 a 10.2.1.5.
Destino
traducido
ethernet3 10.1.1.5
10.1.1.1/24
Nota: La zona Untrust no se muestra.
10.1.1.0/24
Zona Trust
10.2.1.0/24
ethernet4
10.2.1.1/24 Destino original
“oda1”
10.2.1.5

Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “1:1”
NAT-DST: ASIGNACIÓN “1:1”

Al aplicar la traducción de direcciones de red de destino (NAT-dst) sin traducción de direcciones de puertos, el
dispositivo NetScreen traduce la dirección IP de destino y realiza una inspección de estado según se muestra a
continuación (observe que solamente se muestran los elementos de los encabezados del paquete IP y del
segmento TCP relevantes para NAT-dst):
D spos vo v ua
Ne Screen
Or gen e herne 3 1 1 1 1 24 Un rus Des no or g na Des no raduc do
2 2 2 5 36104 e herne 2 10 1 1 1 24 DMZ 1 2 1 5 80 10 1 1 5 80
Zona Un rus Zona DMZ

2225 1215 36104 80 HTTP
E d spos vo Ne Sc een aduce a

d ecc ón P de des no de 1 2 1 5 a
10 1 1 5 A macena a n o mac ón pa a
as d ecc ones P y de pue o e núme o
de pue o pe manece na e ado en su
ab a de a ses ón

2225 10 1 1 5 36104 80 HTTP

10 1 1 5 2225 80 36104 HTTP
E d spos vo Ne Sc een compa a a

n o mac ón de P y pue o con en da en e
paque e con a n o mac ón a macenada
en su ab a de a ses ón Luego aduce a
d ecc ón P de o gen de 10 1 1 5 a
1215

1215 2225 80 36104 HTTP

Ejemplo: Traducción de destinos “1:1”

En este ejemplo establecerá una directiva para realizar la traducción “1:1” de direcciones de red de destino
(NAT-dst) sin cambiar las direcciones de los puertos de destino. La directiva ordena al dispositivo NetScreen
realizar las siguientes tareas:
• Permitir el tráfico FTP y HTTP (definido como grupo de servicios “http-ftp”) de cualquier dirección en la zona
Untrust a la dirección original de destino denominada “oda2” con la dirección 1.2.1.8 en la zona DMZ
• Traducir la dirección IP de destino en el encabezado de paquetes IP de 1.2.1.8 a 10.2.1.8
• Dejar intacto el número de puerto de destino original en el encabezado del segmento TCP (80 para HTTP y
21 para FTP)
• Reenviar el tráfico HTTP y FTP a 10.2.1.8 en la zona DMZ
Asociará ethernet3 a la zona Untrust y le asignará la dirección IP 1.1.1.1/24. Asociará ethernet2 a DMZ y le
asignará la dirección IP 10.2.1.1/24. También definirá una ruta a la dirección de destino original 1.2.1.8 a través de
ethernet2. Las zonas Untrust y DMZ se encuentran en el dominio de enrutamiento trust-vr.
Destino original “oda2”

1.2.1.8
ethernet3 ethernet2
1.1.1.1/24 10.2.1.1/24 (Dispositivo virtual)
Zona Untrust
Origen Destino
2.2.2.5 traducido
Zona DMZ 10.2.1.8
2.2.2.5 1.2.1.8 25611 80 HTTP 2.2.2.5 10.2.1.8 25611 80 HTTP
2.2.2.5 1.2.1.8 40365 21 FTP 2.2.2.5 10.2.1.8 40365 21 FTP

WebUI
1. Interfaces
Zone Name: Untrust
Zone Name: DMZ
2. Dirección
Address Name: oda2
Zone: DMZ
3. Grupo de servicios
Objects > Services > Groups: Introduzca el siguiente nombre de grupo, mueva los siguientes servicios y
haga clic en OK :
Group Name: HTTP-FTP
Seleccione HTTP y utilice el botón << para mover el servicio de la columna
“Available Members” a la columna “Group Members”.

Seleccione FTP y utilice el botón << para mover el servicio de la columna

“Available Members” a la columna “Group Members”.
4. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
5. Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), oda2
Service: HTTP-FTP
Action: Permit
NAT:
Destination Translation: (seleccione)
Translate to IP: (seleccione), 10.2.1.8
Map to Port: (anule la selección)

CLI
1. Interfaces
set interface ethernet2 zone dmz

2. Dirección
set address dmz oda2 1.2.1.8/32
3. Grupo de servicios
set group service http-ftp
set group service http-ftp add http
set group service http-ftp add ftp
4. Ruta
5. Directiva
set policy from untrust to dmz any oda2 http-ftp nat dst ip 10.2.1.8 permit
save

Traducción de una dirección a múltiples direcciones

El dispositivo NetScreen puede traducir la misma dirección de destino original a diversas direcciones de destino
traducidas especificadas en diferentes directivas, dependiendo del tipo de servicio o de la dirección de origen
especificada en cada directiva. Quizás le interese que el dispositivo NetScreen desvíe el tráfico HTTP de 1.2.1.8 a
10.2.1.8 y el tráfico FTP de 1.2.1.8 a 10.2.1.9 (consulte el ejemplo siguiente). O también que el dispositivo
NetScreen desvíe el tráfico HTTP enviado desde host1 a 1.2.1.8 hacia 10.2.1.8, pero que el tráfico HTTP sea
enviado desde host2 a 1.2.1.8 y hacia 10.2.1.37. En ambos casos, el dispositivo NetScreen desviará a diferentes
direcciones traducidas el tráfico enviado a la misma dirección de destino original.
Ejemplo: Traducción de destinos “1:n”
En este ejemplo creará dos directivas que utilicen la misma dirección de destino original (1.2.1.8), pero que dirijan el
tráfico enviado a esa dirección a dos direcciones de destino traducidas diferentes basándose en el tipo de servicio.
Estas directivas ordenarán al dispositivo NetScreen realizar las siguientes tareas:
• Permitir el tráfico FTP y HTTP procedente de cualquier dirección de la zona Untrust a una dirección definida
por el usuario llamada “oda3” en la zona DMZ
• Para el tráfico HTTP, traducir la dirección IP de destino del encabezado del paquete IP de 1.2.1.8 a 10.2.1.8
• Para el tráfico FTP, traducir la dirección IP de destino de 1.2.1.8 a 10.2.1.9
• Dejar intacto el número de puerto de destino original en el encabezado del segmento TCP (80 para HTTP y
21 para FTP)
• Transmitir el tráfico HTTP a 10.2.1.8 y el tráfico FTP a 10.2.1.9 en la zona DMZ
1.2.1.8:80
ethernet3 ethernet2 1.2.1.8:21
1.1.1.1/24 10.2.1.1/24
Zona Untrust Zona DMZ
2.2.2.5:25611
(Dispositivo
2.2.2.5:40365 virtual)
Destino Destino
Origen traducido traducido
10.2.1.9:21 10.2.1.8:80
2.2.2.5 1.2.1.8 25611 80 HTTP 2.2.2.5 10.2.1.8 25611 80 HTTP
2.2.2.5 1.2.1.8 40365 21 FTP 2.2.2.5 10.2.1.9 40365 21 FTP

asignará la dirección IP 10.2.1.1/24. También definirá una ruta a la dirección de destino original 1.2.1.8 a través de
ethernet2. Las zonas Untrust y DMZ se encuentran en el dominio de enrutamiento trust-vr.
WebUI
1. Interfaces
Zone Name: Untrust
Zone Name: DMZ
2. Dirección
Address Name: oda3
Zone: DMZ

3. Ruta
4. Directivas
Source Address:
Service: HTTP
Action: Permit
NAT:

Source Address:
Service: FTP
Action: Permit
NAT:
CLI
1. Interfaces
2. Dirección
3. Ruta
4. Directivas
set policy from untrust to dmz any oda3 http nat dst ip 10.2.1.8 permit
set policy from untrust to dmz any oda3 ftp nat dst ip 10.2.1.9 permit
save

Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “n:1”
NAT-DST: ASIGNACIÓN “N:1”

La relación de la dirección de destino original con la dirección de destino traducida también puede ser “n:1”. En este
caso, el dispositivo NetScreen reenvía el tráfico enviado a varias direcciones de destino originales a una sola
dirección de destino traducida. Opcionalmente, también puede especificar la asignación de puertos de destino.
Ejemplo: Traducción de destinos “n:1”

En este ejemplo creará una directiva que desviará el tráfico enviado a diferentes direcciones de destino originales
(1.2.1.10 y 1.2.1.20) a la misma dirección de destino traducida. Esta directiva ordena al dispositivo NetScreen
realizar las siguientes tareas:
• Permitir el tráfico HTTP procedente de cualquier dirección de la zona Untrust a un grupo de direcciones
definido por el usuario denominado “oda45” con las direcciones “oda4” (1.2.1.10) y “oda5” (1.2.1.20) en la
zona DMZ
• Traducir las direcciones IP de destino del encabezado de paquetes IP de 1.2.1.10 y 1.2.1.20 a 10.2.1.15
• Dejar intacto el número de puerto de destino original en el encabezado del segmento TCP (80 para HTTP)
• Reenviar el tráfico HTTP a 10.2.1.15 en la zona DMZ
ethernet3 ethernet2 1.2.1.10:80
1.1.1.1/24 10.2.1.1/24
Zona Untrust Destino
traducido
Zona DMZ 10.2.1.15:80
10.2.1.15:80
Orígenes Destino original “oda5”

1.1.1.5:25611 1.2.1.20:80
1.1.1.6:40365 (Dispositivos virtuales)
1.1.1.5 1.2.1.10 25611 80 HTTP 1.1.1.5 10.2.1.15 25611 80 HTTP
1.1.1.6 1.2.1.20 40365 80 HTTP 1.1.1.6 10.2.1.15 40365 80 HTTP

asignará la dirección IP 10.2.1.1/24. También definirá una ruta a las direcciones de destino originales 1.2.1.10 y
1.2.1.20 a través de ethernet2. Las zonas Untrust y DMZ se encuentran en el dominio de enrutamiento trust-vr.
WebUI
1. Interfaces
Zone Name: Untrust
Zone Name: DMZ
2. Direcciones
Address Name: oda4
Zone: DMZ
Address Name: oda5
Zone: DMZ

Objects > Addresses > Groups > (para Zone: DMZ) New: Introduzca el siguiente nombre de grupo, mueva
las siguientes direcciones y haga clic en OK :
Group Name: oda45
Seleccione oda4 y utilice el botón << para trasladar la dirección de la
Seleccione oda5 y utilice el botón << para trasladar la dirección de la
3. Rutas

4. Directiva
Source Address:
Service: HTTP
Action: Permit
NAT:

CLI
1. Interfaces

2. Direcciones
set group address dmz oda45 add oda4
set group address dmz oda45 add oda5
3. Rutas
4. Directiva
set policy from untrust to dmz any oda45 http nat dst ip 10.2.1.15 permit
save

Capítulo 3 Traducción de direcciones de red de destino NAT-Dst: Asignación “n:n”
NAT-DST: ASIGNACIÓN “N:N”

Puede utilizar la traducción de direcciones de red de destino (NAT-dst) para traducir un rango de direcciones IP a
otro rango. El rango de direcciones puede ser una subred o un subconjunto de direcciones dentro de una subred.
NetScreen utiliza un mecanismo de desplazamiento de direcciones para mantener las relaciones entre el rango de
direcciones de destino original después de traducirlas al nuevo rango de direcciones. Por ejemplo, si el rango de
direcciones originales es 10.1.1.1 a 10.1.1.50 y la dirección inicial del rango de direcciones traducidas es
10.100.3.101, el dispositivo NetScreen traduce las direcciones como sigue:
• 10.1.1.1 – 10.100.3.101
• 10.1.1.2 – 10.100.3.102
• 10.1.1.3 – 10.100.3.103
…
• 10.1.1.48 – 10.100.3.148
• 10.1.1.49 – 10.100.3.149
• 10.1.1.50 – 10.100.3.150
Si, por ejemplo, desea crear una directiva que aplique las traducciones antedichas al tráfico HTTP desde cualquier
dirección de zoneA a un grupo de direcciones denominado “addr1-50”, que contiene todas las direcciones de
10.1.1.1 a 10.1.1.50, en zoneB, puede introducir el comando CLI siguiente:
set policy id 1 from zoneA to zoneB any addr1-50 http nat dst ip 10.100.3.101
10.100.3.150 permit
Si cualquier host en zoneA inicia tráfico HTTP hacia una dirección dentro del rango definido en zoneB, como
10.1.1.37, el dispositivo NetScreen aplica esta directiva y traduce la dirección de destino a 10.100.3.137.
El dispositivo NetScreen solamente aplica NAT-dst si las zonas de origen y de destino, las direcciones de origen y
de destino, y el servicio especificados en la directiva coinciden con estos componentes en el paquete. Por ejemplo,
puede crear otra directiva que permita el tráfico desde cualquier host en zoneA a cualquier host en zoneB y
colocarla después de la directiva 1 en la lista de directivas:
set policy id 1 from zoneA to zoneB any addr1-50 http nat dst ip 10.100.3.101
10.100.3.150 permit
set policy id 2 from zoneA to zoneB any any any permit

Una vea configuradas estas dos directivas, los siguientes tipos de tráfico enviados desde un host en zoneA a un
host en zoneB evitan el mecanismo de NAT-dst:
• Un host de zoneA inicia tráfico no HTTP hacia 10.1.1.37 en la zona B. El dispositivo NetScreen aplica la
directiva 2 porque el servicio no es HTTP, y entrega el tráfico sin traducir la dirección de destino.
• Un host de zoneA inicia tráfico HTTP hacia 10.1.1.51 en la zona B. El dispositivo NetScreen también aplica
la directiva 2 porque la dirección de destino no pertenece al grupo de direcciones addr1-50, y entrega el
tráfico sin traducir la dirección de destino.
Ejemplo: Traducción de destinos “n:n”

En este ejemplo configurará una directiva que aplique NAT-dst cuando se envíe cualquier tipo de tráfico a cualquier
host en una subred, ordenando al dispositivo NetScreen realizar las siguientes tareas:
• Permitir todos los tipos del tráfico desde cualquier dirección de la zona Untrust a cualquier dirección en la
zona DMZ
• Traducir la dirección de destino original denominada “oda6” de la subred 1.2.1.0/24 a una dirección
correspondiente en la subred 10.2.1.0/24
• Dejar intacto el número de puerto de destino original en el encabezado del segmento TCP
• Reenviar el tráfico HTTP a la dirección traducida en la zona DMZ
Zona Untrust Zona DMZ
ethernet3 ethernet2
1.1.1.1/24 10.2.1.1/24 1.2.1.1 – 10.2.1.1
1.2.1.2 – 10.2.1.2
Internet 1.2.1.3 – 10.2.1.3
1.2.1.253 – 10.2.1.253
1.2.1.254 – 10.2.1.254
Destinos originales Destinos traducidos
“oda6” 10.2.1.0/24
1.2.1.0/24
asignará la dirección IP 10.2.1.1/24. También definirá una ruta a la dirección de destino original (1.2.1.0/24) a través
de ethernet2. Las zonas Untrust y DMZ se encuentran en el dominio de enrutamiento trust-vr.

WebUI
1. Interfaces
Zone Name: Untrust
Zone Name: DMZ
2. Dirección
Address Name: oda6
Zone: DMZ
3. Ruta

4. Directiva
Source Address:
Service: Any
Action: Permit
NAT:
Translate to IP Range: (seleccione), 10.2.1.0 – 10.2.1.254

CLI
1. Interfaces

2. Dirección
3. Ruta
4. Directiva
set policy from untrust to dmz any oda6 any nat dst ip 10.2.1.1 10.2.1.254
permit
save

Capítulo 3 Traducción de direcciones de red de destino NAT-Dst con asignación de puertos
NAT-DST CON ASIGNACIÓN DE PUERTOS

Cuando se configura el dispositivo NetScreen para realizar la traducción de direcciones de red de destino
(NAT-dst), puede habilitar opcionalmente la asignación de puertos. Una razón para habilitar la asignación de
puertos es admitir múltiples procesos de servidor para un solo servicio en un solo host. Por ejemplo, un host puede
ejecutar dos servidores web, uno en el puerto 80 y otro en el puerto 8081. Para el servicio 1 de HTTP, el dispositivo
NetScreen realiza NAT-dst sin asignación de puertos (puerto de destino 80 -> 80). Para el servicio 2 de HTTP, el
dispositivo NetScreen aplica NAT-dst a la misma dirección IP de destino con asignación de puertos (puerto destino
80 -> 8081). El host puede distinguir el tráfico HTTP dirigido a ambos servidores web por los dos diferentes
números de puerto de destino.
Nota: NetScreen no admite la asignación de puertos para NAT-dst con desplazamiento de direcciones. Consulte
“NAT-Dst: Asignación “n:n”” en la página 60.
Ejemplo: NAT-dst con asignación de puertos

En este ejemplo creará dos directivas que apliquen NAT-dst y asignación de puertos al tráfico Telnet procedente de
las zonas Trust y Untrust y dirigido a un servidor Telnet en la zona DMZ. Estas directivas ordenarán al dispositivo
NetScreen realizar las siguientes tareas:
• Permitir Telnet desde cualquier dirección en las zonas Untrust y Trust hacia 1.2.1.15 en la zona DMZ
• Traducir la dirección IP de destino original denominada “oda7” de 1.2.1.15 a 10.2.1.15
• Traducir el número de puerto de destino original en el encabezado del segmento TCP de 23 a 2200
• Reenviar el tráfico Telnet a la dirección traducida en la zona DMZ
Configurará los siguientes enlaces de interfaz a zona y asignaciones de direcciones:
• ethernet1: Zona Trust, 10.1.1.1/24
• ethernet2: Zona DMZ, 10.2.1.1/24
• ethernet3: Zona Untrust, 1.1.1.1/24
Definirá una entrada de dirección “oda7” con la dirección IP 1.2.1.15/32 en la zona DMZ. También definirá una ruta
a la dirección de destino original 1.2.1.15 a través de ethernet2. Las tres zonas Trust, Untrust y DMZ se encuentran
en el dominio de enrutamiento trust-vr.

WebUI
1. Interfaces
Zone Name: Trust

Interface Mode: NAT
Zone Name: DMZ
Zone Name: Untrust
2. Dirección
Address Name: oda7
Zone: DMZ

3. Ruta
4. Directivas
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Service: Telnet
Action: Permit
NAT:
Map to Port: (seleccione), 2200

Source Address:
Service: Telnet
Action: Permit
NAT:
Map to Port: (seleccione), 2200

CLI
1. Interfaces


2. Dirección
3. Ruta
4. Directivas
set policy from trust to dmz any oda7 telnet nat dst ip 10.2.1.15 port 2200
permit
set policy from untrust to dmz any oda7 telnet nat dst ip 10.2.1.15 port 2200
permit
save

Capítulo 3 Traducción de direcciones de red de destino NAT-Src y NAT-Dst en la misma directiva
NAT-SRC Y NAT-DST EN LA MISMA DIRECTIVA

Puede combinar la traducción de direcciones de red de origen y de destino (NAT-src y NAT-dst) en una misma
directiva. Esta combinación proporciona un medio para cambiar tanto la dirección IP de origen como la de destino
en un único punto de la ruta de datos.
Ejemplo: NAT-Src y NAT-Dst combinadas

En este ejemplo configurará un dispositivo NetScreen (NetScreen-1) que se encontrará entre los clientes y las granjas
de servidores de un proveedor de servicios. Los clientes se conectan a NetScreen-1 a través de ethernet1, que tiene la
dirección IP 10.1.1.1/24 y está asociada a la zona Trust. NetScreen-1 reenvía su tráfico a través de uno de dos túneles
2
VPN basados en rutas para alcanzar los servidores de destino . Las interfaces de túnel asociadas a estos túneles se
encuentran en la zona Untrust. Las dos zonas Trust y Untrust se encuentran en el dominio de enrutamiento trust-vr.
Debido a que los clientes podrían tener las mismas direcciones que los servidores a los que desean conectarse,
NetScreen-1 debe realizar la traducción de las direcciones tanto de origen como de destino (NAT-src y NAT-dst). Para
mantener la independencia y flexibilidad de direccionamiento, los dispositivos NetScreen que protegen las granjas de
servidores NetScreen-A y NetScreen-B realizan NAT-dst. El proveedor de servicios ordena a los clientes y a los
administradores de la granja de servidores que reserven las direcciones 10.173.10.1–10.173.10.7, 10.173.20.0/24,
10.173.30.0/24, 10.173.40.0/24 y 10.173.50.0/24 para este fin. Estas direcciones se utilizan de la siguiente forma:
• Las dos interfaces de túnel tienen las siguientes asignaciones de direcciones:
– tunnel.1, 10.173.10.1/30
– tunnel.2, 10.173.10.5/30
• Cada interfaz de túnel admite los siguientes conjuntos de DIP con PAT habilitada:
– tunnel.1, DIP ID 5: 10.173.10.2–10.173.10.2
– tunnel.2, DIP ID 6: 10.173.10.6–10.173.10.6
• Cuando NetScreen-1 realiza NAT-dst, traduce las direcciones de destino originales mediante
desplazamiento de direcciones como sigue3:
– 10.173.20.0/24 a 10.173.30.0/24
– 10.173.40.0/24 a 10.173.50.0/24
2. Las VPNs basadas en directivas no admiten NAT-dst. Deberá utilizar una configuración de VPN basada en rutas con NAT-dst.
3. Para obtener más información sobre el desplazamiento de direcciones al realizar NAT-dst, consulte “NAT-Dst: Asignación “n:n”” en la página 60.

Las configuraciones para ambos túneles—vpn1 y vpn2—utilizan los parámetros siguientes: AutoKey IKE, clave
previamente compartida (“netscreen1” para vpn1 y “netscreen2” para vpn2), así como el nivel de seguridad
predefinido como “Compatible” para propuestas de Fase 1 y Fase 2. (Para ver los detalles sobre estas propuestas,
consulte “Negociación de túnel” en la página 5 -11). La identificación del proxy tanto para vpn1 como para vpn2 es
0.0.0.0/0 - 0.0.0.0/0 - any.
Nota: La configuración para NetScreen-1 se proporciona en primer lugar. Después se incluyen las configuraciones
de VPN para NetScreen-A y NetScreen-B.
NetScreen-1
tunnel.1, 10.173.10.1/30
NAT-src
Los clientes con direcciones IP de origen
diferentes se conectan a los servidores de un • Conjunto de DIP 10.173.10.2 – 10.173.10.2
proveedor de servicios a través de túneles VPN. NAT-dst NetScreen-A
• Destino original 10.173.20.0/24 Untrust 2.2.2.2/24, Trust 10.100.1.1/24
• Destino traducido 10.173.30.0/24 tunnel.1, 10.2.2.1/24
NAT-dst
Direcciones ethernet1 ethernet3 • Destino original 10.173.30.0/24
de clientes 10.1.1.1/24 1.1.1.1/24 • Destino traducido 10.100.1.0/24
10.100.1.0/24 NetScreen-A
vpn1
10.100.1.0/24
10.100.2.0/24
vpn2 NetScreen-B
10.100.3.0/24 10.100.2.0/24
NetScreen-1
Zona Trust Zona Untrust
Enrutador
NetScreen-B
Untrust 3.3.3.3/24, Trust 10.100.2.1/24
El dispositivo NetScreen realiza NAT-src y NAT-dst NetScreen-1 tunnel.1, 10.3.3.1/24
porque usted, como administrador de NetScreen-1, tunnel.2, 10.173.10.5/30 NAT-dst
no tiene ningún control sobre las direcciones de NAT-src • Destino original 10.173.50.0/24
origen y de destino. Mientras haya un espacio de • Conjunto de DIP 10.173.10.6 –
direcciones mutuamente neutral para traducir • Destino traducido 10.100.2.0/24
10.173.10.6
direcciones entrantes y salientes, NetScreen-1 podrá NAT-dst
procesar las peticiones de servicio de los clientes.
• Destino original 10.173.40.0/24
Los dos dispositivos NetScreen que protegen las • Destino traducido 10.173.50.0/24
granjas de servidores también realizan NAT-dst para
conservar la independencia y flexibilidad de
direccionamiento.

WebUI (NetScreen-1)
1. Interfaces
Zone Name: Trust

Interface Mode: NAT
Zone Name: Untrust
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address / Netmask: 10.173.10.1/30

2. Conjuntos de DIP
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los siguientes datos y haga clic en OK :
ID: 5
Network > Interfaces > Edit (para tunnel.2) > DIP > New: Introduzca los siguientes datos y haga clic en OK :
ID: 6
3. Direcciones
Address Name: serverfarm-A
Zone: Untrust
Address Name: serverfarm-B
Zone: Untrust

4. VPNs
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: gw-A
Type: Static IP: (seleccione), Address/Hostname: 2.2.2.2
Preshared Key: netscreen1
4
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en
Return para regresar a la página de configuración básica de AutoKey IKE:
Bind to Tunnel Interface: (seleccione), tunnel.1
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0/0
Service: ANY
4. La interfaz de salida no necesita estar en la misma zona a la que está asociada la interfaz del túnel, aunque en este caso se encuentran en la misma zona.

VPN Name: vpn2
Gateway Name: gw-B
Service: ANY
5. Rutas

Interface: tunnel.1
Interface: tunnel.1
Interface: tunnel.2
Interface: tunnel.2

6. Directivas
Source Address:
Address Book Entry: (seleccione), serverfarm-A
Service: ANY
Action: Permit
Position at Top: (seleccione)
Return para regresar a la página de configuración básica de Policy:
NAT:
(DIP on): 5 (10.173.10.2–10.173.10.2)/X-late
Translate to IP Range: (seleccione), 10.173.30.0 –
10.173.30.255

Source Address:
Address Book Entry: (seleccione), serverfarm-B
Service: ANY
Action: Permit
NAT:
(DIP on): 6 (10.173.10.6–10.173.10.6)/X-late
10.173.50.255

CLI (NetScreen-1)
1. Interfaces

set interface tunnel.1 zone untrust

set interface tunnel.1 ip 10.173.10.1/30

2. Conjuntos de DIP
set interface tunnel.1 dip-id 5 10.173.10.2 10.173.10.2
set interface tunnel.2 dip-id 6 10.173.10.6 10.173.10.6
3. Direcciones
set address untrust serverfarm-A 10.173.20.0/24
set address untrust serverfarm-B 10.173.40.0/24
4. VPNs
set ike gateway gw-A ip 2.2.2.2 main outgoing-interface ethernet3 preshare
netscreen1 sec-level compatible
set vpn vpn1 gateway gw-A sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any

set ike gateway gw-B ip 3.3.3.3 main outgoing-interface ethernet3 preshare

set vpn vpn2 gateway gw-B sec-level compatible
5. Rutas
set vrouter trust-vr route 10.173.20.0/24 interface tunnel.1
6. Directivas
set policy top from trust to untrust any serverfarm-A any nat src dip-id 5 dst
ip 10.173.30.0 10.173.30.255 permit
set policy top from trust to untrust any serverfarm-B any nat src dip-id 6 dst
ip 10.173.50.0 10.173.50.255 permit
save

WebUI (NetScreen-A)
1. Interfaces
Zone Name: Trust

Interface Mode: NAT
Zone Name: Untrust
2. Direcciones
Address Name: serverfarm-A
Zone: Trust

Address Name: customer1
Zone: Untrust
3. VPN
VPN Name: vpn1
Gateway Name: gw-1
Service: ANY

4. Rutas
Interface: tunnel.1

5. Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), customer1
Address Book Entry: (seleccione), serverfarm-A
Service: ANY
Action: Permit
NAT:
10.100.1.255

CLI (NetScreen-A)
1. Interfaces


2. Direcciones
set address trust serverfarm-A 10.173.30.0/24
set address untrust customer1 10.173.10.2/32
3. VPN
set ike gateway gw-1 ip 1.1.1.1 main outgoing-interface ethernet3 preshare
set vpn vpn1 gateway gw-1 sec-level compatible
4. Rutas
5. Directiva
set policy top from untrust to trust customer1 serverfarm-A any nat dst ip
10.100.1.0 10.100.1.255 permit
save

WebUI (NetScreen-B)
1. Interfaces
Zone Name: Trust

Interface Mode: NAT
Zone Name: Untrust
2. Direcciones
Address Name: serverfarm-B
Zone: Trust

Address Name: customer1
Zone: Untrust
3. VPN
VPN Name: vpn1
Gateway Name: gw-1
Service: ANY

4. Rutas
Interface: tunnel.1

5. Directiva
Source Address:
Address Book Entry: (seleccione), customer1
Address Book Entry: (seleccione), serverfarm-B
Service: ANY
Action: Permit
NAT:
10.100.2.255

CLI (NetScreen-B)
1. Interfaces


2. Direcciones
set address trust serverfarm-B 10.173.50.0/24
set address untrust customer1 10.173.10.6/32
3. VPN
set ike gateway gw-1 ip 1.1.1.1 main outgoing-interface ethernet3 preshare
set vpn vpn2 gateway gw-1 sec-level compatible
4. Rutas
5. Directiva
set policy top from untrust to trust customer1 serverfarm-B any nat dst ip
10.100.2.0 10.100.2.255 permit
save

Capítulo 4
Direcciones IP asignadas y virtuales

4
NetScreen proporciona muchos métodos para realizar la traducción de direcciones IP de destino y de direcciones
de puertos de destino. Este capítulo describe cómo utilizar direcciones IP asignadas (MIP) y direcciones IP virtuales
(VIP) y está subdividido en las siguientes secciones:
• “Direcciones IP asignadas” en la página 92
– “MIP y la zona Global” en la página 93
– “MIP-Same-as-Untrust” en la página 103
– “MIP y la interfaz de bucle invertido (loopback)” en la página 107
• “Direcciones IP virtuales” en la página 118
– “VIP y la zona Global” en la página 121

Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP asignadas
DIRECCIONES IP ASIGNADAS
Una dirección IP asignada (MIP) es una asignación directa (“1:1”) de una dirección IP a otra. El dispositivo
NetScreen reenvía el tráfico entrante destinado a una MIP al host a cuya dirección apunta la MIP. En esencia, una
MIP es la traducción de una dirección de destino estática, la correspondencia de una dirección IP de destino en un
encabezado de paquete IP con otra dirección IP estática. Cuando un host de MIP inicia tráfico saliente, el
dispositivo NetScreen traduce la dirección IP de origen del host a la correspondiente a la dirección MIP. Esta
simetría de la traducción bidireccional difiere del comportamiento de la traducción de direcciones de origen y de
destino (consulte “Naturaleza direccional de NAT-Src y NAT-Dst” en la página 13).
Las MIPs permiten que el tráfico entrante alcance las direcciones privadas de una zona cuya interfaz se encuentra
en modo NAT. Las MIPs también proporcionan una solución parcial al problema de la superposición de espacios de
direcciones1 en dos sitios conectados mediante un túnel VPN. (Para ver la solución completa a este problema,
consulte “Sitios VPN con direcciones superpuestas” en la página 5 -203).
Puede crear una MIP en la misma subred que una interfaz de túnel con una dirección IP o máscara de red, o bien
en la misma subred que la dirección IP o máscara de red de una interfaz asociada a una zona de seguridad de capa
3 (L3)2. Aunque las MIPs se configuran para interfaces asociadas a zonas de túnel y a zonas de seguridad, las
MIPs definidas se almacenan en la zona Global.
Mapped IP: El tráfico Nota: La MIP (1.1.1.5) se
Espacio de encuentra en la misma subred
entrante desde la zona direcciones
Untrust se asigna de que la interfaz de la zona
público Zona Untrust (1.1.1.1/24), pero está
210.1.1.5 a 10.1.1.5 en Internet
la zona Trust. Untrust en otra zona.
Interfaz de la zona Untrust MIP 1.1.1.5 -> 10.1.1.5
ethernet3, 1.1.1.1/24 Zona
interfaz de la zona Trust Global
ethernet1, 10.1.1.1/24
modo NAT Zona
Trust
Espacio de 10.1.1.5
direcciones
privado
1. Un espacio de direcciones superpuesto se produce cuando los rangos de direcciones IP de dos redes coinciden parcial o totalmente.
2. Una excepción es una MIP definida para una interfaz en la zona Untrust. Esa MIP puede encontrarse en una subred diferente de una dirección IP de interfaz
de la zona Untrust. Sin embargo, en tal caso deberá agregar una ruta en el enrutador externo que apunte a una interfaz de la zona Untrust para que el tráfico
entrante pueda alcanzar la MIP. Asimismo, deberá definir una ruta estática en el dispositivo NetScreen asociando la MIP a la interfaz que la alberga.

Nota: En algunos dispositivos NetScreen, una MIP puede utilizar la misma dirección que una interfaz, pero una
dirección MIP no puede encontrarse en un conjunto de DIP.
Puede asignar una relación de “dirección a dirección” o de “subred a subred”. Cuando se define una configuración
de direcciones IP “subred a subred”, la máscara de red se aplica tanto a la subred de direcciones IP asignadas
como a la subred IP original.
MIP y la zona Global

Al establecer una MIP para una interfaz en cualquier zona se genera una entrada para la MIP en la libreta de
direcciones de la zona Global. La libreta de direcciones de la zona Global almacena todas las MIPs, sin importar a
qué zona pertenezcan sus interfaces. Puede utilizar estas direcciones MIP como direcciones de destino en
directivas entre dos zonas cualesquiera, y como direcciones de destino al definir una directiva Global. (Para obtener
más información sobre las directivas Global, consulte “Directivas globales” en la página 2 -312). Aunque el
dispositivo NetScreen almacena MIPs en la zona Global, puede utilizar la zona Global o la zona que contiene la
dirección a la que apunta la MIP, como zona de destino en una directiva que haga referencia a una MIP.

Ejemplo: MIP en una interfaz de la zona Untrust

En este ejemplo asociará ethernet1 a la zona Trust y le asignará la dirección IP 10.1.1.1/24. Asociará ethernet2 a la
zona Untrust y le asignará la dirección IP 1.1.1.1/24. A continuación configurará una MIP para dirigir el tráfico HTTP
entrante destinado a 1.1.1.5 en la zona Untrust a un servidor web en la dirección IP 10.1.1.5 de la zona Trust.
Finalmente, creará una directiva que permita el tráfico HTTP desde cualquier dirección de la zona Untrust a la
dirección MIP (y, por lo tanto, al host con la dirección a la que apunta la MIP) de la zona Trust. Todas las zonas de
seguridad se encuentran en el dominio de enrutamiento trust-vr.
Nota: Para una dirección IP asignada o para el host al que apunta no se requiere ninguna entrada en la libreta de
direcciones.
Zona Untrust
Internet
MIP 1.1.1.5 -> 10.1.1.5
(configurada en ethernet2)
Interfaz de la zona Untrust
ethernet2, 1.1.1.1/24 1
Interfaz de la zona Trust 2 Zona Global

ethernet1, 10.1.1.1/24
3
1 El tráfico destinado a 1.1.1.5 llega a ethernet2.
Servidor web 2 El dispositivo NetScreen consulta la ruta de una MIP

10.1.1.5 en ethernet2 y resuelve 1.1.1.5 como 10.1.1.5.
3 El dispositivo NetScreen consulta la ruta de 10.1.1.5

Zona Trust y reenvía el tráfico fuera de ethernet1.

WebUI
1. Interfaces
Zone Name: Trust

Interface Mode: NAT
Zone Name: Untrust
2. MIP
Network > Interfaces > Edit (para ethernet2) > MIP > New: Introduzca los siguientes datos y haga clic en
OK :
Mapped IP: 1.1.1.5
Netmask: 255.255.255.255
Host IP Address: 10.1.1.5
Host Virtual Router Name: trust-vr

3. Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), MIP(1.1.1.5)
Service: HTTP
Action: Permit
CLI
1. Interfaces
2. MIP
3
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255
4
vrouter trust-vr
3. Directiva
set policy from untrust to trust any mip(1.1.1.5) http permit
save
3. De forma predeterminada, la máscara de red de una MIP es de 32 bits (255.255.255.255), asignando la dirección a un solo host. También puede definir
una MIP para un rango de direcciones. Por ejemplo, para definir 1.1.1.5 como MIP para las direcciones 10.1.10.129 a 10.1.10.254 dentro de una subred de
clase C mediante la interfaz de línea de comandos (CLI), utilice la sintaxis siguiente: set interface interface mip 1.1.1.5 host 10.1.10.128 netmask
255.255.255.128 . Tenga cuidado de no utilizar un rango de direcciones que incluya las direcciones de la interfaz o del enrutador.
4. El enrutador virtual predeterminado es trust-vr. No es necesario especificar que el enrutador virtual es trust-vr ni que la MIP tiene una máscara de red de
32 bits. Estos argumentos se incluyen en este comando por coherencia con la configuración de WebUI.

Ejemplo: Acceder a una MIP desde diferentes zonas

Aunque el tráfico proceda de zonas diferentes, puede alcanzar una MIP determinada a través de otras interfaces
distintas de la utilizada para configurar esa MIP. Para lograrlo, debe establecerse una ruta en los enrutadores de
cada una de las otras zonas que dirija el tráfico entrante hacia la dirección IP de sus respectivas interfaces con el fin
de alcanzar la MIP5.
En este ejemplo configurará una MIP (1.1.1.5) en la interfaz de la zona Untrust (ethernet2, 1.1.1.1/24) para
asignarla a un servidor web de la zona Trust (10.1.1.5). La interfaz asociada a la zona Trust será ethernet1 con la
dirección IP 10.1.1.1/24.
Creará una zona de seguridad llamada “X-Net”, a la que asociará ethernet3, y asignará a la interfaz la dirección IP
1.3.3.1/24. Definirá una dirección para 1.1.1.5 que se utilizará en una directiva para permitir tráfico HTTP desde
cualquier dirección de la zona “X-Net” a la MIP en la zona Untrust. También configurará una directiva para permitir
que el tráfico HTTP pase desde la zona Untrust a la zona Trust. Todas las zonas de seguridad se encuentran en el
dominio de enrutamiento trust-vr.
Nota: Deberá introducir una ruta en el enrutador de la zona “X-Net” que dirija el tráfico destinado a 1.1.1.5 (MIP) a
1.3.3.1 (dirección IP de ethernet3).
5. Si la MIP se encuentra en la misma subred que la interfaz en la cual fue configurada, no es necesario agregar una ruta al dispositivo NetScreen para que
el tráfico alcance la MIP a través de otra interfaz. Sin embargo, si la MIP se encuentra en una subred distinta que la dirección IP de su interfaz (lo cual sólo
es posible con una MIP en una interfaz de la zona Untrust), es necesario agregar una ruta estática a la tabla de enrutamiento de NetScreen. Utilice el
comando set vrouter name_str route ip_addr interface interface (o su equivalente en WebUI), donde name_str es el enrutador virtual al que pertenece la
interfaz especificada, e interface es la interfaz en la que se configuró la MIP.

Zona Untrust Zona X-Net Nota: Deberá agregar una ruta a este
enrutador que apunte a 1.3.3.1 para
Internet alcanzar 1.1.1.5.
MIP 1.1.1.5 -> 10.1.1.5

Interfaz de la zona Untrust (configurada en ethernet2)
ethernet2, 1.1.1.1/24 1
Interfaz de la zona X-Net 2
ethernet3, 1.3.3.1/24 Zona Global
Interfaz de la zona Trust 3
ethernet1, 10.1.1.1/24
1 El tráfico destinado a 1.1.1.5 llega a eth2 y eth3.
2 eth2: El dispositivo NetScreen consulta la ruta de una MIP

Servidor web en eth2 y resuelve 1.1.1.5 como 10.1.1.5.
10.1.1.5 eth3: La consulta de rutas de una MIP en eth3 no
encuentra nada. NetScreen comprueba otras interfaces,
encuentra una MIP en eth2 y reenvía el paquete a eth2,
Zona Trust donde la MIP se resuelve como 10.1.1.5.
3 El dispositivo NetScreen consulta la ruta de 10.1.1.5 y
reenvía el tráfico fuera de eth1.
WebUI
1. Interfaces y zonas
Zone Name: Trust

Interface Mode: NAT

Zone Name: Untrust
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK :
Zone Name: X-Net
Virtual Router Name: untrust-vr
Zone Type: Layer 3
Zone Name: X-Net
2. Dirección
Address Name: 1.1.1.5
Zone: Untrust
3. MIP
Network > Interfaces > Edit (para ethernet2) > MIP > New: Introduzca los siguientes datos y haga clic en OK :
Mapped IP: 1.1.1.5
Netmask: 255.255.255.255

4. Directivas
Policies > (From: X-Net, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), 1.1.1.5
Service: HTTP
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Service: HTTP
Action: Permit

CLI
1. Interfaces y zonas

set zone name X-Net

set interface ethernet3 zone X-Net
2. Dirección
set address untrust “1.1.1.5” 1.1.1.5/32
3. MIP
6
vrouter trust-vr
4. Directivas
set policy from X-Net to untrust any “1.1.1.5” http permit
save
6. De forma predeterminada, la máscara de red de una MIP es de 32 bits (255.255.255.255) y el enrutador virtual predeterminado es trust-vr. No es necesario
especificar estos datos en el comando. Estos argumentos se incluyen aquí por coherencia con la configuración de WebUI.

Ejemplo: Agregar una MIP a una interfaz de túnel

En este ejemplo, el espacio de direcciones IP de la red en la zona Trust es 10.1.1.0/24 y la dirección IP de la
interfaz de túnel “tunnel.8” es 10.20.3.1. La dirección IP física de un servidor en la red de la zona Trust es 10.1.1.25.
Para permitir que un sitio remoto pueda acceder al servidor local a través de un túnel VPN cuya red en la zona Trust
utiliza un espacio de direcciones solapado, deberá crear una MIP en la misma subred que la interfaz “tunnel.8”. La
dirección MIP es 10.20.3.25/32. (Para ver un ejemplo más completo de una MIP con una interfaz de túnel, consulte
“Sitios VPN con direcciones superpuestas” en la página 5 -203).
WebUI
Network > Interfaces > Edit (para tunnel.8) > MIP > New: Introduzca los siguientes datos y haga clic en OK :
Mapped IP: 10.20.3.25
Netmask: 255.255.255.255
CLI
set interface tunnel.8 mip 10.20.3.25 host 10.1.1.25 netmask 255.255.255.255
7
vrouter trust-vr
save
Nota: Cuando el administrador remoto agrega la dirección del servidor en su libreta de direcciones de la zona
Untrust, debe introducir la MIP (10.20.3.25), no la dirección IP física del servidor (10.1.1.25).
El administrador remoto también debe aplicar NAT-src basada en directivas (utilizando DIP) en los paquetes
salientes dirigidos al servidor a través de la VPN, para que el administrador local pueda agregar una dirección de la
zona Untrust que no esté en conflicto con las direcciones locales de la zona Trust. De lo contrario, la dirección de
origen en la directiva de tráfico entrante parecería estar en la zona Trust.

MIP-Same-as-Untrust
Dado que las direcciones IPv4 se están agotando, los proveedores de servicios de Internet (ISPs) son cada vez
más reacios a dar más de una o dos direcciones IP a sus clientes. Si solamente dispone de una dirección IP para la
interfaz asociada a la zona Untrust (ya que la interfaz asociada a la zona Trust está en modo de traducción de
direcciones de red o NAT), puede utilizar la dirección IP de la interfaz de la zona Untrust como dirección IP
asignada (MIP) para proporcionar acceso entrante a un servidor o host interno, o bien a un punto final del túnel VPN
o L2TP.
Una MIP asigna el tráfico entrante a otra dirección el tráfico entrante a una dirección; por lo tanto, al utilizar la
dirección IP de la interfaz de la zona Untrust como MIP, el dispositivo NetScreen asigna a una dirección interna
especificada todo el tráfico entrante que utilice la interfaz de la zona Untrust. Si la MIP de la interfaz Untrust está
asignada a un punto final del túnel VPN o L2TP, el dispositivo reenvía automáticamente los paquetes IKE o L2TP
entrantes al punto final del túnel, siempre que no haya ningún túnel VPN o L2TP configurado en la interfaz de
Untrust.
Si crea una directiva en la cual la dirección de destino sea una MIP que utilice la dirección IP de la interfaz de la
zona Untrust y especifica HTTP como servicio en la directiva, perderá la administración web del dispositivo
NetScreen a través de esa interfaz (debido a que todo el tráfico HTTP entrante dirigido a esa dirección está
asignado a un servidor o host interno). Aún así podrá administrar el dispositivo a través de la interfaz de la zona
Untrust mediante WebUI, cambiando el número de puerto para la administración web. Para cambiar el número de
puerto de administración web, haga lo siguiente:
1. Admin > Web: Introduzca un número de puerto registrado (de 1024 a 65.535) en el campo “HTTP Port”.
Haga clic en Apply .
2. Cuando se conecte de nuevo a la interfaz de la zona Untrust para administrar el dispositivo, agregue el
número de puerto a la dirección IP; por ejemplo, http://209.157.66.170:5000.

Ejemplo: MIP en la interfaz Untrust

En este ejemplo seleccionará la dirección IP de la interfaz de la zona Untrust (ethernet3, 1.1.1.1/24) como MIP para
un servidor web cuya dirección IP real sea 10.1.1.5 en la zona Trust. Como desea conservar el acceso de
administración web a la interfaz ethernet3, deberá cambiar el número del puerto de administración a 8080. Luego
creará una directiva que permita el servicio HTTP (en el número de puerto HTTP predeterminado, el 80) desde la
zona Untrust a la MIP y, por lo tanto, al host con la dirección a la que apunta la MIP, en la zona Trust.
WebUI
1. Interfaces
Zone Name: Trust
Introduzca los siguientes datos y haga clic en OK:

NAT:8 (seleccione)
Zone Name: Untrust
2. Puerto HTTP
Configuration > Admin > Management: Escriba 8080 en el campo “HTTP Port” y haga clic en Apply .
(La conexión HTTP se perderá).
8. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará en modo NAT. Por lo tanto, esta opción ya está habilitada para las
interfaces asociadas a la zona Trust.

3. Reconexión
Vuelva a conectarse al dispositivo NetScreen, agregando 8080 a la dirección IP en el campo de la dirección
URL de su explorador web. (Si actualmente está administrando el dispositivo a través de la interfaz Untrust,
escriba http://1.1.1.1:8080 ).
4. MIP
Network > Interface > Edit (para ethernet3) > MIP > New: Introduzca los siguientes datos y haga clic en OK :
Mapped IP: 1.1.1.1
9
Netmask: 255.255.255.255
5. Ruta
6. Directiva
Source Address:
Service: HTTP
Action: Permit
9. La máscara de red de una MIP que utilice una dirección IP de la interfaz de la zona Untrust debe ser de 32 bits.

CLI
1. Interfaces

2. Puerto HTTP
set admin port 8080
3. MIP
10
vrouter trust-vr
4. Ruta
5. Directiva
save

MIP y la interfaz de bucle invertido (loopback)

Definir una MIP en la interfaz loopback permite que esa MIP sea accesible desde un grupo de interfaces. La principal
aplicación de esta característica es permitir el acceso a un host a través de uno de varios túneles VPN usando una
sola dirección MIP. El host de la MIP puede también iniciar tráfico a un sitio remoto a través del túnel apropiado.
Zona Untrust
Interlocutor de VPN Interfaz de la Interlocutor de VPN
zona Untrust
Túneles VPN El tráfico de ambas VPNs
puede alcanzar la dirección
Interfaces de túnel: MIP en la interfaz loopback.
Miembros del grupo
de la interfaz loopback Dirección MIP
(definida en la
interfaz de bucle
invertido pero
almacenada en la
Interfaz de la Interfaz de bucle zona Global)
zona Trust invertido
(en la zona Untrust)
El tráfico procedente de la dirección
MIP sale a través de la interfaz de la
Zona Trust zona Trust al host MIP.
Host MIP
Puede imaginar la interfaz de bucle invertido como un contenedor de recursos que contiene una dirección MIP.
Deberá configurar una interfaz de bucle invertido con el nombre loopback.id_num (donde id_num corresponde al
número de identificación que permite identificar de forma inequívoca la interfaz en el dispositivo) y asignar una
dirección IP a la interfaz (consulte “Interfaces loopback” en la página 2 -76). Para permitir que otras interfaces
puedan utilizar una MIP en la interfaz de bucle invertido, agregue las interfaces como miembros del grupo de bucle
invertido.

La interfaz de bucle invertido y las interfaces quela forman deben encontrarse en diferentes subredes IP de la
misma zona. Cualquier tipo de interfaz puede ser miembro de un grupo de bucle invertido siempre que tenga una
dirección IP. Si configura una MIP en una interfaz de bucle invertido y en una de las interfaces que la componen, la
configuración de la interfaz loopback tendrá preferencia. Una interfaz de bucle invertido no puede formar parte de
otro grupo de bucle invertido.
Ejemplo: MIP para dos interfaces de túnel

En este ejemplo configurará las interfaces siguientes:
• ethernet1, zona Trust, 10.1.1.1/24
• ethernet3, zona Untrust, 1.1.1.1/24
• tunnel.1, zona Untrust, 10.10.1.1/24, asociada a vpn1
• tunnel.2, zona Untrust, 10.20.1.1/24, asociada a vpn2
• loopback.3 , zona Untrust, 10.100.1.1/24
Las interfaces de túnel forman parte del grupo de interfaces loopback.3 . La interfaz loopback.3 contiene la dirección
MIP 10.100.1.5, asignada a un host en la dirección 10.1.1.5 de la zona Trust.

Espacio de direcciones Zona Untrust Espacio de direcciones

privado detrás de gw1: privado detrás de gw2:
10.2.1.0/24 ethernet3 10.3.1.0/24
gw1 1.1.1.1/24 gw2
vpn1 vpn2
tunnel.1, 10.10.1.1/24 tunnel.2, 10.20.1.1/24
ethernet1 loopback.3 Dirección MIP:

Interfaces de túnel: 10.1.1.1/24 10.100.1.1/24
Miembros del grupo 10.100.1.5 -> 10.1.1.5
de la interfaz de bucle invertido (en zona Untrust)
Zona Trust
Host MIP
10.1.1.5
Cuando un paquete destinado a 10.100.1.5 llega a través de un túnel VPN a tunnel.1, el dispositivo NetScreen
busca la MIP en la interfaz de bucle invertido denominada loopback.3. Cuando encuentra una coincidencia en
loopback.3, el dispositivo NetScreen traduce la IP original de destino (10.100.1.5) a la dirección IP del host
(10.1.1.5) y reenvía el paquete a través de ethernet1 al host MIP. El tráfico destinado a 10.100.1.5 también puede
llegar a través de un túnel VPN asociado a tunnel.2. De nuevo, el dispositivo NetScreen encuentra una coincidencia
en loopback.3 y traduce la IP de destino original 10.100.1.5 a 10.1.1.5 y reenvía el paquete al host MIP.
También definirá las direcciones, rutas, directivas y túneles VPN necesarios para completar la configuración. Todas
las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr.

WebUI
1. Interfaces
Zone Name: Trust
Introduzca los siguientes datos y haga clic en OK:

NAT:11 (seleccione)
Zone Name: Untrust
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y haga clic en OK :
Interface Name: loopback.3
Zone: Untrust (trust-vr)
11. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará en modo NAT. Por lo tanto, esta opción ya está habilitada para las
interfaces asociadas a la zona Trust.

Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply :
Seleccione loopback.3 en la lista desplegable “Member of Loopback Group”

y haga clic en OK .
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en Apply :
Seleccione loopback.3 en la lista desplegable “Member of Loopback Group”

y haga clic en OK .
2. MIP
Network > Interfaces > Edit (para loopback.3) > MIP > New: Introduzca los siguientes datos y haga clic en
OK :
Mapped IP: 10.100.1.5
Netmask: 255.255.255.255

3. Direcciones
Address Name: local_lan
Zone: Trust
Address Name: peer-1
Zone: Untrust
Address Name: peer-2
Zone: Untrust

4. VPNs
VPN Name: vpn1
Gateway Name: gw1
Service: ANY
VPN Name: vpn2
Gateway Name: gw2


Service: ANY
5. Rutas
Interface: tunnel.1
Interface: tunnel.2

6. Directivas
Source Address:
Address Book Entry: (seleccione), peer-1
Service: ANY
Action: Permit
Source Address:
Address Book Entry: (seleccione), peer-2
Service: ANY
Action: Permit
Source Address:
Address Book Entry: (seleccione), local_lan
Service: ANY
Action: Permit

CLI
1. Interfaces

set interface loopback.3 zone trust

set interface loopback.3 ip 10.100.1.1/24

set interface tunnel.1 loopback-group loopback.3

set interface tunnel.2 loopback-group loopback.3
2. MIP
set interface loopback.3 mip 10.100.1.5 host 10.1.1.5 netmask 255.255.255.255
12
vrouter trust-vr
3. Direcciones
set address trust local_lan 10.1.1.0/24
set address untrust peer-1 10.2.1.0/24
set address untrust peer-2 10.3.1.0/24

4. VPNs
set ike gateway gw1 address 2.2.2.2 outgoing-interface ethernet3 preshare
set vpn vpn1 gateway gw1 sec-level compatible
set ike gateway gw2 address 3.3.3.3 outgoing-interface ethernet3 preshare

set vpn vpn2 gateway gw2 sec-level compatible
5. Rutas
set vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
6. Directivas
set policy top from untrust to trust peer-1 mip(10.100.1.5) any permit
set policy top from untrust to trust peer-2 mip(10.100.1.5) any permit
set policy from trust to untrust local_lan any any permit
save

Capítulo 4 Direcciones IP asignadas y virtuales Direcciones IP virtuales
DIRECCIONES IP VIRTUALES
Una dirección IP virtual IP (VIP) asigna el tráfico recibido en una dirección IP a otra dirección basándose en el
número del puerto de destino que figura en el encabezado del segmento TCP o UDP. Por ejemplo:
• Un paquete HTTP destinado a 1.1.1.3:80 (dirección IP 1.1.1.3 y puerto 80) podría asignarse a un servidor
web en 10.1.1.10.
• Un paquete FTP destinado a 1.1.1.3:21 podría asignarse a un servidor FTP en 10.1.1.20.
• Un paquete SMTP destinado a 1.1.1.3:25 podría asignarse a un servidor de correo en 10.1.1.30.
Los direcciones IP de destino son iguales. Los números de los puertos de destino determinan a qué host debe
reenviar el tráfico el dispositivo NetScreen.
Servidor web
Zona Untrust Zona Global Zona Trust 10.1.1.10
Servidor FTP
HTTP (80) FTP (21) 10.1.1.20
Internet
VIP
1.1.1.3 SMTP (25)
Servidor de
correo
Interfaz de la zona Untrust Interfaz de la zona Trust 10.1.1.30
eth3, 1.1.1.1/24 eth1, 1.2.2.1/24
Tabla de reenvíos de direcciones IP virtuales

IP de interfaz en VIP en la Puerto Reenviar a IP de host en
zona Untrust zona Global la zona Trust
1.1.1.1/24 1.1.1.3 80 (HTTP) 10.1.1.10
1.1.1.1/24 1.1.1.3 21 (FTP) 10.1.1.20
1.1.1.1/24 1.1.1.3 25 (SMTP) 10.1.1.30

El dispositivo NetScreen reenvía el tráfico entrante destinado a una VIP al host a cuya dirección apunta la VIP. Sin
embargo, cuando un host VIP inicia tráfico saliente, el dispositivo NetScreen traduce solamente la dirección IP de
origen original a otra dirección si previamente se configuró NAT en la interfaz de entrada o NAT-src en una directiva
aplicable al tráfico originado en ese host. En caso contrario, el dispositivo NetScreen no traduce la dirección IP de
origen en el tráfico procedente de un host VIP.
Para definir una IP virtual necesitará la información siguiente:

• La dirección IP de la VIP debe pertenecer a la misma subred que una interfaz en la zona Untrust o, en
13
algunos dispositivos NetScreen, incluso puede tener la misma dirección que esa interfaz
• Las direcciones IP de los servidores que procesan las peticiones
• El tipo de servicio que el dispositivo NetScreen debe remitir desde la VIP a la dirección IP del host
Nota: En una interfaz de la zona Untrust solamente se puede establecer una VIP.
Algunas notas sobre las VIPs de NetScreen:

• Si está ejecutando múltiples procesos de servidor en un solo equipo, puede utilizar números de puerto
virtuales para los servicios conocidos. Por ejemplo, si está ejecutando dos servidores FTP en el mismo
equipo, puede ejecutar uno de ellos en el puerto 21 y el otro en el puerto 2121. Sólo quienes conozcan de
antemano el número de puerto virtual y lo incluyan en el encabezado de paquete de la dirección IP podrán
obtener acceso al segundo servidor FTP.
• Se pueden establecer asignaciones (correspondencias) para servicios predefinidos y servicios definidos
por el usuario.
• Una sola VIP puede distinguir servicios personalizados con los mismos números de puerto de origen y de
destino pero diferentes medios de transporte.
• Los servicios personalizados pueden utilizar cualquier número de puerto de destino o rango de números
entre 1 y 65.535, no sólo entre 1024 y 65.535.
13. En algunos dispositivos NetScreen, una interfaz en la zona Untrust puede recibir su dirección IP dinámicamente a través de DHCP o PPPoE. Si desea
utilizar una VIP de este modo, ejecute cualquiera de los siguientes procedimientos: En WebUI (Network > Interfaces > Edit (para una interfaz en la zona
Untrust) > VIP: Si configura una VIP para que utilice la misma dirección IP que una interfaz de la zona Untrust en un dispositivo NetScreen que admita
múltiples VIPs, las otras VIPs “normales” dejarán de ser utilizables. Si hay configurada alguna VIP normal, no podrá crear una VIP mediante una interfaz
de la zona Untrust salvo que elimine primero la VIP normal.

• Una sola VIP puede admitir servicios personalizados con múltiples entradas de puertos mediante la
creación de varias entradas de servicios bajo esa VIP (una por cada puerto en el servicio). De forma
predeterminada, en una VIP se pueden utilizar servicios de puerto único. Para poder utilizar servicios de
múltiples puertos en una VIP, primero debe ejecutar el comando CLI set vip multi -port , y enseguida
reiniciar el dispositivo NetScreen. (Consulte “Ejemplo: VIP con servicios personalizados y de múltiples
puertos” en la página 125).
• El host al que el dispositivo NetScreen asigne el tráfico VIP debe ser accesible desde trust-vr. Si el host se
encuentra en un dominio de enrutamiento distinto de trust-vr, debe definir una ruta para alcanzarlo.

VIP y la zona Global

Al establecer una VIP para una interfaz en la zona Untrust se genera una entrada en la libreta de direcciones de la
zona Global. La libreta de direcciones de la zona Global mantiene un registro de todas las VIPs de todas las
interfaces, sin importar a qué zona pertenezca cada interfaz. Puede utilizar estas direcciones VIP como dirección de
destino en directivas entre dos zonas cualesquiera, y como dirección de destino en directivas Global.
Ejemplo: Configurar servidores de IPs virtuales

En este ejemplo asociará la interfaz ethernet1 a la zona Trust y le asignará la dirección IP 10.1.1.1/24. Asociará la
interfaz ethernet3 a la zona Untrust y le asignará la dirección IP 1.1.1.1/24.
Seguidamente configurará una VIP en 1.1.1.10 para reenviar el tráfico HTTP entrante a un servidor web en
10.1.1.10 y creará una directiva que permita al tráfico procedente de la zona Untrust alcanzar la VIP en la zona
Trust (y, por lo tanto, al host con la dirección a la que apunta la VIP).
Dado que la VIP se encuentra en la misma subred que la interfaz de la zona Untrust (1.1.1.0/24), no es necesario
14
definir una ruta para que el tráfico procedente de la zona Untrust la alcance . Tampoco se requiere ninguna
entrada en la libreta de direcciones para el host al que una VIP reenvía tráfico. Todas las zonas de seguridad se
encuentran en el dominio de enrutamiento trust-vr.
Zona Untrust Zona Global Zona Trust
Internet HTTP (80)

VIP Servidor web
1.1.1.10 10.1.1.10
Interfaz de la zona Untrust Interfaz de la zona Trust

eth3, 1.1.1.1/24 eth1, 10.1.1.1/24
14. Si desea que el tráfico HTTP procedente de una zona de seguridad distinta de la zona Untrust acceda a la VIP, debe establecer una ruta para 1.1.1.10 en
el enrutador y en la otra zona que apunte a una interfaz asociada a esa zona. Por ejemplo, suponga que ethernet2 está asociada a una zona definida por
el usuario y que ha configurado un enrutador en esa zona para que envíe a ethernet2 el tráfico destinado a 1.1.1.10. Una vez que el enrutador envía tráfico
a ethernet2, el mecanismo de reenvío del dispositivo NetScreen localiza la VIP en ethernet3, que lo asigna a 10.1.1.10 y lo envía a través de ethernet1 a
la zona Trust. Este proceso es similar al descrito en “Ejemplo: Acceder a una MIP desde diferentes zonas” en la página 97. También deberá establecer una
directiva que permita el tráfico HTTP procedente de la zona de origen a la VIP en la zona Trust.

WebUI
1. Interfaces
Zone Name: Trust

Interface Mode: NAT
Zone Name: Untrust
2. VIP
Network > Interfaces > Edit (para ethernet3) > VIP: Introduzca la siguiente dirección y haga clic en Add :
Virtual IP Address: 1.1.1.10
Network > Interfaces > Edit (para ethernet3) > VIP > New VIP Service: Introduzca los siguientes datos y
haga clic en OK :
Virtual IP: 1.1.1.10
Virtual Port: 80
Map to Service: HTTP (80)
Map to IP: 10.1.1.10

3. Directiva
Source Address:
Address Book Entry: (seleccione), ANY
Address Book Entry: (seleccione), VIP(1.1.1.10)
Service: HTTP
Action: Permit
CLI
1. Interfaces

2. VIP
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
3. Directiva
set policy from untrust to trust any vip(1.1.1.10) http permit
save

Ejemplo: Editar una configuración de VIP

En este ejemplo modificará la configuración del servidor de IP virtuales que creó en el ejemplo anterior. Para
restringir el acceso al servidor web, cambiará el número de puerto virtual para el tráfico HTTP de 80
(predeterminado) a 2211. Desde ese momento, sólo podrán utilizar el servidor web quienes sepan que deben
utilizar el número de puerto 2211 para conectarse a él.
WebUI
Network > Interfaces > Edit (para ethernet3) > VIP > Edit (en la sección “VIP Services Configure”
correspondiente a 1.1.1.10): Introduzca los siguientes datos y haga clic en OK :
Virtual Port: 2211
CLI
unset interface ethernet3 vip 1.1.1.10 port 80
set interface ethernet3 vip 1.1.1.10 2211 http 10.1.1.10
save
Ejemplo: Eliminar una configuración VIP

En este ejemplo eliminará la configuración VIP que creó y modificó anteriormente. Para poder eliminar una VIP,
primero debe eliminar cualquier directiva existente asociada a ella. El número de identificación de la directiva
creada en el “Ejemplo: Configurar servidores de IPs virtuales” en la página 121 es 5.
WebUI
Policies > (From: Untrust, To: Trust) > Go: Haga clic en Remove para la directiva con ID 5.
Network > Interfaces > Edit (para ethernet3) > VIP: Haga clic en Remove en la sección “VIP Configure”
correspondiente a 1.1.1.10.
CLI
unset policy id 5
unset interface ethernet3 vip 1.1.1.10
save

Ejemplo: VIP con servicios personalizados y de múltiples puertos

En el ejemplo siguiente configurará una VIP en 1.1.1.3 para enrutar los siguientes servicios hacia las direcciones
internas siguientes:
Servicio Transporte Número de puerto virtual Número de puerto real Dirección IP del
host
DNS TCP, UDP 53 53 10.1.1.3
HTTP TCP 80 80 10.1.1.4
PCAnywhere TCP, UDP 5631, 5632 5631, 5632 10.1.1.4
LDAP TCP, UDP 5983 389 10.1.1.5
Servidor web: 10.1.1.3

DNS 53 -> 53
Zona Untrust Zona Global Servidor DNS: 10.1.1.4

Zona Trust
HTTP 80 -> 80
Administrador PCAnywhere
remoto 5631, 5632 ->
3.3.3.3 5631, 5632
VIP
1.1.1.3
Servidor LDAP:
10.1.1.5
LDAP 5983 -> 389
Interfaz de la zona Untrust Interfaz de la zona Trust
eth3, 1.1.1.1/24 eth1, 10.1.1.1/24
La VIP enruta (reenvía) las consultas DNS al servidor DNS en 10.1.1.3, el tráfico HTTP al servidor web en 10.1.1.4
y las comprobaciones de autenticación a la base de datos del servidor LDAP en 10.1.1.5. Para HTTP, DNS y
PCAnywhere, los números de puerto virtuales siguen siendo iguales que los números de puerto reales. Para LDAP,
se utiliza un número de puerto virtual (5983) para agregar un nivel adicional de seguridad al tráfico de autenticación
de LDAP.

Para administrar remotamente el servidor HTTP, definirá un servicio personalizado y lo llamará PCAnywhere.
PCAnywhere es un servicio de puertos múltiples que envía y recibe datos a través del puerto TCP 5631 y
comprobaciones de estado a través del puerto UDP 5632.
También introducirá la dirección del administrador remoto de 3.3.3.3 en la libreta de direcciones de la zona Untrust
y configurará directivas del tráfico desde la zona Untrust a la zona Trust para todo el tráfico que deba utilizar las
VIPs. Todas las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr.
WebUI
1. Interfaces
Zone Name: Trust

Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust
2. Dirección
Address Name: Remote Admin
Zone: Untrust

3. Servicio personalizado
Object > Services > Custom > New: Introduzca los siguientes datos y haga clic en OK :
Service Name: PCAnywhere
No 1:
Transport Protocol: TCP
Source Port Low: 0
Source Port High: 65535
Destination Port Low: 5631
Destination Port High: 5631
No 2:
Transport Protocol: UDP
Source Port Low: 0
Source Port High: 65535
Destination Port Low: 5632
Destination Port High: 5632
4. Dirección y servicios VIP15

Network > Interfaces > Edit (para ethernet3) > VIP: haga clic aquí para configurar: Escriba 1.1.1.3 en el
campo “Virtual IP Address” y haga clic en Add .
> New VIP Service: Introduzca los siguientes datos y haga clic en OK :
Virtual IP: 1.1.1.3
Virtual Port: 53
Map to Service: DNS
Map to IP: 10.1.1.3
15. Para habilitar la VIP de modo que pueda trabajar con servicios de múltiples puertos, deberá ejecutar el comando CLI set vip multi-port , guardar la
configuración y seguidamente reiniciar el dispositivo.

Virtual IP: 1.1.1.3
Virtual Port: 80
Map to Service: HTTP
Map to IP: 10.1.1.4
Virtual IP: 1.1.1.3
16
Virtual Port: 5631
Map to Service: PCAnywhere
Map to IP: 10.1.1.4
Virtual IP: 1.1.1.3
Virtual Port: 598317
Map to Service: LDAP
Map to IP: 10.1.1.5
16. Para servicios de múltiples puertos, introduzca el número de puerto más bajo del servicio como número de puerto virtual.
17. La utilización de números de puerto no estándar agrega otra capa de seguridad, desbaratando los ataques comunes que buscan servicios en los números
de puerto estándar.

5. Directivas
Source Address:
Service: DNS
Action: Permit
Source Address:
Service: HTTP
Action: Permit
Source Address:
Service: LDAP
Action: Permit

Source Address:
Address Book Entry: (seleccione), Remote Admin
Service: PCAnywhere
Action: Permit
CLI
1. Interfaces

2. Dirección
set address untrust “Remote Admin” 3.3.3.3/32
3. Servicio personalizado
set service pcanywhere protocol udp src-port 0-65535 dst-port 5631-5631
set service pcanywhere + tcp src-port 0-65535 dst-port 5632-5632
4. Dirección y servicios VIP
set vip multi -port
save
reset
System reset, are you sure? y/[n] y

set interface ethernet3 vip 1.1.1.3 53 dns 10.1.1.3

set interface ethernet3 vip 1.1.1.3 + 80 http 10.1.1.4
18
set interface ethernet3 vip 1.1.1.3 + 5631 pcanywhere 10.1.1.4
set interface ethernet3 vip 1.1.1.3 + 5983 ldap 10.1.1.5
5. Directivas
set policy from untrust to trust any vip(1.1.1.3) dns permit
set policy from untrust to trust any vip(1.1.1.3) http permit
set policy from untrust to trust any vip(1.1.1.3) ldap permit
set policy from untrust to trust “Remote Admin” vip(1.1.1.3) pcanywhere permit
save
18. Para servicios de múltiples puertos, introduzca el número de puerto más bajo del servicio como número de puerto virtual.


Índice
Índice
A M desplazamiento de direcciones 25–30
desplazamiento de direcciones,
asignación de puertos 5, 36 MIP 92
consideraciones sobre el rango 25
alcanzable desde otras zonas 97
interfaz de salida 10, 31–33
C crear direcciones 94
crear en interfaz de zona 94
puerto fijo 17, 22–24
CLI traducción de direcciones de puertos 3
crear en una interfaz de túnel 102
convenciones iv traducción unidireccional 8, 13
definición 8
set vip multi -port 120 nombres
enrutador virtual predeterminado 96
conjuntos de caracteres compatibles con convenciones viii
máscara de red predeterminada 96
ScreenOS viii rango de direcciones 96
conjuntos de DIP same-as-untrust, interfaz 103–106 P
consideraciones sobre direcciones 16 traducción bidireccional 8 PAT 16
NAT-src 2 zona global 93 puertos
tamaño 16 números de puerto 128
convenciones N
CLI iv
NAT T
ilustración vii definición 2 traducción de direcciones
nombres viii NAT-src con NAT-dst 70–90 véase NAT, NAT-dst, y NAT-src
WebUI v NAT basada en directivas
crear
direcciones MIP 94
véase NAT-dst y NAT-src V
NAT-dst 36–90
VIP
asignación de puertos 5, 36, 65 alcanzable desde otras zonas 121
D con MIPs o VIPs 4 configuración 121
dirección IP asignada consideraciones sobre las rutas 37, 42–45 definición 8
véase MIP desplazamiento de direcciones 7, 37, 60 editar 124
flujo de paquetes 38–41 eliminar 124
direcciones IP
IP única con asignación de puerto 11 información necesaria 119
virtuales 118
IP única, sin asignación de puertos 11 servicios personalizados y multipuerto 125–
rango de direcciones 6
F rango de direcciones a IP única 12, 55
131
servicios personalizados, números de puerto
flujo de paquetes rango de direcciones a rango de bajos 119
NAT-dst 38–41 direcciones 12, 60 zona global 121
traducción “1:1” 46
I traducción “1:n” 51
traducción unidireccional 8, 13 W
ilustración WebUI
NAT-src 2, 16–33
convenciones vii convenciones v
basada en interfaces 3
interfaces conjunto de DIP con desplazamiento de
MIP 92 direcciones 10 Z
VIP 118 conjunto de DIP con PAT 9, 18–21 zona global 121
IP virtual conjunto de DIP, puerto fijo 9 zonas
véase VIP conjuntos de DIP 2 global 121
Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones IX-I

Índice
Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones IX-II

CE v7 SP

Загружено:

Сведения о документе

Исходное описание:

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

CE v7 SP

Загружено:

Авторское право:

Доступные форматы

NetScreen conceptos y ejemplos

Manual de referencia de ScreenOS

Volumen 7: Traducción de direcciones

FCC Statement Disclaimer

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones i

NAT-Src y NAT-Dst en la misma directiva ..................70 MIP-Same-as-Untrust ................................................. 103

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones ii

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones iii

Convenciones de la interfaz de línea de comandos (CLI)

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones iv

Convenciones de la interfaz gráfica (WebUI)

1. Haga clic en Objects en la columna de menú. 3. Haga clic en List.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones v

Nota: En este ejemplo, no hay

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones vi

Convenciones para las ilustraciones

Red de área local (LAN) con

Dominio de enrutamiento virtual Internet

Rango de direcciones IP dinámicas

Dispositivo de red genérico

Icono de conmutador (switch)

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones vii

Convenciones de nomenclatura y conjuntos de caracteres

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones viii

DOCUMENTACIÓN DE NETSCREEN DE JUNIPER NETWORKS

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones ix

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones x

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 1

INTRODUCCIÓN A LA TRADUCCIÓN DE DIRECCIONES

Traducción de direcciones de red de origen

Paquete IP 10.1.1.5 2.2.2.2 Carga de datos 1.1.1.5 2.2.2.2 Carga de datos

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 2

Traducción de direcciones IP de origen y

Paquete IP 10.1.1.5 2.2.2.2 Carga de datos 1.1.1.5 2.2.2.2 Carga de datos

Puerto Puerto Puerto Puerto

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 3

Traducción de direcciones de red de destino

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 4

Traducción de direcciones IP de destino sin

Dirección IP de destino original Dirección IP de destino traducida

Paquete IP 1.1.1.5 2.2.2.2 Carga de datos 1.1.1.5 10.3.1.6 Carga de datos

Traducción de direcciones IP de destino con

Paquete IP 1.1.1.5 2.2.2.2 Carga de datos 1.1.1.5 10.3.1.6 Carga de datos

Puerto Puerto Puerto Puerto

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 5

IP ORIG IP DEST IP ORIG IP DEST

Paquetes IP 1.1.1.5 2.2.2.2 Carga de datos 1.1.1.5 10.3.1.6 Carga de datos

1.1.1.5 2.2.2.3 Carga de datos 1.1.1.5 10.3.1.6 Carga de datos

Paque e P 1 1115 2222 Carga de da os 1115 10 3 1 6 Carga de da os

Puer o Puer o Puer o Puer o

Paque e P 2 1115 2223 Carga de da os 1115 10 3 1 6 Carga de da os

Segmen o 28560 8000 Carga de da os 28560 80 Carga de da os

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 6

Traducción de direcciones IP de destino con

Direcciones IP de destino originales Direcciones IP de destino traducidas

Paquetes IP 1.1.1.5 2.2.2.2 Carga de datos 1.1.1.5 10.3.1.6 Carga de datos

1.1.1.5 2.2.2.3 Carga de datos 1.1.1.5 10.3.1.7 Carga de datos

1.1.1.5 2.2.2.4 Carga de datos 1.1.1.5 10.3.1.8 Carga de datos

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 7

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 8

OPCIONES DE LA TRADUCCIÓN BASADA EN DIRECTIVAS

Juniper Networks NetScreen conceptos y ejemplos – Volumen 7: Traducción de direcciones 9