NESTA PÁGINA
Tradução de porta de endereço de rede
Configuração de grupos de endereços para visão geral da porta de endereço de rede (NAPT)
Com a tradução de porta de endereço de rede (NAPT), você pode configurar até 32 intervalos de endereços com até 65.536 endereços cada.
A port declaração especifica a atribuição de porta para os endereços traduzidos. Para configurar a atribuição automática de portas, inclua a port automatic declaração no nível de [edit services nat pool nat-pool-name] hierarquia. Por padrão, ocorre a alocação sequencial de portas.
A partir do Junos OS Release 14.2, você pode incluir a opção sequential com a port automatic declaração no nível de [edit services nat pool nat-pool-name] hierarquia para alocação sequenciada de portas da faixa especificada. Para configurar uma gama específica de números de porta, inclua a port range low minimum-value high maximum-value declaração no nível de [edit services nat pool nat-pool-name] hierarquia.
Quando 99% do total de portas disponíveis no pool para napt-44, nenhum novo fluxo é permitido nesse pool de NAT.
A partir do Junos OS Release 14.2, a opção auto está oculta e está preterida, e só é mantida para compatibilidade retrógrada. Ele pode ser removido completamente em um lançamento de software futuro.
O Junos OS oferece várias alternativas para alocar portas:
- Alocação de Round-Robin para NAPT
- Alocação sequencial para NAPT
- Preservar a paridade e preservar o alcance para o NAPT
- Mapeamento independente de agrupamento de endereços e endpoint para NAPT
- Alocação segura de blocos de porta para NAPT
- Comparação dos métodos de implementação do NAPT
Alocação de Round-Robin para NAPT
Para configurar a alocação de round-robin para grupos NAT, inclua a declaração de configuração de round-robin de alocação de endereços no nível de [edit services nat pool pool-name] hierarquia. Quando você usa a alocação de rodízio, uma porta é alocada de cada endereço em um intervalo antes de repetir o processo para cada endereço na próxima faixa. Depois que as portas foram alocadas para todos os endereços da última faixa, o processo de alocação envolve e aloca a próxima porta não utilizada para endereços na primeira faixa.
A primeira conexão é alocada no endereço:porta 100.0.0.1:3333.
A segunda conexão é alocada no endereço:porta 100.0.0.2:3333.
A terceira conexão é alocada no endereço:porta 100.0.0.3:3333.
A quarta conexão está alocada no endereço:porta 100.0.0.4:3333.
A quinta conexão é alocada no endereço:porta 100.0.0.5:3333.
A sexta conexão é alocada no endereço:porta 100.0.0.6:3333.
A sétima conexão é alocada no endereço:porta 100.0.0.7:3333.
A oitava conexão está alocada no endereço:porta 100.0.0.8:3333.
A nona conexão está alocada no endereço:porta 100.0.0.9:3333.
A décima conexão é alocada no endereço:porta 100.0.0.10:3333.
A décima primeira conexão está alocada no endereço:porta 100.0.0.11:3333.
A décima segunda conexão está alocada no endereço:porta 100.0.0.12:3333.
O envoltório ocorre e a 13ª conexão é alocada no endereço:porta 100.0.0.1:3334.
Alocação sequencial para NAPT
Com alocação sequencial, o próximo endereço disponível no pool de NAT só é selecionado quando todas as portas disponíveis em um endereço estiverem esgotadas.
A alocação sequencial só pode ser configurada para o MS-DPC e o PICS de MS-100, MS-400 e MS-500. As placas MS-MPC e MS-MIC utilizam apenas a abordagem de alocação de rodízio.
Essa implementação legada oferece compatibilidade retrógrada e não é mais uma abordagem recomendada.
O grupo de NAT chamado de cochilo no exemplo de configuração a seguir usa a implementação sequencial:
pool napt {
address-range low 100.0.0.1 high 100.0.0.3;
address-range low 100.0.0.4 high 100.0.0.6;
address-range low 100.0.0.8 high 100.0.0.10;
address-range low 100.0.0.12 high 100.0.0.13;
port {
range low 3333 high 3334;
}
}
Neste exemplo, as portas são alocadas a partir do primeiro endereço na primeira faixa de endereço, e a alocação continua a partir deste endereço até que todas as portas disponíveis tenham sido usadas. Quando todas as portas disponíveis tiverem sido usadas, o próximo endereço (na mesma faixa de endereço ou na faixa de endereço a seguir) é alocado e todas as suas portas são selecionadas conforme necessário. No caso do pool de navegação por exemplo, o endereço tuple, porta 100.0.0.4:3333, só é alocado quando todas as portas para todos os endereços da primeira faixa tiverem sido usadas.
A primeira conexão é alocada no endereço:porta 100.0.0.1:3333.
A segunda conexão é alocada no endereço:porta 100.0.0.1:3334.
A terceira conexão é alocada no endereço:porta 100.0.0.2:3333.
A quarta conexão é alocada no endereço:porta 100.0.0.2:3334 e assim por diante.
Preservar a paridade e preservar o alcance para o NAPT
As opções de preservação da paridade e da preservação estão disponíveis para o NAPT e contam com o suporte de MS-DPCs e MS-100, MS-400 e MS-500 MultiServices PICS. O suporte para MS-MPCs e MS-MICs começa no Junos OS Release 15.1R1. As seguintes opções estão disponíveis para NAPT:
Preservando a paridade — Use o
preserve-paritycomando para alocar até mesmo portas para pacotes com portas de origem e portas estranhas para pacotes com portas de origem estranhas.Preservação do intervalo — Use o
preserve-rangecomando para alocar portas dentro de um intervalo de 0 a 1023, assumindo que o pacote original contém uma porta de origem na faixa reservada. Isso se aplica a sessões de controle, não a sessões de dados.
Mapeamento independente de agrupamento de endereços e endpoint para NAPT
Agrupamento de endereços
O agrupamento de endereços ou agrupamento de endereços em pares (APP) garante a atribuição do mesmo endereço IP externo para todas as sessões originárias do mesmo host interno. Você pode usar esse recurso ao atribuir endereços IP externos de um pool. Essa opção não afeta a utilização de portas
O agrupamento de endereços resolve os problemas de um aplicativo que abre várias conexões. Por exemplo, quando o cliente do Session Initiation Protocol (SIP) envia pacotes de protocolo de transporte em tempo real (RTP) e protocolo de controle em tempo real (RTCP), o servidor SIP geralmente exige que eles venham do mesmo endereço IP, mesmo que estejam sujeitos ao NAT. Se os endereços IP RTP e RTCP forem diferentes, o endpoint receptor pode soltar pacotes. Qualquer protocolo ponto a ponto (P2P) que negocie portas (assumindo a estabilidade do endereço) se beneficia do agrupamento de endereços em conjunto.
Os seguintes são casos de uso para agrupamento de endereços:
Um site que oferece serviços de mensagens instantâneas exige que o bate-papo e suas sessões de controle venham do mesmo endereço de origem pública. Quando o usuário se inscreve para conversar, uma sessão de controle autentica o usuário. Uma sessão diferente começa quando o usuário inicia uma sessão de bate-papo. Se a sessão de bate-papo se originar de um endereço de origem diferente da sessão de autenticação, o servidor de mensagens instantâneas rejeita a sessão de bate-papo, porque ela se origina de um endereço não autorizado.
Determinados sites, como sites bancários on-line, exigem que todas as conexões de um determinado host venham do mesmo endereço IP.
A partir do Junos OS Release 14.1, quando você desativa um conjunto de serviços que contém agrupamento de endereços em pares (APP) para esse conjunto de serviços, as mensagens são exibidas no console PIC e os mapeamentos são liberados para esse conjunto de serviços. Essas mensagens são acionadas quando a exclusão de um conjunto de serviços começa e é novamente gerada quando a exclusão do conjunto de serviços é concluída. As seguintes mensagens de amostra são exibidas quando a exclusão começa e termina:
15 de novembro 08:33:13.974 LOG: Crítico] SVC-SET ss1 (iid 5) desativar/excluir: Mapeamentos NAT e exclusão de fluxos iniciados
15 de novembro 08:33:14.674 LOG: Crítico] SVC-SET ss1 (iid 5) desativar/excluir: Mapeamentos NAT e exclusão de fluxos concluídos
Em um ambiente escalonado que contém um grande número de APLICATIVOS em um conjunto de serviços, um grande volume de mensagens é gerado e esse processo leva algum tempo. Recomendamos que você aguarde até que as mensagens do console que indicam a conclusão da exclusão do conjunto de serviços sejam concluídas antes de reativar o conjunto de serviços novamente.
Mapeamento independente de endpoint e filtragem independente de endpoint
O mapeamento independente de Endpoint (EIM) garante a atribuição do mesmo endereço e porta externos para todas as conexões de um determinado host se eles usarem a mesma porta interna. Isso significa que se eles vêm de uma porta de origem diferente, você está livre para atribuir um endereço externo diferente.
EIM e APP diferem da seguinte forma:
O APP garante a atribuição do mesmo endereço IP externo.
O EIM oferece um endereço e porta IP externos estáveis (por um período de tempo) aos quais hosts externos podem se conectar. A filtragem independente de Endpoint (EIF) controla quais hosts externos podem se conectar a um host interno.
A partir do Junos OS Release 14.1, quando você desativa um conjunto de serviços que contém mapeamento independente de endpoint (EIM) para esse conjunto de serviços, as mensagens são exibidas no console PIC e os mapeamentos são liberados para esse conjunto de serviços. Essas mensagens são acionadas quando a exclusão de um conjunto de serviços começa e é novamente gerada quando a exclusão do conjunto de serviços é concluída. As seguintes mensagens de amostra são exibidas quando a exclusão começa e termina:
15 de novembro 08:33:13.974 LOG: Crítico] SVC-SET ss1 (iid 5) desativar/excluir: Mapeamentos NAT e exclusão de fluxos iniciados
15 de novembro 08:33:14.674 LOG: Crítico] SVC-SET ss1 (iid 5) desativar/excluir: Mapeamentos NAT e exclusão de fluxos concluídos
Em um ambiente escalado que contém um grande número de mapeamentos EIM em um conjunto de serviços, um grande volume de mensagens é gerado e esse processo leva algum tempo. Recomendamos que você aguarde até que as mensagens do console que indicam a conclusão da exclusão do conjunto de serviços sejam concluídas antes de reativar o conjunto de serviços novamente.
Alocação segura de blocos de porta para NAPT
A alocação de blocos de porta é suportada em roteadores da série MX com MS-DPCs e roteadores da Série M com PICS ms-100, MS-400 e MS-500 multiservices. A alocação de blocos de porta é suportada em roteadores da série MX com MS-MPCs e MS-MICs a partir do lançamento do Junos OS 14.2R2.
As operadoras rastreiam assinantes usando o log de endereço IP (RADIUS ou DHCP). Se eles usam o NAPT, um endereço IP é compartilhado por vários assinantes, e a operadora deve rastrear o endereço IP e a porta, que fazem parte do log NAT. Como as portas são usadas e reutilizadas a um ritmo muito alto, o rastreamento de assinantes usando o log torna-se difícil devido ao grande número de mensagens, que são difíceis de arquivar e correlacionar. Ao permitir a alocação de portas em blocos, a alocação de blocos de porta pode reduzir significativamente o número de logs, tornando mais fácil rastrear assinantes.
Alocação segura de blocos de porta para NAPT
A alocação segura de blocos de porta pode ser usada para tipos napt-44 de tradução e stateful-nat64.
Ao alocar blocos de portas, o bloco alocado mais recentemente é o bloco ativo atual. Novas solicitações para portas NAT são atendidas no bloco ativo. As portas são alocadas aleatoriamente do bloco ativo atual.
Ao configurar a alocação segura de blocos de porta, você pode especificar o seguinte:
block-sizemax-blocks-per-addressactive-block-timeout
Registro provisório para alocação de blocos de porta
Com a alocação de blocos de porta, geramos um log de syslog por conjunto de portas alocadas para um assinante. Esses logs são baseados em UDP e podem ser perdidos na rede, especialmente para fluxos de longo prazo. O registro provisório desencadeia o reencamamento dos logs acima em um intervalo configurado para blocos ativos que tenham tráfego em pelo menos uma das portas do bloco.
O registro provisório é ativado incluindo a pba-interim-logging-interval declaração em services-options sp-interfaces.
Veja também
Comparação dos métodos de implementação do NAPT
A Tabela 1 oferece uma comparação de recursos dos métodos de implementação de NAPT disponíveis.
Recurso/função |
Alocação dinâmica de portas |
Alocação segura de blocos de porta |
Alocação determinística de blocos de porta |
|---|---|---|---|
Usuários por IP |
Alta |
Médio |
Baixo |
Risco de segurança |
Baixo |
Médio |
Médio |
Utilização de log |
Alta |
Baixo |
Nenhum (sem logs necessários) |
Redução de risco de segurança |
Alocação aleatória |
recurso active-block-timeout |
n/a |
Aumento de usuários por IP |
n/a |
Configure vários blocos de porta menores para maximizar os usuários/IP público |
Alocação de porta baseada em algoritmo |
Configuração de NAPT em redes IPv4
A tradução de porta de endereço de rede (NAPT) é um método pelo qual muitos endereços de rede e suas portas TCP/UDP são traduzidos em um único endereço de rede e suas portas TCP/UDP. Essa tradução pode ser configurada em redes IPv4 e IPv6. Esta seção descreve as etapas para configurar o NAPT em redes IPv4.
Para configurar o NAPT, você deve configurar uma regra no nível de [edit services nat] hierarquia para traduzir dinamicamente os endereços IPv4 de origem.
Para configurar o NAPT em redes IPv4:
O exemplo a seguir configura o tipo de tradução como napt-44.
[edit services]
user@host# show
service-set s1 {
nat-rules rule-napt-44;
interface-service {
service-interface ms-0/1/0;
}
}
nat {
pool napt-pool {
address 10.10.10.0/32;
port {
automatic auto;
}
}
rule rule-napt-44 {
match-direction input;
term t1 {
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Tradução dinâmica de endereços para um pequeno pool com fallback para NAT
A configuração a seguir mostra a tradução dinâmica de endereços de um grande prefixo para um pequeno pool, traduzindo uma sub-rede /24 para um pool de 10 endereços. Quando os endereços no pool de origem (src-pool) são esgotados, o NAT é fornecido pelo pool de sobrecarga de NAPT (pat-pool).
[edit services nat]
pool src-pool {
address-range low 192.16.2.1 high 192.16.2.10;
}
pool pat-pool {
address-range low 192.16.2.11 high 192.16.2.12;
port automatic auto;
rule myrule {
match-direction input;
term myterm {
from {
source-address 10.150.1.0/24;
}
then {
translated {
source-pool src-pool;
overload-pool pat-pool;
translation-type napt-44;
}
}
}
}
Tradução dinâmica de endereços com pool pequeno
A configuração a seguir mostra a tradução dinâmica de endereços de um grande prefixo para um pequeno pool, traduzindo uma sub-rede /24 para um pool de 10 endereços. As sessões das primeiras 10 sessões de host recebem um endereço do grupo por úteis e atendidos pela primeira vez, e quaisquer solicitações adicionais são recusadas. Cada host com um NAT atribuído pode participar de várias sessões.
[edit services nat]
pool my-pool {
address-range low 10.10.10.1 high 10.10.10.10;
}
rule src-nat {
match-direction input;
term t1 {
from {
source-address 192.168.1.0/24;
}
then {
translated {
translation-type dynamic-nat44;
source-pool my-pool;
}
}
}
}
Configuração do NAPT em redes IPv6
A tradução de porta de endereço de rede (NAPT) é um método pelo qual muitos endereços de rede e suas portas TCP/UDP são traduzidos em um único endereço de rede e suas portas TCP/UDP. Essa tradução pode ser configurada em redes IPv4 e IPv6. Esta seção descreve as etapas para configurar o NAPT em redes IPv6. A configuração do NAPT em redes IPv6 não é suportada se você estiver usando MS-MPCs ou MS-MICs. Para obter informações sobre a configuração do NAPT em redes IPv4, consulte Configurando o NAPT em redes IPv4.
Para configurar o NAPT, você deve configurar uma regra no nível de [edit services nat] hierarquia para traduzir dinamicamente os endereços IPv6 de origem.
Para configurar o NAPT em redes IPv6:
O exemplo a seguir configura a tradução dinâmica de origem (endereço e porta) ou NAPT para uma rede IPv6.
[edit services]
user@host# show
service-set IPV6-NAPT-ServiceSet {
nat-rules IPV6-NAPT-Rule;
interface-service {
service-interface sp-0/1/0;
}
}
nat {
pool IPV6-NAPT-Pool {
address 2002::1/96;
port automatic sequential;
}
rule IPV6-NAPT-Rule {
match-direction input;
term term1 {
then {
translated {
source-pool IPV6-NAPT-Pool;
translation-type {
napt-66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
}
Exemplo: Configuração do NAT com tradução de portas
Este exemplo mostra como configurar o NAT com a tradução de porta.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Uma plataforma de roteamento universal 5G da Série MX com um DPC de serviços ou um roteador de borda multisserviço da Série M com um PIC de serviços
Um servidor de nome de domínio (DNS)
Versão 11.4 ou superior do Junos OS
Visão geral
Este exemplo mostra uma configuração CGN NAT44 completa e opções avançadas.
Configuração de NAT com tradução de porta
Procedimento
Procedimento passo a passo
Para configurar o conjunto de serviços:
-
Configure um conjunto de serviços.
user@host# edit services service-set ss2 -
No modo de configuração, vá para o nível de
[edit services nat]hierarquia.[edit] user@host# edit services nat
-
Definir o pool de endereços de origem que devem ser usados para tradução dinâmica. Para NAPT, especifique também os números de porta ao configurar o pool de origem.
[edit services nat] user@host# set pool pool name address source addresses user@host# set pool pool name port source ports
Por exemplo:
[edit services nat] user@host# set pool NAPT-Pool address 192.168.2.1/24; user@host# set pool NAPT-Pool port automatic
-
Especifique a regra de NAT a ser usada.
[edit services service-set ss2]host# set nat-rules r1 - Defina uma regra de NAT para traduzir os endereços de origem. Para fazer isso, definir a
match-directiondeclaração da regra comoinput. Além disso, defina um termo que usanapt-44como tipo de tradução para traduzir os endereços do pool definidos na etapa anterior.[edit services nat] user@host# set rule rule name match-direction input user@host# set rule rule name term term name from source-address source-address user@host# set rule rule name term term name then translated source-pool pool name user@host# set rule rule name term term name then translated translation-type napt-44
Por exemplo:
[edit services nat] user@host# set rule r1 match-direction input user@host# set rule r1 term t1 from source-address 10.10.10.1 user@host# set rule r1 term t1 then translated source-pool NAPT-Pool user@host# set rule r1 term t1 then translated translation-type napt-44
-
Especifique o serviço de interface.
[edit services service-set ss2]host# set interface-service service-interface sp-5/0/0
Resultados
user@host# show services service-sets sset2
service-set ss2 {
nat-rules r1;
interface-service {
service-interface sp-5/0/0;
}
}
nat {
pool NAPT-Pool {
address 192.168.2.1/24;
port automatic;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.1/32;
}
}
then {
translated {
source-pool NAPT-Pool;
translation-type {
napt-44;
}
}
}
}
}
}
Exemplo: configuração de NAPT no MS-MPC com um conjunto de serviços de interface
Este exemplo mostra como configurar a tradução de endereços de rede com tradução de portas (NAPT) em um roteador da série MX usando um Concentrador modular de portas multisserviços (MS-MPC) como uma placa de interface de serviços.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Roteador da série MX
Concentrador modular de portas multisserviços (MS-MPC)
Versão Junos OS 13.2R1 ou superior
Visão geral
Um provedor de serviços escolheu um MS-MPC como uma plataforma para fornecer serviços NAT para acomodar novos assinantes.
Configuração
Para configurar o NAPT44 usando o MS-MPC como uma placa de interface de serviços, execute essas tarefas:
- Configuração rápida da CLI
- Configuração de interfaces
- Configure um conjunto de aplicativos de tráfego aceitável de aplicativos
- Configuração de uma regra de firewall stateful
- Configuração do grupo e da regra do NAT
- Configuração do conjunto de serviços
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia [editar].
set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24 set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1 set interfaces ms-3/0/0 unit 0 family inet set applications application-set accept-algs application junos-http set applications application-set accept-algs application junos-ftp set applications application-set accept-algs application junos-tftp set applications application-set accept-algs application junos-telnet set applications application-set accept-algs application junos-sip set applications application-set accept-algs application junos-rtcp set services stateful-firewall rule sf-rule1 match-direction input-output set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs set services stateful-firewall rule sf-rule1 term sf-term1 then accept set services nat pool napt-pool address 1.1.1.0/24 set services nat pool napt-pool port automatic * nat rule for napt set services nat rule nat-rule1 match-direction input set services nat rule nat-rule1 term nat-term1 from source-address 10.255.247.0/24 set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44 * nat rule for basic nat set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
Configuração de interfaces
Procedimento passo a passo
Configure as interfaces necessárias para o processamento de NAT. Você precisará das seguintes interfaces:
Uma interface voltada para o cliente que lida com o tráfego de e para o cliente.
Uma interface voltada para a Internet.
Uma interface de serviços que fornece serviços de NAT e firewall stateful para a interface voltada para o cliente
Configure a interface para a interface voltada para o cliente.
user@host# edit [edit ] user@host# set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 user@host# set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 user@host# set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1
Configure a interface para a interface voltada para a Internet.
[edit ] set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24
Configure a interface para o conjunto de serviços que conectará serviços à interface voltada para o cliente. Em nosso exemplo, a interface reside em um MS-MPC.
[edit ] user@host# set interfaces ms-3/0/0 unit 0 family inet
Configure um conjunto de aplicativos de tráfego aceitável de aplicativos
Procedimento passo a passo
Identificar os aplicativos aceitáveis para tráfego de entrada.
Especifique um conjunto de aplicativos que contenha tráfego de aplicativos de entrada aceitável.
user@host# set applications application-set accept-algs application junos-http user@host# set applications application-set accept-algs application junos-ftp user@host# set applications application-set accept-algs application junos-tftp user@host# set applications application-set accept-algs application junos-telnet user@host# set applications application-set accept-algs application junos-sip user@host# set applications application-set accept-algs application junos-rtcp
Resultados
user@host#edit services applications application-set accept-algs user@host#show application junos-http; application junos-ftp; application junos-tftp; application junos-telnet; application junos-sip; application junos-
Configuração de uma regra de firewall stateful
Procedimento passo a passo
Configure uma regra de firewall stateful que aceitará todo o tráfego de entrada.
Especifique a correspondência do firewall para todas as entradas e saídas
user@hos#t set services stateful-firewall rule sf-rule1 match-direction input-output
Identificar o endereço-fonte e o tráfego aceitável de aplicativos a partir da interface voltada para o cliente.
user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs user@host# set services stateful-firewall rule sf-rule1 term sf-term1 then accept
Resultados
user@host# edit services stateful-firewall
user@host# show
rule sf-rule1 {
match-direction input-output;
term sf-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
accept;
}
}
}
Configuração do grupo e da regra do NAT
Procedimento passo a passo
Configure um pool de NAT e uma regra para a tradução de endereços com atribuição automática de porta.
Configure o pool de NAT com atribuição automática de porta.
user@host# set services nat pool napt-pool address 1.1.1.0/24 user@host# set services nat pool napt-pool port automatic auto
Configure uma regra de NAT que aplica o tipo
napt-44de tradução usando o pool NAT definido.user@host# set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs user@host# set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool user@host# set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44
Resultados
user@host#edit services nat
user@host#show
pool napt-pool {
address 1.1.1.0/24;
port {
automatic;
}
}
rule nat-rule1 {
match-direction input;
term nat-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
Configuração do conjunto de serviços
Procedimento passo a passo
Configure um conjunto de serviços do tipo de interface.
Especifique as regras de NAT e firewall stateful que se aplicam ao tráfego do cliente.
user@host set services service-set sset1 stateful-firewall-rules sf-rule1 user@host set services service-set sset1 nat-rules bat-rule1
Especifique a interface de serviços que aplica as regras ao tráfego do cliente.
set services service-set sset1 interface-service service-interface ms-3/0/0
Resultados
user@host# edit services service-set sset1 user@host# show set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.
sequential com a
port automatic declaração no nível de
[edit services nat pool nat-pool-name] hierarquia para alocação sequenciada de portas da faixa especificada.
auto está oculta e está preterida, e só é mantida para compatibilidade retrógrada.
sequential é introduzida para permitir que você configure a alocação sequencial de portas.