Configuração de NAPT duas vezes para serviços de próxima geração
Configurando os pools de origem e destino para duas vezes NAPT
Para configurar os pools de origem e destino para duas vezes NAPT:
- Crie um pool de origem.
user@host# edit services nat source pool nat-pool-name
- Defina os endereços ou sub-redes para quais endereços de origem são traduzidos.
[edit services nat source pool nat-pool-name] user@host# set address address-prefix
Ou
[edit services nat source pool nat-pool-name] user@host# set address address-prefix to address address-prefix
- Para configurar a atribuição automática da porta, especifique a alocação aleatória ou a alocação de round-robin.
[edit services nat source pool nat-pool-name port] user@host# set automatic (random-allocation | round-robin)
A alocação aleatória atribui aleatoriamente uma porta da faixa de 1024 a 65535 para cada tradução de porta. A alocação de robin redondo primeiro atribui a porta 1024 e usa a próxima porta mais alta para cada atribuição sucessiva de portas. A alocação de robin redondo é o padrão.
- Para desativar a alocação de porta round-robin para todos os pools NAT que não especificam uma configuração
automatic (random-allocation | round-robin)
, configure a configuração global.[edit services nat source] user@host# set port-round-robin disable
- Para configurar uma variedade de portas para atribuir a um pool, execute o seguinte:
Nota:
Se você especificar uma variedade de portas para atribuir, a
automatic
declaração será ignorada.- Especifique os valores baixos e altos para a porta. Se você não configurar a atribuição automática da porta, você deve configurar uma variedade de portas.
[edit services nat source pool nat-pool-name port] user@host# set range port-low to port-high
- Especifique a alocação aleatória ou a alocação de round-robin. A alocação de round-robin é o padrão.
[edit services nat source pool nat-pool-name port range] user@host# set (random-allocation | round-robin)
- Especifique os valores baixos e altos para a porta. Se você não configurar a atribuição automática da porta, você deve configurar uma variedade de portas.
- Atribua uma porta dentro da mesma faixa que a porta de entrada — de 0 a 1023 ou 1024 a 65.535. Esse recurso não está disponível se você configurar a alocação de blocos de porta.
[edit services nat source pool nat-pool-name port] user@host# set preserve-range
- Atribua uma porta com a mesma paridade (mesmo ou estranha) que a porta de entrada. Esse recurso não está disponível se você configurar a alocação de blocos de porta.
[edit services nat source pool nat-pool-name port] user@host# set preserve-parity
- Configure uma faixa de porta padrão global para pools NAT que usam tradução de porta. Essa faixa de porta é usada quando um pool NAT não especifica uma faixa de porta e não especifica a atribuição automática da porta. A faixa global de portas pode ser de 1024 a 65.535.
[edit services nat source] user@host# set pool-default-port-range port-low to port-high
- Se você quiser alocar um bloco de portas para cada assinante usar para o NAPT, configure a alocação de blocos de porta:
- Configure o número de portas em um bloco. O intervalo é de 1 a 64.512 e o padrão é de 128.
[edit services nat source pool nat-pool-name port] user@host# set block-allocation block-size block-size
- Configure o intervalo, em segundos, para o qual o bloco está ativo. Após o intervalo, um novo bloco é alocado, mesmo que as portas estejam disponíveis no bloco ativo. Se você definir o tempo limite para 0, os blocos de porta serão preenchidos completamente antes que um novo bloco de porta seja alocado, e o último bloco de porta permaneça ativo indefinidamente. A faixa é de 0 a 86.400, e o padrão é 0.
[edit services nat source pool nat-pool-name port block-allocation] user@host# set active-block-timeout timeout-interval
- Especifique o período de folga para mapeamentos emparelhados de agrupamento de endereços que usam o pool NAT. O intervalo é de 120 a 86.400 segundos, e o padrão é de 300. Mapeamentos inativos por esse período de tempo são descartados.
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
Se você não configurar para traduções
ei-mapping-timeout
independentes de endpoint, omapping-timeout
valor será usado para traduções independentes de endpoint. - Configure o número máximo de blocos que podem ser alocados em um endereço do usuário. O intervalo é de 1 a 512, e o padrão é 8.
[edit services nat source pool nat-pool-name port block-allocation] user@host# set maximum-blocks-per-host maximum-block-number
- Especifique com que frequência enviar logs de sistema intermediários para blocos de porta ativos e para blocos de porta inativos com sessões ao vivo. Isso aumenta a confiabilidade dos logs do sistema, que são baseados em UDP e podem se perder na rede. A faixa é de 1800 a 86.400 segundos, e o padrão é 0 (logs intermediários são desativados).
[edit services nat source pool nat-pool-name port block-allocation] user@host# set interim-logging-interval timeout-interval
- Configure o número de portas em um bloco. O intervalo é de 1 a 64.512 e o padrão é de 128.
- Especifique o período de folga para traduções independentes de endpoint que usam o pool NAT especificado. Mapeamentos inativos por esse período de tempo são descartados. O alcance é de 120 a 86.400 segundos. Se você não configurar
ei-mapping-timeout
, omapping-timeout
valor será usado para traduções independentes de endpoint.[edit services nat source pool nat-pool-name] user@host# set ei-mapping-timeout ei-mapping-timeout
- Especifique o período de folga para mapeamentos emparelhados de agrupamento de endereços que usam o pool NAT. O intervalo é de 120 a 86.400 segundos, e o padrão é de 300. Mapeamentos inativos por esse período de tempo são descartados.
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
Se você não configurar para traduções
ei-mapping-timeout
independentes de endpoint, omapping-timeout
valor será usado para traduções independentes de endpoint. - Defina os níveis de utilização do pool NAT que desencadeiam armadilhas SNMP. O
raise-threshold
percentual de utilização do pool que aciona a armadilha, e o alcance é de 50 a 100. Aclear-threshold
porcentagem de utilização do pool que limpa a armadilha, e o alcance é de 40 a 100. Para pools que usam a alocação de blocos de porta, a utilização é baseada no número de portas usadas; para pools que não usam alocação de blocos de porta, a utilização é baseada no número de endereços usados.[edit services nat source pool nat-pool-name] user@host# set pool-utilization-alarm raise-threshold value user@host# set pool-utilization-alarm clear-threshold value
Se você não configurar
pool-utilization-alarm
, as armadilhas não serão criadas. - Crie um pool de destino. Não use o mesmo nome que você usou no pool de origem.
user@host# edit services nat destination pool nat-pool-name
- Defina os endereços ou sub-redes para quais endereços de destino são traduzidos.
[edit services nat destination pool nat-pool-name] user@host# set address address-prefix
- Para permitir que os endereços IP de um pool de origem ou pool de destino nat se sobreponham com endereços IP em pools usados em outros conjuntos de serviços, configure
allow-overlapping-pools
. No entanto, os pools que configuram a alocação de blocos de porta não devem se sobrepor a outros pools.[edit services nat] user@host# set allow-overlapping-pools
Configurando as regras do NAT para o NAPT duas vezes
Para configurar as regras de NAT de origem e destino para duas vezes NAPT:
- Configure o nome de regra NAT de origem.
[edit services nat source] user@host# set rule-set rule-set-name rule rule-name
- Especifique a direção de tráfego para a qual o conjunto de regras do NAT se aplica.
[edit services nat source rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- Especifique os endereços traduzidos pela regra NAT de origem.
Especificar um endereço ou valor de prefixo:
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address address
Para especificar uma variedade de endereços, configure um endereço global da lista de endereços com a faixa de endereço desejada e atribua o endereço global à regra do NAT:
[edit services address-book global] user@host# set address address-name range-address lower-limit to upper-limit [edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address-name address-name
Para especificar qualquer endereço unicast:
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address any-unicast
- Especifique um ou mais protocolos de aplicação aos quais a regra NAT se aplica. O número de aplicativos listados na regra não deve exceder 3072.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match application [application-name]
- Especifique o pool NAT que contém os endereços para tráfego traduzido.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set then source-nat pool nat-pool-name
- Se você quiser garantir que o mesmo endereço e porta externos sejam atribuídos a todas as conexões de um determinado host, configure um mapeamento independente de endpoint:
- Configure o tipo de mapeamento como independente de endpoint.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set mapping-type endpoint-independent
- Especifique listas de prefixo que contêm os hosts que podem estabelecer conexões de entrada usando o mapeamento independente de endpoint. (Listas de prefixo estão configuradas no nível de
[edit policy-options]
hierarquia.)[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set filtering-type endpoint-independent prefix-list [allowed-host] except [denied-host]
- Especifique o número máximo de fluxos de entrada permitidos simultaneamente em um mapeamento independente de endpoint.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping eif-flow-limit number-of-flows
- Especifique a direção em que o mapeamento ativo independente de endpoint é atualizado. Por padrão, o mapeamento é atualizado para fluxos ativos de entrada e saída.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping mapping-refresh (inbound | inbound-outbound | outbound)
- Configure o tipo de mapeamento como independente de endpoint.
- Configure a geração de um syslog quando o tráfego corresponda às condições de regra do NAT.
[edit services nat source rule-set rule-set-name rule rule-name then] user@host# set syslog
- Configure o nome de regra nat de destino.
[edit services nat destination] user@host# set rule-set rule-set-name rule rule-name
- Especifique a direção de tráfego para a qual o conjunto de regras de NAT de destino se aplica.
[edit services nat destination rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- Especifique os endereços de destino do tráfego a que a regra NAT de destino se aplica.
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match destination-address address
Para especificar uma variedade de endereços, configure um endereço global da lista de endereços com a faixa de endereço desejada e atribua o endereço global à regra do NAT:
[edit services address-book global] user@host# set address address-name range-address lower-limit to upper-limit [edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match destination-address-name address-name
Para especificar qualquer endereço unicast:
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match destination-address any-unicast
- Especifique um ou mais protocolos de aplicação aos quais a regra NAT de destino se aplica. O número de aplicativos listados na regra não deve exceder 3072.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match application [application-name]
- Especifique o pool NAT de destino que contém os endereços de destino para tráfego traduzido.
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set then destination-nat pool nat-pool-name
- Configure a geração de um syslog quando o tráfego corresponder às condições de correspondência da regra nat de destino.
[edit services nat destination rule-set rule-set-name rule rule-name then] user@host# set syslog
Configurando o conjunto de serviços para napt duas vezes
Para configurar o conjunto de serviços para duas vezes NAPT:
- Defina o conjunto de serviços.
[edit services] user@host# edit service-set service-set-name
- Configure um serviço de interface, que requer uma interface de serviço única, ou um serviço next-hop, que requer uma interface de serviço interna e externa.
[edit services service-set service-set-name] user@host# set interface-service service-interface interface-name
Ou
[edit services service-set service-set-name] user@host# set next-hop-service inside-service-interface interface-name outside-service-interface interface-name
- Especifique os conjuntos de regras do NAT a serem usados com o conjunto de serviços. Inclua o conjunto de regras de NAT de origem e o conjunto de regras nat de destino.
[edit services service-set service-set-name] user@host# set nat-rule-sets rule-set-name