Visão geral da tradução de endereços de rede na Série ACX
Visão geral da tradução de endereços de rede na Série ACX
A tradução de endereços de rede (NAT) é um método para modificar ou traduzir informações de endereço de rede em cabeçalhos de pacotes. Tanto os endereços de origem quanto de destino em um pacote podem ser traduzidos. O NAT pode incluir a tradução de números de porta, bem como endereços IP.
O NAT é descrito no RFC 1631 para resolver problemas de IP (versão 4) de esgotamento. O NAT foi considerado uma ferramenta útil para firewalls, redirecionamento de tráfego, compartilhamento de carga, migrações de rede e assim por diante.
Nos roteadores da Série ACX, o NAT é suportado apenas nos roteadores ACX1100 e ACX500 para serviços NAT em linha e IPsec em linha. O roteador alimentado por ACX1100 oferece suporte apenas a NAT de origem para pacotes IPv4. Atualmente, os tipos de NAT estáticos e dinâmicos não são suportados. O encadeamento de serviços (GRE, NAT e IPSec) nos roteadores ACX1100-AC e ACX500 não tem suporte.
É necessária uma licença para habilitar serviços em linha em roteadores ACX500.
Os roteadores ACX5048 e ACX5096 não oferecem suporte a configurações NAT.
NAT de origem é a tradução do endereço IP de origem de um pacote que sai do roteador. O NAT de origem é usado para permitir que hosts com endereços IP privados acessem uma rede pública.
O NAT de origem permite que as conexões sejam iniciadas apenas para conexões de rede de saída , por exemplo, de uma rede privada à Internet. O NAT de origem é comumente usado para:
Traduza um único endereço IP para outro endereço (por exemplo, para fornecer um único dispositivo em uma rede privada com acesso à Internet).
Traduza um bloco contíguo de endereços para outro bloco de endereços do mesmo tamanho.
Traduza um bloco contíguo de endereços para outro bloco de endereços de menor tamanho.
Traduza um bloco contíguo de endereços para um único endereço IP ou um bloco menor de endereços usando a tradução de portas.
Traduza um bloco contíguo de endereços para o endereço da interface de saída.
Veja também
Visão geral da tradução da porta de endereço de rede
Network Address Port Translation (NAPT) é um método pelo qual muitos endereços de rede e suas portas TCP/UDP são traduzidos em um único endereço de rede e suas portas TCP/UDP. Essa tradução pode ser configurada em redes IPv4 e IPv6.
Nos roteadores da Série ACX, você pode ter até 4096 traduções de endereço de rede por vez.
Veja também
Sobrecarga de endereço de endereço de rede na Série ACX
Os serviços NAT nos roteadores da Série ACX permitem que os endereços de interface do Junos OS sejam compartilhados com um pool NAPT. Esse recurso de compartilhar o mesmo endereço/porta entre o pool NAPT e o Junos OS é chamado de sobrecarga de endereço.
Para alcançar sobrecarga de endereços, o endereço ou a faixa de porta IPv4 disponível de 1 a 65.536 endereços é dividido entre o Junos OS e o NAT, conforme mostrado abaixo:
Junos OS — de 1 a 49.159 endereços.
Pool NAPT — de 49.160 a 53.255 endereços.
Junos OS — 53.255 a 65.535 endereços.
O número de portas reservadas para pool NAPT com recurso de sobrecarga de endereço é 4096.
Para habilitar a sobrecarga de endereço, inclua a address-overload
declaração e a interface
declaração no nível de [edit services nat pool nat-pool-name]
hierarquia.
A address-overload
declaração permite o compartilhamento de endereço IPv4 entre o Junos OS e o pool NAT. Juntamente com a address-overload
declaração, você também deve especificar a interface
declaração para que o primeiro endereço ou porta IPv4 disponível da interface seja captado para o pool NAT.
Você pode configurar o recurso de sobrecarga de endereço das seguintes maneiras:
Configure uma interface junto com a
address-overload
declaração como mostrado no exemplo a seguir.pool p3 { address-overload; interface ge-0/0/1.0; port { range low 49160 high 53255; } }
Nesse caso, o endereço principal da interface é escolhido para o pool NAT.
Configure diretamente um endereço /32 conforme mostrado no exemplo a seguir:
pool p4 { address-overload; address 45.0.0.1/32; port { range low 49160 high 53255; } }
A interface
declaração permite o compartilhamento de endereço de interface IPv4 com o pool NAT, juntamente com a faixa de porta especificada no pool.
Veja também
Restrições de tradução de endereços de rede no ACX
Você deve considerar as seguintes restrições ao configurar a tradução de endereços de rede (NAT) nos roteadores da Série ACX:
Quando uma porta é definida em um pool NAT, você pode configurar apenas um endereço ou uma faixa de endereço no pool.
Os roteadores
nat-rules
match-direction
da Série ACX suportam como input.match-direction
como output não é suportado.Quando você especifica uma faixa de endereço ou um prefixo de endereço em um pool NAT, o número máximo de endereços suportados é de 65.535. Os roteadores da Série ACX oferecem suporte a até 4096 traduções de endereços de rede por vez.
O número máximo de conjuntos de serviços que podem ser configurados é 2.
Em um termo de regra nat, a
from
cláusula pode conter um máximo de 4 endereços correspondentes.Os termos máximos por regra NAT permitidos são 4.
As regras de NAT máximas por conjunto de serviços permitidas são 2.
Veja também
Ativação da interface de serviços em linha na Série ACX
A interface de serviços em linha é uma interface virtual que reside no Mecanismo de Encaminhamento de Pacotes. A si-
interface torna possível fornecer serviços NAT e IPsec sem usar um PIC de serviços especiais.
Para configurar a interface de serviços em linha, você define a interface de serviço como tipo si-
(serviço em linha). Você também deve reservar largura de banda adequada para a interface de serviços em linha. Isso permite configurar conjuntos de serviços de interface ou next-hop usados para serviços NAT e IPsec.
Nos roteadores da Série ACX, você pode configurar apenas uma interface de serviços em linha como uma interface âncora para sessões NAT e IPsec: si-0/0/0/0.
Nos roteadores da Série ACX, apenas roteadores ACX1100-AC e ACX500 oferecem suporte a serviços IPsec. Os roteadores da Série ACX oferecem suporte apenas a NAT básico.
Para habilitar a interface de serviços em linha: