Stateful NAT64
Configuração do STATEful NAT64
Para configurar o NAT64 stateful, você deve configurar uma regra no nível de [edit services nat]
hierarquia para traduzir dinamicamente o endereço de origem e o endereço de destino.
Quando você configurar o conjunto de serviços que inclui a sua regra NAT, inclua o set stateful-nat64 clear-dont-fragment-bit
nível de [edit services service-set service-set-name]
hierarquia. Isso libera o bit DF (não fragmentar) para evitar a criação desnecessária de um cabeçalho de fragmentação IPv6 ao traduzir pacotes IPv4 com menos de 1280 bytes. O RFC 6145, algoritmo de tradução de IP/ICMP, fornece uma discussão completa sobre o uso da bandeira do DF para controlar a geração de cabeçalhos de fragmentação. Para obter mais informações sobre conjuntos de serviços para NAT, consulte Configurando conjuntos de serviços para tradução de endereços de rede.
Para configurar o NAT64 stateful:
O exemplo a seguir configura o endereço de origem dinâmica (IPv6-to-IPv4) e a tradução de endereço de destino estático (IPv6-to-IPv4).
[edit services] user@host# show nat { pool src-pool-nat64 { address 203.0.113.0/24; port { automatic; } } rule stateful-nat64 { match-direction input; term t1 { from { source-address { 2001:db8::0/96; } destination-address { 64:ff9b::/96; } } then { translated { source-pool src-pool-nat64; destination-prefix 64:ff9b::/96; translation-type { stateful-nat64; } } } } } } service-set sset-nat64 { nat-options { stateful-nat64 { clear-dont-fragment-bit; } } service-set-options; nat-rules stateful-nat64; interface-service { service-interface ms-0/1/0; } }
Se você configurar duas regras NAT64 e as associar ao mesmo conjunto de serviços, juntamente com as regras de firewall stateful, e aplicar o conjunto de serviços em duas interfaces com tags VLAN, para tráfego que é transmitido de acordo com as regras de NAT, o tráfego destinado à segunda regra NAT será descartado. Nesse cenário, os fluxos de tráfego não são descartados no Mecanismo de Roteamento. Esse comportamento de queda de tráfego pela segunda regra de NAT é esperado. Com os pacotes do Junos OS Extension-Provider instalados em um dispositivo, porque o mapeamento independente de endpoint (EIM) não é suportado, EIM por VLAN ou por termo de regra de NAT. A segunda sessão, que é descartada pela segunda regra NAT no cenário de configuração descrito aqui, não é criada devido à seguinte sequência de eventos:
A primeira regra de correspondência de pacotes cria um EIM e uma sessão.
O segundo pacote corresponde à entrada EIM porque o segundo pacote é enviado com o mesmo endereço IP de origem e porta que o primeiro pacote (mas com um endereço de destino diferente).
Essa condição causa a alocação (reutilização) do mesmo endereço IP público e porta para o segundo pacote que o primeiro pacote. O fluxo reverso para esta sessão tem os mesmos dados de 5 tuple que o fluxo reverso da primeira sessão. Esse comportamento causa falha na adição de fluxo porque um fluxo duplicado no mesmo conjunto de serviços não é permitido.
Para solucionar esse problema, desabilita o EIM em ambas as regras de NAT, o que faz com que ambas as sessões sejam estabelecidas e processadas corretamente. Alternativamente, para evitar esse problema, especifique as regras de NAT sobre diferentes conjuntos de serviços configurados em diferentes unidades da interface de mídia com EIM habilitado para estabelecer com sucesso ambas as sessões.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.
sequential
é introduzida para permitir que você configure a alocação sequencial de portas.