Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Visão geral da Network Address Translation na Série ACX

Visão geral da Network Address Translation na Série ACX

Network Address Translation (NAT) é um método para modificar ou traduzir informações de endereços de rede em cabeçalhos de pacotes. Um ou ambos os endereços de origem e destino em um pacote podem ser traduzidos. O NAT pode incluir a tradução de números de porta, bem como endereços IP.

O NAT é descrito no RFC 1631 para resolver problemas de esgotamento de endereço IP (versão 4). O NAT foi considerado uma ferramenta útil para firewalls, redirecionamento de tráfego, compartilhamento de carga, migrações de rede e assim por diante.

Observação:

Nos roteadores da Série ACX, o NAT é suportado apenas no roteador alimentado por CA ACX1100 e nos roteadores ACX500 para serviços NAT e IPsec em linha. O roteador alimentado por CA ACX1100 suporta apenas NAT de origem para pacotes IPv4. No momento, não há suporte para tipos de NAT estáticos e dinâmicos. O Encadeamento de serviços (GRE, NAT e IPSec) em roteadores ACX1100-AC e ACX500 não é suportado.

É necessária uma licença para habilitar serviços em linha em roteadores ACX500.
Observação:

ACX5048 e roteadores ACX5096 não suportam configurações NAT.

O NAT de origem é a tradução do endereço IP de origem de um pacote que sai do roteador. O NAT de origem é usado para permitir que hosts com endereços IP privados acessem uma rede pública.

O NAT de origem permite que as conexões sejam iniciadas apenas para conexões de rede de saída, por exemplo, de uma rede privada para a Internet. O NAT de origem é comumente usado para:

  • Converta um único endereço IP em outro endereço (por exemplo, para fornecer acesso à Internet a um único dispositivo em uma rede privada).

  • Converta um bloco contíguo de endereços em outro bloco de endereços do mesmo tamanho.

  • Converta um bloco contíguo de endereços em outro bloco de endereços de tamanho menor.

  • Traduza um bloco contíguo de endereços em um único endereço IP ou em um bloco menor de endereços usando a conversão de portas.

  • Converta um bloco contíguo de endereços para o endereço da interface de saída.

Veja também

Visão geral da tradução de porta de endereço de rede

A Network Address Port Translation (NAPT) é um método pelo qual muitos endereços de rede e suas portas TCP/UDP são convertidos em um único endereço de rede e suas portas TCP/UDP. Essa conversão pode ser configurada em redes IPv4 e IPv6.

Nos roteadores da Série ACX, você pode ter até 4.096 traduções de endereços de rede por vez.

Veja também

Network Address Translation Sobrecarga de endereços na Série ACX

Os serviços NAT nos roteadores da Série ACX permitem que os endereços da interface Junos OS sejam compartilhados com um pool NAPT. Esse recurso de compartilhar o mesmo endereço/porta entre o pool NAPT e o Junos OS é denominado como sobrecarga de endereço.

Para alcançar a sobrecarga de endereços, o endereço IPv4 disponível ou o intervalo de portas de 1 a 65.536 endereços é particionado entre o Junos OS e o NAT, conforme mostrado abaixo:

  • Junos OS — 1 a 49.159 endereços.

  • Pool de NAPT — 49.160 a 53.255 endereços.

  • Junos OS — 53.255 a 65.535 endereços.

O número de portas reservadas para o pool NAPT com recurso de sobrecarga de endereço é 4096.

Para habilitar a sobrecarga de endereço, inclua a address-overload instrução e a interface instrução no nível da [edit services nat pool nat-pool-name] hierarquia.

A address-overload declaração permite o compartilhamento de endereço IPv4 entre o Junos OS e o pool NAT. Junto com a address-overload declaração, você também deve especificar a interface declaração para que o primeiro endereço IPv4 ou porta disponível da interface seja selecionado para o pool NAT.

Você pode configurar o recurso de sobrecarga de endereço das seguintes maneiras:

  • Configure uma interface junto com a declaração, address-overload conforme mostrado no exemplo a seguir.

    Nesse caso, o endereço principal na interface é escolhido para o pool NAT.

  • Configure diretamente um endereço /32, conforme mostrado no exemplo a seguir:

A interface declaração permite o compartilhamento do endereço da interface IPv4 com o pool NAT junto com o intervalo de portas especificado no pool.

Veja também

Restrições de Network Address Translation no ACX

Você deve considerar as seguintes restrições ao configurar a Network Address Translation (NAT) em roteadores da Série ACX:

  • Quando uma porta é definida em um pool NAT, você pode configurar apenas um endereço ou um intervalo de endereços no pool.

  • Os roteadores da Série ACX são compatíveis nat-rules com match-direction as input. match-direction As output não é suportado.

  • Quando você especifica um intervalo de endereços ou um prefixo de endereço em um pool NAT, o número máximo de endereços com suporte é 65.535. Os roteadores da Série ACX oferecem suporte a até 4.096 traduções de endereços de rede por vez.

  • O número máximo de conjuntos de serviços que podem ser configurados é 2.

  • Em um termo de regra NAT, a from cláusula pode conter no máximo 4 endereços correspondentes.

  • Os termos máximos permitidos por regra NAT são 4.

  • O máximo de regras NAT por conjunto de serviços permitido é 2.

Veja também

Habilitação da interface de serviços em linha na Série ACX

A interface de serviços em linha é uma interface virtual que reside no Mecanismo de Encaminhamento de Pacotes. A si- interface possibilita fornecer serviços NAT e IPsec sem usar um PIC de serviços especiais.

Para configurar a interface de serviços em linha, você define a interface de serviço como tipo si- (service-inline). Você também deve reservar largura de banda adequada para a interface de serviços em linha. Isso permite que você configure conjuntos de serviços de interface ou next-hop usados para serviços NAT e IPsec.

Observação:

Nos roteadores da Série ACX, você pode configurar apenas uma interface de serviços em linha como uma interface âncora para sessões NAT e IPsec: si-0/0/0.
Observação:

Nos roteadores da Série ACX, apenas os roteadores ACX1100-AC e ACX500 oferecem suporte a serviços IPsec. Os roteadores da Série ACX suportam apenas NAT básico.

Para habilitar a interface de serviços em linha:

  1. Acesse um slot gerenciado por FPC e o PIC em que a interface deve ser habilitada.
  2. Habilite a interface e especifique a quantidade de largura de banda reservada em cada Mecanismo de Encaminhamento de Pacotes para o tráfego de túneis que usa serviços em linha.

Veja também