Configuração da tradução de porta de endereço de rede para serviços de próxima geração
Configurando o pool de origem para NAPT
Para configurar o pool de origem para NAPT:
- Crie um pool de origem.
user@host# edit services nat source pool nat-pool-name
- Defina os endereços ou sub-redes para quais endereços de origem são traduzidos.
[edit services nat source pool nat-pool-name] user@host# set address address-prefix
Ou
[edit services nat source pool nat-pool-name] user@host# set address address-prefix to address address-prefix
- Para configurar a atribuição automática da porta para o pool, especifique a alocação aleatória ou a alocação de round-robin. A alocação de round-robin é o padrão.
[edit services nat source pool nat-pool-name port] user@host# set automatic (random-allocation | round-robin)
A alocação aleatória atribui aleatoriamente uma porta da faixa de 1024 a 65535 para cada tradução de porta. A alocação de round-robin primeiro atribui a porta 1024 e usa a próxima porta mais alta para cada atribuição sucessiva de portas.
- Para desativar a alocação de porta round-robin para todos os pools NAT que não especificam uma configuração
automatic (random-allocation | round-robin)
, configure a configuração global.[edit services nat source] user@host# set port-round-robin disable
- Para configurar uma variedade de portas para atribuir a um pool, execute o seguinte:
Nota:
Se você especificar uma variedade de portas para atribuir, a
automatic
declaração será ignorada.- Especifique os valores baixos e altos para a porta. Se você não configurar a atribuição automática da porta, você deve configurar uma variedade de portas.
[edit services nat source pool nat-pool-name port] user@host# set range port-low to port-high
- Especifique a alocação aleatória ou a alocação de round-robin. A alocação de round-robin é o padrão.
[edit services nat source pool nat-pool-name port range] user@host# set (random-allocation | round-robin)
- Especifique os valores baixos e altos para a porta. Se você não configurar a atribuição automática da porta, você deve configurar uma variedade de portas.
- Atribua uma porta dentro da mesma faixa que a porta de entrada — de 0 a 1023 ou 1024 a 65.535. Esse recurso não está disponível se você configurar a alocação de blocos de porta.
[edit services nat source pool nat-pool-name port] user@host# set preserve-range
- Atribua uma porta com a mesma paridade (mesmo ou estranha) que a porta de origem de entrada. Esse recurso não está disponível se você configurar a alocação de blocos de porta.
[edit services nat source pool nat-pool-name port] user@host# set preserve-parity
- Configure uma faixa de porta padrão global para pools NAT que usam tradução de porta. Essa faixa de porta é usada quando um pool NAT não especifica uma faixa de porta e não especifica a atribuição automática da porta. A faixa global de portas pode ser de 1024 a 65.535.
[edit services nat source] user@host# set pool-default-port-range port-low to port-high
- Se você quiser alocar um bloco de portas para cada assinante usar para o NAPT, configure a alocação de blocos de porta:
- Configure o número de portas em um bloco. O intervalo é de 1 a 64.512 e o padrão é de 128.
[edit services nat source pool nat-pool-name port] user@host# set block-allocation block-size block-size
- Configure o intervalo, em segundos, para o qual o bloco está ativo. Após o intervalo, um novo bloco é alocado, mesmo que as portas estejam disponíveis no bloco ativo. Se você definir o tempo limite para 0, os blocos de porta serão preenchidos completamente antes que um novo bloco de porta seja alocado, e o último bloco de porta permaneça ativo indefinidamente. A faixa é de 0 a 86.400, e o padrão é 0.
[edit services nat source pool nat-pool-name port block-allocation] user@host# set active-block-timeout timeout-interval
- Especifique o período de folga para mapeamentos emparelhados de agrupamento de endereços que usam o pool NAT. O intervalo é de 120 a 86.400 segundos, e o padrão é de 300. Mapeamentos inativos por esse período de tempo são descartados.
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
Se você não configurar para traduções
ei-mapping-timeout
independentes de endpoint, omapping-timeout
valor será usado para traduções independentes de endpoint. - Configure o número máximo de blocos que podem ser alocados em um endereço do usuário. O intervalo é de 1 a 512, e o padrão é 8.
[edit services nat source pool nat-pool-name port block-allocation] user@host# set maximum-blocks-per-host maximum-block-number
- Especifique com que frequência enviar logs de sistema intermediários para blocos de porta ativos e para blocos de porta inativos com sessões ao vivo. Isso aumenta a confiabilidade dos logs do sistema, que são baseados em UDP e podem se perder na rede. A faixa é de 1800 a 86.400 segundos, e o padrão é 0 (logs intermediários são desativados).
[edit services nat source pool nat-pool-name port block-allocation] user@host# set interim-logging-interval timeout-interval
- Configure o número de portas em um bloco. O intervalo é de 1 a 64.512 e o padrão é de 128.
- Especifique o período de folga para traduções independentes de endpoint que usam o pool NAT especificado. Mapeamentos inativos por esse período de tempo são descartados. O alcance é de 120 a 86.400 segundos. Se você não configurar
ei-mapping-timeout
, omapping-timeout
valor será usado para traduções independentes de endpoint.[edit services nat source pool nat-pool-name] user@host# set ei-mapping-timeout ei-mapping-timeout
- Especifique o período de folga para mapeamentos emparelhados de agrupamento de endereços que usam o pool NAT. O intervalo é de 120 a 86.400 segundos, e o padrão é de 300. Mapeamentos inativos por esse período de tempo são descartados.
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
Se você não configurar para traduções
ei-mapping-timeout
independentes de endpoint, omapping-timeout
valor será usado para traduções independentes de endpoint. - Defina os níveis de utilização do pool NAT que desencadeiam armadilhas SNMP. O
raise-threshold
percentual de utilização do pool que aciona a armadilha, e o alcance é de 50 a 100. Aclear-threshold
porcentagem de utilização do pool que limpa a armadilha, e o alcance é de 40 a 100. Para pools que usam a alocação de blocos de porta, a utilização é baseada no número de portas usadas; para pools que não usam alocação de blocos de porta, a utilização é baseada no número de endereços usados.[edit services nat source pool nat-pool-name] user@host# set pool-utilization-alarm raise-threshold value user@host# set pool-utilization-alarm clear-threshold value
Se você não configurar
pool-utilization-alarm
, as armadilhas não serão criadas. - Para permitir que os endereços IP de um pool NAT se sobreponham com endereços IP em pools usados em outros conjuntos de serviços, configure
allow-overlapping-pools
. No entanto, os pools que configuram a alocação de blocos de porta não devem se sobrepor a outros pools.[edit services nat] user@host# set allow-overlapping-pools
Configurando a regra de origem do NAT para NAPT
Para configurar a regra de origem do NAT para NAPT:
- Configure o nome de regra do NAT.
[edit services nat source] user@host# edit rule-set rule-set-name rule rule-name
- Especifique a direção de tráfego para a qual o conjunto de regras do NAT se aplica.
[edit services nat source rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- Especifique os endereços de origem traduzidos pela regra NAT de origem.
Especificar um endereço ou valor de prefixo:
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address address
Para especificar uma variedade de endereços, configure um endereço global da lista de endereços com a faixa de endereço desejada e atribua o endereço global à regra do NAT:
[edit services address-book global] user@host# set address address-name range-address lower-limit to upper-limit [edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address-name address-name
Para especificar qualquer endereço unicast:
[edit services nat source rule-set rule-set-name rule rule-name rule rule-name] user@host# set match source-address any-unicast
- Especifique um ou mais protocolos de aplicação aos quais a regra NAT se aplica. O número de aplicativos listados na regra não deve exceder 3072.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match application [application-name]
- Especifique o pool NAT que contém os endereços para tráfego traduzido.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set then source-nat pool nat-pool-name
- Configure o recurso emparelhado de agrupamento de endereços se você quiser garantir a atribuição do mesmo endereço IP externo para todas as sessões originárias do mesmo host interno.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat mapping-type] user@host# set address-pooling
- Se você quiser garantir que o mesmo endereço e porta externos sejam atribuídos a todas as conexões de um determinado host, configure um mapeamento independente de endpoint:
- Configure o tipo de mapeamento como independente de endpoint.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set mapping-type endpoint-independent
- Especifique listas de prefixo que contêm os hosts que podem estabelecer conexões de entrada usando o mapeamento independente de endpoint. (Listas de prefixo estão configuradas no nível de
[edit policy-options]
hierarquia.)[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set filtering-type endpoint-independent prefix-list [allowed-host] except [denied-host]
- Especifique o número máximo de fluxos de entrada permitidos simultaneamente em um mapeamento independente de endpoint.
[edit services nat source rule-set rule-set-name rule rule-name filtering-type then source-nat] user@host# set secure-nat-mapping eif-flow-limit number-of-flows
- Especifique a direção em que o mapeamento ativo independente de endpoint é atualizado. Por padrão, o mapeamento é atualizado para fluxos ativos de entrada e saída.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping mapping-refresh (inbound | inbound-outbound | outbound)
- Configure o tipo de mapeamento como independente de endpoint.
- Configure a geração de um syslog quando o tráfego corresponda às condições de regra do NAT.
[edit services nat source rule-set rule-set-name rule rule-name then] user@host# set syslog
Configuração do conjunto de serviços para NAPT
Para configurar o conjunto de serviços para NAPT:
- Defina o conjunto de serviços.
[edit services] user@host# edit service-set service-set-name
- Configure um serviço de interface, que requer uma interface de serviço única, ou um serviço next-hop, que requer uma interface de serviço interna e externa.
[edit services service-set service-set-name] user@host# set interface-service service-interface interface-name
Ou
[edit services service-set service-set-name] user@host# set next-hop-service inside-service-interface interface-name outside-service-interface interface-name
- Especifique os conjuntos de regras do NAT a serem usados com o conjunto de serviços.
[edit services service-set service-set-name] user@host# set nat-rule-sets rule-set-name