Visão geral da tradução de endereços de rede
Visão geral de endereçamento de rede consciente do Junos
O Junos Address Aware Network Addressing oferece funcionalidade de tradução de endereços de rede (NAT) para traduzir endereços IP. Isso é particularmente importante porque a Autoridade de Números Atribuídos à Internet (IANA) destinou o último grande bloco de endereços IPv4 no início de 2011.
Este tópico inclui as seguintes seções:
- Benefícios do NAT
- Visão geral do conceito e das instalações do NAT
- NAT básico IPv4-to-IPv4
- NAPT determinístico
- NAT de destino estático
- NAT duas vezes
- IPv6 NAT
- Suporte para gateway de nível de aplicativo (ALG)
- NAT-PT com DNS ALG
- NAT dinâmico
- Stateful NAT64
- 464XLAT
- Dual-Stack Lite
- Suporte para a placa de linha com endereçamento de rede consciente do Junos
Benefícios do NAT
O NAT oferece suporte a uma ampla variedade de metas de rede, incluindo:
Ocultar um conjunto de endereços de host em uma rede privada atrás de um pool de endereços públicos para proteger os endereços do host contra alvos diretos em ataques de rede e evitar o esgotamento de endereços IPv4
Fornecendo as ferramentas para a transição para o IPv6 com base em requisitos de negócios e para garantir o crescimento ininterrupto de assinantes e serviços
Fornecendo coexistência IPv4-IPv6
Visão geral do conceito e das instalações do NAT
O Junos Address Aware Network Addressing oferece NAT de nível de operadora (CGN) para redes IPv4 e IPv6, e facilita o trânsito de tráfego entre diferentes tipos de redes.
O Junos Address Aware Network Addressing oferece suporte a um conjunto diversificado de opções de tradução de NAT:
Tradução de origem estática — permite que você ocultar uma rede privada. Ele apresenta um mapeamento único entre o endereço original e o endereço traduzido; o mapeamento está configurado estaticamente. Para obter mais informações, veja NAT básico .
NAPT determinístico — elimina a necessidade de registro de tradução de endereços, garantindo que o endereço e a porta IPv4 ou IPv6 de origem originais sempre mapeiem o mesmo endereço e intervalo de porta IPv4 pós-NAT.
Tradução de fonte dinâmica — Inclui duas opções: tradução dinâmica de fonte somente de endereço e tradução de porta de endereço de rede (NAPT):
Tradução de origem dinâmica somente para endereços: mdash; Um endereço NAT é captado dinamicamente em um pool de NAT de origem e o mapeamento do endereço de origem original para o endereço traduzido é mantido desde que haja pelo menos um fluxo ativo que use esse mapeamento. Para obter mais informações, veja NAT dinâmico.
NAPT — Tanto o endereço original quanto a porta de origem são traduzidos. O endereço e a porta traduzidos são recolhidos no pool NAT correspondente. Para obter mais informações, veja NAPT .
Tradução de destino estática — permite que você torne os servidores privados selecionados acessíveis. Ele apresenta um mapeamento único entre o endereço traduzido e o endereço de destino; o mapeamento está configurado estaticamente. Para obter mais informações, veja NAT de destino estático.
Tradução de protocolo — permite que você atribua endereços de um pool em uma base estática ou dinâmica à medida que as sessões são iniciadas nos limites do IPv4 ou IPv6. Para obter mais informações, veja Configuração de NAT-PT, NAT-PT com DNS ALG e NAT64 stateful.
Encapsulamento de pacotes IPv4 em pacotes IPv6 usando softwires — permite que os pacotes viajem por softwires até um endpoint NAT de nível de operadora, onde passam por processamento de NAT de origem para ocultar o endereço de origem original. Para obter mais informações, veja serviços de tunelamento para visão geral da transição IPv4-to-IPv6.
O junos Address Aware Network Addressing oferece suporte à funcionalidade NAT descrita em RFCs IETF e rascunhos de Internet, como mostrado em " Padrões NAT e SIP suportados" em referência aos padrões.
Nem todos os tipos de NAT são suportados em todos os tipos de interface. Veja a comparação de recursos nat de nível de operadora para Junos Address Aware por tipo de placa de interface, que lista recursos disponíveis em interfaces suportadas.
NAT básico IPv4-to-IPv4
A tradução básica de endereços de rede ou NAT básico é um método pelo qual os endereços IP são mapeados de um grupo para outro, transparente para os usuários finais. A tradução de porta de endereço de rede ou NAPT é um método pelo qual muitos endereços de rede e suas portas TCP/UDP são traduzidos em um único endereço de rede e suas portas TCP/UDP. Juntas, essas duas operações, conhecidas como NAT tradicional, fornecem um mecanismo para conectar um reino com endereços privados a um reino externo com endereços registrados globalmente únicos.
O NAT tradicional, especificado no RFC 3022, Tradutor de endereços de rede IP tradicional, é totalmente suportado pelo Junos Address Aware Network Addressing. Além disso, o NAPT é compatível com endereços de origem.
NAT básico
Com o NAT básico, um bloco de endereços externos é reservado para traduzir endereços de hosts em um domínio privado, pois eles originam sessões para o domínio externo. Para pacotes que saem da rede privada, o NAT básico traduz endereços IP de origem e campos relacionados, como IP, TCP, UDP e checkums de cabeçalho do ICMP. Para pacotes de entrada, o NAT básico traduz o endereço IP de destino e os checksums listados acima.
O hairpinning é compatível com o NAT básico.
NAPT
Use o NAPT para permitir que os componentes da rede privada compartilhem um único endereço externo. O NAPT traduz o identificador de transporte (por exemplo, número de porta TCP, número de porta UDP ou ID de consulta de ICMP) da rede privada em um único endereço externo. O NAPT pode ser combinado com o NAT básico para usar um pool de endereços externos em conjunto com a tradução de portas.
Para pacotes de saída da rede privada, o NAPT traduz o endereço IP de origem, identificador de transporte de origem (porta TCP/UDP ou ID de consulta de ICMP), e campos relacionados, como IP, TCP, UDP e checkums de cabeçalho do ICMP. Para pacotes de entrada, o NAPT traduz o endereço IP de destino, o identificador de transporte de destino e os checksums de cabeçalho de IP e transporte.
Nos roteadores da Série MX com MS-MICs e MS-MPCs, se você configurar uma regra NAT NAPT44 e o endereço IP de origem de um pacote falsificado for igual ao pool de NAT e a condição de correspondência da regra nat falhar, o pacote será continuamente em loop entre os serviços PIC e o Mecanismo de encaminhamento de pacotes. Recomendamos que você libere a sessão manualmente e crie um filtro para bloquear a spoofing de IP do grupo NAT em tais condições.
O hairpinning é compatível com o NAPT.
NAPT determinístico
Use o NAPT44 determinístico para garantir que o endereço E a porta IPv4 de origem original sempre mapeiem para o mesmo endereço e alcance de porta IPv4 pós-NAT, e que o mapeamento reverso de um determinado endereço e porta IPv4 externos traduzidos sejam sempre mapeados para o mesmo endereço IP interno. Isso elimina a necessidade de registro de tradução de endereços. A partir do Junos OS Release 17.4R1, o NAPT64 determinístico é suportado no MS-MPC e MS-MIC. O NAPT64 determinístico garante que o endereço e a porta IPv6 de origem original sempre mapeiem para o mesmo endereço e alcance de porta IPv4 pós-NAT, e que o mapeamento reverso de um determinado endereço e porta IPv4 externos traduzidos são sempre mapeados para o mesmo endereço IPv6 interno.
NAT de destino estático
Use o NAT de destino estático para traduzir o endereço de destino para tráfego externo para um endereço especificado em um pool de destino. O pool de destino contém um endereço e nenhuma configuração de porta.
Para obter mais informações sobre NAT de destino estático, consulte RFC 2663, Ip Network Address Translator (NAT) E Considerações.
NAT duas vezes
Em Duas Vezes NAT, os endereços de origem e destino estão sujeitos à tradução à medida que os pacotes atravessam o roteador NAT. As informações de origem a serem traduzidas podem ser apenas endereço ou endereço e porta. Por exemplo, você usaria o NAT duas vezes quando estiver conectando duas redes em que todos ou alguns endereços em uma rede se sobrepõem a endereços em outra rede (seja a rede privada ou pública). No NAT tradicional, apenas um dos endereços é traduzido.
Para configurar o NAT duas vezes, você deve especificar tanto um endereço de destino quanto um endereço de origem para o tipo de direção de correspondência, pool ou prefixo e tradução.
Você pode configurar gateways de nível de aplicativo (ALGs) para ICMP e rastrear sob regras de firewall stateful, NAT ou classe de serviço (CoS) quando o NAT duas vezes estiver configurado no mesmo conjunto de serviços. Essas ALGs não podem ser aplicadas a fluxos criados pelo Protocolo de Controle de Gateway de Pacotes (PGCP). O NAT duas vezes não oferece suporte a outras ALGs. Por padrão, o recurso Twice NAT pode afetar cabeçalhos de IP, TCP e UDP incorporados na carga de mensagens de erro do ICMP.
O NAT duas vezes, especificado na RFC 2663, O Tradutor de endereços de rede IP (NAT) E considerações, é totalmente suportado pelo Junos Address Aware Network Addressing.
IPv6 NAT
O IPv6-to-IPv6 NAT (NAT66), definido no rascunho da Internet draft-mrw-behave-nat66-01, IPv6-to-IPv6 Network Address Translation (NAT66), é totalmente suportado pelo Junos Address Aware Network Addressing.
Suporte para gateway de nível de aplicativo (ALG)
O junos Address Aware Network Addressing oferece suporte a várias ALGs. Você pode usar as regras de NAT para filtrar o tráfego de entrada com base em ALGS. Para obter mais informações, veja a visão geral das regras de tradução de endereços de rede.
NAT-PT com DNS ALG
O NAT-PT e o Domain Name System (DNS) ALG são usados para facilitar a comunicação entre hosts IPv6 e hosts IPv4. Usando um pool de endereços IPv4, o NAT-PT atribui endereços desse pool a nós IPv6 de forma dinâmica à medida que as sessões são iniciadas nos limites IPv4 ou IPv6. As sessões de entrada e saída devem percorrer o mesmo roteador NAT-PT para que ele possa acompanhar essas sessões. RFC 2766, Tradução de endereços de rede — Tradução de protocolo (NAT-PT), recomenda o uso do NAT-PT para tradução entre nós somente IPv6 e nós somente IPv4, e não para tradução IPv6-to-IPv6 entre nós IPv6 ou tradução IPv4-to-IPv4 entre nós IPv4.
DNS é um sistema de nomenclatura hierárquico distribuído para computadores, serviços ou qualquer recurso conectado à Internet ou a uma rede privada. O DNS ALG é um agente específico de aplicação que permite que um nó IPv6 se comunique com um nó IPv4 e vice-versa.
Quando o DNS ALG é empregado com NAT-PT, o DNS ALG traduz endereços IPv6 em consultas de DNS e respostas aos endereços IPv4 correspondentes e vice-versa. Os mapeamentos de nome para endereço IPv4 são realizados no DNS com consultas "A". Os mapeamentos de nome para endereço IPv6 são realizados no DNS com consultas "AAAA".
Para consultas de DNS IPv6, use a do-not-translate-AAAA-query-to-A-query declaração no nível de [edit applications application application-name] hierarquia.
NAT dinâmico
O fluxo de NAT dinâmico é mostrado na Figura 1.
de NAT dinâmico
Com NAT dinâmico, você pode mapear um endereço IP privado (fonte) para um endereço IP público que extrai de um pool de endereços IP registrados (públicos). Os endereços NAT do pool são atribuídos dinamicamente. Atribuir endereços dinamicamente também permite que alguns endereços IP públicos sejam usados por vários hosts privados, em contraste com um pool de tamanho igual exigido pelo NAT estático de origem.
Para obter mais informações sobre a tradução dinâmica de endereços, consulte RFC 2663, IP Network Address Translator (NAT) E Considerações.
Stateful NAT64
O fluxo STATEFUL NAT64 é mostrado na Figura 2.
STATEFUL NAT64
O NAT64 stateful é um mecanismo para migrar para uma rede IPv6 e, ao mesmo tempo, lidar com o esgotamento de endereços IPv4. Ao permitir que clientes somente IPv6 entrem em contato com servidores IPv4 usando UDP unicast, TCP ou ICMP, vários clientes somente de IPv6 podem compartilhar o mesmo endereço de servidor IPv4 público. Para permitir o compartilhamento do endereço do servidor IPv4, o NAT64 traduz os pacotes IPv6 de entrada em IPv4 (e vice-versa).
Quando o NAT64 stateful é usado em conjunto com o DNS64, normalmente não são necessárias alterações no cliente IPv6 ou no servidor IPv4. O DNS64 está fora do escopo deste documento porque normalmente é implementado como um aprimoramento para servidores DNS atualmente implantados.
O NAT64 stateful, especificado na RFC 6146, Stateful NAT64: Endereço de rede e tradução de protocolo de clientes IPv6 para servidores IPv4, é totalmente suportado pelo Junos Address Aware Network Addressing.
464XLAT
A partir do Junos OS Release 17.1R1, você pode configurar um 464XLAT Provider-Side Translater (PLAT). Isso é suportado apenas em MS-MICs e MS-MPCs. O 464XLAT oferece uma técnica simples e escalável para um cliente IPv4 com endereço privado para se conectar a um host IPv4 em uma rede IPv6. O 464XLAT só suporta o IPv4 no modelo cliente-servidor, de modo que ele não oferece suporte à comunicação peer-to-peer IPv4 ou conexões IPv4 de entrada.
Um tradutor do lado do cliente (CLAT), que não é um produto da Juniper Networks, traduz o pacote IPv4 para IPv6 incorporando os endereços de origem e destino IPv4 em prefixos IPv6/96 e envia o pacote por uma rede IPv6 para o PLAT. O PLAT traduz o pacote para IPv4 e envia o pacote para o host IPv4 em uma rede IPv4 (ver Figura 3).
464XLAT
XLAT464 oferece as vantagens de não precisar manter uma rede IPv4 e não precisar atribuir endereços IPv4 públicos adicionais.
O CLAT pode residir no dispositivo móvel do usuário final em uma rede móvel somente IPv6, permitindo que os provedores de rede móvel implementem o IPv6 para seus usuários and que oferecem suporte a aplicativos somente IPv4 em dispositivos móveis (ver Figura 4).
464XLAT
Dual-Stack Lite
O fluxo de lite de pilha dupla (DS-Lite) é mostrado na Figura 5.
DS-Lite
O DS-Lite emprega túneis IPv4-over-IPv6 para atravessar uma rede de acesso IPv6 para alcançar um NAT IPv4-IPv4 de nível de operadora. Isso facilita a introdução em fases do IPv6 na Internet, fornecendo compatibilidade retrógrada com o IPv4.
O DS-Lite é compatível com roteadores da série MX com MS-DPCs e roteadores da Série M com PICS de MS-100, MS-400 e MS-500 multiservices. A partir do lançamento do Junos OS 17.4R1, o DS-Lite tem suporte para roteadores da Série MX com MS-MPCs e MS-MICs.A partir do lançamento do Junos OS 19.2R1, o DS-Lite é suportado nos roteadores MX Virtual Chassis e MX Broadband Network Gateway (BNG).
Suporte para a placa de linha com endereçamento de rede consciente do Junos
As tecnologias de endereçamento de rede do Junos Address Aware estão disponíveis nas seguintes placas de linha:
Concentrador de portas densas multisserviços (MS-DPC)
PICS de multisserviços MS-100, MS-400 e MS-500
Concentrador modular de portas multisserviços (MS-MPC) e placa de interface modular multisserviços (MS-MIC)
Concentradores modulares de porta (NAT em linha).
Para obter uma lista dos tipos de NAT específicos suportados em cada tipo de placa, consulte Comparação de recursos NAT de nível de operadora para Junos Address Aware por tipo de placa de interface.
Veja também
Cenários de transição de IPv6 de amostra
O Junos OS oferece suporte a muitos cenários de transição IPv6 exigidos pelos clientes do Junos OS. Os exemplos selecionados a seguir são:
- Exemplo 1: esgotamento do IPv4 com uma rede de acesso não IPv6
- Exemplo 2: Esgotamento do IPv4 com uma rede de acesso IPv6
- Exemplo 3: Esgotamento do IPv4 para redes móveis
Exemplo 1: esgotamento do IPv4 com uma rede de acesso não IPv6
A Figura 6 mostra um cenário em que o provedor de serviços de Internet (ISP) não mudou significativamente sua rede IPv4. Essa abordagem permite que os hosts IPv4 acessem a Internet IPv4 e os hosts IPv6 para acessar a Internet IPv6. Um host de pilha dupla pode ser tratado como um host IPv4 quando usa o serviço de acesso IPv4 e como host IPv6 quando usa o serviço de acesso IPv6.
de acesso IPv4
Dois novos tipos de dispositivos devem ser implantados nessa abordagem: um gateway doméstico de pilha dupla e uma tradução de endereço de rede de nível de operadora (NAT) de nível duplo. O gateway doméstico de pilha dupla integra o encaminhamento IPv4 e as funções de tunelamento v6-over-v4. Ele também pode integrar uma função v4-v4 NAT. O NAT de nível de operadora (CGN) de dupla pilha integra tunelamento v6-over-v4 e funções de NAT v4-v4 de nível de operadora.
Exemplo 2: Esgotamento do IPv4 com uma rede de acesso IPv6
No cenário mostrado na Figura 7, a rede ISP é apenas IPv6.
de acesso IPv6
A solução dual-stack lite (DS-Lite) acomoda ISPs somente IPv6. O melhor modelo de negócios para essa abordagem é que o equipamento de instalações do cliente (CPE) integrou as funções para tunelamento do IPv6 a um backbone IPv4, tunelamento IPv4 para um backbone IPv6, e pode detectar automaticamente qual solução é necessária.
Nem todos os clientes de um determinado ISP devem mudar do acesso IPv4 ao acesso IPv6 simultaneamente; na verdade, a transição pode ser gerenciada melhor com grupos de comutação de clientes (por exemplo, todos aqueles conectados a um único ponto de presença) em uma base incremental. Tal abordagem incremental deve ser mais fácil de planejar, agendar e executar do que uma conversão completa.
Exemplo 3: Esgotamento do IPv4 para redes móveis
A complexidade das redes móveis requer uma abordagem de migração flexível para garantir uma interrupção mínima e compatibilidade máxima para trás durante a transição. O NAT64 pode ser usado para permitir que dispositivos IPv6 se comuniquem aos hosts IPv4 sem modificar os clientes.
Visão geral da implementação de NAT de nível de operadora do Junos OS
O Junos OS permite que você implemente e escale uma solução de tradução de endereços de rede de nível de operadora (CGNAT) com base no tipo de interfaces de serviços usadas para sua implementação:
MultiServices Denser Port Concentrator (MS-DPC) — O pacote de serviços de camada 3 é usado para configurar o NAT para PICs de serviços adaptativos MS-DPC. Essa solução oferece a funcionalidade NAT descrita na visão geral do endereço Junos Address Aware Network.
PICS de multisserviços MS-100, MS-400 e MS-500 — o pacote de serviços de camada 3 é usado para configurar o NAT para PICs multisserviços. Essa solução oferece a funcionalidade NAT descrita na visão geral do endereço Junos Address Aware Network.
MultiServices Modular Port Concentrator (MS-MPC) e Placa de Interface Modular multisserviços (MS-MIC)— MS-MPCs e MS-MICs estão pré-configurados para permitir a configuração de NAT de nível de operadora. Essa solução oferece a funcionalidade NAT descrita na visão geral do endereço Junos Address Aware Network.
NAT em linha para placas de linha de concentrador modular de portas (MPC) — O NAT em linha aproveita os recursos de serviços das placas de linha do MPC, permitindo uma implementação econômica da funcionalidade NAT no plano de dados, conforme descrito na visão geral da tradução de endereços de rede em linha.
Veja também
Comparação de recursos nat de nível de operadora para Junos Address Aware por tipo de placa de interface
A Tabela 1 resume as diferenças de recursos entre as implementações de NAT de nível de operadora Junos OS.
A partir do lançamento do Junos OS 17.2R1, o NAT em linha é suportado no MPC5E e MPC6E.
A partir do lançamento do Junos OS 17.4R1, o NAT em linha é suportado no MPC7E, MPC8E e MPC9E.
Característica |
MS-DPC MS-100 MS-400 MS-500 |
MS-MPC MS-MIC |
MPC1, MPC2, MPC3, MPC5E, MPC6E, MPC7E, MPC8E e MPC9E NAT em linha |
|---|---|---|---|
NAT de origem estática |
Sim |
Sim |
Sim |
NAT de origem dinâmica — Somente endereço |
Sim |
Sim |
Não |
NAT de origem dinâmica — tradução de porta NAPT com alocação segura de blocos de porta |
Sim |
sim (NAT de origem dinâmica — tradução de porta NAPT com alocação segura de blocos de porta suportada para MS-MPC e MS-MIC a partir do Junos OS Release 14.2R2) |
Não |
NAT de origem dinâmica — tradução de porta NAPT44 com alocação determinística de blocos de porta |
Sim |
sim (NAT de origem dinâmica — tradução de porta NAPT44 com alocação determinística de blocos de porta suportada para MS-MPC e MS-MIC a partir do junos OS versão 17.3R1, no junos OS versão 14.2R7 e posteriores 14.2 versões, em 15.1R3 e posteriores 15.1 versões, e em 16.1R5 e posteriores 16.1 versões) |
Não |
NAT de origem dinâmica — tradução de porta NAPT64 com alocação determinística de blocos de porta |
Não |
sim (NAT de origem dinâmica — tradução de porta NAPT64 com alocação determinística de blocos de porta suportada para MS-MPC e MS-MIC a partir do lançamento do Junos OS 17.4R1) |
Não |
NAT de destino estático |
Sim |
Sim |
Sim
Nota:
O NAT de destino pode ser implementado indiretamente. Veja a visão geral da tradução de endereços de rede em linha |
NAT duas vezes |
Sim |
sim (Duas vezes suporte a NAT para MS-MPC e MS-MIC a partir do Junos OS Release 15.1R1) |
Sim
Nota:
Duas vezes o NAT pode ser implementado indiretamente. Veja a visão geral da tradução de endereços de rede em linha |
NAPT - Preserve a paridade e o alcance |
Sim |
sim (NAPT - Preserve Parity and Range com suporte para MS-MPC e MS-MIC a partir do junos OS versão 15.1R1) |
Não |
NAPT - APP/EIF/EIM |
Sim |
Sim |
Não |
IKE ALG |
Não |
sim (Começando no Junos OS Release 14.2R7, 15.1R5, 16.1R2 e 17.1R1) |
Não |
Stateful NAT64 |
Sim |
Sim |
Não |
NAT64 stateful com APP/EIM/EIF |
Não |
Sim |
Não |
NAT64 stateful com ALGs
|
Não |
Sim |
Não |
DS-Lite |
Sim |
sim (DS-Lite suportado para MS-MPC e MS-MIC a partir do junos OS versão 17.4R1) |
Não |
6º |
Sim |
Não |
Não |
6to4 |
Sim |
Não |
Não |
464XLAT |
Não |
sim (a partir do Junos OS Release 17.1R1) |
Não |
Endereço sobreposto em todo o grupo NAT |
Sim |
Sim |
Não |
| Pool de sobrecarga |
Sim |
Não |
Não |
Protocolo de controle de portas |
Sim |
sim (O protocolo de controle de portas com NAPT44 é suportado para MS-MPC e MS-MIC a partir do Junos OS Release 17.4R1. A partir do Junos OS Release 18.2R1, o protocolo de controle de portas no MS-MPC e MS-MIC oferece suporte ao DS-Lite. O PCP fornece um mecanismo para controlar o encaminhamento de pacotes de entrada por dispositivos upstream, como NAT44 e dispositivos de firewall, e um mecanismo para reduzir o tráfego keepalive de aplicativos. |
Não |
CGN-PIC |
Sim |
Não |
Não |
Suporte para a AMS |
Não |
Sim |
Não |
Encaminhamento de porta |
Sim |
sim (o encaminhamento de portas é suportado para MS-MPC e MS-MIC a partir do Junos OS Release 17.4R1.) |
Não |
Sem tradução |
Sim |
sim (sem tradução suportada para MS-MPC e MS-MIC a partir do Junos OS Release 15.1R1) |
Sim |
A Tabela 2 resume a disponibilidade de tipos de tradução por tipo de placa de linha.
Tipo de tradução |
MS-DPC MS-100 MS-400 MS-500 |
MS-MPC MS-MIC |
MPC1, MPC2, MPC3, MPC5E, MPC6E, MPC7E, MPC8E e MPC9E NAT em linha |
|---|---|---|---|
|
Sim |
Sim |
Sim |
|
Sim |
Não |
Não |
|
Sim |
Não |
Não |
|
Sim |
sim ( |
Não |
|
Não |
sim ( |
Não |
|
Sim |
Sim |
Não |
|
Sim |
Sim |
Não |
|
Sim |
Sim |
Não |
|
Sim |
Não |
Não |
|
Sim |
Não |
Não |
|
Não |
sim (a partir do Junos OS Release 17.1R1) |
Não |
|
Sim |
Sim |
Não |
|
Sim |
sim ( |
sim ( |
|
Sim |
sim ( |
Não |
|
Sim |
sim ( |
Não |
ALGs disponíveis para o Junos OS Address Aware NAT
Os gateways de nível de aplicativo (ALGs) a seguir listados na Tabela 3 são compatíveis com o processamento de NAT nas plataformas listadas.
Para ver os detalhes da implementação (porta, protocolo e assim por diante) para esses aplicativos padrão do Junos OS, localize o nome ALG padrão do Junos OS na tabela e, em seguida, procure o nome listado na groups. Por exemplo, para obter detalhes sobre o TFTP, veja junos-tftp como mostrado.
O Junos OS fornece o junos-alg, que permite que outros ALGs funcionem lidando com registros ALG, fazendo com que os pacotes de caminho lento fluam através de ALGs registradas e transferindo eventos ALG para os plug-ins ALG. A junos-alg ALG está disponível automaticamente nas plataformas MS-MPC e MS-MIC e não requer configuração adicional.
Os gateways de camada de aplicativo (RSH) e de shell remoto (rlogin) (ALGs) não são suportados com tradução de porta de endereço de rede (NAPT) em roteadores da Série MX com MS-MICs e MS-MPCs.
user@host# show groups junos-defaults applications application junos-tftp application-protocol tftp; protocol udp; destination-port 69;
A Tabela 3 resume as ALGs disponíveis para o Junos OS Address Aware NAT para placas de interface de serviços.
ALG |
MS-DPC |
MS-MPC, MS-MIC |
Nome de ALG padrão do Junos OS |
|---|---|---|---|
TCP ALG básico |
Sim |
Sim |
Nota:
As ALGs específicas do Junos OS não são suportadas. No entanto, um recurso chamado TCP rastreador, disponível por padrão, realiza pedidos de segmentos e retransmissão e rastreamento de conexão, validações para conexões TCP. |
ALG UDP básica |
Sim |
Sim |
Nota:
O rastreador TCP realiza verificações limitadas de integridade e validação para UDP. |
BOOTP |
Sim |
Não |
|
Serviços DCE RPC |
Sim |
Sim |
|
DNS |
Sim |
Sim |
|
DNS |
Não |
Não |
|
FTP |
Sim |
Sim |
|
GATEkeeper RAS (A partir do Junos OS Release 17.1R1) |
Não |
Sim |
|
H323 |
Não |
Sim |
|
ICMP |
Sim |
Sim
Nota:
No Junos OS Release 14.1 e anterior, as mensagens ICMP são tratadas por padrão, mas o suporte a PING ALG não é fornecido. A partir do Junos OS 14.2, as mensagens ICMP são tratadas por padrão e o suporte a PING ALG é fornecido. |
|
IIOP |
Sim |
Não |
|
IKE ALG |
Não |
Sim
Nota:
A partir do Junos OS Release 14.2R7, 15.1R5, 16.1R2 e 17.1R1, o IKE ALG ALG tem suporte para MS-MPCs e MS-MICs. |
|
IP |
Sim |
O rastreador TCP, disponível por padrão nessas plataformas, realiza verificações limitadas de integridade e validação. |
|
NETBIOS |
Sim |
Não |
|
NETSHOW |
Sim |
Não |
|
PPTP |
Sim |
Sim |
|
REALAUDIO |
Sim |
Não |
|
Sun RPC e RPC Port Map Services |
Sim |
Sim |
|
RTSP |
Sim |
Sim |
|
GOLE |
Sim |
Sim |
O SIP
Nota:
As sessões de SIP são limitadas a 12 horas (720 minutos) para processamento de NAT nas placas de interface MS-MIC e MS-MPC. As sessões de SIP no MS-DPC não têm prazos.
|
SNMP |
Sim |
Não |
|
SQLNET |
Sim |
Sim |
|
TFTP |
Sim |
Sim |
|
Traceroute |
Sim |
Sim |
|
Serviço shell remoto unix |
Sim |
Sim
Nota:
A ALG remote Shell (RSH) não tem suporte para tradução de porta de endereço de rede (NAPT). |
|
WINFrame |
Sim |
Não |
|
TALK-UDP |
Não |
Sim |
|
MS RPC |
Não |
Sim |
|
Veja também
ALGs disponíveis por padrão para o Junos OS Address Aware NAT no roteador ACX500
Os gateways de nível de aplicativo (ALGs) a seguir listados na Tabela 4 têm suporte para processamento de NAT em roteadores ACX500.
Para ver os detalhes da implementação (porta, protocolo e assim por diante) para esses aplicativos padrão do Junos OS, localize o nome ALG padrão do Junos OS na tabela e, em seguida, procure o nome listado na groups. Por exemplo, para obter detalhes sobre o TFTP, veja junos-tftp como mostrado.
O ALG para NAT é suportado apenas nos roteadores internos ACX500.
O Junos OS fornece o junos-alg, que permite que outros ALGs funcionem lidando com registros ALG, fazendo com que os pacotes de caminho lento fluam através de ALGs registradas e transferindo eventos ALG para os plug-ins ALG. A junos-alg ALG está disponível automaticamente no roteador ACX500 e não requer configuração adicional.
Os gateways de camada de aplicativo de login remoto (rlogin) (ALGs) não têm suporte com a tradução de porta de endereço de rede (NAPT) no roteador ACX500.
| ALG |
Roteador ACX500 |
Nome de ALG padrão do Junos OS |
|---|---|---|
| TCP ALG básico |
Sim |
Nota:
As ALGs específicas do Junos OS não são suportadas. No entanto, um recurso chamado TCP rastreador, disponível por padrão, realiza pedidos de segmentos e retransmissão e rastreamento de conexão, validações para conexões TCP. |
| ALG UDP básica |
Sim |
Nota:
O rastreador TCP realiza verificações limitadas de integridade e validação para UDP. |
| DNS |
Sim |
|
| FTP |
Sim |
|
| ICMP |
Sim
Nota:
As mensagens ICMP são tratadas por padrão, mas o suporte a PING ALG não é fornecido. |
|
| TFTP |
Sim |
|
| Serviço shell remoto unix |
Sim
Nota:
A ALG remote Shell (RSH) não tem suporte para tradução de porta de endereço de rede (NAPT). |
|
Detalhes de suporte da ALG
Esta seção inclui detalhes sobre as ALGs. Ele inclui o seguinte:
TCP básico
Esta ALG realiza verificação básica de sanidade em pacotes TCP. Se encontrar erros, ele gera os seguintes eventos de anomalia e mensagens de log do sistema:
-
Porta de origem ou destino do TCP zero
-
Falha na verificação do comprimento do cabeçalho do TCP
-
Sequência de TCP número zero e nenhuma bandeira é definida
-
As bandeiras de sequência de TCP zero e FIN/PSH/RST são definidas
-
TCP FIN/RST ou SYN(URG|FIN|Bandeiras RST) estão definidas
O TCP ALG executa as seguintes etapas:
-
Quando o roteador recebe um pacote SYN, o ALG cria fluxos de encaminhamento e reversão do TCP e os agrupa em uma conversa. Ele rastreia o TCP de três vias de aperto de mão.
-
O mecanismo de defesa SYN rastreia o estado de estabelecimento de conexão TCP. Ele espera que a sessão de TCP seja estabelecida em um pequeno intervalo de tempo (atualmente 4 segundos). Se o TCP de três vias não for estabelecido nesse período, a sessão será terminada.
-
Um mecanismo keepalive detecta sessões de TCP com endpoints não responsivos.
-
Erros de ICMP só são permitidos quando um fluxo corresponde às informações do seletor especificadas nos dados do ICMP.
UDP básico
Esta ALG realiza verificação básica de sanidade em cabeçalhos UDP. Se encontrar erros, ele gera os seguintes eventos de anomalia e mensagens de log do sistema:
-
Porta de origem ou destino UDP 0
-
Falha na verificação do comprimento do cabeçalho do UDP
A ALG UDP executa as seguintes etapas:
-
Quando recebe o primeiro pacote, o ALG cria fluxos bidirecionais para aceitar o tráfego de sessão de UDP para frente e reverso.
-
Se a sessão estiver ociosa por mais do que o tempo ocioso máximo permitido (o padrão é de 30 segundos), os fluxos serão excluídos.
-
Erros de ICMP só são permitidos quando um fluxo corresponde às informações do seletor especificadas nos dados do ICMP.
DNS
O DNS (Domain Name System, Sistema de nomes de domínio) lida com dados associados à localização e tradução de nomes de domínio em endereços IP. A ALG normalmente funciona na porta 53. A ALG monitora pacotes de consulta e resposta de DNS e oferece suporte apenas ao tráfego UDP. A ALG não oferece suporte a tradução de carga. A DNS ALG fecha a sessão apenas quando uma resposta é recebida ou um tempo limite ocioso é alcançado.
O exemplo a seguir é a configuração do DNS ALG:
-
Criação de interface de NAT.
[edit] services { service-set set-dns { nat-rules nat-dns; interface-service { service-interface ms-0/2/0; } } -
Configuração do pool de NAT.
[edit] services { nat { pool p-napt { address 10.1.1.1/32; } } } -
Definir regras de NAT para DNS ALG.
[edit] services { nat { rule nat-dns { match-direction input; term term1 { from { source-address { 10.50.50.2/32; } applications junos-dns-udp;; } then { translated { source-pool p-napt; translation-type { basic-nat44; } } } } } } -
Conjuntos de serviços vinculantes para a interface.
[edit] interfaces { ge-0/1/0 { media-type copper; unit 0 { family inet { service { input { service-set set-dns; } output { service-set set-dns; } } address 10.50.50.1/24; } } } ge-0/1/1 { media-type copper; unit 0 { family inet { address 10.60.60.1/24; } } } ms-0/2/0 { unit 0 { family inet; } } }
FTP
FTP é o protocolo de transferência de arquivos especificado no RFC 959. Além da conexão de controle principal, também são feitas conexões de dados para qualquer transferência de dados entre o cliente e o servidor; e o host, a porta e a direção são negociados pelo canal de controle.
Para FTP de modo não passivo, o serviço de firewall stateful do Junos OS verifica os dados do aplicativo do cliente para servidor para o comando PORT, que fornece o endereço IP e o número de porta aos quais o servidor se conecta. Para FTP de modo passivo, o serviço de firewall stateful do Junos OS verifica os dados do aplicativo do cliente para servidor para o comando PASV e, em seguida, verifica as respostas de servidor para cliente para a resposta 227, que contém o endereço IP e o número de porta a que o cliente se conecta.
Há uma complicação adicional: o FTP representa esses endereços e números de porta no ASCII. Como resultado, quando os endereços e portas são reescritos, o número de sequência de TCP pode ser alterado e, a partir daí, o serviço NAT precisa manter esse delta em números SEQ e ACK realizando NAT sequência em todos os pacotes subsequentes.
O suporte a firewalls stateful e serviços NAT exige que você configure o FTP ALG na porta TCP 21 para habilitar o protocolo de controle FTP. A ALG executa as seguintes tarefas:
-
Aloca automaticamente portas de dados e permissões de firewall para conexão dinâmica de dados
-
Cria fluxos para a conexão de dados negociada dinamicamente
-
Monitora a conexão de controle em modos ativos e passivos
-
Reescreve os pacotes de controle com o endereço NAT apropriado e informações de porta
No ACX500, para que o FTP passivo funcione corretamente sem o gateway de camada de aplicativo FTP (ALG) habilitado (sem especificar a application junos-ftp declaração no [edit services nat rule rule-name term term-name from] nível de hierarquia), você deve habilitar a funcionalidade de agrupamento de endereços pareado (APP) habilitada (incluindo a address-pooling declaração no nível de [edit services nat rule rule-name term term-name then translated] hierarquia). Essa configuração faz com que os dados e controlem as sessões de FTP recebam o mesmo endereço NAT.
O exemplo a seguir é a configuração do FTP ALG:
-
Criação de interface de NAT.
[edit] services { service-set set-ftp { nat-rules nat-ftp; interface-service { service-interface ms-0/2/0; } } -
Configuração do pool de NAT.
[edit] services { nat { pool p-napt { address 10.30.30.0/24; port { range low 9000 high 9010; } } } -
Definição de regras de NAT para FTP ALG.
[edit] services { nat { rule nat-ftp { match-direction input; term term1 { from { source-address { 10.10.10.0/24; } applications junos-ftp; } then { translated { source-pool p-napt; translation-type { napt-44; } } } } } } -
Conjuntos de serviços vinculantes para a interface.
[edit] interfaces { ge-0/1/0 { media-type copper; unit 0 { family inet { service { input { service-set set-ftp; } output { service-set set-ftp; } } address 10.10.10.1/24; } } } ge-0/1/1 { media-type copper; unit 0 { family inet { address 10.10.10.1/24; } } } ms-0/2/0 { unit 0 { family inet; } } }
ICMP
O Protocolo de Mensagem de Controle de Internet (ICMP) é definido em RFC 792. O Junos OS permite que as mensagens ICMP sejam filtradas por tipo específico ou valor de código de tipo específico. Os pacotes de erro do ICMP que não têm um tipo e código especificamente configurados são combinados com qualquer fluxo existente na direção oposta para verificar a legitimidade do pacote de erro. Os pacotes de erro do ICMP que passam pela correspondência do filtro estão sujeitos à tradução de NAT.
O ICMP ALG sempre rastreia o tráfego de ping com estado usando o número de sequência do ICMP. Cada resposta de eco é encaminhada apenas se houver uma solicitação de eco com o número de sequência correspondente. Para qualquer fluxo de ping, apenas 20 solicitações de eco podem ser encaminhadas sem receber uma resposta de eco. Quando você configura o NAT dinâmico, o identificador de pacotes PING é traduzido para permitir que hosts adicionais no grupo de NAT usem o mesmo identificador.
O suporte aos serviços NAT exige que você configure o ICMP ALG se o protocolo for necessário. Você pode configurar o tipo e o código do ICMP para filtragem adicional.
TFTP
O protocolo de transferência de arquivos trivial (TFTP) é especificado em RFC 1350. As solicitações iniciais de TFTP são enviadas à porta de destino UDP 69. Fluxos adicionais podem ser criados para obter ou colocar arquivos individuais. O suporte aos serviços NAT exige que você configure o TFTP ALG para a porta de destino UDP 69.
O exemplo a seguir é a configuração do TFTP ALG:
-
Criação de interface de NAT.
[edit] services { service-set set-tftp { nat-rules nat-tftp; interface-service { service-interface ms-0/2/0; } } -
Configuração do pool de NAT.
[edit] services { nat { pool p-napt { address 10.1.1.1/32; } } } -
Definir regras de NAT para TFTP ALG.
[edit] services { nat { rule nat-tftp { match-direction input; term term1 { from { source-address { 10.50.50.2/32; } applications junos-tftp; } then { translated { source-pool p-napt; translation-type { dynamic-nat44; } } } } } } -
Conjuntos de serviços vinculantes para a interface.
[edit] interfaces { ge-0/1/0 { media-type copper; unit 0 { family inet { service { input { service-set set-tftp; } output { service-set set-tftp; } } address 10.50.50.1/24; } } } ge-0/1/1 { media-type copper; unit 0 { family inet { address 10.60.60.1/24; } } } ms-0/2/0 { unit 0 { family inet; } } }
Serviços de shell remoto unix
Três protocolos formam a base para serviços de shell remoto do UNIX:
-
Executivo — execução de comando remoto; permite que um usuário no sistema cliente execute um comando no sistema remoto. O primeiro comando do cliente (
rcmd) ao servidor (rshd) usa a bem conhecida porta TCP 512. Uma segunda conexão TCP pode ser aberta a pedido dercmd. O número de porta do cliente para a segunda conexão é enviado ao servidor como uma string ASCII. -
O login — mais conhecido como
rlogin; usa a bem conhecida porta TCP 513. Para obter mais informações, veja RFC 1282. Não é necessário processamento especial de firewall. -
Shell — execução de comando remoto; permite que um usuário no sistema cliente execute um comando no sistema remoto. O primeiro comando do cliente (
rcmd) ao servidor (rshd) usa a bem conhecida porta TCP 514. Uma segunda conexão TCP pode ser aberta a pedido dercmd. O número de porta do cliente para a segunda conexão é enviado ao servidor como uma string ASCII.
Os serviços de shell remoto de NAT exigem que qualquer porta de origem dinâmica atribuída esteja dentro da faixa de porta de 512 a 1023. Se você configurar um pool de NAT, essa faixa de porta será reservada exclusivamente para aplicativos shell remotos.
O exemplo a seguir é a configuração do RSH ALG:
-
Criação de interface de NAT.
[edit] services { service-set set-rsh { nat-rules nat-rsh; interface-service { service-interface ms-0/2/0; } } -
Configuração do pool de NAT.
[edit] services { nat { pool p-napt { address 10.1.1.1/32; } } } -
Definição de regras de NAT para RSH ALG.
[edit] services { nat { rule nat-rsh { match-direction input; term term1 { from { source-address { 510.0.50.2/32; } applications junos-rsh; } then { translated { source-pool p-napt; translation-type { dynamic-nat44; } } } } } } -
Conjuntos de serviços vinculantes para a interface.
[edit] interfaces { ge-0/1/0 { media-type copper; unit 0 { family inet { service { input { service-set set-rsh; } output { service-set set-rsh; } } address 10.50.50.1/24; } } } ge-0/1/1 { media-type copper; unit 0 { family inet { address 10.60.60.1/24; } } } ms-0/2/0 { unit 0 { family inet; } } }
Veja também
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.
deterministic-napt64 com suporte para MS-MPC e MS-MIC
stateful-nat464
twice-dynamic-nat-44 com suporte para MS-MPC e MS-MIC
twice-basic-nat-44 com suporte para NAT em linha
twice-dynamic-nat-44 com suporte para MS-MPC e MS-MIC
twice-dynamic-napt-44 com suporte para MS-MPC e MS-MIC
deterministic-napt44 com suporte para MS-MPC e MS-MIC