NESTA PÁGINA
Configuração de endereços de origem e destino Visão geral da Network Address Translation
Configuração de pools de endereços e portas para visão geral da Network Address Translation
Proteção de dispositivos CGN contra ataques de negação de serviço (DOS)
Implementação de NAT de nível de operadora: práticas recomendadas
Visão geral da configuração do NAT
Visão geral da configuração do Network Address Translation
Para configurar a Network Address Translation (NAT), conclua as seguintes etapas de alto nível:
- Configure os endereços de origem e destino. Para obter mais informações, consulte Configurando endereços de origem e destino Visão geral da Network Address Translation.
- Defina os endereços ou prefixos, intervalos de endereços e portas usadas para NAT. Para obter mais informações, consulte Configuração de pools de endereços e portas para visão geral da Network Address Translation
- Se aplicável, configure os pools de endereços para NAPT (tradução de porta de endereço de rede). Para obter mais informações, consulte Configurando pools de endereços para visão geral da NAPT (Network Address Port Translation).
- Configure as regras do NAT. Dentro das regras, inclua direções de correspondência, condições de correspondência, ações e tipos de conversão. Para obter mais informações, consulte Visão geral das regras de Network Address Translation.
- Configure conjuntos de serviços para processamento NAT. Dentro de cada conjunto de serviços, defina as interfaces para lidar com o tráfego de entrada e saída e uma regra ou conjunto de regras NAT. Para obter mais informações, consulte Configurando conjuntos de serviços para Network Address Translation.
Veja também
Configuração de endereços de origem e destino Visão geral da Network Address Translation
Você deve configurar um endereço específico, um prefixo ou os limites do intervalo de endereços:
Os seguintes endereços, embora válidos em
inet.0, não podem ser usados para tradução NAT:0.0.0.0/32
127.0.0.0/8 (loopback)
128.0.0.0/16 (marciano)
191.255.0.0/16 (marciano)
192.0.0.0/24 (marciano)
223.255.255.0/24 (marciano)
224.0.0.0/4 (multicast)
240.0.0.0/4 (reservado)
255.255.255.255 (broadcast)
Os endereços especificados como válidos na
inet.0tabela de roteamento e sem suporte para conversão de NAT sãoorlongertipos de filtro de correspondência. Você não pode especificar nenhuma região dentro desses prefixos de endereço em um pool NAT.Nos roteadores da Série MX com MS-MPCs e MS-MICs, se você configurar um pool de endereços NAT com um comprimento de prefixo igual ou maior que /16, o PIC não conterá memória suficiente para provisionar o pool configurado. Além disso, problemas de utilização de memória podem ocorrer se você tentar configurar muitos pools cujos endereços IP totais combinados excedam /16. Nessas circunstâncias, uma mensagem de log do sistema é gerada informando que o nome do pool NAT não foi criado e que o conjunto de serviços não está ativado. Em MS-MPCs e MS-MICs, você não deve configurar pools de NAT com comprimentos de prefixo maiores ou iguais a /16.
Você pode especificar um ou mais prefixos
poolde endereço IPv4 na instrução e nafromcláusula do termo de regra NAT. Isso permite que você configure a tradução de origem de uma sub-rede privada para uma sub-rede pública sem definir um termo de regra para cada endereço na sub-rede. A tradução de destino não pode ser configurada por esse método. Para obter mais informações, consulte Exemplos: Configuração de regras NAT.Quando você configura o NAT de origem estática, o tamanho do prefixo
addressconfigurado no nível da[edit services nat pool pool-name]hierarquia deve ser maior do que o intervalo de prefixosource-addressconfigurado no nível da[edit services nat rule rule-name term term-name from]hierarquia. Osource-addressintervalo de prefixo também deve ser mapeadopoolpara uma única sub-rede ou intervalo de endereços IPv4 ou IPv6 na instrução. Todos os endereços de pool que não são usados pelo intervalo de prefixosource-addresssão deixados sem uso. Os pools não podem ser compartilhados.Quando você configura um tamanho de prefixo do pool de endereços NAT com a
addressdeclaração no nível deedit services nat pool nat-pool-name[] hierarquia, a sub-rede e os endereços de broadcast não são incluídos na lista de endereços IP utilizáveis. Por exemplo, se você usaraddress 10.11.12.0/28em um pool NAT, os endereços 10.11.12.0 (endereço de sub-rede) e 10.11.12.15 (endereço de broadcast) não estarão disponíveis.
Quando você inclui uma configuração de NAT que altera endereços IP, isso pode afetar os recursos de caminho de encaminhamento em outro lugar da configuração do roteador, como uso de classe de origem (SCU), uso de classe de destino (DCU), encaminhamento baseado em filtro ou outros recursos direcionados a endereços IP ou prefixos específicos.
A configuração do NAT também pode afetar a operação do protocolo de roteamento, porque os endereços de emparelhamento, vizinhos e interface do protocolo podem ser alterados quando os pacotes de protocolos de roteamento transitam pelos Serviços Adaptativos (AS) ou PIC Multisserviços.
Veja também
Configuração de pools de endereços e portas para visão geral da Network Address Translation
- Configuração de pools NAT
- Preservar intervalo e preservar paridade
- Especificando prefixos de destino e de origem sem configurar um pool
Configuração de pools NAT
Você pode usar a pool instrução para definir os endereços (ou prefixos), intervalos de endereços e portas usadas para Network Address Translation (NAT). Para configurar as informações, inclua a pool declaração no nível da [edit services nat] hierarquia.
A partir do Junos OS Release 14.2, configure o pool NAT da seguinte maneira. A partir do Junos OS Release 16.1, há suporte para a limit-ports-per-address declaração.
[edit services nat] pool nat-pool-name { address ip-prefix</prefix-length>; address-range low minimum-value high maximum-value; limit-ports-per-address number; port { automatic (sequential | random-allocation); range low minimum-value high maximum-value random-allocation; preserve-parity; preserve-range { } }
No Junos OS versão 14.1 e anteriores, configure o pool NAT da seguinte maneira:
[edit services nat] pool nat-pool-name { address ip-prefix</prefix-length>; address-range low minimum-value high maximum-value; port (automatic | range low minimum-value high maximum-value); preserve-parity; preserve-range { } }
Para configurar pools para NAT tradicional, especifique um pool de destino ou um pool de origem.
Com o NAT de origem estática e o NAT de origem dinâmica, você pode especificar vários endereços IPv4 (ou prefixos) e intervalos de endereços IPv4. Até 32 prefixos ou intervalos de endereços (ou uma combinação) podem ser suportados em um único pool.
Com o NAT de destino estático, você também pode especificar vários prefixos de endereços e intervalos de endereços em um único termo. Vários termos NAT de destino podem compartilhar um pool de NAT de destino. No entanto, a máscara de rede ou o intervalo do from endereço deve ser menor ou igual à máscara de rede ou ao intervalo do endereço do pool de destino. Se você definir o pool para ser maior do que o necessário, alguns endereços não serão usados. Por exemplo, se você definir o tamanho do pool como 100 endereços e a regra especificar apenas 80 endereços, os últimos 20 endereços do pool não serão usados.
Para obter restrições sobre tipos de tradução específicos, consulte Visão geral das regras de Network Address Translation.
Com o NAT estático de origem, os prefixos e intervalos de endereços não podem se sobrepor entre pools separados.
Em um intervalo de endereços, o low valor deve ser um número menor que o high valor. Quando vários intervalos de endereços e prefixos são configurados, os prefixos são esgotados primeiro, seguidos pelos intervalos de endereços.
Quando você especifica uma porta para o NAT de origem dinâmica, os intervalos de endereços são limitados a um máximo de 65.000 endereços, para um total de (65.000 x 65.535) ou 4.259.775.000 fluxos. Um pool NAT dinâmico sem tradução de porta de endereço oferece suporte a até 65.535 endereços. Não há limite para o tamanho do pool para NAT de origem estática.
Preservar intervalo e preservar paridade
Você pode configurar seu NAT (CGN) de nível de operadora para preservar o intervalo ou a paridade da porta de origem do pacote ao alocar uma porta de origem para uma conexão de saída. Você pode configurar as opções preservar paridade e preservar intervalo na definição do pool NAT incluindo as preserve-range preserve-parity e configuration declarações no nível da [edit services nat pool poolname port] hierarquia.
A preservação do alcance e a preservação da paridade são suportadas em roteadores da Série MX com MS-DPCs e em roteadores da Série M com MS-100, MS-400 e MS-500 MultiServices PICS. A preservação do alcance e a preservação da paridade são suportadas em roteadores da série MX com MS-MPCs e MS-MICs a partir do Junos OS versão 15.1R1.
Preservar intervalo — RFC 4787, Requisitos comportamentais de Network Address Translation (NAT) para UDP unicast, define dois intervalos: 0 a 1023 e 1024 a 65.535. Quando o
preserve-rangebotão é configurado e a porta de entrada cai em um desses intervalos, o CGN aloca uma porta apenas desse intervalo. No entanto, se não houver nenhuma porta disponível no intervalo, a solicitação de alocação de porta falhará e essa sessão não será criada. A falha é refletida nos contadores e no log do sistema, mas nenhuma mensagem ICMP (Internet Control Message Protocol) é gerada. Se esse botão não estiver configurado, a alocação será baseada no intervalo de portas configurado, independentemente do intervalo de portas que contém a porta de entrada. A exceção são alguns gateways no nível do aplicativo (ALGs), como hello, que têm zonas especiais.Preservar paridade — Quando o botão é configurado, o
preserve-parityCGN aloca uma porta com a mesma paridade par ou ímpar da porta de entrada. Se o número da porta de entrada for par ou ímpar, o número da porta de saída deverá ser par ou ímpar. Se um número de porta da paridade desejada não estiver disponível, a solicitação de alocação de porta falhará, a sessão não será criada e o pacote será descartado.
Especificando prefixos de destino e de origem sem configurar um pool
Você pode especificar diretamente o prefixo de destino ou origem usado no NAT sem configurar um pool.
Para configurar as informações, inclua a rule declaração no nível da [edit services nat] hierarquia:
[edit services nat] rule rule-name { term term-name { then { translated { destination-prefix prefix; } } } }
Visão geral das regras de Network Address Translation
Para configurar uma regra NAT, inclua a rule rule-name declaração no nível da [edit services nat] hierarquia:
[edit services nat]
allow-overlapping-nat-pools ;
apply-groups;
apply-groups-except;
pool pool-name;
port-forwarding port-forwarding-name;
rule rule-name {
match-direction (input | output);
term term-name {
from {
application-sets set-name;
applications [ application-names ];
destination-address (address | any-unicast) <except>;
destination-address-range low minimum-value high maximum-value <except>;
destination-prefix-list list-name <except>;
source-address (address | any-unicast) <except>;
source-address-range low minimum-value high maximum-value <except>;
source-prefix-list list-name <except>;
}
then {
no-translation;
translated {
address-pooling paired;
clat-prefix clat-prefix;
destination-pool nat-pool-name;
destination-prefix destination-prefix;
dns-alg-pool dns-alg-pool;
dns-alg-prefix dns-alg-prefix;
filtering-type endpoint-independent;
mapping-type endpoint-independent;
overload-pool overload-pool-name;
overload-prefix overload-prefix;
source-pool nat-pool-name;
source-prefix source-prefix;
translation-type {
(basic-nat-pt | basic-nat44 | basic-nat66 | dnat-44 | dynamic-nat44 | napt-44 | napt-66 | napt-pt | stateful-nat464 | stateful-nat64 | twice-basic-nat-44 | twice-dynamic-nat-44 | twice-napt-44);
}
}
syslog;
}
}
}
Cada regra deve incluir uma match-direction instrução que especifique a direção na qual a correspondência é aplicada.
Os roteadores da Série ACX oferecem suporte apenas input como a direção de correspondência.
Além disso, cada regra NAT consiste em um conjunto de termos, semelhante a um filtro de firewall. Um termo consiste no seguinte:
fromdeclaração — Especifica as condições de correspondência e os aplicativos incluídos e excluídos.thendeclaração — Especifica as ações e modificadores de ação a serem executados pelo software do roteador.
As seções a seguir explicam como os componentes das regras NAT:
- Configurando a direção de correspondência para regras NAT
- Configurando condições de correspondência em regras NAT
- Configurando ações em regras NAT
- Configurando tipos de tradução
- Configuração de regras NAT para passagem IPsec para pares não NAT-T
Configurando a direção de correspondência para regras NAT
Cada regra deve incluir uma match-direction instrução que especifique a direção na qual a correspondência é aplicada. Para configurar onde a correspondência é aplicada, inclua a match-direction declaração no nível da [edit services nat rule rule-name] hierarquia:
[edit services nat rule rule-name] match-direction (input | output);
A direção de correspondência é usada em relação ao fluxo de tráfego através do DPC de multisserviços e PICs de multisserviços. Quando um pacote é enviado ao PIC, as informações de direção são transportadas junto com ele. A direção do pacote é determinada com base nos seguintes critérios:
Com um conjunto de serviços de interface, a direção do pacote é determinada pelo fato de um pacote estar entrando ou saindo da interface na qual o conjunto de serviços é aplicado.
Com um conjunto de serviços de próximo salto, a direção do pacote é determinada pela interface usada para rotear o pacote para o DPC de multisserviços ou PIC de multisserviços. Se a interface interna for usada para rotear o pacote, a direção do pacote será a entrada. Se a interface externa for usada para direcionar o pacote para o PIC ou DPC, a direção do pacote será a saída. Para obter mais informações sobre interfaces internas e externas, consulte Configurando conjuntos de serviços a serem aplicados a interfaces de serviços.
No DPC de multisserviços e no PIC de multisserviços, uma pesquisa de fluxo é executada. Se nenhum fluxo for encontrado, o processamento da regra será executado. Todas as regras no conjunto de serviços são consideradas. Durante o processamento da regra, a direção do pacote é comparada com as direções da regra. Somente as regras com informações de direção que correspondem à direção do pacote são consideradas.
Configurando condições de correspondência em regras NAT
Para configurar condições de correspondência de NAT, inclua a from declaração no nível da [edit services nat rule rule-name term term-name] hierarquia:
[edit services nat rule rule-name term term-name] from { application-sets set-name; applications [ application-names ]; destination-address (address | any-unicast) <except>; destination-address-range low minimum-value high maximum-value <except>; destination-prefix-list list-name <except>; source-address (address | any-unicast) <except>; source-address-range low minimum-value high maximum-value <except>; source-prefix-list list-name <except>; }
Para configurar o NAT tradicional, você pode usar o endereço de destino, um intervalo de endereços de destino, o endereço de origem ou um intervalo de endereços de origem como uma condição de correspondência, da mesma forma que configuraria um filtro de firewall; para obter mais informações, consulte o Guia do usuário de políticas de roteamento, filtros de firewall e policiais de tráfego.
Como alternativa, você pode especificar uma lista de prefixos de origem ou destino incluindo a prefix-list instrução no nível da [edit policy-options] hierarquia e, em seguida, incluindo a destination-prefix-list instrução or source-prefix-list na regra NAT. Para obter um exemplo, consulte Exemplos: Configuração de regras de Firewall com estado.
Se a translation-type instrução na then instrução da regra NAT estiver definida como stateful-nat-64, o intervalo especificado por ou destination-address-range o destination-prefix-list na from instrução deverá estar dentro do intervalo especificado pela destination-prefix instrução na then instrução.
Se pelo menos um termo NAT em uma regra NAT tiver a funcionalidade de pool de endereços emparelhado (APP) habilitada (incluindo a address-pooling instrução no [edit services nat rule rule-name term term-name then translated] nível de hierarquia, todos os outros termos na regra NAT que usam o mesmo pool de endereços NAT que o pool de endereços para o termo com APP habilitado deverão ter o APP habilitado. Caso contrário, se você adicionar um termo de regra NAT sem habilitar APP a uma regra que contenha outros termos com APP habilitado, todos os termos com APP habilitado em uma regra NAT descartarão fluxos de tráfego que correspondam aos critérios especificados na regra NAT.
Para roteadores da Série MX com MS-MICs e MS-MPCs, embora a funcionalidade de pool de endereços emparelhado (APP) esteja habilitada dentro de uma regra NAT (incluindo a address-pooling declaração no [edit services nat rule rule-name term term-name then translated] nível de hierarquia), ela é uma característica de um pool NAT. Esse pool de NAT para o qual o APP está habilitado não pode ser compartilhado com regras de NAT que não tenham o APP configurado.
Ao configurar o NAT, se algum tráfego for destinado aos seguintes endereços e não corresponder a um fluxo NAT ou regra NAT, o tráfego será descartado:
Endereços especificados na instrução quando você estiver usando a
from destination-addressconversão de destinoEndereços especificados no pool NAT de origem quando você estiver usando a tradução de origem
Configurando ações em regras NAT
Para configurar ações NAT, inclua a then declaração no nível da [edit services nat rule rule-name term term-name] hierarquia:
[edit services nat]
rule rule-name {
term term-name {
from {
destination-address-range low minimum-value high maximum-value <except>;
destination-prefix-list list-name <except>;
}
then {
destination-prefix destination-prefix;
}
[edit services nat rule rule-name term term-name] then { no-translation; syslog; translated { clat-prefix clat-prefix; destination-pool nat-pool-name; destination-prefix destination-prefix; source-pool nat-pool-name; source-prefix source-prefix; translation-type (basic-nat-pt | basic-nat44 | basic-nat66 | dnat-44 | dynamic-nat44 | napt-44 | napt-66 | napt-pt | stateful-nat464 | stateful-nat64 | twice-basic-nat-44 | twice-dynamic-nat-44 | twice-napt-44); } } }
A
no-translationinstrução permite que você especifique os endereços que deseja excluir do NAT.A
no-translationdeclaração é suportada em roteadores da série MX com MS-DPCs e em roteadores da Série M com MS-100, MS-400 e MS-500 MultiServices PICS. Ano-translationdeclaração é suportada em roteadores da série MX com MS-MPCs e MS-MICs a partir do Junos OS versão 15.1R1.A
system loginstrução permite que você registre um alerta no recurso de registro do sistema.As
destination-poolinstruções ,destination-prefix,source-pool, esource-prefixespecificam informações de endereçamento que você define incluindo apooldeclaração no nível da[edit services nat]hierarquia; para obter mais informações, consulte Configurando pools de endereços e portas para a visão geral da Network Address Translation.A
translation-typeinstrução especifica o tipo de NAT usado para tráfego de origem ou destino. As opções sãobasic-nat-pt,basic-nat44,basic-nat66,dnat-44,dynamic-nat44stateful-nat464napt-66napt-44stateful-nat64twice-basic-nat-44napt-pttwice-dynamic-nat-44e .twice-napt-44
No Junos OS Release 13.2 e anteriores, a seguinte restrição não era imposta pela CLI: Se a translation-type declaração na then instrução de uma regra NAT foi definida como stateful-nat-64, o intervalo especificado por o destination-address-range ou o destination-prefix-list na from declaração precisava estar dentro do intervalo especificado pela destination-prefix instrução na then declaração. A partir do Junos OS Release 13.3R1, essa restrição é aplicada.
Configurando tipos de tradução
Os detalhes de implementação das nove opções da declaração são os translation-type seguintes:
basic-nat44— Esta opção implementa a tradução estática de endereços IP de origem sem mapeamento de porta. Você deve configurar afrom source-addressinstrução na condição de correspondência para a regra. O tamanho do intervalo de endereços especificado na instrução deve ser igual ou menor que o pool de origem. Você deve especificar um pool de origem ou um prefixo de destino. O pool referenciado pode conter vários endereços, mas você não pode especificar portas para tradução.Observação:Em um conjunto de serviços de interface, todos os pacotes destinados ao endereço de origem especificado na condição de correspondência são roteados automaticamente para o PIC de serviços, mesmo que nenhum conjunto de serviços esteja associado à interface.
Observação:Antes do Junos OS Release 11.4R3, você só podia usar um pool NAT de origem em um único conjunto de serviços. A partir do Junos OS Release 11.4R3 e versões subsequentes, você pode reutilizar um pool NAT de origem em vários conjuntos de serviços.
basic-nat66— Esta opção implementa a tradução estática de endereços IP de origem sem mapeamento de porta em redes IPv6. A configuração é semelhante àbasic-nat44implementação, mas com endereços IPv6.A
basic-nat66opção não estará disponível se você estiver usando MS-MPCs ou MS-MICs.basic-nat-pt— Esta opção implementa a conversão de endereços de hosts IPv6, pois eles originam sessões para os hosts IPv4 em um domínio externo e vice-versa. Essa opção é sempre implementada com o DNS ALG. Você deve definir os pools de origem e destino dos endereços IPv4. Você deve configurar uma regra e definir dois termos. Configure os endereços IPv6 nafromdeclaração em ambas asterminstruções.thenNa instrução do primeiro termo dentro da regra, faça referência aos pools de origem e destino e configuredns-alg-prefix. Configure o prefixothende origem na instrução do segundo termo dentro da mesma regra.A
basic-nat-ptopção não estará disponível se você estiver usando MS-MPCs ou MS-MICs.deterministic-napt44— Esta opção implementa a alocação baseada em algoritmo de blocos de portas de destino e endereço IP. Isso garante que um endereço IP e uma porta de entrada (origem) sempre sejam mapeados para o mesmo endereço IP e porta de destino, eliminando assim a necessidade de registro da tradução de endereços. Ao usardeterministic-napt44o , você também deve usardeterministic-port-block-allocationno nível da[edit services nat pool poolname port]hierarquia.A
deterministic-napt44opção é suportada em roteadores da série MX com MS-DPCs e em roteadores da Série M com MS-100, MS-400 e MS-500 MultiServices PICS. Adeterministic-napt44opção se você estiver usando roteadores da Série MX com MS-MPCs ou MS-MICs é suportada apenas no Junos OS versão 14.2R7 e versões 14.2 posteriores e na versão 15.1R3 e versões 15.1 posteriores.dnat-44— Esta opção implementa a tradução estática de endereços IP de destino sem mapeamento de porta. O tamanho do espaço de endereço do pool deve ser maior ou igual ao espaço de endereço de destino. Você deve especificar um nome para adestination poolinstrução. O pool referenciado pode conter vários endereços, intervalos ou prefixos, desde que o número de endereços NAT no pool seja maior que o número de endereços de destino nafrominstrução. Você deve incluir exatamente umdestination-addressvalor no nível de hierarquia; se for um prefixo[edit services nat rule rule-name term term-name from], o tamanho deve ser menor ou igual ao tamanho do prefixo do pool. Todos os endereços no pool que não correspondem no valor permanecem sem uso, pois um pool não pode ser compartilhado entre vários termos ou regras.dynamic-nat44— Esta opção implementa a tradução dinâmica de endereços IP de origem sem mapeamento de porta. Você deve especificar umsource-poolarquivo . O pool referenciado deve incluir umaaddressconfiguração (para tradução somente de endereço).A
dynamic-nat44opção somente endereço suporta a conversão de até 16.777.216 endereços em um grupo de tamanho menor. As solicitações do intervalo de endereços de origem são atribuídas aos endereços no pool até que o pool seja usado e quaisquer solicitações adicionais sejam rejeitadas. Um endereço NAT atribuído a um host é usado para todas as sessões simultâneas desse host. O endereço é liberado para o pool somente depois que todas as sessões desse host expiram. Esse recurso permite que o roteador compartilhe alguns endereços IP públicos entre vários hosts privados. Como todos os hosts privados podem não criar sessões simultaneamente, eles podem compartilhar alguns endereços IP públicos.napt-44— Esta opção implementa a tradução dinâmica de endereços IP de origem com mapeamento de porta. Você deve especificar um nome para asource-poolinstrução. O pool referenciado deve incluir umaportconfiguração. Se a porta estiver configurada como automática ou um intervalo de portas for especificado, isso implicará que a NAPT (Network Address Port Translation ) será usada.napt-66— Esta opção implementa a conversão dinâmica de endereços IP de origem com mapeamento de porta para endereços IPv6. A configuração é semelhante ànapt-44implementação, mas com endereços IPv6.A
napt-66opção não estará disponível se você estiver usando MS-MPCs ou MS-MICs.napt-pt— Esta opção implementa a conversão dinâmica de endereço e porta para tradução estática e de origem do endereço IP de destino. Você deve especificar um nome para asource-poolinstrução. O pool referenciado deve incluir uma configuração de porta (para NAPT). Além disso, você deve configurar duas regras, uma para o tráfego DNS e outra para o restante do tráfego. A regra destinada ao tráfego DNS deve ser habilitada para DNS ALG e adns-alg-prefixinstrução deve ser configurada. Além disso, o prefixodns-alg-prefixconfigurado na instrução deve ser usado na segunda regra para converter os endereços IPv6 de destino em endereços IPv4.A
napt-ptopção não estará disponível se você estiver usando MS-MPCs ou MS-MICs.stateful-nat464— Esta opção implementa a tradução de endereço 464XLAT Provider-Side Translater (PLAT) para endereços IP de origem e a tradução de remoção de prefixo IPv6 para endereços IPv4 de destino. Você deve especificar os endereços IPv4 usados para tradução no nível de [edit services nat pool] hierarquia. Esse pool deve ser referenciado na regra que converte os endereços IPv6 em IPv4.A
stateful-nat464opção está disponível apenas se você estiver usando MS-MPCs ou MS-MICs e é suportada a partir do Junos OS Release 17.1R1.stateful-nat64— Esta opção implementa a conversão dinâmica de endereço e porta para endereços IP de origem e a tradução de remoção de prefixo para endereços IP de destino. Você deve especificar os endereços IPv4 usados para tradução no nível de[edit services nat pool]hierarquia. Esse pool deve ser referenciado na regra que converte os endereços IPv6 em IPv4.twice-basic-nat-44— Esta opção implementa a conversão estática de origem e destino estático para endereços IPv4, combinandobasic-nat44assim para endereços de origem ednat-44destino.A
twice-basic-nat-44opção é suportada em MS-DPCs e MS-100, MS-400 e MS-500 MultiServices PICS. Atwice-basic-nat-44opção é suportada em MS-MPCs e MS-MICs a partir do Junos OS Release 15.1R1.twice-dynamic-nat-44— Esta opção implementa a conversão dinâmica de origem e estática de destino para endereços IPv4, combinandodynamic-nat44para endereços de origem ednat-44destino.A
twice-dynamic-nat-44opção é suportada em MS-DPCs e MS-100, MS-400 e MS-500 MultiServices PICS. Atwice-dynamic-nat-44opção é suportada em MS-MPCs e MS-MICs a partir do Junos OS Release 15.1R1.twice-napt-44— Esta opção implementa NAPT de origem e tradução estática de destino para endereços IPv4, combinandonapt-44para endereços de origem ednat-44destino.A
twice-napt-44opção é suportada em MS-DPCs e MS-100, MS-400 e MS-500 MultiServices PICS. Atwice-napt-44opção é suportada em MS-MPCs e MS-MICs a partir do Junos OS Release 15.1R1.
Para obter mais informações sobre métodos NAT, consulte RFC 2663, Terminologia e considerações do IP Network Address Translator (NAT).
Configuração de regras NAT para passagem IPsec para pares não NAT-T
Antes do lançamento do Junos OS 17.4R1, a Network Address Translation-Traversal (NAT-T) não é suportada para o conjunto de recursos IPsec do Junos VPN Site Secure nos roteadores da Série MX. A partir do Junos OS versão 14.2R7, 15.1R5, 16.1R2 e 17.1R1, você pode passar pacotes IKEv1 e IPsec por meio de regras NAPT-44 e NAT64 entre pares IPsec que não são compatíveis com NAT-T. Somente o modo de túnel ESP é suportado. Esse recurso é suportado apenas em MS-MPCs e MS-MICs.
Para configurar regras NAT para passagem IPsec para NAPT-44 ou NAT64:
Configure um aplicativo IKE ALG. Consulte Configurando Propriedades do Aplicativo.
Adicione o aplicativo a um conjunto de aplicativos. Consulte Configurando Conjuntos de Aplicativos.
Configurar um pool de NAT. Consulte a configuração de pools de endereços e portas para a visão geral da Network Address Translation.
Configure a regra NAT:
Configure uma direção de correspondência para a regra. Consulte Configurando a Direção de Correspondência para Regras NAT.
Configure uma das condições correspondentes para ser o conjunto de aplicativos para passagem de IKE e IPsec que você configurou na Etapa 2.
[edit services nat rule rule-name term term-name from] user@host# set application-sets set-name
Configure outras condições de correspondência. Consulte Configurando Condições de Correspondência em Regras NAT.
Configure o tipo de tradução como NAPT-44 ou NAT64.
[edit services nat rule rule-name term term-name then translated] user@host# set translation-type (napt-44 | stateful-nat64)
Configure outras ações do NAT. Consulte Configurando ações em regras NAT.
Atribua a regra NAT a um conjunto de serviços.
[edit services] user@host# set service-set service-set-name nat-rules rule-name
Veja também
Proteção de dispositivos CGN contra ataques de negação de serviço (DOS)
Agora você pode escolher opções de configuração que ajudam a prevenir ou minimizar o efeito de tentativas de ataques de negação de serviço (DOS).
Comportamento de Atualizar de Mapeamento
Antes da implementação das novas opções para configurar o comportamento de atualização de mapeamento NAT, descritas neste tópico, uma conversa era mantida ativa quando os fluxos de entrada ou saída estavam ativos. Esse continua sendo o comportamento padrão. Agora você também pode especificar a atualização de mapeamento apenas para fluxos de entrada ou apenas fluxos de saída. Para configurar o comportamento de atualização de mapeamento, inclua a mapping-refresh (inbound | outbound | inbound-outbound) declaração no nível da [edit services nat rule rule-name term term-name then translated secure-nat-mapping] hierarquia.
Limite de fluxo de entrada do QIR
Anteriormente. o número de conexões de entrada em um mapeamento EIF era limitado apenas pelos fluxos máximos permitidos no sistema. Agora você pode configurar o número de fluxos de entrada permitidos para um EIF. Para limitar o número de conexões de entrada em um mapeamento EIF, inclua a eif-flow-limit number-of-flows declaração no nível da [edit services nat rule rule-name term term-name then translated secure-nat-mapping] hierarquia.
Implementação de NAT de nível de operadora: práticas recomendadas
Os tópicos a seguir apresentam as práticas recomendadas para implementação de NAT de nível de operadora:
- Usar alocação de endereço Round-Robin ao usar o APP com o MS-DPC
- Use o recurso EIM somente quando necessário
- Definir tamanhos de bloco de alocação de bloco de porta com base no número esperado de sessões de usuário
- Considerações ao alterar a configuração de alocação de bloco de porta em sistemas em execução
- Não aloque pools de NAT maiores do que o necessário
- Configurar o log do sistema para NAT somente quando necessário
- Limitar o impacto de fragmentos de IP ausentes
- Não use configurações propensas a loops de roteamento de pacotes
- Tempos limite de inatividade
- Ativar despejo no controle de fluxo
Usar alocação de endereço Round-Robin ao usar o APP com o MS-DPC
Se você estiver usando um MS-DPC e configurar o pool de endereços emparelhado (APP) em uma regra NAT, deverá usar a alocação de endereços round-robin para o pool NAT.
O recurso APP mapeia um endereço IP privado para o mesmo endereço IP público em um pool NAT para todas as sessões NAT para esse endereço IP privado.
A alocação sequencial de endereços para pools NAT é o padrão no MS-DPC e aloca todas as portas para um endereço IP público antes de atribuir o próximo endereço IP. A alocação sequencial, juntamente com o APP, pode resultar no mapeamento de vários hosts privados para o mesmo endereço IP público, resultando em esgotamento rápido de porta para um endereço IP público enquanto outras portas ainda estão disponíveis nos endereços IP restantes no pool NAT.
A alocação de rodízio, por outro lado, atribui o próximo endereço IP no pool NAT ao próximo endereço IP privado que precisa de tradução, reduzindo a chance de que todas as portas de um endereço IP público estejam esgotadas.
Para obter mais informações sobre APP e alocação de endereços round-robin, consulte Configurando pools de endereços para visão geral da NAPT (Network Address Port Translation).
O MS-MPC e o MS-MIC usam apenas a alocação de rodízio.
O exemplo a seguir mostra a alocação de endereços round-robin.
[edit services]
nat pool natpool-1 {
port {
automatic;
}
address-allocation round-robin;
mapping-timeout 120;
}
Use o recurso EIM somente quando necessário
Não use mapeamento independente de endpoint (EIM) em termos de regra NAT que incluam ALGs do Junos. O EIM atribui o mesmo endereço NAT externo e porta para uma sessão específica de um host privado, mas adiciona sobrecarga de processamento. O EIM não oferece nenhum benefício para nenhum dos ALGs do Junos, que já empregam a funcionalidade usada pelo EIM.
Habilite o EIM para aplicativos que reutilizam as portas de origem e dependem de um dispositivo CGNAT para manter o mesmo endereço e mapeamento de porta para todo o tráfego enviado para destinos diferentes. Por exemplo, use o EIM para aplicativos de jogos de console, como Xbox e PS4, ou aplicativos que usam métodos unilaterais de correção de endereço automático (UNSAF). Consulte (IETF RFC 3424 IAB Considerations for unilateral self-address fixing (UNSAF) across Network Address Translation).
Para obter mais informações sobre o EIM, consulte Configurando pools de endereços para visão geral da NAPT (Network Address Port Translation).
O exemplo a seguir usa o Junos SIP ALG na regra NAT, portanto, o EIM não é usado.
[edit services nat]
rule natrule-1 {
match-direction input;
term1 {
from {
applications junos-sip;
}
}
then {
translated {
source-pool natpool-3;
translation-type {
napt-44;
}
address-pooling paired;
}
}
}
Definir tamanhos de bloco de alocação de bloco de porta com base no número esperado de sessões de usuário
Para alocação segura de bloco de porta e alocação determinística de bloco de porta, defina um tamanho de bloco de alocação de bloco de porta que seja 2 a 4 vezes maior do que o número médio esperado de sessões ativas para um usuário. Por exemplo, se o usuário tiver uma média de aproximadamente 200 a 250 sessões NAT ativas, configurar o tamanho do bloco como 512 ou 1024 fornecerá uma alocação liberal.
Se você estiver implantando a alocação de bloco de porta segura usando a Série MX como um dispositivo NAT e não tiver certeza do perfil de usuário do assinante e do perfil de tráfego, defina o tamanho do bloco de porta como 1024 se tiver endereços IP NAT suficientes para lidar com o número de pico estimado de assinantes privados. O número de endereços IP NAT vezes 62 fornece o número de assinantes privados que podem ser tratados com um tamanho de bloco de porta de 1024 (há 62 blocos por endereço IP). Em seguida, monitore de perto o roteador da Série MX usando o show services nat pool detail comando para determinar se o tamanho do bloco precisa ser alterado.
Tenha cuidado para não tornar o tamanho do bloco muito grande se o número de endereços IP que você pode alocar para o pool NAT for limitado. Criar um tamanho de bloco de porta grande o suficiente para atribuir os blocos com eficiência aos assinantes pode fazer com que todos os blocos de porta fiquem vinculados.
A alocação segura de blocos de portas aloca blocos de portas a um usuário específico para NAT44 ou NAT64. A alocação segura de blocos de portas limita o número de mensagens syslog gerando apenas um syslog por bloco de portas.
No entanto, configurar o tamanho do bloco incorretamente pode levar ao uso ineficiente dos recursos NAT ou a problemas de desempenho. Por exemplo, quando um usuário se conecta a um site que requer o estabelecimento de um número significativo de soquetes para uma única página HTML, um número correspondente de novas portas deve ser alocado. O tamanho do bloco de porta deve ser grande o suficiente para impedir a alocação contínua de novos blocos. Se o número de sessões simultâneas para um assinante privado exceder o número de portas disponíveis no bloco de porta ativo, os outros blocos de porta alocados para o assinante serão verificados em busca de portas disponíveis para uso ou um novo bloco será alocado do pool de blocos livres para o assinante. A verificação de blocos de portas alocados e a alocação de blocos adicionais podem resultar em atrasos na configuração de novas sessões e no carregamento de páginas da web.
Para obter mais informações sobre a alocação de blocos de portas, consulte Configurando a alocação de blocos de portas protegidas e Configurando o NAPT determinístico.
O exemplo a seguir define o tamanho do bloco de porta como 1024.
[edit services nat]
pool natpool-1 {
address-range low 192.0.2.0 high 192.0.2.10;
port {
automatic;
secure-port-block-allocation {
block-size 1024;
max-blocks-per-user 8;
active-block-timeout 300;
}
}
mapping-timeout 300;
}
Considerações ao alterar a configuração de alocação de bloco de porta em sistemas em execução
Antes de alterar a alocação de bloco de porta segura ou a configuração determinística do bloco de porta em um sistema em execução ao usar um MS-MPC ou MS-MIC, planeje uma interrupção rápida nas sessões de NAT. A alteração na configuração resulta na recriação de todas as sessões NAT atuais.
Antes de alterar a configuração de alocação de bloco de porta em um sistema em execução ao usar um MS-DPC, planeje uma interrupção dos serviços. Depois de alterar a configuração, você deve reinicializar o MS-DPC ou, se isso não for possível, desativar e reativar o conjunto de serviços.
As alterações na configuração de alocação de blocos de porta incluem:
Alterar qualquer configuração de PBA do pool NAT.
Alterar um pool NAT do PBA para um pool NAT não PBA.
Alterar um pool NAT não PBA para um pool NAT PBA.
Para obter mais informações sobre como configurar a alocação de blocos de portas, consulte Configurando a alocação de blocos de portas protegidas e Configurando o NAPT determinístico.
Não aloque pools de NAT maiores do que o necessário
MS-MPC e MS-MIC
Ao usar NAPT44 como seu tipo de tradução com o MS-MIC ou MS-MPC, não configure pools de NAT maiores do que o necessário para a taxa de sessão de pico, o que vincularia recursos IPv4 valiosos. Cada conversa, também conhecida como sessão, inclui dois fluxos — um fluxo de entrada e um de saída. Cada conversa requer uma porta e cada endereço IP no pool tem um intervalo de portas 1024-65535 (64K), portanto, o tamanho do pool NAT não precisa ser maior que:
número máximo de conversas /64K
Ao usar NAPT44 como seu tipo de tradução com o MS-MIC, recomendamos um tamanho máximo de pool NAT de 128 endereços (uma rede /25).
Ao usar NAPT44 como seu tipo de tradução com o MS-MPC, recomendamos um tamanho máximo de pool NAT de 256 endereços (uma rede /24).
O tamanho máximo recomendado do pool de NAT ao usar o NAPT-44 para um MS-MIC é de 128 endereços IP porque o MS-MIC oferece suporte a um máximo de 14 milhões de fluxos, ou 7 milhões de conversas, que exigem 7 milhões de portas. Um total de 7 milhões de portas estão disponíveis com 128 endereços IP, com cada endereço IP tendo um intervalo de portas de 1024-65535.
O tamanho máximo recomendado do pool NAT para cada slot em um MS-MPC ao usar o NAPT-44 é de 256 endereços IP porque cada slot oferece suporte a um máximo de 30 milhões de fluxos, ou 15 milhões de conversas, que exigem 15 milhões de portas. Um total de 15 milhões de portas estão disponíveis com 256 endereços IP, com cada endereço IP tendo um intervalo de portas de 1024-65535.
Você pode usar pools maiores do que os valores recomendados e pode esperar que as configurações que usam o recurso de alocação de bloco de porta (PBA) exijam pools maiores. Isso ocorre porque o PBA atribui blocos de portas a endereços IP privados, o que altera o modelo de eficiência do pool.
Para obter mais informações sobre como configurar pools NAT, consulte Configurando pools de endereços e portas para visão geral do Network Address Translation.
MS-DPC
Ao usar NAPT44 como seu tipo de tradução com o MS-DPC, não configure pools de NAT maiores do que o necessário para a taxa de fluxo de pico, o que vincularia recursos IPv4 valiosos. Cada conversa inclui dois fluxos (1 fluxo reverso para cada fluxo de encaminhamento). Cada conversa requer uma porta e cada endereço IP no pool tem um intervalo de portas 1024-65535 (64K), portanto, o tamanho do pool NAT não precisa ser maior que:
número máximo de conversas /64K
Ao usar NAPT44 como seu tipo de tradução com o MS-DPC, não configure pools de NAT com mais de 64 endereços (uma rede /26).
O tamanho máximo do pool NAT para um MS-DPC é de 64 endereços IP porque o MS-DPC dá suporte a um máximo de 8 milhões de fluxos, ou 4 milhões de conversas, o que requer um máximo de 4 milhões de portas. Um total de 4 milhões de portas estão disponíveis com 64 endereços IP, com cada endereço IP tendo um intervalo de portas de 1024 a 65535. Se o APP, o EIM e o EIF estiverem habilitados, o MS-DPC dará suporte a um máximo de 5,8 milhões de fluxos, ou 2,9 milhões de conversas, portanto, o tamanho máximo do pool de NAT seria menor.
Para obter mais informações sobre como configurar pools NAT, consulte Configurando pools de endereços e portas para visão geral do Network Address Translation.
Configurar o log do sistema para NAT somente quando necessário
Não habilite o log do sistema por sessão para configurações seguras de alocação de bloco de porta.
Não habilite o log do sistema para configurações NAT determinísticas.
Habilite o log do sistema no nível do conjunto de serviços, em vez de no nível da interface de serviços, quando possível.
Em redes de produção, sempre envie as mensagens de log para um servidor de log do sistema externo. Isso evita adicionar carga de CPU ao Mecanismo de Roteamento, o que ocorre quando as mensagens são registradas localmente.
Especifique a classe de log do sistema para restringir o log à classe de aplicativos na qual você está interessado.
Se você configurar o log do sistema dentro de um termo de regra NAT, use uma regra de firewall stateful para restringir o tráfego que atinge o termo de regra NAT.
As mensagens de log do sistema podem afetar negativamente o desempenho da placa de serviços, dependendo da frequência de criação e exclusão de sessões. Todas as mensagens de log do sistema criadas pela placa de serviços requerem processamento de CPU na placa de serviços, e as próprias mensagens de log do sistema constituem o tráfego que é enviado pelo roteador da Série MX e compete com o tráfego do usuário para alcançar o servidor de log externo.
A alocação segura de blocos de portas elimina a necessidade de configurar logs por sessão, pois você conhece o tamanho do bloco e pode derivar as portas alocadas para cada usuário.
O NAT determinístico elimina a necessidade de fazer log, porque todas as informações sobre a alocação de portas podem ser deduzidas matematicamente.
O exemplo a seguir restringe o log a eventos NAT e envia mensagens de log para o servidor de log externo 203.0.113.4
[edit services service-set S-SET-1]
class {
nat-logs;
}
syslog {
host 203.0.113.4;
}
Quando você configura o log do sistema dentro de um termo de regra NAT, todo o tráfego que entra no termo de regra NAT gera um log, o que pode causar log excessivo. Isso pode resultar no limite da taxa de registro sendo atingido e você perderia os logs necessários.
Para obter mais informações sobre como configurar o log do sistema para NAT, consulte Configurando logs de sessão NAT.
Limitar o impacto de fragmentos de IP ausentes
Para a interface de serviços configurada para NAT, limite o impacto de fragmentos ausentes ou atrasados configurando o seguinte:
Número máximo de fragmentos para um pacote
Tempo máximo de espera para um fragmento ausente
Os fragmentos de IP recebidos pela placa de serviços configurada para NAT são armazenados em buffer à medida que chegam. Isso permite uma verificação de integridade do pacote completamente remontado antes que o pacote seja processado pelo NAT. Fragmentos ausentes ou atrasados podem fazer com que os fragmentos já recebidos sejam mantidos até que o buffer interno esteja cheio e eles sejam liberados, resultando em sobrecarga de uso da CPU e encaminhamento de tráfego reduzido.
Configurar o número máximo de fragmentos que um pacote pode ter e limitar o tempo de espera para um fragmento ausente reduz a chance de o buffer interno ficar cheio.
O exemplo a seguir define o número máximo de fragmentos como 10 e o tempo máximo de espera como 3 segundos.
[edit interfaces ms-0/0/0]
services-options {
fragment-limit 10;
reassembly-timeout 3;
}
Não use configurações propensas a loops de roteamento de pacotes
Evite loops de roteamento de pacotes, garantindo que apenas o tráfego pretendido tenha permissão para alcançar a placa de serviços e ser processado pela regra NAT do conjunto de serviços. Você pode fazer isso da seguinte forma:
Configurar um intervalo de endereços de origem sob a regra NAT quando possível.
Configurar um filtro de firewall que aceite apenas o tráfego que deve ser atendido pela regra NAT em um conjunto de serviços de estilo next-hop.
O loop de pacotes entre o Mecanismo de Encaminhamento de Pacotes e a placa de serviços resulta em alto uso persistente da CPU na placa de serviços. O loop de pacotes pode ser causado pela placa de serviços que recebe tráfego de uma rede de origem privada inesperada. Quando o tráfego inesperado é processado pelo NAT, um orifício é criado e, no caso do EIF, muitos orifícios podem ser criados. Esses furos causam loops de roteamento se o tráfego de retorno for roteado de volta pela placa de serviços.
O exemplo a seguir mostra um filtro de firewall que só permite que o tráfego de 198.51.100.0/24 alcance a interface de serviços ms-1/0/0, que é a interface interna para um conjunto de serviços next-hop.
[edit firewall filter to_be_serviced]
term 1 {
from }
address {
}
198.51.100.0/24;
}
then accept;
}
term 2 {
then disard;
}
[edit interfaces ms-1/0/0]
unit 1 {
family intet {
filter {
output to_be_serviced;
}
}
service-domain inside;
}
Para obter mais informações sobre como configurar filtros de firewall, consulte o Guia do usuário de políticas de roteamento, filtros de firewall e policiais de tráfego.
O exemplo a seguir mostra uma regra NAT que processa apenas o tráfego de 198.51.100.0/24 (outro tráfego chega à interface de serviços, mas não é processado).
[edit services nat]
rule rule_1 {
match-direction input;
term t1 {
from {
source-address {
198.51.100.0/24;
}
}
then {
translated {
source-pool pool1;
translation-type {
napt-44;
}
}
}
}
}
Para obter mais informações sobre como configurar regras NAT, consulte Visão geral das regras de Network Address Translation.
Tempos limite de inatividade
Defina o tempo limite de inatividade apenas para aplicativos definidos pelo usuário que podem exigir que o mapeamento de sessão NAT permaneça na memória por mais tempo do que o tempo limite de inatividade NAT padrão de 30 segundos. Por exemplo, um aplicativo bancário HTTP ou HTTPS pode exigir mais de 30 segundos de inatividade porque o usuário deve inserir dados.
Antes de fazer alterações nos tempos limite de inatividade existentes, execute os comandos a seguir várias vezes durante os horários de pico. Em seguida, execute os comandos depois de fazer as alterações e verifique se as alterações não estão privando o roteador da Série MX de recursos NAT ou a placa de memória de serviços.
O exemplo a seguir mostra o tempo limite de inatividade sendo definido como 1800 segundos para aplicativos HTTPS e HTTP.
[edit applications]
application https {
inactivity-timeout 1800;
destination-port 443;
protocol tcp;
}
application http {
inactivity-timeout 1800;
destination-port 443;
protocol tcp;
}
Para obter mais informações sobre como configurar aplicativos definidos pelo usuário, consulte Configurando propriedades do aplicativo.
Você precisa pesar os riscos de definir altos tempos limite de inatividade para todo o tráfego. Embora o tempo limite de inatividade NAT padrão de 30 segundos possa ser muito baixo para alguns aplicativos definidos pelo usuário, definir um valor de tempo limite muito alto pode vincular recursos NAT. Por exemplo, definir valores altos de tempo limite de inatividade pode vincular qualquer sessão TCP que esteja inativa apenas alguns minutos após sua criação. Se a sessão TCP não for fechada corretamente por um FIN ou RST pelo cliente ou servidor, a sessão ficará na memória e vinculará os recursos NAT atribuídos a ela até que o valor de tempo limite expire.
Definir tempos limite de inatividade mais altos que afetam todas as portas UDP e TCP pode ser perigoso, especialmente com tráfego UDP como DNS. Ao contrário do TCP, o UDP não tem como encerrar uma sessão além do tempo limite, portanto, todas as sessões UDP permaneceriam ativas pelo valor de tempo limite de inatividade total.
O exemplo a seguir não é uma configuração recomendada porque define valores altos de tempo limite de inatividade para todo o tráfego TCP e UDP.
[edit applications]
application UDP-All {
protocol UDP;
source-port 1-65535;
inactivity-timeout 3600;
}
application TCP-All {
protocol TCP;
source-port 1-65535;
inactivity-timeout 3600;
}
Não temos valores específicos de tempo limite de inatividade recomendados. Os valores adequados de tempo limite de inatividade dependem de vários fatores, incluindo:
Quais aplicativos são usados na rede de um usuário final
Por exemplo, a Apple afirmou que um tempo limite de inatividade de 60 minutos é necessário para os seguintes serviços da Apple, que exigem uma longa vida útil da conexão:
Apple Push Services: porta TCP de entrada 5223
Exchange Active Sync: porta TCP de entrada 443
MobileMe: portas TCP de entrada 5222 e 5223
Como a solução NAT está sendo usada, por exemplo, como um dispositivo Gi NAT ou como um roteador de borda empresarial
Qual é o tamanho dos pools de NAT
Quanto tráfego cada placa de serviços recebe durante picos de carga
Quanta memória você tem disponível
Ativar despejo no controle de fluxo
Habilite a opção dump-on-flow-control para qualquer placa de serviços que esteja processando tráfego NAT em uma rede de produção. Essa opção detecta quando uma placa de serviços está bloqueada, grava um despejo de núcleo que a Juniper Networks pode analisar para determinar por que a placa foi bloqueada e recupera a placa de serviços reiniciando-a.
Para o MS-MIC e o MS-MPC, defina a opção dump-on-flow-control na interface pc-, que é usada para enviar tráfego de controle do Mecanismo de Roteamento para a placa de serviços. O exemplo a seguir mostra a configuração se a interface de serviços for ms-2/1/0.
[edit interfaces pc-2/1/0]
multiservice-options {
flow-control-options {
dump-on-flow-control;
}
}
Para o MS-DPC, defina a opção de controle dump-on-flow na interface sp-. O exemplo a seguir mostra a configuração se a interface de serviços for sp-2/1/0.
[edit interfaces sp-2/1/0]
multiservice-options {
flow-control-options {
dump-on-flow-control;
}
}
Veja também
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.
limit-ports-per-address declaração.