Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Visão geral da configuração do NAT

Visão geral da configuração da tradução de endereços de rede

Para configurar a tradução de endereços de rede (NAT), preencha as seguintes etapas de alto nível:

  1. Configure os endereços de origem e destino. Para obter mais informações, veja a visão geral da tradução de endereços de origem e destino da rede.
  2. Definir os endereços ou prefixos, faixas de endereço e portas usadas para NAT. Para obter mais informações, veja configuração de grupos de endereços e portas para visão geral da tradução de endereços de rede
  3. Se aplicável, configure os pools de endereços para a tradução da porta de endereço de rede (NAPT). Para obter mais informações, veja a configuração de grupos de endereços para a visão geral da tradução de porta de endereço de rede (NAPT).
  4. Configure as regras do NAT. Dentro das regras, incluem instruções de correspondência, condições de correspondência, ações e tipos de tradução. Para obter mais informações, veja a visão geral das regras de tradução de endereços de rede.
  5. Configure conjuntos de serviços para processamento de NAT. Dentro de cada conjunto de serviços, defina as interfaces para o manuseio do tráfego de entrada e saída e uma regra ou conjunto de regras de NAT. Para obter mais informações, veja Configuração de conjuntos de serviços para a tradução de endereços de rede.

Veja também

Configuração de endereços de origem e destino visão geral da tradução de endereços de rede

Você deve configurar um endereço específico, um prefixo ou os limites de alcance de endereço:

  • Os endereços a seguir, embora válidos inet.0, não podem ser usados para a tradução de NAT:

    • 0.0.0.0/32

    • 127.0.0.0/8 (loopback)

    • 128.0.0.0/16 (marciano)

    • 191.255.0.0/16 (marciano)

    • 192.0.0.0/24 (marciano)

    • 223.255.255,0/24 (marciano)

    • 224.0.0.0/4 (multicast)

    • 240.0.0.0/4 (reservado)

    • 255.255.255.255 (broadcast)

    Os endereços especificados como válidos na tabela de roteamento e não suportados para a inet.0 tradução de NAT são tipos de filtro de orlonger correspondência. Você não pode especificar nenhuma região dentro desses prefixos de endereço em um pool de NAT.

  • Em roteadores da Série MX com MS-MPCs e MS-MICs, se você configurar um pool de endereços NAT com um comprimento de prefixo igual ou superior a /16, o PIC não contém memória suficiente para provisionar o pool configurado. Além disso, problemas de utilização de memória podem ocorrer se você tentar configurar muitos pools cujos endereços IP totais combinados excedem /16. Nessas circunstâncias, uma mensagem de registro de sistema é gerada afirmando que o nome do pool de NAT não foi criado e que o conjunto de serviços não está ativado. Em MS-MPCs e MS-MICs, você não deve configurar grupos NAT com comprimentos de prefixo maiores que ou iguais a /16.

  • Você pode especificar um ou mais prefixos de endereço IPv4 na pool declaração e na from cláusula do termo de regra de NAT. Isso permite configurar a tradução de origem de uma sub-rede privada para uma sub-rede pública sem definir um termo de regra para cada endereço na sub-rede. A tradução de destino não pode ser configurada por este método. Para obter mais informações, veja Exemplos: Configuração de regras de NAT.

  • Quando você configura o NAT de origem estática, o tamanho do address prefixo que você configura no nível de [edit services nat pool pool-name] hierarquia deve ser maior do que a source-address faixa de prefixo configurada no nível de [edit services nat rule rule-name term term-name from] hierarquia. A source-address faixa de prefixo também deve ser mapeada para uma única sub-rede ou intervalo de endereços IPv4 ou IPv6 na pool declaração. Quaisquer endereços de pool que não sejam usados pela faixa de source-address prefixo ficam sem uso. As piscinas não podem ser compartilhadas.

  • Quando você configura um tamanho de prefixo do pool de endereços NAT com a address declaração no nível [edit services nat pool nat-pool-name] de hierarquia, a sub-rede e os endereços de broadcast não estão incluídos na lista de endereços IP utilizáveis. Por exemplo, se você usar address 10.11.12.0/28 em um pool de NAT, os endereços 10.11.12.0 (endereço de sub-rede) e 10.11.12.15 (endereço de transmissão) não estarão disponíveis.

Nota:

Quando você inclui uma configuração de NAT que altera endereços IP, ela pode afetar os recursos de caminho de encaminhamento em outros lugares da configuração do roteador, como uso de classe de origem (SCU), uso de classe de destino (DCU), encaminhamento baseado em filtros ou outros recursos que visam endereços IP ou prefixos específicos.

A configuração de NAT também pode afetar a operação de protocolo de roteamento, pois os endereços de peering de protocolo, vizinhos e interface podem ser alterados quando os pacotes de protocolo de roteamento transitam pelos Serviços Adaptativos (AS) ou multisserviços PIC.

Veja também

Configuração de grupos de endereços e portas para a visão geral da tradução de endereços de rede

Configuração de grupos de NAT

Você pode usar a pool declaração para definir os endereços (ou prefixos), intervalos de endereços e portas usadas para tradução de endereços de rede (NAT). Para configurar as informações, inclua a pool declaração no nível de [edit services nat] hierarquia.

A partir do Junos OS Release 14.2, configure o pool de NAT da seguinte forma. A partir do Junos OS Release 16.1, a limit-ports-per-address declaração é compatível.

No Junos OS Release 14.1 e anterior, configure o pool de NAT da seguinte forma:

Para configurar grupos para NAT tradicional, especifique um pool de destino ou um pool de origem.

Com NAT de origem estática e NAT de origem dinâmica, você pode especificar vários endereços IPv4 (ou prefixos) e intervalos de endereço IPv4. Até 32 prefixos ou intervalos de endereço (ou uma combinação) podem ser suportados em um único pool.

Com o NAT de destino estático, você também pode especificar vários prefixos de endereço e intervalos de endereço em um único termo. Vários termos de NAT de destino podem compartilhar um pool de NAT de destino. No entanto, a massa de rede ou alcance para o from endereço deve ser menor ou igual à massa de rede ou alcance para o endereço do pool de destino. Se você definir o pool como maior do que o necessário, alguns endereços não serão usados. Por exemplo, se você definir o tamanho do pool como 100 endereços e a regra especificar apenas 80 endereços, os últimos 20 endereços no pool não serão usados.

Para obter restrições em tipos de tradução específicos, consulte a visão geral das regras de tradução de endereços de rede.

Com NAT estático de origem, os prefixos e as faixas de endereço não podem se sobrepor entre grupos separados.

Em uma faixa de endereço, o low valor deve ser um número menor do que o high valor. Quando vários intervalos de endereço e prefixos são configurados, os prefixos são esgotados primeiro, seguidos pelas faixas de endereço.

Quando você especifica uma porta para NAT de origem dinâmica, as faixas de endereço são limitadas a um máximo de 65.000 endereços, para um total de (65.000 x 65.535) ou 4.259.775.000 fluxos. Um pool de NAT dinâmico sem tradução de porta de endereço oferece suporte a até 65.535 endereços. Não há limite no tamanho da piscina para NAT de origem estática.

Preservar o alcance e preservar a paridade

Você pode configurar seu NAT de nível de operadora (CGN) para preservar o alcance ou a paridade da porta de origem do pacote quando aloca uma porta de origem para uma conexão de saída. Você pode configurar a paridade de preservação e preservar as opções de intervalo sob a definição do pool de NAT, incluindo as declarações e preserve-parity as preserve-range declarações de configuração no nível de [edit services nat pool poolname port] hierarquia.

Preservando o alcance e preservando a paridade são suportados em roteadores da série MX com MS-DPCs e em roteadores da Série M com PICS ms-100, MS-400 e MS-500 multiservices. A preservação do alcance e a paridade de preservação são suportadas em roteadores da série MX com MS-MPCs e MS-MICs a partir da versão Junos OS 15.1R1.

  • Intervalo de preservação — RFC 4787, Network Address Translation (NAT) Behavioral Requirements for Unicast UDP, define duas faixas: 0 a 1023 e 1024 a 65.535. Quando o preserve-range botão está configurado e a porta de entrada cai em uma dessas faixas, a CGN aloca apenas uma porta dessa faixa. No entanto, se não houver nenhuma porta disponível na faixa, a solicitação de alocação de porta falha e essa sessão não for criada. A falha se reflete em contadores e registro de sistema, mas nenhuma mensagem do Protocolo de Mensagem de Controle de Internet (ICMP) é gerada. Se esse botão não estiver configurado, a alocação será baseada na faixa de porta configurada sem considerar a faixa de porta que contém a porta de entrada. A exceção são alguns gateways de nível de aplicativo (ALGs), como o Hello, que têm zonas especiais.

  • Proteja a paridade — quando o botão estiver configurado, o preserve-parity CGN aloca uma porta com a mesma paridade uniforme ou estranha que a porta de entrada. Se o número de porta de entrada for estranho ou mesmo, o número de porta de saída deve ser correspondentemente estranho ou mesmo. Se um número de porta da paridade desejada não estiver disponível, a solicitação de alocação de portas falhar, a sessão não for criada e o pacote for desativado.

Especificação de prefixos de destino e origem sem configurar um pool

Você pode especificar diretamente o prefixo de destino ou origem usado no NAT sem configurar um pool.

Para configurar as informações, inclua a rule declaração no nível de [edit services nat] hierarquia:

Visão geral das regras de tradução de endereços de rede

Para configurar uma regra de NAT, inclua a rule rule-name declaração no nível de [edit services nat] hierarquia:

Cada regra deve incluir uma match-direction declaração que especifica a direção em que a correspondência é aplicada.

Nota:

Os roteadores da Série ACX oferecem suporte apenas input como a direção da partida.

Além disso, cada regra de NAT consiste em um conjunto de termos, semelhante a um filtro de firewall. Um termo consiste no seguinte:

  • from declaração — especifica as condições e os aplicativos de correspondência que estão incluídos e excluídos.

  • then declaração — especifica as ações e modificadores de ação a serem realizadas pelo software do roteador.

As seções a seguir explicam como os componentes das regras de NAT:

Configuração de direção de correspondência para regras de NAT

Cada regra deve incluir uma match-direction declaração que especifica a direção em que a correspondência é aplicada. Para configurar onde a correspondência é aplicada, inclua a match-direction declaração no nível de [edit services nat rule rule-name] hierarquia:

A direção de correspondência é usada em relação ao fluxo de tráfego por meio do DPC multisserviços e PICs multisserviços. Quando um pacote é enviado para o PIC, as informações de direção são levadas junto com ele. A direção do pacote é determinada com base nos seguintes critérios:

  • Com um conjunto de serviços de interface, a direção do pacote é determinada por se um pacote está entrando ou deixando a interface em que o conjunto de serviços é aplicado.

  • Com um conjunto de serviços de próximo salto, a direção de pacotes é determinada pela interface usada para encaminhar o pacote para o DPC multisserviços ou PIC de multisserviços. Se a interface interna for usada para rotear o pacote, a direção do pacote é a entrada. Se a interface externa for usada para direcionar o pacote para o PIC ou DPC, a direção do pacote é a saída. Para obter mais informações sobre interfaces internas e externas, consulte Configurando conjuntos de serviços a serem aplicados às interfaces de serviços.

  • No DPC multisserviços e multisserviços PIC, uma busca por fluxo é realizada. Se nenhum fluxo for encontrado, o processamento de regras é realizado. Todas as regras do conjunto de serviços são consideradas. Durante o processamento de regras, a direção do pacote é comparada com as instruções de regra. Considera-se apenas regras com informações de direção que correspondam à direção do pacote.

Configuração de condições de correspondência nas regras do NAT

Para configurar as condições de correspondência de NAT, inclua a from declaração no nível de [edit services nat rule rule-name term term-name] hierarquia:

Para configurar o NAT tradicional, você pode usar o endereço de destino, uma variedade de endereços de destino, o endereço de origem ou uma variedade de endereços de origem como condição de correspondência, da mesma forma que configuraria um filtro de firewall; para obter mais informações, veja as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego.

Alternativamente, você pode especificar uma lista de prefixos de origem ou destino, incluindo a prefix-list declaração no nível de [edit policy-options] hierarquia e, em seguida, incluindo a declaração ou source-prefix-list a destination-prefix-list regra nat. Por exemplo, veja Exemplos: Configuração de regras de firewall stateful.

Se a translation-type declaração na then declaração da regra nat estiver definida, stateful-nat-64o intervalo especificado pela destination-address-range declaração ou destination-prefix-list na from declaração deve estar dentro do intervalo especificado pela destination-prefix declaração na then declaração.

Se pelo menos um termo NAT dentro de uma regra NAT tiver a funcionalidade de agrupamento de endereços pareado (APP) habilitada (incluindo a address-pooling declaração no [edit services nat rule rule-name term term-name then translated] nível de hierarquia, todos os outros termos na regra NAT que usam o mesmo pool de endereços NAT que o pool de endereços para o termo com APP habilitado devem ter o APP habilitado. Caso contrário, se você adicionar um termo de regra de NAT sem habilitar o APP a uma regra que contenha outros termos com APP habilitado, todos os termos com APP habilitado em uma regra de NAT descartam fluxos de tráfego que correspondam aos critérios especificados na regra nat.

Para roteadores da Série MX com MS-MICs e MS-MPCs, embora a funcionalidade de agrupamento de endereços pareado (APP) seja habilitada dentro de uma regra NAT (incluindo a address-pooling declaração no [edit services nat rule rule-name term term-name then translated] nível hierárquica), é uma característica de um pool de NAT. Esse grupo de NAT para o qual o APP está habilitado não pode ser compartilhado com regras de NAT que não tenham o APP configurado.

Ao configurar o NAT, se algum tráfego estiver destinado aos seguintes endereços e não corresponder a um fluxo de NAT ou regra NAT, o tráfego será descartado:

  • Endereços especificados na declaração quando você estiver usando a from destination-address tradução de destino

  • Endereços especificados no pool de NAT de origem quando você estiver usando a tradução de origem

Configuração de ações em regras de NAT

Para configurar ações de NAT, inclua a then declaração no nível de [edit services nat rule rule-name term term-name] hierarquia:

  • A no-translation declaração permite especificar endereços que você deseja excluir do NAT.

    A no-translation declaração é apoiada em roteadores da série MX com MS-DPCs e roteadores da Série M com PICS ms-100, MS-400 e MS-500 multiservices. A no-translation declaração é apoiada em roteadores da série MX com MS-MPCs e MS-MICs a partir do lançamento do Junos OS 15.1R1.

  • A system log declaração permite que você registre um alerta na instalação de registro do sistema.

  • As destination-pool, e source-pooldestination-prefixsource-prefix as declarações especificam as informações de endereço que você define, incluindo a pool declaração no nível da [edit services nat] hierarquia; para obter mais informações, veja Configurando grupos de endereços e portas para a visão geral da tradução de endereços de rede.

  • A translation-type declaração especifica o tipo de NAT usado para tráfego de origem ou destino. As opções sãobasic-nat-pt, , basic-nat44, basic-nat66, dnat-44, dynamic-nat44, napt-44, napt-66, , napt-pt, stateful-nat464e twice-napt-44stateful-nat64twice-basic-nat-44 twice-dynamic-nat-44.

Nota:

Na Versão 13.2 do Junos OS e anteriores, a seguinte restrição não foi aplicada pela CLI: se a translation-type declaração na then declaração de uma regra de NAT foi definida, stateful-nat-64o intervalo especificado pela destination-address-range declaração ou destination-prefix-list na from declaração precisava estar dentro do intervalo especificado pela destination-prefix declaração na then declaração. A partir do Junos OS Release 13.3R1, essa restrição é aplicada.

Configuração de tipos de tradução

Os detalhes de implementação das nove opções da declaração são os translation-type seguintes:

  • basic-nat44— Essa opção implementa a tradução estática de endereços IP de origem sem mapeamento de portas. Você deve configurar a from source-address declaração na condição de correspondência para a regra. O tamanho da faixa de endereço especificada na declaração deve ser o mesmo que ou menor que o pool de origem. Você deve especificar um pool de origem ou um prefixo de destino. O pool mencionado pode conter vários endereços, mas você não pode especificar portas para tradução.

    Nota:

    Em um conjunto de serviços de interface, todos os pacotes destinados ao endereço de origem especificado na condição de correspondência são automaticamente roteados para os serviços PIC, mesmo que nenhum conjunto de serviços esteja associado à interface.
    Nota:

    Antes do Junos OS Release 11.4R3, você só poderia usar um pool de NAT de origem em um único conjunto de serviços. A partir do Junos OS Release 11.4R3 e versões subsequentes, você pode reutilizar um pool de NAT de origem em vários conjuntos de serviços.

  • basic-nat66— Essa opção implementa a tradução estática de endereços IP de origem sem mapeamento de portas em redes IPv6. A configuração é semelhante à basic-nat44 implementação, mas com endereços IPv6.

    A opção basic-nat66 não estará disponível se você estiver usando MS-MPCs ou MS-MICs.

  • basic-nat-pt— Essa opção implementa a tradução de endereços de hosts IPv6, pois eles originam sessões para os hosts IPv4 em um domínio externo e vice-versa. Essa opção é sempre implementada com DNS ALG. Você deve definir os pools de origem e destino dos endereços IPv4. Você deve configurar uma regra e definir dois termos. Configure os endereços IPv6 na from declaração em ambas as term declarações. then Na declaração do primeiro termo dentro da regra, consulte os pools de origem e destino e configure dns-alg-prefix. Configure o prefixo de origem na then declaração do segundo termo dentro da mesma regra.

    A opção basic-nat-pt não estará disponível se você estiver usando MS-MPCs ou MS-MICs.

  • deterministic-napt44— Essa opção implementa a alocação baseada em algoritmos de blocos de portas de destino e endereço IP. Isso garante que um endereço IP de entrada (fonte) e uma porta sempre mapeiem para o mesmo endereço IP e porta de destino, eliminando assim a necessidade do registro de tradução de endereços. Quando você usa deterministic-napt44, você também deve usar deterministic-port-block-allocation no nível de [edit services nat pool poolname port] hierarquia.

    A opção deterministic-napt44 é suportada em roteadores da série MX com MS-DPCs e roteadores da Série M com PICS ms-100, MS-400 e MS-500 multiservices. A opção deterministic-napt44 se você estiver usando roteadores da Série MX com MS-MPCs ou MS-MICs é suportada apenas no junos OS versão 14.2R7 e posteriores 14.2 versões e versão 15.1R3 e posteriores 15.1.

  • dnat-44— Essa opção implementa a tradução estática de endereços IP de destino sem mapeamento de portas. O tamanho do espaço de endereço da piscina deve ser maior ou igual ao espaço do endereço de destino. Você deve especificar um nome para a destination pool declaração. O pool referenciado pode conter vários endereços, intervalos ou prefixos, desde que o número de endereços NAT no pool seja maior do que o número de endereços de destino na from declaração. Você deve incluir exatamente um destination-address valor no nível de [edit services nat rule rule-name term term-name from] hierarquia; se for um prefixo, o tamanho deve ser menor ou igual ao tamanho do prefixo do pool. Quaisquer endereços no pool que não sejam compatíveis com o valor permanecem não usados, pois um pool não pode ser compartilhado entre vários termos ou regras.

  • dynamic-nat44— Essa opção implementa a tradução dinâmica de endereços IP de origem sem mapeamento de portas. Você deve especificar um source-pool. O pool mencionado deve incluir uma configuração address (para tradução somente de endereço).

    A opção dynamic-nat44 somente para endereços oferece suporte para traduzir até 16.777.216 endereços para um pool de tamanho menor. As solicitações da faixa de endereço de origem são atribuídas aos endereços no pool até que o pool seja usado, e quaisquer solicitações adicionais são recusadas. Um endereço NAT atribuído a um host é usado para todas as sessões simultâneas daquele host. O endereço só é liberado no pool após o término de todas as sessões para esse host. Esse recurso permite que o roteador compartilhe alguns endereços IP públicos entre vários hosts privados. Como todos os hosts privados podem não criar sessões simultaneamente, eles podem compartilhar alguns endereços IP públicos.

  • napt-44— Essa opção implementa a tradução dinâmica de endereços IP de origem com mapeamento de portas. Você deve especificar um nome para a source-pool declaração. O pool mencionado deve incluir uma port configuração. Se a porta estiver configurada como automática ou uma faixa de porta for especificada, isso implica que a tradução de porta de endereço de rede (NAPT) seja usada.

  • napt-66— Essa opção implementa a tradução dinâmica de endereços IP de origem com mapeamento de portas para endereços IPv6. A configuração é semelhante à napt-44 implementação, mas com endereços IPv6.

    A opção napt-66 não estará disponível se você estiver usando MS-MPCs ou MS-MICs.

  • napt-pt— Essa opção implementa a tradução dinâmica de endereços e portas para tradução estática e de origem do endereço IP de destino. Você deve especificar um nome para a source-pool declaração. O pool referenciado deve incluir uma configuração de porta (para NAPT). Além disso, você deve configurar duas regras, uma para o tráfego DNS e outra para o resto do tráfego. A regra destinada ao tráfego de DNS deve ser habilitada para DNS ALG e a dns-alg-prefix declaração deve ser configurada. Além disso, o prefixo configurado na dns-alg-prefix declaração deve ser usado na segunda regra para traduzir os endereços IPv6 de destino para endereços IPv4.

    A opção napt-pt não estará disponível se você estiver usando MS-MPCs ou MS-MICs.

  • stateful-nat464— Essa opção implementa a tradução de endereços 464XLAT Provider-Side Translater (PLAT) para endereços IP de origem e tradução de remoção de prefixo IPv6 para endereços IPv4 de destino. Você deve especificar os endereços IPv4 usados para tradução no nível de hierarquia [editar serviços nat pool]. Esse pool deve ser mencionado na regra que traduz os endereços IPv6 para IPv4.

    A opção stateful-nat464 só estará disponível se você estiver usando MS-MPCs ou MS-MICs e tiver suporte a partir do Junos OS Release 17.1R1.

  • stateful-nat64— Essa opção implementa a tradução dinâmica de endereços e portas para endereços IP de origem e tradução de remoção de prefixo para endereços IP de destino. Você deve especificar os endereços IPv4 usados para tradução no nível de [edit services nat pool] hierarquia. Esse pool deve ser mencionado na regra que traduz os endereços IPv6 para IPv4.

  • twice-basic-nat-44— Essa opção implementa a tradução estática de origem e destino estático para endereços IPv4, combinando basic-nat44 assim para endereços de origem e dnat-44 destino.

    A opção twice-basic-nat-44 é compatível com MS-DPCs e MS-100, MS-400 e MS-500 MultiServices PICS. A opção twice-basic-nat-44 é compatível com MS-MPCs e MS-MICs a partir do Junos OS Release 15.1R1.

  • twice-dynamic-nat-44— Essa opção implementa a tradução estática de origem dinâmica e de destino para endereços IPv4, combinando dynamic-nat44 para endereços de origem e dnat-44 destino.

    A opção twice-dynamic-nat-44 é compatível com MS-DPCs e MS-100, MS-400 e MS-500 MultiServices PICS. A opção twice-dynamic-nat-44 é compatível com MS-MPCs e MS-MICs a partir do Junos OS Release 15.1R1.

  • twice-napt-44— Essa opção implementa o NAPT de origem e a tradução estática de destino para endereços IPv4, combinando napt-44 para endereços de origem e dnat-44 destino.

    A opção twice-napt-44 é compatível com MS-DPCs e MS-100, MS-400 e MS-500 MultiServices PICS. A opção twice-napt-44 é compatível com MS-MPCs e MS-MICs a partir do Junos OS Release 15.1R1.

Para obter mais informações sobre os métodos NAT, consulte RFC 2663, Tradutor de endereços de rede IP (NAT) E considerações.

Configuração das regras de NAT para a passagem de IPsec para peers não-NAT-T

Antes do lançamento do Junos OS 17.4R1, o Network Address Translation-Traversal (NAT-T) não é compatível com o pacote Junos VPN Site Secure de recursos IPsec nos roteadores da Série MX. A partir do Junos OS Release 14.2R7, 15.1R5, 16.1R2 e 17.1R1, você pode passar pacotes IKEv1 e IPsec pelas regras NAPT-44 e NAT64 entre pares IPsec que não estão em conformidade com o NAT-T. Apenas o modo de túnel ESP é suportado. Esse recurso é suportado apenas em MS-MPCs e MS-MICs.

Para configurar as regras de NAT para aprovação IPsec para NAPT-44 ou NAT64:

  1. Configure um aplicativo IKE ALG. Veja configuração das propriedades do aplicativo.

  2. Adicione o aplicativo a um conjunto de aplicativos. Veja configuração de conjuntos de aplicativos.

  3. Configure um pool de NAT. Veja a configuração de grupos de endereços e portas para a visão geral da tradução de endereços de rede.

  4. Configure a regra do NAT:

    1. Configure uma direção de correspondência para a regra. Veja configuração da direção de correspondência para as regras do NAT.

    2. Configure uma das condições correspondentes para ser o conjunto de aplicativos para a passagem de IKE e IPsec que você configurou na Etapa 2.

    3. Configure outras condições de correspondência. Veja configuração das condições de correspondência nas regras do NAT.

    4. Configure o tipo de tradução como NAPT-44 ou NAT64.

    5. Configure outras ações de NAT. Veja a configuração de ações nas regras do NAT.

  5. Atribua a regra de NAT a um conjunto de serviços.

Veja também

Proteção de dispositivos CGN contra ataques de negação de serviço (DOS)

Agora, você pode escolher opções de configuração que ajudam a evitar ou minimizar o efeito de tentativas de ataques de negação de serviço (DOS).

Mapeamento do comportamento de atualização

Antes da implementação das novas opções para configurar o comportamento de atualização de mapeamento de NAT, descrito neste tópico, uma conversa foi mantida viva quando os fluxos de entrada ou saída estavam ativos. Esse continua sendo o comportamento padrão. Agora você também pode especificar a atualização de mapeamento para apenas fluxos de entrada ou apenas fluxos de saída. Para configurar o comportamento de atualização do mapeamento, inclua a mapping-refresh (inbound | outbound | inbound-outbound) declaração no nível de [edit services nat rule rule-name term term-name then translated secure-nat-mapping] hierarquia.

Limite de fluxo de entrada EIF

Anteriormente. o número de conexões de entrada em um mapeamento EIF foi limitado apenas pelos fluxos máximos permitidos no sistema. Agora, você pode configurar o número de fluxos de entrada permitidos para um EIF. Para limitar o número de conexões de entrada em um mapeamento EIF, inclua a eif-flow-limit number-of-flows declaração no nível de [edit services nat rule rule-name term term-name then translated secure-nat-mapping] hierarquia.

Implementação de NAT de nível de operadora: melhores práticas

Os tópicos a seguir apresentam as melhores práticas para implementação de NAT de nível de operadora:

Use a alocação de endereços round-robin ao usar o APP com o MS-DPC

Melhores práticas:

Se você estiver usando um MS-DPC e configurar o agrupamento de endereços em pares (APP) em uma regra de NAT, você deve usar a alocação de endereços redondos para o pool de NAT.

O recurso app mapeia um endereço IP privado para o mesmo endereço IP público em um pool de NAT para todas as sessões de NAT para esse endereço IP privado.

A alocação sequencial de endereços para grupos NAT é o padrão no MS-DPC e aloca todas as portas para um endereço IP público antes de atribuir o próximo endereço IP. A alocação sequencial, juntamente com o APP, pode resultar no mapeamento de vários hosts privados para o mesmo endereço IP público, resultando em esgotamento rápido de portas para um endereço IP público, enquanto outras portas ainda estão disponíveis nos endereços IP restantes no pool de NAT.

A alocação redonda, por outro lado, atribui o próximo endereço IP no pool de NAT ao próximo endereço IP privado que precisa de tradução, reduzindo a chance de que todas as portas para um endereço IP público estejam esgotadas.

Para obter mais informações sobre a alocação de endereços APP e round-robin, veja a configuração de grupos de endereços para a visão geral da porta de endereço de rede (NAPT).

Nota:

O MS-MPC e o MS-MIC utilizam apenas a alocação de rodízio.

O exemplo a seguir mostra a alocação de endereços redondos.

Use o recurso EIM apenas quando necessário

Melhores práticas:

Não use mapeamento independente de endpoint (EIM) em termos de regra de NAT que incluam Junos ALGs. O EIM atribui o mesmo endereço e porta NAT externos para uma sessão específica de um host privado, mas adiciona sobrecarga de processamento. O EIM não oferece nenhum benefício para nenhum dos Junos ALGs, que já utilizam a funcionalidade usada pela EIM.
Melhores práticas:

Habilite o EIM para aplicativos que reutilizam as portas de origem e contam com um dispositivo CGNAT para manter o mesmo mapeamento de endereços e portas para todo o tráfego enviado para destinos diferentes. Por exemplo, use o EIM para aplicativos de jogos de console, como Xbox e PS4 ou aplicativos que usam métodos unilaterais de correção de endereços autônomos (UNSAF). Veja (considerações IETF RFC 3424 IAB para fixação unilateral de endereços autônomos (UNSAF) em toda a tradução de endereços de rede).

Para obter mais informações sobre o EIM, veja a configuração de grupos de endereços para a visão geral da porta de endereço de rede (NAPT).

O exemplo a seguir usa o Junos SIP ALG na regra NAT para que o EIM não seja usado.

Definir tamanhos de blocos de alocação de blocos de porta com base no número esperado de sessões de usuários

Melhores práticas:

Para alocação segura de blocos de porta e alocação determinística de blocos de porta, defina um tamanho de bloco de alocação de blocos de porta 2 a 4 vezes maior do que o número médio esperado de sessões ativas para um usuário. Por exemplo, se espera-se que o usuário tenha uma média de aproximadamente 200 a 250 sessões de NAT ativas, configurar o tamanho do bloco para 512 ou 1024 fornece uma alocação liberal.
Melhores práticas:

Se você estiver implementando a alocação segura de blocos de porta usando a Série MX como um dispositivo NAT e não tiver certeza do seu perfil de usuário assinante e do perfil de tráfego, defina o tamanho do bloco de porta para 1024 se tiver endereços IP NAT suficientes para lidar com o número máximo estimado de assinantes privados. O número de endereços IP NAT vezes 62 dá a você o número de assinantes privados que podem ser tratados com um bloco de porta do tamanho de 1024 (há 62 blocos por endereço IP). Em seguida, monitore de perto o roteador da Série MX usando o show services nat pool detail comando para determinar se o tamanho do bloco precisa ser alterado.
Melhores práticas:

Tenha cuidado para não tornar o tamanho do bloco muito grande se o número de endereços IP que você pode alocar no pool de NAT for limitado. Criar um tamanho de bloco de porta que seja grande o suficiente para atribuir os blocos de forma eficiente aos seus assinantes pode fazer com que todos os blocos de porta sejam amarrados.

A alocação segura de blocos de porta aloca blocos de portas para um determinado usuário para NAT44 ou NAT64. A alocação segura de blocos de porta limita o número de mensagens de syslog gerando apenas um syslog por bloco de portas.

No entanto, a configuração incorreta do tamanho do bloco pode levar a um uso ineficiente de recursos de NAT ou a problemas de desempenho. Por exemplo, quando um usuário se conecta a um site que requer a criação de um número significativo de tomadas para uma única página HTML, um número correspondente de novas portas deve ser alocado. O tamanho do bloco de porta deve ser grande o suficiente para evitar a alocação contínua de novos blocos. Se o número de sessões simultâneas para um assinante privado exceder o número de portas disponíveis no bloco de porta ativo, os outros blocos de porta alocados ao assinante serão digitalizados para que as portas disponíveis sejam usadas ou um novo bloco seja alocado no pool de blocos gratuito para o assinante. A digitalização de blocos de porta alocados e a alocação de blocos adicionais podem resultar em atrasos na configuração de novas sessões e no carregamento de páginas web.

Para obter mais informações sobre a alocação de blocos de porta, consulte Configurando a alocação segura de blocos de porta e configurando o NAPT determinístico.

O exemplo a seguir define o tamanho do bloco de porta para 1024.

Considerações ao alterar a configuração de alocação de blocos de porta em sistemas em execução

Melhores práticas:

Antes de alterar a alocação segura de blocos de porta ou a configuração determinística de blocos de porta em um sistema em execução ao usar um MS-MPC ou MS-MIC, planeje uma interrupção rápida nas sessões de NAT. A mudança na configuração resulta na recriação de todas as sessões de NAT atuais.
Melhores práticas:

Antes de alterar a configuração de alocação de blocos de porta em um sistema em execução ao usar um MS-DPC, planeje uma interrupção dos serviços. Após alterar a configuração, você deve reiniciar o MS-DPC ou, se isso não for possível, você deve desativar e reativar o conjunto de serviços.

As alterações na configuração de alocação de blocos de porta incluem:

  • Alterando qualquer configuração de PBA do pool de NAT.

  • Alterar um pool de NAT PBA para um pool NAT não PBA.

  • Alterar um pool de NAT não-PBA para um pool de NAT PBA.

Para obter mais informações sobre a configuração da alocação de blocos de porta, consulte Configurando a alocação segura de blocos de porta e configurando o NAPT determinístico.

Não alocar grupos de NAT que são maiores do que o necessário

MS-MPC e MS-MIC

Melhores práticas:

Ao usar o NAPT44 como tipo de tradução com o MS-MIC ou MS-MPC, não configure grupos de NAT maiores do que o necessário para a taxa de sessão de pico, o que vincularia valiosos recursos IPv4. Cada conversa, também conhecida como sessão, inclui dois fluxos — um fluxo de entrada e saída. Cada conversa requer uma porta e cada endereço IP no pool tem uma faixa de porta 1024-65535 (64K), de modo que o tamanho do pool de NAT não precisa ser maior do que:

número máximo de conversas /64K
Melhores práticas:

Ao usar o NAPT44 como tipo de tradução com o MS-MIC, recomendamos um tamanho máximo de pool de NAT de 128 endereços (uma rede /25).
Melhores práticas:

Ao usar o NAPT44 como seu tipo de tradução com o MS-MPC, recomendamos um tamanho máximo de pool de NAT de 256 endereços (uma rede /24).

O tamanho máximo recomendado de grupo de NAT ao usar o NAPT-44 para um MS-MIC é de 128 endereços IP porque o MS-MIC oferece suporte a um máximo de 14 milhões de fluxos, ou 7 milhões de conversas, que exigem 7 milhões de portas. Um total de 7 milhões de portas estão disponíveis com 128 endereços IP, com cada endereço IP tendo uma faixa de portas de 1024-65535.

O tamanho máximo de pool de NAT recomendado para cada slot em um MS-MPC ao usar o NAPT-44 é de 256 endereços IP porque cada slot suporta um máximo de 30 milhões de fluxos, ou 15 milhões de conversas, que exigem 15 milhões de portas. Um total de 15 milhões de portas estão disponíveis com 256 endereços IP, com cada endereço IP tendo uma faixa de portas de 1024-65535.

Você pode usar pools maiores do que os valores recomendados, e pode esperar que as configurações que usam o recurso de alocação de blocos de porta (PBA) exijam pools maiores. Isso porque o PBA atribui blocos de portas a endereços IP privados, o que muda o modelo de eficiência do pool.

Para obter mais informações sobre a configuração de grupos NAT, consulte Configurando pools de endereços e portas para visão geral da tradução de endereços de rede.

MS-DPC

Melhores práticas:

Ao usar o NAPT44 como tipo de tradução com o MS-DPC, não configure grupos de NAT maiores do que o necessário para a taxa de fluxo máxima, o que vincularia valiosos recursos IPv4. Cada conversa inclui dois fluxos (1 fluxo reverso para cada fluxo futuro). Cada conversa requer uma porta e cada endereço IP no pool tem uma faixa de porta 1024-65535 (64K), de modo que o tamanho do pool de NAT não precisa ser maior do que:

número máximo de conversas /64K
Melhores práticas:

Ao usar o NAPT44 como tipo de tradução com o MS-DPC, não configure grupos de NAT com mais de 64 endereços (uma rede /26).

O tamanho máximo do pool de NAT para um MS-DPC é de 64 endereços IP porque o MS-DPC oferece suporte a um máximo de 8 milhões de fluxos, ou 4 milhões de conversas, o que requer um máximo de 4 milhões de portas. Um total de 4 milhões de portas estão disponíveis com 64 endereços IP, com cada endereço IP tendo uma faixa de portas de 1024-65535. Se APP, EIM e EIF estiverem habilitados, o MS-DPC oferece suporte a um máximo de 5,8 milhões de fluxos, ou 2,9 milhões de conversas, de modo que o tamanho máximo do pool de NAT seria menor.

Para obter mais informações sobre a configuração de grupos NAT, consulte Configurando pools de endereços e portas para visão geral da tradução de endereços de rede.

Configure o registro do sistema apenas para NAT quando necessário

Melhores práticas:

Não habilite o registro do sistema por sessão para configurações seguras de alocação de blocos de porta.
Melhores práticas:

Não habilite o registro do sistema para configurações de NAT determinísticas.
Melhores práticas:

Habilite o registro do sistema no nível de conjunto de serviços e não no nível da interface de serviços quando possível.
Melhores práticas:

Nas redes de produção, envie sempre as mensagens de log para um servidor de log externo do sistema. Isso evita adicionar carga de CPU ao mecanismo de roteamento, que ocorre quando as mensagens são registradas localmente.
Melhores práticas:

Especifique a classe de log do sistema para restringir o registro à classe de aplicativos em que você está interessado.
Melhores práticas:

Se você configurar o registro do sistema dentro de um termo de regra de NAT, use uma regra de firewall stateful para restringir o tráfego que atinge o termo de regra nat.

As mensagens de log do sistema podem afetar negativamente o desempenho da placa de serviços, dependendo da frequência de criação e exclusão das sessões. Todas as mensagens de log do sistema criadas pela placa de serviços exigem processamento de CPU no cartão de serviços, e as próprias mensagens de log do sistema constituem tráfego que é enviado por todo o roteador da Série MX e compete com o tráfego do usuário para alcançar o servidor de log externo.

A alocação segura de blocos de porta remove a necessidade de configurar logs por sessão, porque você conhece o tamanho do bloco e do bloco e pode obter as portas alocadas para cada usuário.

O NAT determinístico remove a necessidade de fazer login, pois todas as informações sobre alocação de portas podem ser deduzidas matematicamente.

O exemplo a seguir restringe o registro em eventos NAT e envia mensagens de log para o servidor de log externo 203.0.113.4

Quando você configura o registro do sistema dentro de um termo de regra nat, todo o tráfego que entra no termo de regra NAT gera um log, o que pode causar registro excessivo. Isso pode resultar no limite da taxa de registro sendo alcançado, e você perderia logs de que precisa.

Para obter mais informações sobre a configuração do registro do sistema para NAT, consulte Configurando logs de sessão de NAT.

Limite o impacto de fragmentos de IP ausentes

Melhores práticas:

Para a interface de serviços configurada para NAT, limite o impacto de fragmentos ausentes ou atrasados configurando o seguinte:

  • Número máximo de fragmentos para um pacote

  • Tempo máximo de espera por um fragmento ausente

Os fragmentos de IP recebidos pela placa de serviços configurada para NAT são buffered à medida que chegam. Isso permite uma verificação de integridade do pacote completamente remontado antes que o pacote seja processado pelo NAT. Fragmentos ausentes ou atrasados podem fazer com que os fragmentos já recebidos sejam mantidos até que o buffer interno esteja cheio e eles sejam liberados, resultando em sobrecarga de uso de CPU e encaminhamento de tráfego reduzido.

Configurar o número máximo de fragmentos que um pacote pode ter e limitar o tempo de espera por um fragmento ausente reduz a chance de o buffer interno ficar cheio.

O exemplo a seguir define o número máximo de fragmentos para 10 e o tempo máximo de espera para 3 segundos.

Não use configurações propensas a loops de roteamento de pacotes

Melhores práticas:

Evite loops de roteamento de pacotes, garantindo que apenas o tráfego pretendido possa chegar à placa de serviços e ser processado pela regra NAT do conjunto de serviços. Você pode fazer isso:

  • Configurando um intervalo de endereço de origem sob a regra NAT quando possível.

  • Configuração de um filtro de firewall que aceita apenas o tráfego destinado a ser atendido pela regra NAT em um conjunto de serviços no estilo next-hop.

O looping de pacotes entre o Mecanismo de encaminhamento de pacotes e a placa de serviços resulta em uma alta utilização persistente de CPU na placa de serviços. O looping de pacotes pode ser causado pelo cartão de serviços que recebe tráfego de uma rede privada inesperada. Quando o tráfego inesperado é processado pelo NAT, um pinhole é criado, e no caso do EIF muitos pinholes podem ser criados. Esses pinholes causam loops de roteamento se o tráfego de retorno voltar pela placa de serviços.

O exemplo a seguir mostra um filtro de firewall que só permite que o tráfego a partir de 198.51.100.0/24 atinja a interface de serviços ms-1/0/0, que é a interface interna para um conjunto de serviços de próximo salto.

Para obter mais informações sobre a configuração de filtros de firewall, consulte as políticas de roteamento, filtros de firewall e o guia de usuário dos policiais de tráfego.

O exemplo a seguir mostra uma regra de NAT que processa apenas o tráfego a partir de 198.51.100.0/24 (outro tráfego chega à interface de serviços, mas não é processado).

Para obter mais informações sobre a configuração das regras de NAT, consulte a visão geral das regras de tradução de endereços de rede.

Tempo limite de inatividade

Melhores práticas:

Defina o tempo limite de inatividade apenas para aplicativos definidos pelo usuário que poderiam exigir que o mapeamento de sessão de NAT permaneça na memória por mais tempo do que o tempo de inatividade de NAT padrão de 30 segundos. Por exemplo, um aplicativo bancário HTTP ou HTTPS pode exigir mais de 30 segundos de inatividade porque o usuário deve inserir dados.
Melhores práticas:

Antes de fazer alterações nos tempoouts de inatividade existentes, execute os seguintes comandos várias vezes durante as horas de pico. Em seguida, execute os comandos após fazer as alterações e verifique se as mudanças não estão deixando de ser o roteador da Série MX de recursos de NAT ou a placa de serviços de memória.

O exemplo a seguir mostra o tempo limite de inatividade sendo definido para 1800 segundos para aplicativos HTTPS e HTTP.

Para obter mais informações sobre a configuração de aplicativos definidos pelo usuário, consulte Configurando propriedades de aplicativos.

Você precisa avaliar os riscos de definir tempoouts de alta inatividade para todo o tráfego. Embora o tempo de inatividade de NAT padrão de 30 segundos possa ser muito baixo para alguns aplicativos definidos pelo usuário, definir um valor de tempo limite muito alto pode vincular os recursos de NAT. Por exemplo, definir valores de tempo limite de inatividade elevados pode vincular qualquer sessão de TCP que esteja inativa apenas alguns minutos após sua criação. Se a sessão de TCP não for fechada de forma limpa por uma FIN ou RST pelo cliente ou servidor, a sessão ficará na memória e vinculará os recursos de NAT atribuídos a ele até que o valor do intervalo expira.

Definir maiores tempoouts de inatividade que impactam todas as portas UDP e TCP pode ser perigoso, especialmente com tráfego UDP como DNS. Ao contrário do TCP, o UDP não tem como terminar uma sessão além de cronometrar, então todas as sessões de UDP permaneceriam ativas pelo valor total do tempo de inatividade.

O exemplo a seguir não é uma configuração recomendada porque define altos valores de tempo limite de inatividade para todo o tráfego TCP e UDP.

Não temos valores específicos de tempo limite de inatividade recomendados. Os valores de tempo limite de inatividade adequados dependem de vários fatores, incluindo:

  • Quais aplicativos são usados na rede de um usuário final

    Por exemplo, a Apple afirmou que um tempo de inatividade de 60 minutos é necessário para os seguintes serviços Apple, que exigem uma longa vida útil de conexão:

    • Apple Push Services: porta TCP de entrada 5223

    • Exchange Active Sync: porta TCP de entrada 443

    • MobileMe: portas TCP de entrada 5222 e 5223

  • Como a solução NAT está sendo usada, por exemplo, como um dispositivo GI NAT ou como um roteador de borda empresarial

  • Quão grandes são seus pools de NAT

  • Quanto tráfego cada placa de serviço recebe durante as cargas de pico

  • Quanta memória você tem disponível

Habilite o despejo no controle de fluxo

Melhores práticas:

Habilite a opção de dump-on-flow-control para qualquer placa de serviço que esteja processando o tráfego NAT em uma rede de produção. Essa opção detecta quando uma placa de serviços é bloqueada, escreve um despejo de núcleo que a Juniper Networks pode analisar para determinar por que o cartão está bloqueado e recupera a placa de serviços reiniciando-a.

Para o MS-MIC e o MS-MPC, defina a opção de despejo no controle de fluxo sob a interface do pc, que é usada para enviar tráfego de controle do Mecanismo de Roteamento para a placa de serviços. O exemplo a seguir mostra a configuração se a interface de serviços for ms-2/1/0.

Para o MS-DPC, defina a opção de controle de despejo no fluxo sob a interface sp. O exemplo a seguir mostra a configuração se a interface de serviços for sp-2/1/0.

Veja também

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Lançamento
Descrição
17.1R1
A partir do Junos OS Release 14.2R7, 15.1R5, 16.1R2 e 17.1R1, você pode passar pacotes IKEv1 e IPsec pelas regras NAPT-44 e NAT64 entre pares IPsec que não estão em conformidade com o NAT-T.
16.1
A partir do Junos OS Release 16.1, a limit-ports-per-address declaração é compatível.
14.2
A partir do Junos OS Release 14.2, configure o pool de NAT da seguinte forma.