NESTA PÁGINA
Tradução de porta de endereço de rede
Configuração de pools de endereços para Network Address Port Translation (NAPT) Visão geral
Com a Network Address Port Translation (NAPT), você pode configurar até 32 intervalos de endereços com até 65.536 endereços cada.
A port instrução especifica a atribuição de porta para os endereços convertidos. Para configurar a atribuição automática de portas, inclua a port automatic declaração no nível da [edit services nat pool nat-pool-name] hierarquia. Por padrão, ocorre a alocação sequencial de portas.
A partir do Junos OS Release 14.2, você pode incluir a sequential opção com a port automatic declaração no [edit services nat pool nat-pool-name] nível de hierarquia para alocação sequenciada de portas do intervalo especificado. Para configurar um intervalo específico de números de porta, inclua a port range low minimum-value high maximum-value declaração no nível de [edit services nat pool nat-pool-name] hierarquia.
Quando 99% do total de portas disponíveis no pool para napt-44 , nenhum novo fluxo é permitido nesse pool NAT.
A partir do Junos OS Release 14.2, a auto opção está oculta e obsoleta, e é mantida apenas para compatibilidade com versões anteriores. Ele pode ser removido completamente em uma versão de software futura.
O Junos OS oferece várias alternativas para a alocação de portas:
- Alocação de rodízio para NAPT
- Alocação sequencial para NAPT
- Preservar paridade e preservar intervalo para NAPT
- Pool de endereços e mapeamento independente de endpoint para NAPT
- Alocação de bloco de porta protegida para NAPT
- Comparação dos métodos de implementação do NAPT
Alocação de rodízio para NAPT
Para configurar a alocação round-robin para pools NAT, inclua a address-allocation round-robin declaração de configuração no nível da [edit services nat pool pool-name] hierarquia. Quando você usa a alocação de rodízio, uma porta é alocada de cada endereço em um intervalo antes de repetir o processo para cada endereço no próximo intervalo. Depois que as portas tiverem sido alocadas para todos os endereços no último intervalo, o processo de alocação envolverá e alocará a próxima porta não utilizada para endereços no primeiro intervalo.
A primeira conexão é alocada para o endereço:porta 100.0.0.1:3333.
A segunda conexão é alocada para o endereço:porta 100.0.0.2:3333.
A terceira conexão é alocada ao endereço:porta 100.0.0.3:3333.
A quarta conexão é alocada ao endereço:porta 100.0.0.4:3333.
A quinta conexão é alocada para o endereço:porta 100.0.0.5:3333.
A sexta conexão é alocada ao endereço:porta 100.0.0.6:3333.
A sétima conexão é alocada para o endereço:porta 100.0.0.7:3333.
A oitava conexão é alocada ao endereço:porta 100.0.0.8:3333.
A nona conexão é alocada para o endereço:porta 100.0.0.9:3333.
A décima conexão é alocada ao endereço:porta 100.0.0.10:3333.
A décima primeira conexão é alocada ao endereço:porta 100.0.0.11:3333.
A décima segunda conexão é alocada ao endereço:porta 100.0.0.12:3333.
O wraparound ocorre e a décima terceira conexão é alocada ao endereço:porta 100.0.0.1:3334.
Alocação sequencial para NAPT
Com a alocação sequencial, o próximo endereço disponível no pool NAT é selecionado somente quando todas as portas disponíveis de um endereço são esgotadas.
A alocação sequencial pode ser configurada apenas para o MS-DPC e os PICS multisserviços MS-100, MS-400 e MS-500. As placas MS-MPC e MS-MIC usam apenas a abordagem de alocação round-robin.
Essa implementação herdada fornece compatibilidade com versões anteriores e não é mais uma abordagem recomendada.
O pool NAT chamado napt no exemplo de configuração a seguir usa a implementação sequencial:
pool napt {
address-range low 100.0.0.1 high 100.0.0.3;
address-range low 100.0.0.4 high 100.0.0.6;
address-range low 100.0.0.8 high 100.0.0.10;
address-range low 100.0.0.12 high 100.0.0.13;
port {
range low 3333 high 3334;
}
}
Neste exemplo, as portas são alocadas a partir do primeiro endereço no primeiro intervalo de endereços, e a alocação continua a partir desse endereço até que todas as portas disponíveis tenham sido usadas. Quando todas as portas disponíveis tiverem sido usadas, o próximo endereço (no mesmo intervalo de endereços ou no intervalo de endereços seguinte) será alocado e todas as suas portas serão selecionadas conforme necessário. No caso do pool de napt de exemplo, o endereço de tupla, porta 100.0.0.4:3333, é alocado somente quando todas as portas de todos os endereços no primeiro intervalo tiverem sido usadas.
A primeira conexão é alocada para o endereço:porta 100.0.0.1:3333.
A segunda conexão é alocada ao endereço:porta 100.0.0.1:3334.
A terceira conexão é alocada ao endereço:porta 100.0.0.2:3333.
A quarta conexão é alocada para o endereço:porta 100.0.0.2:3334 e assim por diante.
Preservar paridade e preservar intervalo para NAPT
As opções Preservar paridade e Preservar intervalo estão disponíveis para NAPT e são suportadas em MS-DPCs e MS-100, MS-400 e MS-500 MultiServices PICS. O suporte para MS-MPCs e MS-MICs começa no Junos OS Release 15.1R1. As seguintes opções estão disponíveis para NAPT:
Preservando a paridade — Use o
preserve-paritycomando para alocar portas pares para pacotes com portas de origem pares e portas ímpares para pacotes com portas de origem ímpares.Preservando o intervalo — Use o
preserve-rangecomando para alocar portas dentro de um intervalo de 0 a 1023, supondo que o pacote original contenha uma porta de origem no intervalo reservado. Isso se aplica a sessões de controle, não a sessões de dados.
Pool de endereços e mapeamento independente de endpoint para NAPT
Agrupamento de endereços
O pool de endereços, ou pool de endereços emparelhado (APP), garante a atribuição do mesmo endereço IP externo para todas as sessões originadas do mesmo host interno. Você pode usar esse recurso ao atribuir endereços IP externos de um pool. Essa opção não afeta a utilização da porta
O pool de endereços resolve os problemas de um aplicativo que abre várias conexões. Por exemplo, quando o cliente SIP envia pacotes RTP (Real-Time Transport Protocol) e RTCP, o servidor SIP geralmente exige que eles venham do mesmo endereço IP, mesmo que tenham sido sujeitos ao NAT. Se os endereços IP RTP e RTCP forem diferentes, o endpoint de recebimento poderá descartar pacotes. Qualquer protocolo ponto a ponto (P2P) que negocie portas (assumindo estabilidade de endereço) se beneficia do pool de endereços emparelhado.
Veja a seguir casos de uso para agrupamento de endereços:
Um site que oferece serviços de mensagens instantâneas exige que o chat e suas sessões de controle venham do mesmo endereço de origem público. Quando o usuário entra no chat, uma sessão de controle autentica o usuário. Uma sessão diferente começa quando o usuário inicia uma sessão de chat. Se a sessão de chat se originar de um endereço de origem diferente da sessão de autenticação, o servidor de mensagens instantâneas rejeitará a sessão de chat, pois ela se origina de um endereço não autorizado.
Certos sites, como sites de bancos on-line, exigem que todas as conexões de um determinado host venham do mesmo endereço IP.
A partir do Junos OS Release 14.1, quando você desativa um conjunto de serviços que contém o pool de endereços emparelhado (APP) para esse conjunto de serviços, as mensagens são exibidas no console do PIC e os mapeamentos são limpos para esse conjunto de serviços. Essas mensagens são disparadas quando a exclusão de um conjunto de serviços começa e são geradas novamente quando a exclusão do conjunto de serviços é concluída. As seguintes mensagens de exemplo são exibidas quando a exclusão começa e termina:
15 de novembro 08:33:13.974 LOG: Crítico] SVC-SET ss1 (iid 5) desativar/excluir: Mapeamentos de NAT e exclusão de fluxos iniciados
15 de novembro 08:33:14.674 LOG: Crítico] SVC-SET ss1 (iid 5) desativar/excluir: Mapeamentos de NAT e exclusão de fluxos concluídos
Em um ambiente dimensionado que contém um grande número de APP em um conjunto de serviços, um grande volume de mensagens é gerado e esse processo leva algum tempo. Recomendamos que você aguarde até que as mensagens do console que indicam a conclusão da exclusão do conjunto de serviços sejam concluídas antes de reativar o conjunto de serviços novamente.
Mapeamento independente de endpoint e filtragem independente de endpoint
O mapeamento independente de endpoint (EIM) garante a atribuição do mesmo endereço e porta externa para todas as conexões de um determinado host se elas usarem a mesma porta interna. Isso significa que, se eles vierem de uma porta de origem diferente, você poderá atribuir um endereço externo diferente.
EIM e APP diferem da seguinte forma:
O APP garante a atribuição do mesmo endereço IP externo.
O EIM fornece um endereço IP externo estável e uma porta (por um período de tempo) aos quais os hosts externos podem se conectar. A filtragem independente de endpoint (EIF) controla quais hosts externos podem se conectar a um host interno.
A partir do Junos OS Release 14.1, quando você desativa um conjunto de serviços que contém mapeamento independente de endpoint (EIM) para esse conjunto de serviços, as mensagens são exibidas no console PIC e os mapeamentos são limpos para esse conjunto de serviços. Essas mensagens são disparadas quando a exclusão de um conjunto de serviços começa e são geradas novamente quando a exclusão do conjunto de serviços é concluída. As seguintes mensagens de exemplo são exibidas quando a exclusão começa e termina:
15 de novembro 08:33:13.974 LOG: Crítico] SVC-SET ss1 (iid 5) desativar/excluir: Mapeamentos de NAT e exclusão de fluxos iniciados
15 de novembro 08:33:14.674 LOG: Crítico] SVC-SET ss1 (iid 5) desativar/excluir: Mapeamentos de NAT e exclusão de fluxos concluídos
Em um ambiente dimensionado que contém um grande número de mapeamentos EIM em um conjunto de serviços, um grande volume de mensagens é gerado e esse processo leva algum tempo. Recomendamos que você aguarde até que as mensagens do console que indicam a conclusão da exclusão do conjunto de serviços sejam concluídas antes de reativar o conjunto de serviços novamente.
Alocação de bloco de porta protegida para NAPT
A alocação de blocos de porta é suportada em roteadores da série MX com MS-DPCs e em roteadores da Série M com MS-100, MS-400 e MS-500 MultiServices PICS. A alocação de blocos de porta é suportada em roteadores da série MX com MS-MPCs e MS-MICs a partir do Junos OS versão 14.2R2.
As operadoras rastreiam os assinantes usando o log de endereço IP (RADIUS ou DHCP). Se eles usarem o NAPT, um endereço IP será compartilhado por vários assinantes e a operadora deverá rastrear o endereço IP e a porta, que fazem parte do log do NAT. Como as portas são usadas e reutilizadas em uma taxa muito alta, o rastreamento de assinantes usando o log torna-se difícil devido ao grande número de mensagens, que são difíceis de arquivar e correlacionar. Ao habilitar a alocação de portas em blocos, a alocação de blocos de porta pode reduzir significativamente o número de logs, facilitando o rastreamento de assinantes.
Alocação de bloco de porta protegida para NAPT
A alocação de bloco de porta protegida pode ser usada para tipos napt-44 de tradução e stateful-nat64.
Ao alocar blocos de portas, o bloco alocado mais recentemente é o bloco ativo atual. Novas solicitações de portas NAT são atendidas a partir do bloco ativo. As portas são alocadas aleatoriamente a partir do bloco ativo atual.
Ao configurar a alocação de bloco de porta protegida, você pode especificar o seguinte:
block-sizemax-blocks-per-addressactive-block-timeout
Registro provisório para alocação de bloco de porta
Com a alocação de bloco de porta, geramos um log de syslog por conjunto de portas alocadas para um assinante. Esses logs são baseados em UDP e podem ser perdidos na rede, especialmente para fluxos de longa duração. O log provisório aciona o reenvio dos logs acima em um intervalo configurado para blocos ativos que têm tráfego em pelo menos uma das portas do bloco.
O registro provisório é ativado incluindo a pba-interim-logging-interval instrução em services-options para interfaces sp-.
Veja também
Comparação dos métodos de implementação do NAPT
A Tabela 1 fornece uma comparação de recursos dos métodos de implementação NAPT disponíveis.
Recurso / Função |
Alocação dinâmica de portas |
Alocação de bloco de porta protegida |
Alocação determinística de blocos de portas |
|---|---|---|---|
Usuários por IP |
Alto |
Média |
Baixa |
Risco de Segurança |
Baixa |
Média |
Média |
Utilização de log |
Alto |
Baixa |
Nenhum (não são necessários registros) |
Redução de Riscos de Segurança |
Alocação aleatória |
recurso de tempo limite de bloco ativo |
n/a |
Aumento de usuários por IP |
n/a |
Configure múltiplos blocos de portas menores para maximizar usuários/IP público |
Alocação de portas baseada em algoritmo |
Configuração do NAPT em redes IPv4
A Network Address Port Translation (NAPT) é um método pelo qual muitos endereços de rede e suas portas TCP/UDP são convertidos em um único endereço de rede e suas portas TCP/UDP. Essa conversão pode ser configurada em redes IPv4 e IPv6. Esta seção descreve as etapas para configurar o NAPT em redes IPv4.
Para configurar o NAPT, você deve configurar uma regra no nível da [edit services nat] hierarquia para traduzir dinamicamente os endereços IPv4 de origem.
Para configurar o NAPT em redes IPv4:
O exemplo a seguir configura o tipo de tradução como napt-44.
[edit services]
user@host# show
service-set s1 {
nat-rules rule-napt-44;
interface-service {
service-interface ms-0/1/0;
}
}
nat {
pool napt-pool {
address 10.10.10.0/32;
port {
automatic auto;
}
}
rule rule-napt-44 {
match-direction input;
term t1 {
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Conversão dinâmica de endereços para um grupo pequeno com fallback para NAT
A configuração a seguir mostra a conversão dinâmica de endereço de um prefixo grande para um pool pequeno, convertendo uma sub-rede /24 em um pool de 10 endereços. Quando os endereços no pool de origem (src-pool) são esgotados, o NAT é fornecido pelo pool de sobrecarga NAPT (pat-pool).
[edit services nat]
pool src-pool {
address-range low 192.16.2.1 high 192.16.2.10;
}
pool pat-pool {
address-range low 192.16.2.11 high 192.16.2.12;
port automatic auto;
rule myrule {
match-direction input;
term myterm {
from {
source-address 10.150.1.0/24;
}
then {
translated {
source-pool src-pool;
overload-pool pat-pool;
translation-type napt-44;
}
}
}
}
Tradução dinâmica de endereços com pool pequeno
A configuração a seguir mostra a conversão dinâmica de endereço de um prefixo grande para um pool pequeno, convertendo uma sub-rede /24 em um pool de 10 endereços. As sessões das primeiras 10 sessões do host recebem um endereço do pool por ordem de chegada, e todas as solicitações adicionais são rejeitadas. Cada host com um NAT atribuído pode participar de várias sessões.
[edit services nat]
pool my-pool {
address-range low 10.10.10.1 high 10.10.10.10;
}
rule src-nat {
match-direction input;
term t1 {
from {
source-address 192.168.1.0/24;
}
then {
translated {
translation-type dynamic-nat44;
source-pool my-pool;
}
}
}
}
Configuração do NAPT em redes IPv6
A Network Address Port Translation (NAPT) é um método pelo qual muitos endereços de rede e suas portas TCP/UDP são convertidos em um único endereço de rede e suas portas TCP/UDP. Essa conversão pode ser configurada em redes IPv4 e IPv6. Esta seção descreve as etapas para configurar o NAPT em redes IPv6. A configuração do NAPT em redes IPv6 não é suportada se você estiver usando MS-MPCs ou MS-MICs. Para obter informações sobre como configurar o NAPT em redes IPv4, consulte Configurando o NAPT em redes IPv4.
Para configurar o NAPT, você deve configurar uma regra no nível da [edit services nat] hierarquia para traduzir dinamicamente os endereços IPv6 de origem.
Para configurar o NAPT em redes IPv6:
O exemplo a seguir configura a conversão dinâmica de origem (endereço e porta) ou NAPT para uma rede IPv6.
[edit services]
user@host# show
service-set IPV6-NAPT-ServiceSet {
nat-rules IPV6-NAPT-Rule;
interface-service {
service-interface sp-0/1/0;
}
}
nat {
pool IPV6-NAPT-Pool {
address 2002::1/96;
port automatic sequential;
}
rule IPV6-NAPT-Rule {
match-direction input;
term term1 {
then {
translated {
source-pool IPV6-NAPT-Pool;
translation-type {
napt-66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
}
Exemplo: Configurando NAT com Tradução de Porta
Este exemplo mostra como configurar o NAT com a conversão de porta.
Requerimentos
Este exemplo usa os seguintes componentes de hardware e software:
Uma Plataforma de roteamento universal 5G da Série MX com um DPC de serviços ou um roteador de borda multisserviço da Série M com um PIC de serviços
Um servidor de nomes de domínio (DNS)
Junos OS versão 11.4 ou superior
Visão geral
Este exemplo mostra uma configuração completa do CGN NAT44 e opções avançadas.
Configurando o NAT com tradução de porta
Tramitação processual
Procedimento passo a passo
Para configurar o conjunto de serviços:
-
Configure um conjunto de serviços.
user@host# edit services service-set ss2 -
No modo de configuração, vá para o
[edit services nat]nível de hierarquia.[edit] user@host# edit services nat
-
Defina o pool de endereços de origem que devem ser usados para tradução dinâmica. Para NAPT, especifique também os números de porta ao configurar o pool de origem.
[edit services nat] user@host# set pool pool name address source addresses user@host# set pool pool name port source ports
Por exemplo:
[edit services nat] user@host# set pool NAPT-Pool address 192.168.2.1/24; user@host# set pool NAPT-Pool port automatic
-
Especifique a regra NAT a ser usada.
[edit services service-set ss2]host# set nat-rules r1 - Defina uma regra NAT para traduzir os endereços de origem. Para fazer isso, defina a
match-directioninstrução da regra comoinput. Além disso, defina um termo que usenapt-44como tipo de tradução para traduzir os endereços do pool definido na etapa anterior.[edit services nat] user@host# set rule rule name match-direction input user@host# set rule rule name term term name from source-address source-address user@host# set rule rule name term term name then translated source-pool pool name user@host# set rule rule name term term name then translated translation-type napt-44
Por exemplo:
[edit services nat] user@host# set rule r1 match-direction input user@host# set rule r1 term t1 from source-address 10.10.10.1 user@host# set rule r1 term t1 then translated source-pool NAPT-Pool user@host# set rule r1 term t1 then translated translation-type napt-44
-
Especifique o serviço de interface.
[edit services service-set ss2]host# set interface-service service-interface sp-5/0/0
Resultados
user@host# show services service-sets sset2
service-set ss2 {
nat-rules r1;
interface-service {
service-interface sp-5/0/0;
}
}
nat {
pool NAPT-Pool {
address 192.168.2.1/24;
port automatic;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.1/32;
}
}
then {
translated {
source-pool NAPT-Pool;
translation-type {
napt-44;
}
}
}
}
}
}
Exemplo: Configuração NAPT no MS-MPC com um conjunto de serviços de interface
Este exemplo mostra como configurar a tradução de endereços de rede com tradução de porta (NAPT) em um roteador da série MX usando um concentrador de portas modular multisserviços (MS-MPC) como uma placa de interface de serviços.
Requerimentos
Este exemplo usa os seguintes componentes de hardware e software:
roteador da série MX
Concentrador modular de portas multisserviços (MS-MPC)
Junos OS versão 13.2R1 ou superior
Visão geral
Um provedor de serviços escolheu um MS-MPC como uma plataforma para fornecer serviços NAT para acomodar novos assinantes.
Configuração
Para configurar o NAPT44 usando o MS-MPC como uma placa de interface de serviços, execute estas tarefas:
- Configuração rápida da CLI
- Configuração de interfaces
- Configurar um conjunto de aplicativos de tráfego de aplicativo aceitável
- Configuração de uma regra de Firewall com estado
- Configurando o pool e a regra NAT
- Configurando o conjunto de serviços
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia.
set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24 set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1 set interfaces ms-3/0/0 unit 0 family inet set applications application-set accept-algs application junos-http set applications application-set accept-algs application junos-ftp set applications application-set accept-algs application junos-tftp set applications application-set accept-algs application junos-telnet set applications application-set accept-algs application junos-sip set applications application-set accept-algs application junos-rtcp set services stateful-firewall rule sf-rule1 match-direction input-output set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs set services stateful-firewall rule sf-rule1 term sf-term1 then accept set services nat pool napt-pool address 1.1.1.0/24 set services nat pool napt-pool port automatic * nat rule for napt set services nat rule nat-rule1 match-direction input set services nat rule nat-rule1 term nat-term1 from source-address 10.255.247.0/24 set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44 * nat rule for basic nat set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
Configuração de interfaces
Procedimento passo a passo
Configure as interfaces necessárias para o processamento de NAT. Você precisará das seguintes interfaces:
Uma interface voltada para o cliente que lida com o tráfego de e para o cliente.
Uma interface voltada para a Internet.
Uma interface de serviços que fornece NAT e serviços de firewall stateful para a interface voltada para o cliente
Configure a interface para a interface voltada para o cliente.
user@host# edit [edit ] user@host# set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 user@host# set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 user@host# set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1
Configure a interface para a interface voltada para a Internet.
[edit ] set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24
Configure a interface para o conjunto de serviços que conectará serviços à interface voltada para o cliente. Em nosso exemplo, a interface reside em um MS-MPC.
[edit ] user@host# set interfaces ms-3/0/0 unit 0 family inet
Configurar um conjunto de aplicativos de tráfego de aplicativo aceitável
Procedimento passo a passo
Identificar os aplicativos aceitáveis para o tráfego de entrada.
Especifique um conjunto de aplicativos que contenha tráfego de aplicativo de entrada aceitável.
user@host# set applications application-set accept-algs application junos-http user@host# set applications application-set accept-algs application junos-ftp user@host# set applications application-set accept-algs application junos-tftp user@host# set applications application-set accept-algs application junos-telnet user@host# set applications application-set accept-algs application junos-sip user@host# set applications application-set accept-algs application junos-rtcp
Resultados
user@host#edit services applications application-set accept-algs user@host#show application junos-http; application junos-ftp; application junos-tftp; application junos-telnet; application junos-sip; application junos-
Configuração de uma regra de Firewall com estado
Procedimento passo a passo
Configure uma regra de firewall stateful que aceite todo o tráfego de entrada.
Especificar a correspondência de firewall para todas as entradas e saídas
user@hos#t set services stateful-firewall rule sf-rule1 match-direction input-output
Identifique o endereço de origem e o tráfego de aplicativos aceitável na interface voltada para o cliente.
user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs user@host# set services stateful-firewall rule sf-rule1 term sf-term1 then accept
Resultados
user@host# edit services stateful-firewall
user@host# show
rule sf-rule1 {
match-direction input-output;
term sf-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
accept;
}
}
}
Configurando o pool e a regra NAT
Procedimento passo a passo
Configure um pool de NAT e uma regra para conversão de endereços com atribuição automática de portas.
Configure o pool NAT com atribuição automática de portas.
user@host# set services nat pool napt-pool address 1.1.1.0/24 user@host# set services nat pool napt-pool port automatic auto
Configure uma regra NAT que aplique o tipo
napt-44de tradução usando o pool NAT definido.user@host# set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs user@host# set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool user@host# set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44
Resultados
user@host#edit services nat
user@host#show
pool napt-pool {
address 1.1.1.0/24;
port {
automatic;
}
}
rule nat-rule1 {
match-direction input;
term nat-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
Configurando o conjunto de serviços
Procedimento passo a passo
Configure um conjunto de serviços do tipo interface.
Especifique as regras de firewall stateful e NAT que se aplicam ao tráfego do cliente.
user@host set services service-set sset1 stateful-firewall-rules sf-rule1 user@host set services service-set sset1 nat-rules bat-rule1
Especifique a interface de serviços que aplica as regras ao tráfego do cliente.
set services service-set sset1 interface-service service-interface ms-3/0/0
Resultados
user@host# edit services service-set sset1 user@host# show set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.
sequential opção com a
port automatic declaração no
[edit services nat pool nat-pool-name] nível de hierarquia para alocação sequenciada de portas do intervalo especificado.
auto opção está oculta e obsoleta, e é mantida apenas para compatibilidade com versões anteriores.
sequential para permitir que você configure a alocação sequencial de portas.