Configuração de NAT duas vezes dinâmica para serviços de próxima geração
Configurando os pools de origem e destino para NAT duas vezes dinâmico
Para configurar os pools de origem e destino para NAT duas vezes dinâmico:
- Crie um pool de fontes.
user@host# edit services nat source pool nat-pool-name
- Definir os endereços ou sub-redes para os quais os endereços de origem são traduzidos.
[edit services nat source pool nat-pool-name] user@host# set address address-prefix
ou
[edit services nat source pool nat-pool-name] user@host# set address address-prefix to address address-prefix
- Desativar a tradução de porta.
[edit services nat destination pool nat-pool-name] user@host# set port no-translation
- Defina os níveis de utilização do pool de NAT que desencadeiam armadilhas SNMP. A
raise-thresholdé a porcentagem de utilização do pool que aciona a armadilha, e o intervalo é de 50 a 100. Aclear-thresholdé a porcentagem de utilização do pool que limpa a armadilha, e o intervalo é de 40 a 100. A utilização é baseada no número de endereços utilizados.[edit services nat source pool nat-pool-name] user@host# set pool-utilization-alarm raise-threshold value user@host# set pool-utilization-alarm clear-threshold value
Se você não configurar
pool-utilization-alarm, as armadilhas não serão criadas. - Crie um pool de destino. Não use o mesmo nome que você usou para o pool de origem.
user@host# edit services nat destination pool nat-pool-name
- Definir os endereços ou sub-redes para quais endereços de destino são traduzidos.
[edit services nat destination pool nat-pool-name] user@host# set address address-prefix
- Para permitir que os endereços IP de um pool de origem ou grupo de destino nat se sobreponham com endereços IP em pools usados em outros conjuntos de serviços, configure
allow-overlapping-pools.[edit services nat] user@host# set allow-overlapping-pools
Configuração das regras de NAT para NAT duas vezes dinâmico
Para configurar as regras de NAT de origem e destino para NAT dinâmico duas vezes:
- Configure o nome de regra nat de origem.
[edit services nat source] user@host# set rule-set rule-set-name rule rule-name
- Especifique a direção de tráfego à qual o conjunto de regras de NAT se aplica.
[edit services nat source rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- Especifique os endereços traduzidos pela regra NAT de origem.
Especificar um endereço ou valor de prefixo:
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address address
Para especificar uma variedade de endereços, configure um endereço global da lista de endereços com a faixa de endereço desejada e atribua o endereço global à regra de NAT:
[edit services address-book global] user@host# set address address-name range-address lower-limit to upper-limit [edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address-name address-name
Especificar qualquer endereço unicast:
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address any-unicast
- Especifique um ou mais protocolos de aplicativo aos quais a regra NAT de origem se aplica. O número de aplicativos listados na regra não deve exceder 3072.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match application [application-name]
- Configure o recurso pareado de agrupamento de endereços se quiser garantir a atribuição do mesmo endereço IP externo para todas as sessões originárias do mesmo host interno.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat mapping-type] user@host# set address-pooling-paired
- Especifique o período de folga para
address-pooling-pairedmapeamentos que usam o pool de NAT. O intervalo é de 120 a 86.400 segundos, e o padrão é de 300. Mapeamentos inativos para esse período de tempo são descartados.[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
Se você não configurar
ei-mapping-timeoutpara tradução independente de endpoint, omapping-timeoutvalor será usado para tradução independente de endpoint. - Especifique o pool de NAT de origem que contém os endereços para tráfego traduzido.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set then source-nat pool nat-pool-name
- Configure a geração de um syslog quando o tráfego corresponde às condições de regra do NAT.
[edit services nat source rule-set rule-set-name rule rule-name then] user@host# set syslog
- Configure o nome da regra de NAT de destino.
[edit services nat destination] user@host# set rule-set rule-set-name rule rule-name
- Especifique a direção de tráfego para a qual o conjunto de regras de NAT de destino se aplica.
[edit services nat destination rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- Especifique os endereços de destino do tráfego a que a regra NAT de destino se aplica.
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match destination-address address
Para especificar uma variedade de endereços, configure um endereço global da lista de endereços com a faixa de endereço desejada e atribua o endereço global à regra de NAT:
[edit services address-book global] user@host# set address address-name range-address lower-limit to upper-limit [edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match destination-address-name address-name
Especificar qualquer endereço unicast:
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match destination-address any-unicast
- Especifique um ou mais protocolos de aplicativo aos quais a regra NAT de destino se aplica. O número de aplicativos listados na regra não deve exceder 3072.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match application [application-name]
- Especifique o pool de NAT de destino que contém os endereços de destino para tráfego traduzido.
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set then destination-nat pool nat-pool-name
- Configure a geração de um syslog quando o tráfego corresponder às condições de correspondência da regra de NAT de destino.
[edit services nat destination rule-set rule-set-name rule rule-name then] user@host# set syslog
Configuração do conjunto de serviços para NAT duas vezes dinâmico
Para configurar o conjunto de serviços para NAT duas vezes dinâmico:
- Definir o conjunto de serviços.
[edit services] user@host# edit service-set service-set-name
- Configure um serviço de interface, que requer uma única interface de serviço ou um serviço de próximo salto, o que requer uma interface de serviço interna e externa.
[edit services service-set service-set-name] user@host# set interface-service service-interface interface-name
ou
[edit services service-set service-set-name] user@host# set next-hop-service inside-service-interface interface-name outside-service-interface interface-name
- Especifique os conjuntos de regras de NAT a serem usados com o conjunto de serviços. Inclua o conjunto de regras de NAT de origem e o conjunto de regras de NAT de destino.
[edit services service-set service-set-name] user@host# set nat-rule-sets rule-set-name