Tradução de porta de endereço de rede
Configuração de pools de endereços para uma visão geral da tradução da porta de endereço de rede (NAPT)
Com a tradução de porta de endereço de rede (NAPT), você pode configurar até 32 faixas de endereços com até 65.536 endereços cada.
A port declaração especifica a atribuição de porta para os endereços traduzidos. Para configurar a atribuição automática de portas, inclua a port automatic declaração no nível de [edit services nat pool nat-pool-name] hierarquia. Por padrão, ocorre a alocação sequencial de portas.
A partir do Junos OS Release 14.2, você pode incluir a opção sequential com a port automatic declaração no nível de [edit services nat pool nat-pool-name] hierarquia para alocação seqüenciada de portas a partir da faixa especificada. Para configurar uma faixa específica de números de porta, inclua a port range low minimum-value high maximum-value declaração no nível de [edit services nat pool nat-pool-name] hierarquia.
Quando 99% do total de portas disponíveis no pool para napt-44, nenhum novo fluxo é permitido naquele pool de NAT.
Começando com o Junos OS Release 14.2, a opção auto está escondida e está preterida, e só é mantida para compatibilidade retrógrada. Ele pode ser removido completamente em um lançamento de software futuro.
O Junos OS oferece várias alternativas para alocação de portas:
- Alocação de Round-Robin para NAPT
- Alocação sequencial para NAPT
- Preservar a paridade e preservar o alcance para o NAPT
- Agrupamento de endereços e mapeamento independente de Endpoint para NAPT
- Alocação segura de blocos de porta para NAPT
- Comparação de métodos de implementação NAPT
Alocação de Round-Robin para NAPT
Para configurar a alocação de round-robin para pools NAT, inclua a declaração de configuração de round-robin de alocação de endereços no nível de [edit services nat pool pool-name] hierarquia. Quando você usa a alocação redonda, uma porta é alocada de cada endereço em uma faixa antes de repetir o processo para cada endereço na próxima faixa. Após as portas terem sido alocadas para todos os endereços da última faixa, o processo de alocação envolve e aloca a próxima porta não utilizada para endereços na primeira faixa.
A primeira conexão é alocada no endereço:porta 100.0.0.1:3333.
A segunda conexão é alocada no endereço:porta 100.0.0.2:3333.
A terceira conexão é alocada no endereço:porta 100.0.0.3:3333.
A quarta conexão é alocada no endereço:porta 100.0.0.4:3333.
A quinta conexão é alocada no endereço:porta 100.0.0.5:3333.
A sexta conexão é alocada no endereço:porta 100.0.0.6:3333.
A sétima conexão é alocada no endereço:porta 100.0.0.7:3333.
A oitava conexão é alocada no endereço:porta 100.0.0.8:3333.
A nona conexão é alocada no endereço:porta 100.0.0.9:3333.
A décima conexão está alocada no endereço:porta 100.0.0.10:3333.
A décima primeira conexão está alocada no endereço:porta 100.0.0.11:3333.
A décima segunda conexão está alocada no endereço:porta 100.0.0.12:3333.
O envoltório ocorre e a décima terceira conexão é alocada para o endereço:porta 100.0.0.1:3334.
Alocação sequencial para NAPT
Com alocação sequencial, o próximo endereço disponível no pool NAT só é selecionado quando todas as portas disponíveis em um endereço estiverem exaustas.
A alocação sequencial só pode ser configurada para o MS-DPC e o PICS MS-100, MS-400 e MS-500 multiservices. As placas MS-MPC e MS-MIC usam apenas a abordagem de alocação de round-robin.
Essa implementação legada oferece compatibilidade atrasada e não é mais uma abordagem recomendada.
O pool de NAT chamado napt no seguinte exemplo de configuração usa a implementação sequencial:
pool napt {
address-range low 100.0.0.1 high 100.0.0.3;
address-range low 100.0.0.4 high 100.0.0.6;
address-range low 100.0.0.8 high 100.0.0.10;
address-range low 100.0.0.12 high 100.0.0.13;
port {
range low 3333 high 3334;
}
}
Neste exemplo, as portas são alocadas a partir do primeiro endereço na primeira faixa de endereço, e a alocação continua a partir deste endereço até que todas as portas disponíveis tenham sido usadas. Quando todas as portas disponíveis tiverem sido usadas, o próximo endereço (na mesma faixa de endereço ou na faixa de endereço a seguir) é alocado e todas as suas portas são selecionadas conforme necessário. No caso do pool de navegação por exemplo, o endereço tuple, porta 100.0.0.4:3333, só é alocado quando todas as portas para todos os endereços da primeira faixa tiverem sido usadas.
A primeira conexão é alocada no endereço:porta 100.0.0.1:3333.
A segunda conexão é alocada no endereço:porta 100.0.0.1:3334.
A terceira conexão é alocada no endereço:porta 100.0.0.2:3333.
A quarta conexão é alocada no endereço:porta 100.0.0.2:3334 e assim por diante.
Preservar a paridade e preservar o alcance para o NAPT
Preservam a paridade e as opções de alcance de preservação estão disponíveis para NAPT, e são suportadas em PICS MS-DPCs e MS-100, MS-400 e MS-500 MultiServices. O suporte para MS-MPCs e MS-MICs começa no Junos OS Release 15.1R1. As seguintes opções estão disponíveis para NAPT:
Preservando a paridade — Use o
preserve-paritycomando para alocar até portas para pacotes com até portas de origem e portas estranhas para pacotes com portas de origem estranhas.Preservação do alcance — Use o
preserve-rangecomando para alocar portas em uma faixa de 0 a 1023, assumindo que o pacote original contenha uma porta de origem na faixa reservada. Isso se aplica a sessões de controle, não a sessões de dados.
Agrupamento de endereços e mapeamento independente de Endpoint para NAPT
Agrupamento de endereços
O agrupamento de endereços ou o agrupamento de endereços em conjunto (APP) garante a atribuição do mesmo endereço IP externo para todas as sessões originárias do mesmo host interno. Você pode usar esse recurso ao atribuir endereços IP externos de um pool. Essa opção não afeta a utilização da porta
O agrupamento de endereços resolve os problemas de um aplicativo que abre várias conexões. Por exemplo, quando o cliente do Protocolo de Iniciação de Sessão (SIP) envia pacotes de protocolo de transporte em tempo real (RTP) e protocolo de controle em tempo real (RTCP), o servidor SIP geralmente exige que eles venham do mesmo endereço IP, mesmo que tenham sido sujeitos a NAT. Se os endereços IP RTP e RTCP forem diferentes, o endpoint receptor pode derrubar pacotes. Qualquer protocolo ponto a ponto (P2P) que negocie portas (assumindo a estabilidade do endereço) benefícios do agrupamento de endereços emparelhados.
Os seguintes são casos de uso para agrupamento de endereços:
Um site que oferece serviços de mensagens instantâneas exige que o bate-papo e suas sessões de controle venham do mesmo endereço de origem pública. Quando o usuário se inscreve para conversar, uma sessão de controle autentica o usuário. Uma sessão diferente começa quando o usuário inicia uma sessão de bate-papo. Se a sessão de bate-papo se originar de um endereço de origem diferente da sessão de autenticação, o servidor de mensagens instantâneas rejeita a sessão de bate-papo, porque ela se origina de um endereço não autorizado.
Determinados sites, como sites bancários on-line, exigem que todas as conexões de um determinado host venham do mesmo endereço IP.
A partir do Junos OS Release 14.1, quando você desativa um conjunto de serviços que contém agrupamento de endereços emparelhado (APP) para esse conjunto de serviços, as mensagens são exibidas no console PIC e os mapeamentos são liberados para esse conjunto de serviços. Essas mensagens são acionadas quando a exclusão de um conjunto de serviços começa e é novamente gerada quando a exclusão do conjunto de serviços é concluída. As mensagens de amostra a seguir são exibidas quando a exclusão começa e termina:
15 de novembro 08:33:13.974 LOG: Crítico] SVC-SET ss1 (iid 5) desativar/excluir: mapeamentos NAT e exclusão de fluxo iniciados
15 de novembro 08:33:14.674 LOG: Crítico] SVC-SET ss1 (iid 5) desativar/excluir: mapeamentos NAT e exclusão de fluxos concluídos
Em um ambiente escalonado que contém um grande número de APP em um conjunto de serviços, um volume pesado de mensagens é gerado e esse processo leva algum tempo. Recomendamos que você aguarde até que as mensagens do console que indicam a conclusão da exclusão do conjunto de serviços sejam concluídas antes de reativar o conjunto de serviços novamente.
Mapeamento independente de Endpoint e filtragem independente de endpoint
O mapeamento independente de Endpoint (EIM) garante a atribuição do mesmo endereço e porta externo para todas as conexões de um determinado host se eles usarem a mesma porta interna. Isso significa que, se eles vêm de uma porta de origem diferente, você pode atribuir um endereço externo diferente.
EIM e APP diferem da seguinte forma:
O APP garante a atribuição do mesmo endereço IP externo.
O EIM oferece um endereço e porta IP externos estáveis (por um período de tempo) aos quais hosts externos podem se conectar. A filtragem independente de Endpoint (EIF) controla quais hosts externos podem se conectar a um host interno.
Começando com o Junos OS Release 14.1, quando você desativa um conjunto de serviços que contém mapeamento independente de endpoint (EIM) para esse conjunto de serviços, as mensagens são exibidas no console PIC e os mapeamentos são liberados para esse conjunto de serviços. Essas mensagens são acionadas quando a exclusão de um conjunto de serviços começa e é novamente gerada quando a exclusão do conjunto de serviços é concluída. As mensagens de amostra a seguir são exibidas quando a exclusão começa e termina:
15 de novembro 08:33:13.974 LOG: Crítico] SVC-SET ss1 (iid 5) desativar/excluir: mapeamentos NAT e exclusão de fluxo iniciados
15 de novembro 08:33:14.674 LOG: Crítico] SVC-SET ss1 (iid 5) desativar/excluir: mapeamentos NAT e exclusão de fluxos concluídos
Em um ambiente escalonado que contém um grande número de mapeamentos de EIM em um conjunto de serviços, um volume pesado de mensagens é gerado e esse processo leva algum tempo. Recomendamos que você aguarde até que as mensagens do console que indicam a conclusão da exclusão do conjunto de serviços sejam concluídas antes de reativar o conjunto de serviços novamente.
Alocação segura de blocos de porta para NAPT
A alocação de blocos de porta é suportada em roteadores da série MX com MS-DPCs e roteadores da Série M com PICS MS-100, MS-400 e MS-500 MultiServices. A alocação de blocos de porta é suportada em roteadores da série MX com MS-MPCs e MS-MICs a partir do lançamento do Junos OS 14.2R2.
As operadoras rastreiam assinantes usando o log de endereço IP (RADIUS ou DHCP). Se eles usam o NAPT, um endereço IP é compartilhado por vários assinantes, e a operadora deve rastrear o endereço IP e a porta, que fazem parte do log NAT. Como as portas são usadas e reutilizados a uma taxa muito alta, o rastreamento de assinantes usando o log torna-se difícil devido ao grande número de mensagens, que são difíceis de arquivar e correlacionar. Ao habilitar a alocação de portas em blocos, a alocação de blocos de porta pode reduzir significativamente o número de logs, tornando mais fácil rastrear assinantes.
- Alocação segura de blocos de porta para NAPT
- Registro intermediário para alocação de blocos de porta
Alocação segura de blocos de porta para NAPT
A alocação segura de blocos de porta pode ser usada para tipos napt-44 de tradução e stateful-nat64.
Ao alocar blocos de portas, o bloco alocado mais recentemente é o bloco ativo atual. Novas solicitações para portas NAT são atendidas no bloco ativo. As portas são alocadas aleatoriamente do bloco ativo atual.
Ao configurar a alocação segura de blocos de porta, você pode especificar o seguinte:
block-sizemax-blocks-per-addressactive-block-timeout
Registro intermediário para alocação de blocos de porta
Com a alocação de blocos de porta, geramos um log de syslog por conjunto de portas alocadas para um assinante. Esses logs são baseados em UDP e podem ser perdidos na rede, especialmente para fluxos de longo prazo. O registro intermediário aciona o re-envio dos logs acima em um intervalo configurado para blocos ativos que têm tráfego em pelo menos uma das portas do bloco.
O registro intermediário é ativado incluindo a pba-interim-logging-interval declaração em services-options sp-interfaces.
Veja também
Comparação de métodos de implementação NAPT
A Tabela 1 fornece uma comparação de recursos dos métodos de implementação de NAPT disponíveis.
Recurso/função |
Alocação dinâmica de portas |
Alocação segura de blocos de porta |
Alocação determinística de blocos de porta |
|---|---|---|---|
Usuários por IP |
Alta |
Médio |
Baixo |
Risco de segurança |
Baixo |
Médio |
Médio |
Utilização de log |
Alta |
Baixo |
Nenhum (sem necessidade de logs) |
Redução de risco de segurança |
Alocação aleatória |
recurso active-block-timeout |
n/a |
Aumento de usuários por IP |
n/a |
Configure vários blocos de porta menores para maximizar usuários/IP público |
Alocação de porta baseada em algoritmos |
Configuração de NAPT em redes IPv4
A tradução de porta de endereço de rede (NAPT) é um método pelo qual muitos endereços de rede e suas portas TCP/UDP são traduzidos em um único endereço de rede e suas portas TCP/UDP. Essa tradução pode ser configurada em redes IPv4 e IPv6. Esta seção descreve as etapas para configurar o NAPT em redes IPv4.
Para configurar o NAPT, você deve configurar uma regra no nível de [edit services nat] hierarquia para traduzir dinamicamente os endereços IPv4 de origem.
Para configurar o NAPT em redes IPv4:
O exemplo a seguir configura o tipo de tradução como umpta-44.
[edit services]
user@host# show
service-set s1 {
nat-rules rule-napt-44;
interface-service {
service-interface ms-0/1/0;
}
}
nat {
pool napt-pool {
address 10.10.10.0/32;
port {
automatic auto;
}
}
rule rule-napt-44 {
match-direction input;
term t1 {
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Tradução dinâmica de endereço para um pequeno pool com fallback para NAT
A configuração a seguir mostra a tradução dinâmica de endereços de um grande prefixo para um pequeno pool, traduzindo uma sub-rede /24 para um pool de 10 endereços. Quando os endereços no pool de origem (src-pool) são esgotados, o NAT é fornecido pelo pool de sobrecarga NAPT (pat-pool).
[edit services nat]
pool src-pool {
address-range low 192.16.2.1 high 192.16.2.10;
}
pool pat-pool {
address-range low 192.16.2.11 high 192.16.2.12;
port automatic auto;
rule myrule {
match-direction input;
term myterm {
from {
source-address 10.150.1.0/24;
}
then {
translated {
source-pool src-pool;
overload-pool pat-pool;
translation-type napt-44;
}
}
}
}
Tradução dinâmica de endereços com pool pequeno
A configuração a seguir mostra a tradução dinâmica de endereços de um grande prefixo para um pequeno pool, traduzindo uma sub-rede /24 para um pool de 10 endereços. As sessões das primeiras 10 sessões de hospedagem são atribuídas a um endereço da piscina por várias etapas, e quaisquer solicitações adicionais são rejeitadas. Cada host com um NAT atribuído pode participar de várias sessões.
[edit services nat]
pool my-pool {
address-range low 10.10.10.1 high 10.10.10.10;
}
rule src-nat {
match-direction input;
term t1 {
from {
source-address 192.168.1.0/24;
}
then {
translated {
translation-type dynamic-nat44;
source-pool my-pool;
}
}
}
}
Configuração de NAPT em redes IPv6
A tradução de porta de endereço de rede (NAPT) é um método pelo qual muitos endereços de rede e suas portas TCP/UDP são traduzidos em um único endereço de rede e suas portas TCP/UDP. Essa tradução pode ser configurada em redes IPv4 e IPv6. Esta seção descreve as etapas para configurar o NAPT em redes IPv6. A configuração do NAPT em redes IPv6 não é suportada se você estiver usando MS-MPCs ou MS-MICs. Para obter informações sobre a configuração do NAPT em redes IPv4, consulte a configuração do NAPT na IPv4 Networks.
Para configurar o NAPT, você deve configurar uma regra no nível de [edit services nat] hierarquia para traduzir dinamicamente os endereços IPv6 de origem.
Para configurar o NAPT em redes IPv6:
O exemplo a seguir configura a tradução dinâmica de origem (endereço e porta) ou NAPT para uma rede IPv6.
[edit services]
user@host# show
service-set IPV6-NAPT-ServiceSet {
nat-rules IPV6-NAPT-Rule;
interface-service {
service-interface sp-0/1/0;
}
}
nat {
pool IPV6-NAPT-Pool {
address 2002::1/96;
port automatic sequential;
}
rule IPV6-NAPT-Rule {
match-direction input;
term term1 {
then {
translated {
source-pool IPV6-NAPT-Pool;
translation-type {
napt-66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
}
Exemplo: configurar o NAT com tradução de porta
Este exemplo mostra como configurar o NAT com a tradução de portas.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Uma plataforma de roteamento universal 5G da Série MX com um DPC de serviços ou um roteador de borda multisserviço da Série M com um PIC de serviços
Servidor de nome de domínio (DNS)
Junos OS Versão 11.4 ou superior
Visão geral
Este exemplo mostra uma configuração CGN NAT44 completa e opções avançadas.
Configuração de NAT com tradução de porta
Procedimento
Procedimento passo a passo
Para configurar o conjunto de serviços:
-
Configure um conjunto de serviços.
user@host# edit services service-set ss2 -
No modo de configuração, vá para o nível de
[edit services nat]hierarquia.[edit] user@host# edit services nat
-
Defina o pool de endereços de origem que devem ser usados para tradução dinâmica. Para o NAPT, especifique também os números de porta ao configurar o pool de origem.
[edit services nat] user@host# set pool pool name address source addresses user@host# set pool pool name port source ports
Por exemplo:
[edit services nat] user@host# set pool NAPT-Pool address 192.168.2.1/24; user@host# set pool NAPT-Pool port automatic
-
Especifique a regra do NAT a ser usada.
[edit services service-set ss2]host# set nat-rules r1 - Defina uma regra de NAT para traduzir os endereços de origem. Para fazer isso, defina a
match-directiondeclaração da regra comoinput. Além disso, defina um termo que usanapt-44como o tipo de tradução para traduzir os endereços do pool definidos na etapa anterior.[edit services nat] user@host# set rule rule name match-direction input user@host# set rule rule name term term name from source-address source-address user@host# set rule rule name term term name then translated source-pool pool name user@host# set rule rule name term term name then translated translation-type napt-44
Por exemplo:
[edit services nat] user@host# set rule r1 match-direction input user@host# set rule r1 term t1 from source-address 10.10.10.1 user@host# set rule r1 term t1 then translated source-pool NAPT-Pool user@host# set rule r1 term t1 then translated translation-type napt-44
-
Especifique o serviço de interface.
[edit services service-set ss2]host# set interface-service service-interface sp-5/0/0
Resultados
user@host# show services service-sets sset2
service-set ss2 {
nat-rules r1;
interface-service {
service-interface sp-5/0/0;
}
}
nat {
pool NAPT-Pool {
address 192.168.2.1/24;
port automatic;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.1/32;
}
}
then {
translated {
source-pool NAPT-Pool;
translation-type {
napt-44;
}
}
}
}
}
}
Exemplo: configuração de NAPT no MS-MPC com um conjunto de serviços de interface
Este exemplo mostra como configurar a tradução de endereços de rede com tradução de porta (NAPT) em um roteador da série MX usando um Concentrador modular de portas (MS-MPC) como uma placa de interface de serviços.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Roteador da série MX
Concentrador modular de portas multisserviços (MS-MPC)
Versão do Junos OS 13.2R1 ou superior
Visão geral
Um provedor de serviços escolheu um MS-MPC como uma plataforma para fornecer serviços NAT para acomodar novos assinantes.
Configuração
Para configurar o NAPT44 usando o MS-MPC como uma placa de interface de serviços, execute essas tarefas:
- Configuração rápida de CLI
- Configuração de interfaces
- Configure um conjunto de aplicativos de tráfego aceitável de aplicativos
- Configuração de uma regra de firewall stateful
- Configuração do pool e da regra do NAT
- Configuração do conjunto de serviços
Configuração rápida de CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia [editar].
set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24 set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1 set interfaces ms-3/0/0 unit 0 family inet set applications application-set accept-algs application junos-http set applications application-set accept-algs application junos-ftp set applications application-set accept-algs application junos-tftp set applications application-set accept-algs application junos-telnet set applications application-set accept-algs application junos-sip set applications application-set accept-algs application junos-rtcp set services stateful-firewall rule sf-rule1 match-direction input-output set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs set services stateful-firewall rule sf-rule1 term sf-term1 then accept set services nat pool napt-pool address 1.1.1.0/24 set services nat pool napt-pool port automatic * nat rule for napt set services nat rule nat-rule1 match-direction input set services nat rule nat-rule1 term nat-term1 from source-address 10.255.247.0/24 set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44 * nat rule for basic nat set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
Configuração de interfaces
Procedimento passo a passo
Configure as interfaces necessárias para o processamento de NAT. Você precisará das seguintes interfaces:
Uma interface voltada para o cliente que lida com o tráfego de e para o cliente.
Uma interface voltada para a internet.
Uma interface de serviços que fornece serviços de FIREWALL com estado e NAT para a interface voltada para o cliente
Configure a interface para a interface voltada para o cliente.
user@host# edit [edit ] user@host# set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 user@host# set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 user@host# set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1
Configure a interface para a interface voltada para a Internet.
[edit ] set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24
Configure a interface para o conjunto de serviços que conectará serviços à interface voltada para o cliente. Em nosso exemplo, a interface reside em um MS-MPC.
[edit ] user@host# set interfaces ms-3/0/0 unit 0 family inet
Configure um conjunto de aplicativos de tráfego aceitável de aplicativos
Procedimento passo a passo
Identifique os aplicativos aceitáveis para o tráfego recebido.
Especifique um conjunto de aplicativos que contenha tráfego de aplicativos de entrada aceitável.
user@host# set applications application-set accept-algs application junos-http user@host# set applications application-set accept-algs application junos-ftp user@host# set applications application-set accept-algs application junos-tftp user@host# set applications application-set accept-algs application junos-telnet user@host# set applications application-set accept-algs application junos-sip user@host# set applications application-set accept-algs application junos-rtcp
Resultados
user@host#edit services applications application-set accept-algs user@host#show application junos-http; application junos-ftp; application junos-tftp; application junos-telnet; application junos-sip; application junos-
Configuração de uma regra de firewall stateful
Procedimento passo a passo
Configure uma regra de firewall stateful que aceitará todo o tráfego recebido.
Especifique a correspondência de firewall para todas as entradas e saídas
user@hos#t set services stateful-firewall rule sf-rule1 match-direction input-output
Identifique o tráfego de endereço de origem e aplicativos aceitáveis a partir da interface voltada para o cliente.
user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs user@host# set services stateful-firewall rule sf-rule1 term sf-term1 then accept
Resultados
user@host# edit services stateful-firewall
user@host# show
rule sf-rule1 {
match-direction input-output;
term sf-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
accept;
}
}
}
Configuração do pool e da regra do NAT
Procedimento passo a passo
Configure um pool de NAT e uma regra para a tradução de endereços com atribuição automática de porta.
Configure o pool NAT com atribuição automática de porta.
user@host# set services nat pool napt-pool address 1.1.1.0/24 user@host# set services nat pool napt-pool port automatic auto
Configure uma regra de NAT que aplica o tipo
napt-44de tradução usando o pool NAT definido.user@host# set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs user@host# set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool user@host# set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44
Resultados
user@host#edit services nat
user@host#show
pool napt-pool {
address 1.1.1.0/24;
port {
automatic;
}
}
rule nat-rule1 {
match-direction input;
term nat-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
Configuração do conjunto de serviços
Procedimento passo a passo
Configure um conjunto de serviços do tipo interface.
Especifique as regras de NAT e firewall stateful aplicáveis ao tráfego do cliente.
user@host set services service-set sset1 stateful-firewall-rules sf-rule1 user@host set services service-set sset1 nat-rules bat-rule1
Especifique a interface de serviços que aplica as regras ao tráfego do cliente.
set services service-set sset1 interface-service service-interface ms-3/0/0
Resultados
user@host# edit services service-set sset1 user@host# show set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
sequential com a
port automatic declaração no nível de
[edit services nat pool nat-pool-name] hierarquia para alocação seqüenciada de portas a partir da faixa especificada.
auto está escondida e está preterida, e só é mantida para compatibilidade retrógrada.
sequential é introduzida para permitir que você configure a alocação sequencial de portas.