NESTA PÁGINA
Visão geral da configuração da tradução de endereços de rede
Configuração de endereços de origem e destino visão geral da tradução de endereços de rede
Configuração de grupos de endereços e portas para a visão geral da tradução de endereços de rede
Proteção de dispositivos CGN contra ataques de negação de serviço (DOS)
Implementação de NAT de nível de operadora: melhores práticas
Visão geral da configuração do NAT
Visão geral da configuração da tradução de endereços de rede
Para configurar a tradução de endereços de rede (NAT), preencha as seguintes etapas de alto nível:
- Configure os endereços de origem e destino. Para obter mais informações, veja a visão geral da tradução de endereços de origem e destino da rede.
- Definir os endereços ou prefixos, faixas de endereço e portas usadas para NAT. Para obter mais informações, veja configuração de grupos de endereços e portas para visão geral da tradução de endereços de rede
- Se aplicável, configure os pools de endereços para a tradução da porta de endereço de rede (NAPT). Para obter mais informações, veja a configuração de grupos de endereços para a visão geral da tradução de porta de endereço de rede (NAPT).
- Configure as regras do NAT. Dentro das regras, incluem instruções de correspondência, condições de correspondência, ações e tipos de tradução. Para obter mais informações, veja a visão geral das regras de tradução de endereços de rede.
- Configure conjuntos de serviços para processamento de NAT. Dentro de cada conjunto de serviços, defina as interfaces para o manuseio do tráfego de entrada e saída e uma regra ou conjunto de regras de NAT. Para obter mais informações, veja Configuração de conjuntos de serviços para a tradução de endereços de rede.
Veja também
Configuração de endereços de origem e destino visão geral da tradução de endereços de rede
Você deve configurar um endereço específico, um prefixo ou os limites de alcance de endereço:
Os endereços a seguir, embora válidos
inet.0
, não podem ser usados para a tradução de NAT:0.0.0.0/32
127.0.0.0/8 (loopback)
128.0.0.0/16 (marciano)
191.255.0.0/16 (marciano)
192.0.0.0/24 (marciano)
223.255.255,0/24 (marciano)
224.0.0.0/4 (multicast)
240.0.0.0/4 (reservado)
255.255.255.255 (broadcast)
Os endereços especificados como válidos na tabela de roteamento e não suportados para a
inet.0
tradução de NAT são tipos de filtro deorlonger
correspondência. Você não pode especificar nenhuma região dentro desses prefixos de endereço em um pool de NAT.Em roteadores da Série MX com MS-MPCs e MS-MICs, se você configurar um pool de endereços NAT com um comprimento de prefixo igual ou superior a /16, o PIC não contém memória suficiente para provisionar o pool configurado. Além disso, problemas de utilização de memória podem ocorrer se você tentar configurar muitos pools cujos endereços IP totais combinados excedem /16. Nessas circunstâncias, uma mensagem de registro de sistema é gerada afirmando que o nome do pool de NAT não foi criado e que o conjunto de serviços não está ativado. Em MS-MPCs e MS-MICs, você não deve configurar grupos NAT com comprimentos de prefixo maiores que ou iguais a /16.
Você pode especificar um ou mais prefixos de endereço IPv4 na
pool
declaração e nafrom
cláusula do termo de regra de NAT. Isso permite configurar a tradução de origem de uma sub-rede privada para uma sub-rede pública sem definir um termo de regra para cada endereço na sub-rede. A tradução de destino não pode ser configurada por este método. Para obter mais informações, veja Exemplos: Configuração de regras de NAT.Quando você configura o NAT de origem estática, o tamanho do
address
prefixo que você configura no nível de[edit services nat pool pool-name]
hierarquia deve ser maior do que asource-address
faixa de prefixo configurada no nível de[edit services nat rule rule-name term term-name from]
hierarquia. Asource-address
faixa de prefixo também deve ser mapeada para uma única sub-rede ou intervalo de endereços IPv4 ou IPv6 napool
declaração. Quaisquer endereços de pool que não sejam usados pela faixa desource-address
prefixo ficam sem uso. As piscinas não podem ser compartilhadas.Quando você configura um tamanho de prefixo do pool de endereços NAT com a
address
declaração no nível [edit services nat pool nat-pool-name
] de hierarquia, a sub-rede e os endereços de broadcast não estão incluídos na lista de endereços IP utilizáveis. Por exemplo, se você usaraddress 10.11.12.0/28
em um pool de NAT, os endereços 10.11.12.0 (endereço de sub-rede) e 10.11.12.15 (endereço de transmissão) não estarão disponíveis.
Quando você inclui uma configuração de NAT que altera endereços IP, ela pode afetar os recursos de caminho de encaminhamento em outros lugares da configuração do roteador, como uso de classe de origem (SCU), uso de classe de destino (DCU), encaminhamento baseado em filtros ou outros recursos que visam endereços IP ou prefixos específicos.
A configuração de NAT também pode afetar a operação de protocolo de roteamento, pois os endereços de peering de protocolo, vizinhos e interface podem ser alterados quando os pacotes de protocolo de roteamento transitam pelos Serviços Adaptativos (AS) ou multisserviços PIC.
Veja também
Configuração de grupos de endereços e portas para a visão geral da tradução de endereços de rede
- Configuração de grupos de NAT
- Preservar o alcance e preservar a paridade
- Especificação de prefixos de destino e origem sem configurar um pool
Configuração de grupos de NAT
Você pode usar a pool
declaração para definir os endereços (ou prefixos), intervalos de endereços e portas usadas para tradução de endereços de rede (NAT). Para configurar as informações, inclua a pool
declaração no nível de [edit services nat]
hierarquia.
A partir do Junos OS Release 14.2, configure o pool de NAT da seguinte forma. A partir do Junos OS Release 16.1, a limit-ports-per-address
declaração é compatível.
[edit services nat] pool nat-pool-name { address ip-prefix</prefix-length>; address-range low minimum-value high maximum-value; limit-ports-per-address number; port { automatic (sequential | random-allocation); range low minimum-value high maximum-value random-allocation; preserve-parity; preserve-range { } }
No Junos OS Release 14.1 e anterior, configure o pool de NAT da seguinte forma:
[edit services nat] pool nat-pool-name { address ip-prefix</prefix-length>; address-range low minimum-value high maximum-value; port (automatic | range low minimum-value high maximum-value); preserve-parity; preserve-range { } }
Para configurar grupos para NAT tradicional, especifique um pool de destino ou um pool de origem.
Com NAT de origem estática e NAT de origem dinâmica, você pode especificar vários endereços IPv4 (ou prefixos) e intervalos de endereço IPv4. Até 32 prefixos ou intervalos de endereço (ou uma combinação) podem ser suportados em um único pool.
Com o NAT de destino estático, você também pode especificar vários prefixos de endereço e intervalos de endereço em um único termo. Vários termos de NAT de destino podem compartilhar um pool de NAT de destino. No entanto, a massa de rede ou alcance para o from
endereço deve ser menor ou igual à massa de rede ou alcance para o endereço do pool de destino. Se você definir o pool como maior do que o necessário, alguns endereços não serão usados. Por exemplo, se você definir o tamanho do pool como 100 endereços e a regra especificar apenas 80 endereços, os últimos 20 endereços no pool não serão usados.
Para obter restrições em tipos de tradução específicos, consulte a visão geral das regras de tradução de endereços de rede.
Com NAT estático de origem, os prefixos e as faixas de endereço não podem se sobrepor entre grupos separados.
Em uma faixa de endereço, o low
valor deve ser um número menor do que o high
valor. Quando vários intervalos de endereço e prefixos são configurados, os prefixos são esgotados primeiro, seguidos pelas faixas de endereço.
Quando você especifica uma porta para NAT de origem dinâmica, as faixas de endereço são limitadas a um máximo de 65.000 endereços, para um total de (65.000 x 65.535) ou 4.259.775.000 fluxos. Um pool de NAT dinâmico sem tradução de porta de endereço oferece suporte a até 65.535 endereços. Não há limite no tamanho da piscina para NAT de origem estática.
Preservar o alcance e preservar a paridade
Você pode configurar seu NAT de nível de operadora (CGN) para preservar o alcance ou a paridade da porta de origem do pacote quando aloca uma porta de origem para uma conexão de saída. Você pode configurar a paridade de preservação e preservar as opções de intervalo sob a definição do pool de NAT, incluindo as declarações e preserve-parity
as preserve-range
declarações de configuração no nível de [edit services nat pool poolname port]
hierarquia.
Preservando o alcance e preservando a paridade são suportados em roteadores da série MX com MS-DPCs e em roteadores da Série M com PICS ms-100, MS-400 e MS-500 multiservices. A preservação do alcance e a paridade de preservação são suportadas em roteadores da série MX com MS-MPCs e MS-MICs a partir da versão Junos OS 15.1R1.
Intervalo de preservação — RFC 4787, Network Address Translation (NAT) Behavioral Requirements for Unicast UDP, define duas faixas: 0 a 1023 e 1024 a 65.535. Quando o
preserve-range
botão está configurado e a porta de entrada cai em uma dessas faixas, a CGN aloca apenas uma porta dessa faixa. No entanto, se não houver nenhuma porta disponível na faixa, a solicitação de alocação de porta falha e essa sessão não for criada. A falha se reflete em contadores e registro de sistema, mas nenhuma mensagem do Protocolo de Mensagem de Controle de Internet (ICMP) é gerada. Se esse botão não estiver configurado, a alocação será baseada na faixa de porta configurada sem considerar a faixa de porta que contém a porta de entrada. A exceção são alguns gateways de nível de aplicativo (ALGs), como o Hello, que têm zonas especiais.Proteja a paridade — quando o botão estiver configurado, o
preserve-parity
CGN aloca uma porta com a mesma paridade uniforme ou estranha que a porta de entrada. Se o número de porta de entrada for estranho ou mesmo, o número de porta de saída deve ser correspondentemente estranho ou mesmo. Se um número de porta da paridade desejada não estiver disponível, a solicitação de alocação de portas falhar, a sessão não for criada e o pacote for desativado.
Especificação de prefixos de destino e origem sem configurar um pool
Você pode especificar diretamente o prefixo de destino ou origem usado no NAT sem configurar um pool.
Para configurar as informações, inclua a rule
declaração no nível de [edit services nat]
hierarquia:
[edit services nat] rule rule-name { term term-name { then { translated { destination-prefix prefix; } } } }
Visão geral das regras de tradução de endereços de rede
Para configurar uma regra de NAT, inclua a rule
rule-name
declaração no nível de [edit services nat]
hierarquia:
[edit services nat] allow-overlapping-nat-pools ; apply-groups; apply-groups-except; pool pool-name; port-forwarding port-forwarding-name; rule rule-name { match-direction (input | output); term term-name { from { application-sets set-name; applications [ application-names ]; destination-address (address | any-unicast) <except>; destination-address-range low minimum-value high maximum-value <except>; destination-prefix-list list-name <except>; source-address (address | any-unicast) <except>; source-address-range low minimum-value high maximum-value <except>; source-prefix-list list-name <except>; } then { no-translation; translated { address-pooling paired; clat-prefix clat-prefix; destination-pool nat-pool-name; destination-prefix destination-prefix; dns-alg-pool dns-alg-pool; dns-alg-prefix dns-alg-prefix; filtering-type endpoint-independent; mapping-type endpoint-independent; overload-pool overload-pool-name; overload-prefix overload-prefix; source-pool nat-pool-name; source-prefix source-prefix; translation-type { (basic-nat-pt | basic-nat44 | basic-nat66 | dnat-44 | dynamic-nat44 | napt-44 | napt-66 | napt-pt | stateful-nat464 | stateful-nat64 | twice-basic-nat-44 | twice-dynamic-nat-44 | twice-napt-44); } } syslog; } } }
Cada regra deve incluir uma match-direction
declaração que especifica a direção em que a correspondência é aplicada.
Os roteadores da Série ACX oferecem suporte apenas input como a direção da partida.
Além disso, cada regra de NAT consiste em um conjunto de termos, semelhante a um filtro de firewall. Um termo consiste no seguinte:
from
declaração — especifica as condições e os aplicativos de correspondência que estão incluídos e excluídos.then
declaração — especifica as ações e modificadores de ação a serem realizadas pelo software do roteador.
As seções a seguir explicam como os componentes das regras de NAT:
- Configuração de direção de correspondência para regras de NAT
- Configuração de condições de correspondência nas regras do NAT
- Configuração de ações em regras de NAT
- Configuração de tipos de tradução
- Configuração das regras de NAT para a passagem de IPsec para peers não-NAT-T
Configuração de direção de correspondência para regras de NAT
Cada regra deve incluir uma match-direction
declaração que especifica a direção em que a correspondência é aplicada. Para configurar onde a correspondência é aplicada, inclua a match-direction
declaração no nível de [edit services nat rule rule-name]
hierarquia:
[edit services nat rule rule-name] match-direction (input | output);
A direção de correspondência é usada em relação ao fluxo de tráfego por meio do DPC multisserviços e PICs multisserviços. Quando um pacote é enviado para o PIC, as informações de direção são levadas junto com ele. A direção do pacote é determinada com base nos seguintes critérios:
Com um conjunto de serviços de interface, a direção do pacote é determinada por se um pacote está entrando ou deixando a interface em que o conjunto de serviços é aplicado.
Com um conjunto de serviços de próximo salto, a direção de pacotes é determinada pela interface usada para encaminhar o pacote para o DPC multisserviços ou PIC de multisserviços. Se a interface interna for usada para rotear o pacote, a direção do pacote é a entrada. Se a interface externa for usada para direcionar o pacote para o PIC ou DPC, a direção do pacote é a saída. Para obter mais informações sobre interfaces internas e externas, consulte Configurando conjuntos de serviços a serem aplicados às interfaces de serviços.
No DPC multisserviços e multisserviços PIC, uma busca por fluxo é realizada. Se nenhum fluxo for encontrado, o processamento de regras é realizado. Todas as regras do conjunto de serviços são consideradas. Durante o processamento de regras, a direção do pacote é comparada com as instruções de regra. Considera-se apenas regras com informações de direção que correspondam à direção do pacote.
Configuração de condições de correspondência nas regras do NAT
Para configurar as condições de correspondência de NAT, inclua a from
declaração no nível de [edit services nat rule rule-name term term-name]
hierarquia:
[edit services nat rule rule-name term term-name] from { application-sets set-name; applications [ application-names ]; destination-address (address | any-unicast) <except>; destination-address-range low minimum-value high maximum-value <except>; destination-prefix-list list-name <except>; source-address (address | any-unicast) <except>; source-address-range low minimum-value high maximum-value <except>; source-prefix-list list-name <except>; }
Para configurar o NAT tradicional, você pode usar o endereço de destino, uma variedade de endereços de destino, o endereço de origem ou uma variedade de endereços de origem como condição de correspondência, da mesma forma que configuraria um filtro de firewall; para obter mais informações, veja as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego.
Alternativamente, você pode especificar uma lista de prefixos de origem ou destino, incluindo a prefix-list
declaração no nível de [edit policy-options]
hierarquia e, em seguida, incluindo a declaração ou source-prefix-list
a destination-prefix-list
regra nat. Por exemplo, veja Exemplos: Configuração de regras de firewall stateful.
Se a translation-type
declaração na then
declaração da regra nat estiver definida, stateful-nat-64o intervalo especificado pela destination-address-range
declaração ou destination-prefix-list
na from
declaração deve estar dentro do intervalo especificado pela destination-prefix
declaração na then
declaração.
Se pelo menos um termo NAT dentro de uma regra NAT tiver a funcionalidade de agrupamento de endereços pareado (APP) habilitada (incluindo a address-pooling
declaração no [edit services nat rule rule-name term term-name then translated]
nível de hierarquia, todos os outros termos na regra NAT que usam o mesmo pool de endereços NAT que o pool de endereços para o termo com APP habilitado devem ter o APP habilitado. Caso contrário, se você adicionar um termo de regra de NAT sem habilitar o APP a uma regra que contenha outros termos com APP habilitado, todos os termos com APP habilitado em uma regra de NAT descartam fluxos de tráfego que correspondam aos critérios especificados na regra nat.
Para roteadores da Série MX com MS-MICs e MS-MPCs, embora a funcionalidade de agrupamento de endereços pareado (APP) seja habilitada dentro de uma regra NAT (incluindo a address-pooling
declaração no [edit services nat rule rule-name term term-name then translated]
nível hierárquica), é uma característica de um pool de NAT. Esse grupo de NAT para o qual o APP está habilitado não pode ser compartilhado com regras de NAT que não tenham o APP configurado.
Ao configurar o NAT, se algum tráfego estiver destinado aos seguintes endereços e não corresponder a um fluxo de NAT ou regra NAT, o tráfego será descartado:
Endereços especificados na declaração quando você estiver usando a
from destination-address
tradução de destinoEndereços especificados no pool de NAT de origem quando você estiver usando a tradução de origem
Configuração de ações em regras de NAT
Para configurar ações de NAT, inclua a then
declaração no nível de [edit services nat rule rule-name term term-name]
hierarquia:
[edit services nat] rule rule-name { term term-name { from { destination-address-range low minimum-value high maximum-value <except>; destination-prefix-list list-name <except>; } then { destination-prefix destination-prefix; }
[edit services nat rule rule-name term term-name] then { no-translation; syslog; translated { clat-prefix clat-prefix; destination-pool nat-pool-name; destination-prefix destination-prefix; source-pool nat-pool-name; source-prefix source-prefix; translation-type (basic-nat-pt | basic-nat44 | basic-nat66 | dnat-44 | dynamic-nat44 | napt-44 | napt-66 | napt-pt | stateful-nat464 | stateful-nat64 | twice-basic-nat-44 | twice-dynamic-nat-44 | twice-napt-44); } } }
A
no-translation
declaração permite especificar endereços que você deseja excluir do NAT.A
no-translation
declaração é apoiada em roteadores da série MX com MS-DPCs e roteadores da Série M com PICS ms-100, MS-400 e MS-500 multiservices. Ano-translation
declaração é apoiada em roteadores da série MX com MS-MPCs e MS-MICs a partir do lançamento do Junos OS 15.1R1.A
system log
declaração permite que você registre um alerta na instalação de registro do sistema.As
destination-pool
, esource-pool
destination-prefix
source-prefix
as declarações especificam as informações de endereço que você define, incluindo apool
declaração no nível da[edit services nat]
hierarquia; para obter mais informações, veja Configurando grupos de endereços e portas para a visão geral da tradução de endereços de rede.A
translation-type
declaração especifica o tipo de NAT usado para tráfego de origem ou destino. As opções sãobasic-nat-pt
, ,basic-nat44
,basic-nat66
,dnat-44
,dynamic-nat44
,napt-44
,napt-66
, ,napt-pt
,stateful-nat464
etwice-napt-44
stateful-nat64
twice-basic-nat-44
twice-dynamic-nat-44
.
Na Versão 13.2 do Junos OS e anteriores, a seguinte restrição não foi aplicada pela CLI: se a translation-type
declaração na then
declaração de uma regra de NAT foi definida, stateful-nat-64o intervalo especificado pela destination-address-range
declaração ou destination-prefix-list
na from
declaração precisava estar dentro do intervalo especificado pela destination-prefix
declaração na then
declaração. A partir do Junos OS Release 13.3R1, essa restrição é aplicada.
Configuração de tipos de tradução
Os detalhes de implementação das nove opções da declaração são os translation-type
seguintes:
basic-nat44
— Essa opção implementa a tradução estática de endereços IP de origem sem mapeamento de portas. Você deve configurar afrom source-address
declaração na condição de correspondência para a regra. O tamanho da faixa de endereço especificada na declaração deve ser o mesmo que ou menor que o pool de origem. Você deve especificar um pool de origem ou um prefixo de destino. O pool mencionado pode conter vários endereços, mas você não pode especificar portas para tradução.Nota:Em um conjunto de serviços de interface, todos os pacotes destinados ao endereço de origem especificado na condição de correspondência são automaticamente roteados para os serviços PIC, mesmo que nenhum conjunto de serviços esteja associado à interface.
Nota:Antes do Junos OS Release 11.4R3, você só poderia usar um pool de NAT de origem em um único conjunto de serviços. A partir do Junos OS Release 11.4R3 e versões subsequentes, você pode reutilizar um pool de NAT de origem em vários conjuntos de serviços.
basic-nat66
— Essa opção implementa a tradução estática de endereços IP de origem sem mapeamento de portas em redes IPv6. A configuração é semelhante àbasic-nat44
implementação, mas com endereços IPv6.A opção
basic-nat66
não estará disponível se você estiver usando MS-MPCs ou MS-MICs.basic-nat-pt
— Essa opção implementa a tradução de endereços de hosts IPv6, pois eles originam sessões para os hosts IPv4 em um domínio externo e vice-versa. Essa opção é sempre implementada com DNS ALG. Você deve definir os pools de origem e destino dos endereços IPv4. Você deve configurar uma regra e definir dois termos. Configure os endereços IPv6 nafrom
declaração em ambas asterm
declarações.then
Na declaração do primeiro termo dentro da regra, consulte os pools de origem e destino e configuredns-alg-prefix
. Configure o prefixo de origem nathen
declaração do segundo termo dentro da mesma regra.A opção
basic-nat-pt
não estará disponível se você estiver usando MS-MPCs ou MS-MICs.deterministic-napt44
— Essa opção implementa a alocação baseada em algoritmos de blocos de portas de destino e endereço IP. Isso garante que um endereço IP de entrada (fonte) e uma porta sempre mapeiem para o mesmo endereço IP e porta de destino, eliminando assim a necessidade do registro de tradução de endereços. Quando você usadeterministic-napt44
, você também deve usardeterministic-port-block-allocation
no nível de[edit services nat pool poolname port]
hierarquia.A opção
deterministic-napt44
é suportada em roteadores da série MX com MS-DPCs e roteadores da Série M com PICS ms-100, MS-400 e MS-500 multiservices. A opçãodeterministic-napt44
se você estiver usando roteadores da Série MX com MS-MPCs ou MS-MICs é suportada apenas no junos OS versão 14.2R7 e posteriores 14.2 versões e versão 15.1R3 e posteriores 15.1.dnat-44
— Essa opção implementa a tradução estática de endereços IP de destino sem mapeamento de portas. O tamanho do espaço de endereço da piscina deve ser maior ou igual ao espaço do endereço de destino. Você deve especificar um nome para adestination pool
declaração. O pool referenciado pode conter vários endereços, intervalos ou prefixos, desde que o número de endereços NAT no pool seja maior do que o número de endereços de destino nafrom
declaração. Você deve incluir exatamente umdestination-address
valor no nível de[edit services nat rule rule-name term term-name from]
hierarquia; se for um prefixo, o tamanho deve ser menor ou igual ao tamanho do prefixo do pool. Quaisquer endereços no pool que não sejam compatíveis com o valor permanecem não usados, pois um pool não pode ser compartilhado entre vários termos ou regras.dynamic-nat44
— Essa opção implementa a tradução dinâmica de endereços IP de origem sem mapeamento de portas. Você deve especificar umsource-pool
. O pool mencionado deve incluir uma configuraçãoaddress
(para tradução somente de endereço).A opção
dynamic-nat44
somente para endereços oferece suporte para traduzir até 16.777.216 endereços para um pool de tamanho menor. As solicitações da faixa de endereço de origem são atribuídas aos endereços no pool até que o pool seja usado, e quaisquer solicitações adicionais são recusadas. Um endereço NAT atribuído a um host é usado para todas as sessões simultâneas daquele host. O endereço só é liberado no pool após o término de todas as sessões para esse host. Esse recurso permite que o roteador compartilhe alguns endereços IP públicos entre vários hosts privados. Como todos os hosts privados podem não criar sessões simultaneamente, eles podem compartilhar alguns endereços IP públicos.napt-44
— Essa opção implementa a tradução dinâmica de endereços IP de origem com mapeamento de portas. Você deve especificar um nome para asource-pool
declaração. O pool mencionado deve incluir umaport
configuração. Se a porta estiver configurada como automática ou uma faixa de porta for especificada, isso implica que a tradução de porta de endereço de rede (NAPT) seja usada.napt-66
— Essa opção implementa a tradução dinâmica de endereços IP de origem com mapeamento de portas para endereços IPv6. A configuração é semelhante ànapt-44
implementação, mas com endereços IPv6.A opção
napt-66
não estará disponível se você estiver usando MS-MPCs ou MS-MICs.napt-pt
— Essa opção implementa a tradução dinâmica de endereços e portas para tradução estática e de origem do endereço IP de destino. Você deve especificar um nome para asource-pool
declaração. O pool referenciado deve incluir uma configuração de porta (para NAPT). Além disso, você deve configurar duas regras, uma para o tráfego DNS e outra para o resto do tráfego. A regra destinada ao tráfego de DNS deve ser habilitada para DNS ALG e adns-alg-prefix
declaração deve ser configurada. Além disso, o prefixo configurado nadns-alg-prefix
declaração deve ser usado na segunda regra para traduzir os endereços IPv6 de destino para endereços IPv4.A opção
napt-pt
não estará disponível se você estiver usando MS-MPCs ou MS-MICs.stateful-nat464
— Essa opção implementa a tradução de endereços 464XLAT Provider-Side Translater (PLAT) para endereços IP de origem e tradução de remoção de prefixo IPv6 para endereços IPv4 de destino. Você deve especificar os endereços IPv4 usados para tradução no nível de hierarquia [editar serviços nat pool]. Esse pool deve ser mencionado na regra que traduz os endereços IPv6 para IPv4.A opção
stateful-nat464
só estará disponível se você estiver usando MS-MPCs ou MS-MICs e tiver suporte a partir do Junos OS Release 17.1R1.stateful-nat64
— Essa opção implementa a tradução dinâmica de endereços e portas para endereços IP de origem e tradução de remoção de prefixo para endereços IP de destino. Você deve especificar os endereços IPv4 usados para tradução no nível de[edit services nat pool]
hierarquia. Esse pool deve ser mencionado na regra que traduz os endereços IPv6 para IPv4.twice-basic-nat-44
— Essa opção implementa a tradução estática de origem e destino estático para endereços IPv4, combinandobasic-nat44
assim para endereços de origem ednat-44
destino.A opção
twice-basic-nat-44
é compatível com MS-DPCs e MS-100, MS-400 e MS-500 MultiServices PICS. A opçãotwice-basic-nat-44
é compatível com MS-MPCs e MS-MICs a partir do Junos OS Release 15.1R1.twice-dynamic-nat-44
— Essa opção implementa a tradução estática de origem dinâmica e de destino para endereços IPv4, combinandodynamic-nat44
para endereços de origem ednat-44
destino.A opção
twice-dynamic-nat-44
é compatível com MS-DPCs e MS-100, MS-400 e MS-500 MultiServices PICS. A opçãotwice-dynamic-nat-44
é compatível com MS-MPCs e MS-MICs a partir do Junos OS Release 15.1R1.twice-napt-44
— Essa opção implementa o NAPT de origem e a tradução estática de destino para endereços IPv4, combinandonapt-44
para endereços de origem ednat-44
destino.A opção
twice-napt-44
é compatível com MS-DPCs e MS-100, MS-400 e MS-500 MultiServices PICS. A opçãotwice-napt-44
é compatível com MS-MPCs e MS-MICs a partir do Junos OS Release 15.1R1.
Para obter mais informações sobre os métodos NAT, consulte RFC 2663, Tradutor de endereços de rede IP (NAT) E considerações.
Configuração das regras de NAT para a passagem de IPsec para peers não-NAT-T
Antes do lançamento do Junos OS 17.4R1, o Network Address Translation-Traversal (NAT-T) não é compatível com o pacote Junos VPN Site Secure de recursos IPsec nos roteadores da Série MX. A partir do Junos OS Release 14.2R7, 15.1R5, 16.1R2 e 17.1R1, você pode passar pacotes IKEv1 e IPsec pelas regras NAPT-44 e NAT64 entre pares IPsec que não estão em conformidade com o NAT-T. Apenas o modo de túnel ESP é suportado. Esse recurso é suportado apenas em MS-MPCs e MS-MICs.
Para configurar as regras de NAT para aprovação IPsec para NAPT-44 ou NAT64:
Configure um aplicativo IKE ALG. Veja configuração das propriedades do aplicativo.
Adicione o aplicativo a um conjunto de aplicativos. Veja configuração de conjuntos de aplicativos.
Configure um pool de NAT. Veja a configuração de grupos de endereços e portas para a visão geral da tradução de endereços de rede.
Configure a regra do NAT:
Configure uma direção de correspondência para a regra. Veja configuração da direção de correspondência para as regras do NAT.
Configure uma das condições correspondentes para ser o conjunto de aplicativos para a passagem de IKE e IPsec que você configurou na Etapa 2.
[edit services nat rule rule-name term term-name from] user@host# set application-sets set-name
Configure outras condições de correspondência. Veja configuração das condições de correspondência nas regras do NAT.
Configure o tipo de tradução como NAPT-44 ou NAT64.
[edit services nat rule rule-name term term-name then translated] user@host# set translation-type (napt-44 | stateful-nat64)
Configure outras ações de NAT. Veja a configuração de ações nas regras do NAT.
Atribua a regra de NAT a um conjunto de serviços.
[edit services] user@host# set service-set service-set-name nat-rules rule-name
Veja também
Proteção de dispositivos CGN contra ataques de negação de serviço (DOS)
Agora, você pode escolher opções de configuração que ajudam a evitar ou minimizar o efeito de tentativas de ataques de negação de serviço (DOS).
Mapeamento do comportamento de atualização
Antes da implementação das novas opções para configurar o comportamento de atualização de mapeamento de NAT, descrito neste tópico, uma conversa foi mantida viva quando os fluxos de entrada ou saída estavam ativos. Esse continua sendo o comportamento padrão. Agora você também pode especificar a atualização de mapeamento para apenas fluxos de entrada ou apenas fluxos de saída. Para configurar o comportamento de atualização do mapeamento, inclua a mapping-refresh (inbound | outbound | inbound-outbound)
declaração no nível de [edit services nat rule rule-name term term-name then translated secure-nat-mapping]
hierarquia.
Limite de fluxo de entrada EIF
Anteriormente. o número de conexões de entrada em um mapeamento EIF foi limitado apenas pelos fluxos máximos permitidos no sistema. Agora, você pode configurar o número de fluxos de entrada permitidos para um EIF. Para limitar o número de conexões de entrada em um mapeamento EIF, inclua a eif-flow-limit number-of-flows
declaração no nível de [edit services nat rule rule-name term term-name then translated secure-nat-mapping]
hierarquia.
Implementação de NAT de nível de operadora: melhores práticas
Os tópicos a seguir apresentam as melhores práticas para implementação de NAT de nível de operadora:
- Use a alocação de endereços round-robin ao usar o APP com o MS-DPC
- Use o recurso EIM apenas quando necessário
- Definir tamanhos de blocos de alocação de blocos de porta com base no número esperado de sessões de usuários
- Considerações ao alterar a configuração de alocação de blocos de porta em sistemas em execução
- Não alocar grupos de NAT que são maiores do que o necessário
- Configure o registro do sistema apenas para NAT quando necessário
- Limite o impacto de fragmentos de IP ausentes
- Não use configurações propensas a loops de roteamento de pacotes
- Tempo limite de inatividade
- Habilite o despejo no controle de fluxo
Use a alocação de endereços round-robin ao usar o APP com o MS-DPC
Se você estiver usando um MS-DPC e configurar o agrupamento de endereços em pares (APP) em uma regra de NAT, você deve usar a alocação de endereços redondos para o pool de NAT.
O recurso app mapeia um endereço IP privado para o mesmo endereço IP público em um pool de NAT para todas as sessões de NAT para esse endereço IP privado.
A alocação sequencial de endereços para grupos NAT é o padrão no MS-DPC e aloca todas as portas para um endereço IP público antes de atribuir o próximo endereço IP. A alocação sequencial, juntamente com o APP, pode resultar no mapeamento de vários hosts privados para o mesmo endereço IP público, resultando em esgotamento rápido de portas para um endereço IP público, enquanto outras portas ainda estão disponíveis nos endereços IP restantes no pool de NAT.
A alocação redonda, por outro lado, atribui o próximo endereço IP no pool de NAT ao próximo endereço IP privado que precisa de tradução, reduzindo a chance de que todas as portas para um endereço IP público estejam esgotadas.
Para obter mais informações sobre a alocação de endereços APP e round-robin, veja a configuração de grupos de endereços para a visão geral da porta de endereço de rede (NAPT).
O MS-MPC e o MS-MIC utilizam apenas a alocação de rodízio.
O exemplo a seguir mostra a alocação de endereços redondos.
[edit services] nat pool natpool-1 { port { automatic; } address-allocation round-robin; mapping-timeout 120; }
Use o recurso EIM apenas quando necessário
Não use mapeamento independente de endpoint (EIM) em termos de regra de NAT que incluam Junos ALGs. O EIM atribui o mesmo endereço e porta NAT externos para uma sessão específica de um host privado, mas adiciona sobrecarga de processamento. O EIM não oferece nenhum benefício para nenhum dos Junos ALGs, que já utilizam a funcionalidade usada pela EIM.
Habilite o EIM para aplicativos que reutilizam as portas de origem e contam com um dispositivo CGNAT para manter o mesmo mapeamento de endereços e portas para todo o tráfego enviado para destinos diferentes. Por exemplo, use o EIM para aplicativos de jogos de console, como Xbox e PS4 ou aplicativos que usam métodos unilaterais de correção de endereços autônomos (UNSAF). Veja (considerações IETF RFC 3424 IAB para fixação unilateral de endereços autônomos (UNSAF) em toda a tradução de endereços de rede).
Para obter mais informações sobre o EIM, veja a configuração de grupos de endereços para a visão geral da porta de endereço de rede (NAPT).
O exemplo a seguir usa o Junos SIP ALG na regra NAT para que o EIM não seja usado.
[edit services nat] rule natrule-1 { match-direction input; term1 { from { applications junos-sip; } } then { translated { source-pool natpool-3; translation-type { napt-44; } address-pooling paired; } } }
Definir tamanhos de blocos de alocação de blocos de porta com base no número esperado de sessões de usuários
Para alocação segura de blocos de porta e alocação determinística de blocos de porta, defina um tamanho de bloco de alocação de blocos de porta 2 a 4 vezes maior do que o número médio esperado de sessões ativas para um usuário. Por exemplo, se espera-se que o usuário tenha uma média de aproximadamente 200 a 250 sessões de NAT ativas, configurar o tamanho do bloco para 512 ou 1024 fornece uma alocação liberal.
Se você estiver implementando a alocação segura de blocos de porta usando a Série MX como um dispositivo NAT e não tiver certeza do seu perfil de usuário assinante e do perfil de tráfego, defina o tamanho do bloco de porta para 1024 se tiver endereços IP NAT suficientes para lidar com o número máximo estimado de assinantes privados. O número de endereços IP NAT vezes 62 dá a você o número de assinantes privados que podem ser tratados com um bloco de porta do tamanho de 1024 (há 62 blocos por endereço IP). Em seguida, monitore de perto o roteador da Série MX usando o show services nat pool detail
comando para determinar se o tamanho do bloco precisa ser alterado.
Tenha cuidado para não tornar o tamanho do bloco muito grande se o número de endereços IP que você pode alocar no pool de NAT for limitado. Criar um tamanho de bloco de porta que seja grande o suficiente para atribuir os blocos de forma eficiente aos seus assinantes pode fazer com que todos os blocos de porta sejam amarrados.
A alocação segura de blocos de porta aloca blocos de portas para um determinado usuário para NAT44 ou NAT64. A alocação segura de blocos de porta limita o número de mensagens de syslog gerando apenas um syslog por bloco de portas.
No entanto, a configuração incorreta do tamanho do bloco pode levar a um uso ineficiente de recursos de NAT ou a problemas de desempenho. Por exemplo, quando um usuário se conecta a um site que requer a criação de um número significativo de tomadas para uma única página HTML, um número correspondente de novas portas deve ser alocado. O tamanho do bloco de porta deve ser grande o suficiente para evitar a alocação contínua de novos blocos. Se o número de sessões simultâneas para um assinante privado exceder o número de portas disponíveis no bloco de porta ativo, os outros blocos de porta alocados ao assinante serão digitalizados para que as portas disponíveis sejam usadas ou um novo bloco seja alocado no pool de blocos gratuito para o assinante. A digitalização de blocos de porta alocados e a alocação de blocos adicionais podem resultar em atrasos na configuração de novas sessões e no carregamento de páginas web.
Para obter mais informações sobre a alocação de blocos de porta, consulte Configurando a alocação segura de blocos de porta e configurando o NAPT determinístico.
O exemplo a seguir define o tamanho do bloco de porta para 1024.
[edit services nat] pool natpool-1 { address-range low 192.0.2.0 high 192.0.2.10; port { automatic; secure-port-block-allocation { block-size 1024; max-blocks-per-user 8; active-block-timeout 300; } } mapping-timeout 300; }
Considerações ao alterar a configuração de alocação de blocos de porta em sistemas em execução
Antes de alterar a alocação segura de blocos de porta ou a configuração determinística de blocos de porta em um sistema em execução ao usar um MS-MPC ou MS-MIC, planeje uma interrupção rápida nas sessões de NAT. A mudança na configuração resulta na recriação de todas as sessões de NAT atuais.
Antes de alterar a configuração de alocação de blocos de porta em um sistema em execução ao usar um MS-DPC, planeje uma interrupção dos serviços. Após alterar a configuração, você deve reiniciar o MS-DPC ou, se isso não for possível, você deve desativar e reativar o conjunto de serviços.
As alterações na configuração de alocação de blocos de porta incluem:
Alterando qualquer configuração de PBA do pool de NAT.
Alterar um pool de NAT PBA para um pool NAT não PBA.
Alterar um pool de NAT não-PBA para um pool de NAT PBA.
Para obter mais informações sobre a configuração da alocação de blocos de porta, consulte Configurando a alocação segura de blocos de porta e configurando o NAPT determinístico.
Não alocar grupos de NAT que são maiores do que o necessário
MS-MPC e MS-MIC
Ao usar o NAPT44 como tipo de tradução com o MS-MIC ou MS-MPC, não configure grupos de NAT maiores do que o necessário para a taxa de sessão de pico, o que vincularia valiosos recursos IPv4. Cada conversa, também conhecida como sessão, inclui dois fluxos — um fluxo de entrada e saída. Cada conversa requer uma porta e cada endereço IP no pool tem uma faixa de porta 1024-65535 (64K), de modo que o tamanho do pool de NAT não precisa ser maior do que:
número máximo de conversas /64K
Ao usar o NAPT44 como tipo de tradução com o MS-MIC, recomendamos um tamanho máximo de pool de NAT de 128 endereços (uma rede /25).
Ao usar o NAPT44 como seu tipo de tradução com o MS-MPC, recomendamos um tamanho máximo de pool de NAT de 256 endereços (uma rede /24).
O tamanho máximo recomendado de grupo de NAT ao usar o NAPT-44 para um MS-MIC é de 128 endereços IP porque o MS-MIC oferece suporte a um máximo de 14 milhões de fluxos, ou 7 milhões de conversas, que exigem 7 milhões de portas. Um total de 7 milhões de portas estão disponíveis com 128 endereços IP, com cada endereço IP tendo uma faixa de portas de 1024-65535.
O tamanho máximo de pool de NAT recomendado para cada slot em um MS-MPC ao usar o NAPT-44 é de 256 endereços IP porque cada slot suporta um máximo de 30 milhões de fluxos, ou 15 milhões de conversas, que exigem 15 milhões de portas. Um total de 15 milhões de portas estão disponíveis com 256 endereços IP, com cada endereço IP tendo uma faixa de portas de 1024-65535.
Você pode usar pools maiores do que os valores recomendados, e pode esperar que as configurações que usam o recurso de alocação de blocos de porta (PBA) exijam pools maiores. Isso porque o PBA atribui blocos de portas a endereços IP privados, o que muda o modelo de eficiência do pool.
Para obter mais informações sobre a configuração de grupos NAT, consulte Configurando pools de endereços e portas para visão geral da tradução de endereços de rede.
MS-DPC
Ao usar o NAPT44 como tipo de tradução com o MS-DPC, não configure grupos de NAT maiores do que o necessário para a taxa de fluxo máxima, o que vincularia valiosos recursos IPv4. Cada conversa inclui dois fluxos (1 fluxo reverso para cada fluxo futuro). Cada conversa requer uma porta e cada endereço IP no pool tem uma faixa de porta 1024-65535 (64K), de modo que o tamanho do pool de NAT não precisa ser maior do que:
número máximo de conversas /64K
Ao usar o NAPT44 como tipo de tradução com o MS-DPC, não configure grupos de NAT com mais de 64 endereços (uma rede /26).
O tamanho máximo do pool de NAT para um MS-DPC é de 64 endereços IP porque o MS-DPC oferece suporte a um máximo de 8 milhões de fluxos, ou 4 milhões de conversas, o que requer um máximo de 4 milhões de portas. Um total de 4 milhões de portas estão disponíveis com 64 endereços IP, com cada endereço IP tendo uma faixa de portas de 1024-65535. Se APP, EIM e EIF estiverem habilitados, o MS-DPC oferece suporte a um máximo de 5,8 milhões de fluxos, ou 2,9 milhões de conversas, de modo que o tamanho máximo do pool de NAT seria menor.
Para obter mais informações sobre a configuração de grupos NAT, consulte Configurando pools de endereços e portas para visão geral da tradução de endereços de rede.
Configure o registro do sistema apenas para NAT quando necessário
Não habilite o registro do sistema por sessão para configurações seguras de alocação de blocos de porta.
Não habilite o registro do sistema para configurações de NAT determinísticas.
Habilite o registro do sistema no nível de conjunto de serviços e não no nível da interface de serviços quando possível.
Nas redes de produção, envie sempre as mensagens de log para um servidor de log externo do sistema. Isso evita adicionar carga de CPU ao mecanismo de roteamento, que ocorre quando as mensagens são registradas localmente.
Especifique a classe de log do sistema para restringir o registro à classe de aplicativos em que você está interessado.
Se você configurar o registro do sistema dentro de um termo de regra de NAT, use uma regra de firewall stateful para restringir o tráfego que atinge o termo de regra nat.
As mensagens de log do sistema podem afetar negativamente o desempenho da placa de serviços, dependendo da frequência de criação e exclusão das sessões. Todas as mensagens de log do sistema criadas pela placa de serviços exigem processamento de CPU no cartão de serviços, e as próprias mensagens de log do sistema constituem tráfego que é enviado por todo o roteador da Série MX e compete com o tráfego do usuário para alcançar o servidor de log externo.
A alocação segura de blocos de porta remove a necessidade de configurar logs por sessão, porque você conhece o tamanho do bloco e do bloco e pode obter as portas alocadas para cada usuário.
O NAT determinístico remove a necessidade de fazer login, pois todas as informações sobre alocação de portas podem ser deduzidas matematicamente.
O exemplo a seguir restringe o registro em eventos NAT e envia mensagens de log para o servidor de log externo 203.0.113.4
[edit services service-set S-SET-1] class { nat-logs; } syslog { host 203.0.113.4; }
Quando você configura o registro do sistema dentro de um termo de regra nat, todo o tráfego que entra no termo de regra NAT gera um log, o que pode causar registro excessivo. Isso pode resultar no limite da taxa de registro sendo alcançado, e você perderia logs de que precisa.
Para obter mais informações sobre a configuração do registro do sistema para NAT, consulte Configurando logs de sessão de NAT.
Limite o impacto de fragmentos de IP ausentes
Para a interface de serviços configurada para NAT, limite o impacto de fragmentos ausentes ou atrasados configurando o seguinte:
Número máximo de fragmentos para um pacote
Tempo máximo de espera por um fragmento ausente
Os fragmentos de IP recebidos pela placa de serviços configurada para NAT são buffered à medida que chegam. Isso permite uma verificação de integridade do pacote completamente remontado antes que o pacote seja processado pelo NAT. Fragmentos ausentes ou atrasados podem fazer com que os fragmentos já recebidos sejam mantidos até que o buffer interno esteja cheio e eles sejam liberados, resultando em sobrecarga de uso de CPU e encaminhamento de tráfego reduzido.
Configurar o número máximo de fragmentos que um pacote pode ter e limitar o tempo de espera por um fragmento ausente reduz a chance de o buffer interno ficar cheio.
O exemplo a seguir define o número máximo de fragmentos para 10 e o tempo máximo de espera para 3 segundos.
[edit interfaces ms-0/0/0] services-options { fragment-limit 10; reassembly-timeout 3; }
Não use configurações propensas a loops de roteamento de pacotes
Evite loops de roteamento de pacotes, garantindo que apenas o tráfego pretendido possa chegar à placa de serviços e ser processado pela regra NAT do conjunto de serviços. Você pode fazer isso:
Configurando um intervalo de endereço de origem sob a regra NAT quando possível.
Configuração de um filtro de firewall que aceita apenas o tráfego destinado a ser atendido pela regra NAT em um conjunto de serviços no estilo next-hop.
O looping de pacotes entre o Mecanismo de encaminhamento de pacotes e a placa de serviços resulta em uma alta utilização persistente de CPU na placa de serviços. O looping de pacotes pode ser causado pelo cartão de serviços que recebe tráfego de uma rede privada inesperada. Quando o tráfego inesperado é processado pelo NAT, um pinhole é criado, e no caso do EIF muitos pinholes podem ser criados. Esses pinholes causam loops de roteamento se o tráfego de retorno voltar pela placa de serviços.
O exemplo a seguir mostra um filtro de firewall que só permite que o tráfego a partir de 198.51.100.0/24 atinja a interface de serviços ms-1/0/0, que é a interface interna para um conjunto de serviços de próximo salto.
[edit firewall filter to_be_serviced] term 1 { from } address { } 198.51.100.0/24; } then accept; } term 2 { then disard; } [edit interfaces ms-1/0/0] unit 1 { family intet { filter { output to_be_serviced; } } service-domain inside; }
Para obter mais informações sobre a configuração de filtros de firewall, consulte as políticas de roteamento, filtros de firewall e o guia de usuário dos policiais de tráfego.
O exemplo a seguir mostra uma regra de NAT que processa apenas o tráfego a partir de 198.51.100.0/24 (outro tráfego chega à interface de serviços, mas não é processado).
[edit services nat] rule rule_1 { match-direction input; term t1 { from { source-address { 198.51.100.0/24; } } then { translated { source-pool pool1; translation-type { napt-44; } } } } }
Para obter mais informações sobre a configuração das regras de NAT, consulte a visão geral das regras de tradução de endereços de rede.
Tempo limite de inatividade
Defina o tempo limite de inatividade apenas para aplicativos definidos pelo usuário que poderiam exigir que o mapeamento de sessão de NAT permaneça na memória por mais tempo do que o tempo de inatividade de NAT padrão de 30 segundos. Por exemplo, um aplicativo bancário HTTP ou HTTPS pode exigir mais de 30 segundos de inatividade porque o usuário deve inserir dados.
Antes de fazer alterações nos tempoouts de inatividade existentes, execute os seguintes comandos várias vezes durante as horas de pico. Em seguida, execute os comandos após fazer as alterações e verifique se as mudanças não estão deixando de ser o roteador da Série MX de recursos de NAT ou a placa de serviços de memória.
O exemplo a seguir mostra o tempo limite de inatividade sendo definido para 1800 segundos para aplicativos HTTPS e HTTP.
[edit applications] application https { inactivity-timeout 1800; destination-port 443; protocol tcp; } application http { inactivity-timeout 1800; destination-port 443; protocol tcp; }
Para obter mais informações sobre a configuração de aplicativos definidos pelo usuário, consulte Configurando propriedades de aplicativos.
Você precisa avaliar os riscos de definir tempoouts de alta inatividade para todo o tráfego. Embora o tempo de inatividade de NAT padrão de 30 segundos possa ser muito baixo para alguns aplicativos definidos pelo usuário, definir um valor de tempo limite muito alto pode vincular os recursos de NAT. Por exemplo, definir valores de tempo limite de inatividade elevados pode vincular qualquer sessão de TCP que esteja inativa apenas alguns minutos após sua criação. Se a sessão de TCP não for fechada de forma limpa por uma FIN ou RST pelo cliente ou servidor, a sessão ficará na memória e vinculará os recursos de NAT atribuídos a ele até que o valor do intervalo expira.
Definir maiores tempoouts de inatividade que impactam todas as portas UDP e TCP pode ser perigoso, especialmente com tráfego UDP como DNS. Ao contrário do TCP, o UDP não tem como terminar uma sessão além de cronometrar, então todas as sessões de UDP permaneceriam ativas pelo valor total do tempo de inatividade.
O exemplo a seguir não é uma configuração recomendada porque define altos valores de tempo limite de inatividade para todo o tráfego TCP e UDP.
[edit applications] application UDP-All { protocol UDP; source-port 1-65535; inactivity-timeout 3600; } application TCP-All { protocol TCP; source-port 1-65535; inactivity-timeout 3600; }
Não temos valores específicos de tempo limite de inatividade recomendados. Os valores de tempo limite de inatividade adequados dependem de vários fatores, incluindo:
Quais aplicativos são usados na rede de um usuário final
Por exemplo, a Apple afirmou que um tempo de inatividade de 60 minutos é necessário para os seguintes serviços Apple, que exigem uma longa vida útil de conexão:
Apple Push Services: porta TCP de entrada 5223
Exchange Active Sync: porta TCP de entrada 443
MobileMe: portas TCP de entrada 5222 e 5223
Como a solução NAT está sendo usada, por exemplo, como um dispositivo GI NAT ou como um roteador de borda empresarial
Quão grandes são seus pools de NAT
Quanto tráfego cada placa de serviço recebe durante as cargas de pico
Quanta memória você tem disponível
Habilite o despejo no controle de fluxo
Habilite a opção de dump-on-flow-control para qualquer placa de serviço que esteja processando o tráfego NAT em uma rede de produção. Essa opção detecta quando uma placa de serviços é bloqueada, escreve um despejo de núcleo que a Juniper Networks pode analisar para determinar por que o cartão está bloqueado e recupera a placa de serviços reiniciando-a.
Para o MS-MIC e o MS-MPC, defina a opção de despejo no controle de fluxo sob a interface do pc, que é usada para enviar tráfego de controle do Mecanismo de Roteamento para a placa de serviços. O exemplo a seguir mostra a configuração se a interface de serviços for ms-2/1/0.
[edit interfaces pc-2/1/0] multiservice-options { flow-control-options { dump-on-flow-control; } }
Para o MS-DPC, defina a opção de controle de despejo no fluxo sob a interface sp. O exemplo a seguir mostra a configuração se a interface de serviços for sp-2/1/0.
[edit interfaces sp-2/1/0] multiservice-options { flow-control-options { dump-on-flow-control; } }
Veja também
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.
limit-ports-per-address
declaração é compatível.