NESTA PÁGINA
Entender os aprimoramentos da arquitetura de pontos centrais para NAT
Exemplo: configurar o NAT de origem para a tradução da interface de saída
Exemplo: configurar o NAT de origem para tradução de endereço único
Exemplo: configuração da capacidade para pools NAT de origem com PAT
Entender os pools de NAT de origem com o agrupamento de endereços
Exemplo: configurar pools NAT de origem com mudança de endereço
Exemplo: configurar o NAT de origem para vários endereços com PAT
Exemplo: configurar um único endereço IP em um pool NAT de origem sem PAT
Exemplo: configurar vários endereços em um pool NAT de origem sem PAT
Entender endereços compartilhados em grupos nat de origem sem PAT
Configurando o tempo limite de espera de sessão do NAT e a verificação da persistência da sessão NAT
Entenda a verificação da configuração do NAT nas interfaces de saída após o reroute
NAT de origem
O NAT de origem é mais comumente usado para traduzir endereço IP privado para um endereço roteável público para se comunicar com o host. O NAT de origem altera o endereço de origem dos pacotes que passam pelo Roteador. Um pool de NAT é um conjunto de endereços projetados como um substituto para endereços IP do cliente. Para obter mais informações, veja os seguintes tópicos:
Entender o NAT de origem
NAT de origem é a tradução do endereço IP de origem de um pacote que sai do dispositivo Juniper Networks. O NAT de origem é usado para permitir que hosts com endereços IP privados acessem uma rede pública.
O NAT de origem permite que as conexões sejam iniciadas apenas para conexões de rede de saída , por exemplo, de uma rede privada à Internet. O NAT de origem é comumente usado para realizar as seguintes traduções:
Traduza um único endereço IP para outro endereço (por exemplo, para fornecer um único dispositivo em uma rede privada com acesso à Internet).
Traduza um bloco contíguo de endereços para outro bloco de endereços do mesmo tamanho.
Traduza um bloco contíguo de endereços para outro bloco de endereços de menor tamanho.
Traduza um bloco contíguo de endereços para um único endereço IP ou um bloco menor de endereços usando a tradução de portas.
Traduza um bloco contíguo de endereços para o endereço da interface de saída.
A tradução para o endereço da interface de saída não requer um pool de endereços; todas as outras traduções NAT de origem exigem configuração de um pool de endereços. Traduções de um para um e muitas para muitos para blocos de endereço do mesmo tamanho não exigem tradução de portas porque há um endereço disponível no pool para cada endereço que seria traduzido.
Se o tamanho do pool de endereços for menor do que o número de endereços que seriam traduzidos, o número total de endereços simultânticos que podem ser traduzidos é limitado pelo tamanho do pool de endereços ou pela tradução da porta deve ser usado. Por exemplo, se um bloco de 253 endereços for traduzido para um pool de endereços de 10 endereços, um máximo de 10 dispositivos pode ser conectado simultaneamente, a menos que a tradução da porta seja usada.
Os seguintes tipos de NAT de origem são suportados:
Tradução do endereço IP de origem original para o endereço IP da interface de saída (também chamado de NAT de interface). A tradução do endereço de porta é sempre realizada.
Tradução do endereço IP de origem original para um endereço IP a partir de um pool de endereço definido pelo usuário sem tradução de endereço de porta. A associação entre o endereço IP de origem original ao endereço IP de origem traduzido é dinâmica. No entanto, uma vez que haja uma associação, a mesma associação é usada para o mesmo endereço IP de origem original para tráfego novo que corresponda à mesma regra NAT.
Tradução do endereço IP de origem original para um endereço IP a partir de um pool de endereço definido pelo usuário com tradução de endereço de porta. A associação entre o endereço IP de origem original ao endereço IP de origem traduzido é dinâmica. Mesmo que exista uma associação, o mesmo endereço IP de origem original pode ser traduzido para um endereço diferente para um novo tráfego que corresponda à mesma regra nat.
Tradução do endereço IP de origem original para um endereço IP a partir de um pool de endereço definido pelo usuário, mudando os endereços IP. Esse tipo de tradução é de um para um, estático e sem tradução de endereço de porta. Se a faixa de endereço IP de origem original for maior do que a faixa de endereço IP no pool definido pelo usuário, os pacotes não traduzidos serão descartados.
Entender os aprimoramentos da arquitetura de pontos centrais para NAT
A capacidade de sessão do sistema e a taxa de rampa de sessão são limitadas pela capacidade de memória do ponto central e capacidade de CPU. A partir do Junos OS Release 15.1X49-D30 e do Junos OS Release 17.3R1, a arquitetura de ponto central para NAT foi aprimorada para lidar com maior capacidade de sessão do sistema e taxa de rampa de sessão para a linha SRX5000. Assim, a carga de trabalho no ponto central é reduzida para aumentar a capacidade de sessão e oferecer suporte a mais sessões para alcançar conexões mais altas por segundo (CPS). A partir do Junos OS Release 17.4R1, os recursos nat de origem tratados pela arquitetura de pontos centrais foram descarregados para as SPUs quando o número do SPC tem mais de quatro, resultando em uma alocação de recursos mais eficiente. A lista a seguir descreve os aprimoramentos do NAT para melhorar o desempenho:
A arquitetura de pontos centrais não suporta mais sessões de pontos centrais. Portanto, o NAT precisa manter um localizador NAT para rastrear o endereço IP ou a alocação e o uso da porta. O NAT tracker é um array global para ID de sessão de SPU para IP NAT ou mapeamento de porta que é usado para gerenciar recursos NAT.
Por padrão, uma mensagem de contra-atualização de estatísticas de regras de NAT é enviada da Unidade de Processamento de Serviços (SPU) para o ponto central em intervalos de 1 segundo, em vez de atualizar as estatísticas com base em cada gatilho de sessão no sistema de pontos centrais.
Para dar suporte a um endereço IP ou porta NAT específico alocado de forma que o hash de 5 tuple após o NAT seja o mesmo que o hash original de 5 tuple antes do NAT, selecione uma porta NAT que resulte no mesmo hash que o hash original pelo cálculo específico. Portanto, a sessão de encaminhamento é reduzida. Quando o NAT é usado, a asa reversa é hashed para uma SPU diferente. Uma sessão avançada precisa ser instalada para encaminhar o tráfego reverso para uma SPU de sessão. O NAT tenta selecionar uma porta que pode ser usada pelo algoritmo hash para fazer com que a asa reversa seja hashed para a mesma SPU que a asa inicial. Assim, tanto o desempenho do NAT quanto a taxa de transferência são melhorados com essa abordagem.
Para melhorar o desempenho do NAT, o gerenciamento do pool de mudança de IP (não-PAT pool) é transferido do ponto central para a SPU para que todos os recursos nat locais para esse pool sejam gerenciados localmente, em vez de enviar a solicitação de NAT para o ponto central. Assim, as conexões de pool NAT com mudança de endereço IP por segundo e taxa de transferência são melhoradas.
Otimizando o desempenho do NAT de origem
O NAT de origem pode ser otimizado com base nas necessidades de funcionalidade e desempenho.
Modo de randomização de portas (padrão)
Para NAT de origem baseada em pool e NAT de interface, o modo de randomização de porta é habilitado e usado por padrão.
Nesse modo, o dispositivo seleciona endereços IP em uma base round-robin, e a seleção da porta é aleatória. Ou seja, quando o dispositivo executa a tradução de NAT, ele escolhe primeiro o endereço IP por robin redondo e escolhe a porta usada para esse endereço IP por randomização.
Embora a alocação de números de porta randomizados possa fornecer proteção contra ameaças de segurança, como ataques venenosos de DNS, ela também pode afetar o desempenho e o uso da memória devido às computaçãos e recursos de tabela NAT envolvidos.
Modo Round-Robin
Um método de tradução de NAT com menos recursos envolve o uso apenas do método de alocação de round-robin. Considerando que a randomização requer trabalho computacional para cada porta atribuída, o método round robin simplesmente seleciona portas sequencialmente.
Nesse modo, o dispositivo seleciona endereços IP e portas em uma base redonda. Ou seja, quando o dispositivo executa a tradução de NAT, ele primeiro escolhe o endereço IP por robin redondo, depois escolhe a porta usada para esse endereço IP por round robin.
Por exemplo, se o pool de origem contém apenas um endereço IP:
Quando o primeiro pacote de um fluxo chega (criando uma sessão), ele é traduzido para IP1, porta N. Os pacotes subsequentes nesse fluxo são alocados no mesmo IP/porta.
Quando o primeiro pacote de um novo fluxo chega, ele é traduzido para IP1, porta N+1 e assim por diante.
Se o pool de origem contiver dois endereços IP:
Quando o primeiro pacote de um fluxo chega (criando uma sessão), ele é traduzido para IP1, porta X. Os pacotes subseqüentes nesse fluxo são alocados no mesmo IP/porta.
Quando o primeiro pacote de um segundo fluxo chega, ele é traduzido para IP2, porta X.
Quando o primeiro pacote de um terceiro fluxo chega, ele é traduzido para IP1, porta X+1.
Com a chegada dos primeiros pacotes de um quarto fluxo, ele é traduzido para IP2, porta X+1 e assim por diante.
Configuração
O modo round-robin é habilitado por padrão, porém o modo de randomização de porta (também habilitado) tem maior prioridade. Para usar o modo round-robin, desabiibilize o modo de randomização de porta de maior prioridade, da seguinte forma:
user@host# set security nat source port-randomization disable
Para desativar o modo round-robin (e reativar a randomização da porta), exclua a declaração de configuração da seguinte forma:
user@host# delete security nat source port-randomization disable
Modo afinidade de sessão
A partir do Junos OS Release 15.1X49-D30 e do Junos OS Release 17.3R1, você pode melhorar ainda mais o desempenho e a taxa de transferência do NAT em dispositivos da Série SRX5000 usando o modo "afinidade de sessão".
Com os modos mencionados acima, uma determinada sessão é processada pela SPU de entrada com base em um hash de 5 tuple (IP de origem, dest IP, porta de origem, porta dest, protocolo). Quando o NAT estiver envolvido, o hash de 5 tuple será diferente para a parte de saída da sessão em comparação com a parte de retorno da sessão. Portanto, as informações de sessão NAT de saída podem estar localizadas em uma SPU, enquanto as informações de sessão NAT de retorno (reversa) podem estar localizadas em outra SPU. O objetivo do modo de afinidade de sessão é manter as informações de sessão de encaminhamento para o tráfego de saída e retorno na mesma SPU.
Nesse modo, o dispositivo usa um algoritmo de tradução "aprimoramento nat reverso" para seleção de IP e porta, para melhorar o desempenho das sessões de NAT e taxa de transferência. O módulo NAT tenta selecionar um endereço IP e uma porta que possam ser usados com o algoritmo de hash para garantir que a SPU selecionada para os elementos de fluxo de saída e devolução possa ser idêntica.
Configuração
O modo de afinidade de sessão é habilitado por padrão, porém tanto a randomização de portas quanto os modos round-robin (também habilitados) têm maior prioridade. Para usar o modo de afinidade de sessão, desabiibilize tanto a randomização de portas quanto os modos round-robin, da seguinte forma:
user@host# set security nat source port-randomization disable user@host# set security nat source port-round-robin disable
Para desativar o modo de afinidade de sessão e reativar o modo de randomização de round-robin ou porta, exclua uma ou ambas as declarações de configuração da seguinte forma:
user@host# delete security nat source port-round-robin disable user@host# delete security nat source port-randomization disable
Notas de uso
Notas e diretrizes para o modo de afinidade de sessão incluem:
Use grandes pools de porta NAT sempre que possível (veja considerações de segurança abaixo)
O algoritmo escolhe uma porta dentro da faixa de porta configurada. Se nenhuma porta estiver disponível, a porta NAT será alocada com base em seleção aleatória.
NAT estático e NAT de destino não podem usar o modo de afinidade.
Considerações de segurança
Embora a afinidade de sessão melhore o desempenho consolidando sessões de encaminhamento, ela diminui a segurança em algum grau, uma vez que o algoritmo seleciona o endereço IP e a porta com base em um algoritmo pré-definido com parâmetros específicos, em vez de randomização pura. Dito isso, o fato de haver normalmente várias portas elegíveis para o algoritmo escolher e, portanto, ainda há algum grau de randomização.
A melhor maneira de mitigar o risco de segurança é garantir que o número de porta de origem usado seja menos previsível. Ou seja, quanto maior o alcance do recurso do pool NAT de quais portas efêmeras são selecionadas, menores são as chances de um invasor adivinhar o número de porta selecionado. Diante disso, recomenda-se configurar grandes pools de porta NAT sempre que possível.
Monitoramento das informações do NAT de origem
Propósito
Exibir informações configuradas sobre regras, pools, NAT persistentes e endereços emparelhados sobre a tradução de endereços de rede de origem (NAT).
Ação
Selecione Monitor>NAT>Fonte NAT na interface do usuário J-Web ou insira os seguintes comandos de CLI:
mostrar resumo da fonte do security nat
mostrar o pool de fontes nat de segurança pool-name
mostrar segurança nat fonte persistente-nat-table
mostrar segurança nat fonte endereço emparelhado
A Tabela 1 descreve as opções disponíveis para monitorar o NAT de origem.
Campo |
Descrição |
Ação |
---|---|---|
Regras | ||
Nome definido por regras |
Nome do conjunto de regras. |
Selecione todos os conjuntos de regras ou um conjunto de regras específico para exibir da lista. |
Regras totais |
Número de regras configuradas. |
– |
ID |
Número de identificação da regra. |
– |
Nome |
Nome da regra. |
– |
De |
Nome da instância/zona/interface de roteamento da qual o pacote flui. |
– |
Para |
Nome da instância/zona/interface de roteamento para a qual o pacote flui. |
– |
Faixa de endereço de origem |
Faixa de endereço IP de origem no pool de origem. |
– |
Faixa de endereço de destino |
Faixa de endereço IP de destino no pool de origem. |
– |
Portas de origem |
Números da porta de origem. |
– |
Protocolo ip |
Protocolo IP. |
– |
Ação |
Medidas tomadas para um pacote que corresponda a uma regra. |
– |
Tipo NAT persistente |
Tipo NAT persistente. |
– |
Tempo de inatividade |
Intervalo de tempo de inatividade para a ligação persistente de NAT. |
– |
Limiar de alarme |
Limiar de alarme de utilização. |
|
Número máximo da sessão |
O número máximo de sessões. |
– |
Sessões (Succ/falha/corrente) |
Sessões bem-sucedidas, fracassadas e atuais.
|
– |
Hits de tradução |
Várias vezes uma tradução na tabela de tradução é usada para uma regra NAT de origem. |
– |
Piscinas | ||
Nome do pool |
Os nomes das piscinas. |
Selecione todos os pools ou um pool específico para exibir a partir da lista. |
Pools totais |
Total de pools adicionados. |
– |
ID |
Identificação da piscina. |
– |
Nome |
Nome do pool de origem. |
– |
Faixa de endereço |
Faixa de endereço IP no pool de origem. |
– |
Portas single/twin |
Número de portas individuais e duplas alocadas. |
– |
Porta |
Número da porta de origem no pool. |
– |
Atribuição de endereço |
Exibe o tipo de atribuição de endereço. |
– |
Limiar de alarme |
Limiar de alarme de utilização. |
– |
Fator de sobrecarga de porta |
Capacidade de sobrecarga de porta. |
– |
Instância de roteamento |
Nome da instância de roteamento. |
– |
Total de endereços |
Endereço IP total, conjunto de endereço IP ou entrada na lista de endereços. |
– |
Base de endereços do host |
Endereço base do host da faixa de endereço IP de origem original. |
– |
Hits de tradução |
Número de vezes que uma tradução na tabela de tradução é usada para NAT de origem. |
– |
Top 10 hits de tradução | ||
Gráfico |
Exibe o gráfico dos 10 principais hits de tradução. |
– |
NAT persistente | ||
Estatísticas persistentes da tabela NAT | ||
total vinculante |
Exibe o número total de ligações NAT persistentes para o FPC. |
– |
vinculação em uso |
Número de ligações NAT persistentes que estão em uso para o FPC. |
– |
total de enode |
Número total de enodes NAT persistentes para o FPC. |
– |
enodo em uso |
Número de enodos NAT persistentes que estão em uso para o FPC. |
– |
Tabela NAT persistente | ||
Pool NAT de origem |
Nome da piscina. |
Selecione todos os pools ou um pool específico para exibir a partir da lista. |
IP interno |
Endereço IP interno. |
Selecione todos os endereços IP ou um endereço IP específico para exibir na lista. |
Porta interna |
Exibe as portas internas configuradas no sistema. |
Selecione a porta para exibir na lista. |
Protocolo interno |
Protocolos internos. |
Selecione todos os protocolos ou um protocolo específico para exibir a partir da lista. |
IP interno |
Endereço IP de transporte interno da sessão de saída do interno para o externo. |
– |
Porta interna |
Número da porta de transporte interna da sessão de saída do interno para o externo. |
– |
Protocolo interno |
Protocolo interno da sessão de saída, do interno ao externo. |
– |
IP reflexivo |
Endereço IP traduzido do endereço IP de origem. |
– |
Porta reflexiva |
Exibe o número traduzido da porta. |
– |
Protocolo reflexivo |
Protocolo traduzido. |
– |
Pool NAT de origem |
Nome do pool NAT de origem onde o NAT persistente é usado. |
– |
Tipo |
Tipo NAT persistente. |
– |
Tempo esquerdo/tempo de configuração |
Tempo de inatividade que permanece e o valor de tempo limite configurado. |
– |
Num/Máximo de sessão da sessão atual |
Número de sessões atuais associadas à ligação NAT persistente e ao número máximo de sessões. |
– |
Regra do NAT de origem |
Nome da regra NAT de origem à qual essa ligação NAT persistente se aplica. |
– |
Tabela de nó externo | ||
IP interno |
Endereço IP de transporte interno da sessão de saída do interno para o externo. |
– |
Porta interna |
Número de porta interna da sessão de saída, do interno ao externo. |
– |
IP externo |
Endereço IP externo da sessão de saída, do interno ao externo. |
– |
Porta externa |
Porta externa da sessão de saída do interno para o externo. |
– |
Zona |
Zona externa da sessão de saída, do interno ao externo. |
– |
Endereço em pares | ||
Nome do pool |
Nome da piscina. |
Selecione todos os pools ou um pool específico para exibir a partir da lista. |
Endereço especificado |
Endereço IP. |
Selecione todos os endereços ou selecione o endereço IP interno ou externo para exibir e insira o endereço IP. |
Nome do pool |
Exibe o pool ou os pools selecionados. |
– |
Endereço interno |
Exibe o endereço IP interno. |
– |
Endereço externo |
Exibe o endereço IP externo. |
– |
Uso de recursos | ||
Utilização para todos os pools de origem | ||
Nome do pool |
Nome da piscina. |
Para visualizar informações adicionais de uso para pools de tradução de endereços de porta (PAT), selecione um nome de pool. As informações são exibidas sob a utilização detalhada da porta para pool especificado. |
Tipo de pool |
Tipo de piscina: PAT ou Não-PAT. |
– |
Fator de sobrecarga de porta |
Capacidade de sobrecarga de porta para pools PAT. |
– |
Endereço |
Endereços na piscina. |
– |
Usado |
Número de recursos usados no pool. Para pools não-PAT, o número de endereços IP usados é exibido. Para pools PAT, o número de portas usadas é exibido. |
– |
Disponível |
Número de recursos disponíveis no pool. Para pools não-PAT, o número de endereços IP disponíveis é exibido. Para pools PAT, o número de portas disponíveis é exibido. |
– |
Total |
Número de recursos usados e disponíveis no pool. Para pools não-PAT, o número total de endereços IP usados e disponíveis é exibido. Para pools PAT, o número total de portas usadas e disponíveis é exibido. |
– |
Uso |
Por cento dos recursos usados. Para pools não-PAT, o por cento dos endereços IP usados é exibido. Para pools PAT, o por cento das portas, incluindo portas individuais e duplas, é exibido. |
– |
Uso de pico |
Por cento dos recursos usados durante a data e horário de pico. |
– |
Detalhar a utilização da porta para pool especificado | ||
Nome do endereço |
Endereços IP no pool pat. |
Selecione o endereço IP para o qual você deseja exibir informações detalhadas de uso. |
Índice de fator |
Número do índice. |
– |
Alcance de porta |
Exibe o número de portas alocadas por vez. |
– |
Usado |
Exibe o número de portas usadas. |
– |
Disponível |
Exibe o número de portas disponíveis. |
– |
Total |
Exibe o número de portas usadas e disponíveis. |
– |
Uso |
Exibe a porcentagem de portas usadas durante a data e horário de pico. |
– |
Visão geral da configuração do NAT de origem
As principais tarefas de configuração para NAT de origem são as seguintes:
Exemplo: configurar o NAT de origem para a tradução da interface de saída
Este exemplo descreve como configurar um mapeamento NAT de origem de endereços privados para o endereço público de uma interface de saída.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo usa a zona de segurança de confiança para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. Na Figura 1, dispositivos com endereços privados na zona de confiança acessam uma rede pública por meio da interface de saída ge-0/0/0. Para pacotes que entram no dispositivo de segurança da Juniper Networks a partir da zona de confiança com um endereço de destino na zona não confiável, o endereço IP de origem é traduzido para o endereço IP da interface de saída.
Nenhum pool NAT de origem é necessário para NAT de origem usando uma interface de saída. O Proxy ARP não precisa ser configurado para a interface de saída.

Este exemplo descreve as seguintes configurações:
Regra de NAT de origem definida
rs1
com uma regrar1
para combinar qualquer pacote da zona de confiança com a zona não confiável. Para pacotes correspondentes, o endereço de origem é traduzido para o endereço IP da interface de saída.Políticas de segurança para permitir o tráfego da zona de confiança até a zona não confiável.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat interface set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar uma tradução NAT de origem para uma interface de saída:
Crie um conjunto de regras de NAT de origem.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure uma regra que combine pacotes e traduz o endereço de origem para o endereço da interface de saída.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat interface
Configure uma política de segurança que permita o tráfego da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat
comandos e show security policies
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat source { rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address 0.0.0.0/0; destination-address 0.0.0.0/0; } then { source-nat { interface; } } } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
Verificando o uso das regras do NAT de origem
Propósito
Verifique se há tráfego que corresponda à regra NAT de origem.
Ação
Do modo operacional, entre no show security nat source rule all
comando. Veja a tradução em campo para verificar se o tráfego corresponde à regra.
Exemplo: configurar o NAT de origem para tradução de endereço único
Este exemplo descreve como configurar um mapeamento NAT de origem de um único endereço privado para um endereço público.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo usa a zona de segurança de confiança para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. Na Figura 2, um dispositivo com o endereço privado 192.168.1.200 na zona de confiança acessa uma rede pública. Para pacotes enviados pelo dispositivo para um endereço de destino na zona não confiável, o dispositivo de segurança da Juniper Networks traduz o endereço IP de origem para o endereço IP público 203.0.113.200/32.

Este exemplo descreve as seguintes configurações:
Pool NAT
src-nat-pool-1
de origem que contém o endereço IP 203.0.113.200/32.Regra de NAT de origem definida
rs1
com regrar1
para combinar pacotes da zona de confiança à zona não confiável com o endereço IP de origem 192.168.1.200/32. Para pacotes correspondentes, o endereço de origem é traduzido para o endereço IP nosrc-nat-pool-1
pool.Proxy ARP para o endereço 203.0.113.200 na interface ge-0/0/0.0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface para esse endereço.
Políticas de segurança para permitir o tráfego da zona de confiança até a zona não confiável.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat source pool src-nat-pool-1 address 203.0.113.200/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 192.168.1.200/32 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar uma tradução NAT de origem para um único endereço IP:
Crie um pool NAT de origem.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.200/32
Crie um conjunto de regras de NAT de origem.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure uma regra que combine pacotes e traduz o endereço de origem para o endereço no pool.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.168.1.200/32 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure o ARP proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200
Configure uma política de segurança que permita o tráfego da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat
comandos e show security policies
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.200/32; } } rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address 192.168.1.200/32; } then { source-nat { pool { src-nat-pool-1; } } } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.200/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
- Verificando o uso do pool NAT de origem
- Verificando o uso das regras do NAT de origem
- Verificando a aplicação de NAT no tráfego
Verificando o uso do pool NAT de origem
Propósito
Verifique se há tráfego usando endereços IP do pool NAT de origem.
Ação
Do modo operacional, entre no show security nat source pool all
comando. Veja o campo de acesso da tradução para verificar o tráfego usando endereços IP da piscina.
Verificando o uso das regras do NAT de origem
Propósito
Verifique se há tráfego que corresponda à regra NAT de origem.
Ação
Do modo operacional, entre no show security nat source rule all
comando. Veja a tradução em campo para verificar se o tráfego corresponde à regra.
Exemplo: configurar traduções nat de origem e destino
Este exemplo descreve como configurar mapeamentos NAT de origem e destino.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo usa a zona de segurança de confiança para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. Na Figura 3, as seguintes traduções são realizadas no dispositivo de segurança da Juniper Networks:
O endereço IP de origem em pacotes enviados pelo dispositivo com o endereço privado 192.168.1.200 na zona de confiança para qualquer endereço na zona não confiável é traduzido para um endereço público na faixa de 203.0.113.10 a 203.0.113.14.
O endereço IP de destino 203.0.113.100/32 em pacotes enviados da zona de confiança para a zona não confiável é traduzido para o endereço 10.1.1.200/32.

Este exemplo descreve as seguintes configurações:
Grupo NAT
src-nat-pool-1
de origem que contém a faixa de endereço IP 203.0.113.10 a 203.0.113.14.Regra de NAT de origem definida
rs1
com regrar1
para combinar quaisquer pacotes da zona de confiança com a zona não confiável. Para correspondência de pacotes, o endereço de origem é traduzido para um endereço IP nosrc-nat-pool-1
pool.Pool NAT
dst-nat-pool-1
de destino que contém o endereço IP 10.1.1.200/32.Regra de NAT de destino definida
rs1
com regrar1
para combinar pacotes da zona de confiança com o endereço IP de destino 203.0.113.100. Para pacotes correspondentes, o endereço de destino é traduzido para o endereço IP nodst-nat-pool-1
pool.Proxy ARP para os endereços 203.0.113.10 a 203.0.113.14 e 203.0.113.100/32 na interface ge-0/0/0,0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface desses endereços.
Política de segurança para permitir o tráfego da zona de confiança até a zona não confiável.
Política de segurança para permitir o tráfego da zona não confiável para os endereços IP de destino traduzidos na zona de confiança.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat source pool src-nat-pool-1 address 203.0.113.10/32 to 203.0.113.14/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat destination pool dst-nat-pool-1 address 10.1.1.200/32 set security nat destination rule-set rs1 from zone untrust set security nat destination rule-set rs1 rule r1 match destination-address 203.0.113.100/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.10/32 to 203.0.113.24/32 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.100/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security address-book global address dst-nat-pool-1 10.1.1.200/32 set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match destination-address dst-nat-pool-1 set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-1-access then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar as traduções NAT de origem e destino:
Crie um pool NAT de origem.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.10 to 203.0.113.14
Crie um conjunto de regras de NAT de origem.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure uma regra que combine pacotes e traduz o endereço de origem para um endereço no pool NAT de origem.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Crie um pool NAT de destino.
[edit security nat destination] user@host# set pool dst-nat-pool-1 address 10.1.1.200/32
Crie um conjunto de regras de NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 from zone untrust
Configure uma regra que combine pacotes e traduz o endereço de destino para o endereço no pool NAT de destino.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.100/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
Configure o ARP proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.10 to 203.0.113.14 user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.100
Configure uma política de segurança que permita o tráfego da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Configure um endereço na lista de endereços global.
[edit security address-book global] user@host# set address dst-nat-pool-1 10.1.1.200/32
Configure uma política de segurança que permita o tráfego da zona não confiável até a zona de confiança.
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-1-access match source-address any destination-address dst-nat-pool-1 application any user@host# set policy dst-nat-pool-1-access then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat
comandos e show security policies
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.10/32 to 203.0.113.14/32; } } rule-set rs1 { to zone untrust; rule r1 { match { source-address 0.0.0.0/0; destination-address 0.0.0.0/0; } then { source-nat { pool { src-nat-pool-1; } } } } } } destination { pool dst-nat-pool-1 { address 10.1.1.200/32; } rule-set rs1 { from zone untrust; rule r1 { match { destination-address 203.0.113.100/32; } then { destination-nat pool dst-nat-pool-1; } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.10/32 to 203.0.113.14/32; 203.0.113.100/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } } policy internet-access { then { permit; } } } from-zone untrust to-zone trust { policy dst-nat-pool-1-access { match { source-address any; destination-address dst-nat-pool-1; application any; } then { permit; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
- Verificando o uso do pool NAT de origem
- Verificando o uso das regras do NAT de origem
- Verificando o uso do pool de NAT de destino
- Verificando o uso das regras do NAT de destino
- Verificando a aplicação de NAT no tráfego
Verificando o uso do pool NAT de origem
Propósito
Verifique se há tráfego usando endereços IP do pool NAT de origem.
Ação
Do modo operacional, entre no show security nat source pool all
comando. Veja o campo de acesso da tradução para verificar o tráfego usando endereços IP da piscina.
Verificando o uso das regras do NAT de origem
Propósito
Verifique se há tráfego que corresponda à regra NAT de origem.
Ação
Do modo operacional, entre no show security nat source rule all
comando. Veja a tradução em campo para verificar se o tráfego corresponde à regra.
Verificando o uso do pool de NAT de destino
Propósito
Verifique se há tráfego usando endereços IP do pool NAT de destino.
Ação
Do modo operacional, entre no show security nat destination pool all
comando. Veja o campo de acesso da tradução para verificar o tráfego usando endereços IP da piscina.
Verificando o uso das regras do NAT de destino
Propósito
Verifique se há tráfego que corresponda à regra NAT de destino.
Ação
Do modo operacional, entre no show security nat destination rule all
comando. Veja a tradução em campo para verificar se o tráfego corresponde à regra.
Entender as regras do NAT de origem
As regras do NAT de origem especificam duas camadas de condições de correspondência:
Direção de tráfego — permite especificar combinações de
from interface
,from zone
ou, outo interface
from routing-instance
to zone
, outo routing-instance
. Você não pode configurar os mesmosfrom
contextosto
para diferentes conjuntos de regras.Informações de pacotes — podem ser endereços IP de origem e destino ou sub-redes, números de porta de origem ou faixas de porta, números de porta de destino ou faixas de porta, protocolos ou aplicativos.
Para todo o tráfego ALG, exceto FTP, recomendamos que você não use a opção de source-port
regra. A criação de sessão de dados pode falhar se essa opção for usada porque o endereço IP e o valor da porta de origem, que é um valor aleatório, podem não coincidir com a regra.
Além disso, recomendamos que você não use a opção destination-port
ou a opção application
como condições de correspondência para tráfego ALG. Se essas opções forem usadas, a tradução pode falhar porque o valor da porta no payload do aplicativo pode não corresponder ao valor da porta no endereço IP.
Se várias regras de NAT de origem se sobreporem nas condições de correspondência, a regra mais específica será escolhida. Por exemplo, se as regras A e B especificarem os mesmos endereços IP de origem e destino, mas a regra A especifica o tráfego da zona 1 à zona 2 e a regra B especifica o tráfego da zona 1 para a interface ge-0/0/0, a regra B é usada para executar NAT de origem. Uma correspondência de interface é considerada mais específica do que uma correspondência de zona, que é mais específica do que uma instância de roteamento.
As ações que você pode especificar para uma regra nat de origem são:
off — Não execute NAT de origem.
pool — Use o pool de endereço definido pelo usuário especificado para realizar NAT de origem.
interface — Use o endereço IP da interface de saída para realizar NAT de origem.
As regras de NAT de origem são aplicadas ao tráfego no primeiro pacote que é processado para o fluxo ou no caminho rápido para o ALG. As regras de NAT de origem são processadas após regras de NAT estáticas, regras de NAT de destino e mapeamento reverso de regras de NAT estáticas e após a pesquisa de políticas de rota e segurança.
Quando as zonas não estão configuradas sob o conjunto de regras e quando o NAT de origem ativa é configurado com uma declaração obrigatória "a partir" ausente, a mensagem a seguir é exibida ao realizar o commit "Declaração obrigatória ausente: erro "a partir": falha na verificação de configuração" e a verificação da configuração falha.
Exemplo: configurar o NAT de origem com várias regras
Este exemplo descreve como configurar mapeamentos NAT de origem com várias regras.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo usa a zona de segurança de confiança para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. Na Figura 4, as seguintes traduções são realizadas no dispositivo de segurança da Juniper Networks para o mapeamento NAT de origem para tráfego da zona de confiança até as zonas não confiáveis:
O endereço IP de origem em pacotes enviados pelas sub-redes 10.1.1.0/24 e 10.1.2.0/24 para qualquer endereço na zona não confiável é traduzido para um endereço público na faixa de 192.0.2.1 a 192.0.2.24 com tradução de porta.
O endereço IP de origem em pacotes enviados pela sub-rede 192.168.1.0/24 para qualquer endereço na zona não confiável é traduzido para um endereço público na faixa de 192.0.2.100 a 192.0.2.249 sem tradução de portas.
O endereço IP de origem em pacotes enviados pelo dispositivo host 192.168.1.250/32 não é traduzido.

Este exemplo descreve as seguintes configurações:
O pool
src-nat-pool-1
NAT de origem que contém o endereço IP varia de 192.0.2.1 a 192.0.2.24.Grupo NAT
src-nat-pool-2
de origem que contém a faixa de endereço IP 192.0.2.100 a 192.0.2.249, com a tradução do endereço da porta desabilitada.Nota:Quando a tradução do endereço de porta é desativada, o número de traduções que o pool NAT de origem pode oferecer é limitado simultaneamente ao número de endereços no pool, a menos que a opção
address-shared
seja ativada. Os pacotes são descartados se não houver endereços disponíveis no pool NAT de origem. Você pode especificar opcionalmente um pool de estouro de quais endereços IP e números de porta são alocados quando não há endereços disponíveis no pool NAT de origem original.Regra de NAT de origem definida
rs1
para combinar pacotes da zona de confiança à zona não confiável. O conjunto ders1
regras contém várias regras:Regra
r1
para combinar pacotes com um endereço IP de origem nas sub-redes 10.1.1.0/24 ou 10.1.2.0/24. Para correspondência de pacotes, o endereço de origem é traduzido para um endereço IP nosrc-nat-pool-1
pool.Regra
r2
para combinar pacotes com um endereço IP de origem de 192.168.1.250/32. Para pacotes correspondentes, não há tradução de NAT executada.Regra
r3
para combinar pacotes com um endereço IP de origem na sub-rede 192.168.1.0/24. Para correspondência de pacotes, o endereço de origem é traduzido para um endereço IP nosrc-nat-pool-2
pool.Nota:A ordem das regras em um conjunto de regras é importante, pois a primeira regra no conjunto de regras que corresponde ao tráfego é usada. Portanto, a regra
r2
para combinar com um endereço IP específico deve ser colocada antes da regrar3
que corresponda à sub-rede em que o dispositivo está localizado.
Proxy ARP para os endereços 192.0.2.1 a 192.0.2.24 e 192.0.2.100 a 192.0.2.249 na interface ge-0/0/0,0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface desses endereços.
Políticas de segurança para permitir o tráfego da zona de confiança até a zona não confiável.
Nos dispositivos SRX4600, quando você configurar a regra ou o pool nat de origem com nome de regra ou nome do pool como interface ou conjunto de serviço, você receberá a seguinte mensagem de erro: erro de sintaxe, esperando <data>.
Se houver uma regra NAT de origem nomeada
interface
, a regra não pode ser vista usando oshow security nat source rule interface
comando.Se houver uma regra NAT de origem nomeada
service-set
, a regra não pode ser vista usando oshow security nat source rule service-set
comando.Se houver um pool NAT de origem nomeado
interface
, o pool não pode ser visto usando oshow security nat source pool interface
comando.Se houver um pool NAT de origem nomeado
service-set
, o pool não pode ser visto usando oshow security nat source pool service-set
comando.Se houver um pool NAT de origem nomeado
interface
, o endereço emparelhado não pode ser visto usando oshow security nat source paired-address pool-name interface
comando.Se houver um pool NAT de origem nomeado
service-set
, o endereço emparelhado não pode ser visto usando oshow security nat source paired-address pool-name service-set
comando.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat source pool src-nat-pool-1 address 192.0.2.1/32 to 192.0.2.24/32 set security nat source pool src-nat-pool-2 address 192.0.2.100/32 to 192.0.2.249/32 set security nat source pool src-nat-pool-2 port no-translation set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 10.1.1.0/24 set security nat source rule-set rs1 rule r1 match source-address 10.1.2.0/24 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat source rule-set rs1 rule r2 match source-address 192.168.1.250/32 set security nat source rule-set rs1 rule r2 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r2 then source-nat off set security nat source rule-set rs1 rule r3 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r3 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r3 then source-nat pool src-nat-pool-2 set security nat proxy-arp interface ge-0/0/0.0 address 192.0.2.1/32 to 192.0.2.24/32 set security nat proxy-arp interface ge-0/0/0.0 address 192.0.2.100/32 to 192.0.2.249/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar várias regras de NAT de origem em um conjunto de regras:
Crie um pool NAT de origem.
[edit security nat source] user@host# set pool src-nat-pool-1 address 192.0.2.1 to 192.0.2.24
Crie um pool NAT de origem sem tradução de porta.
[edit security nat source] user@host# set pool src-nat-pool-2 address 192.0.2.100 to 192.0.2.249 user@host# set pool src-nat-pool-2 port no-translation
Nota:Para configurar um pool de estouro para
src-nat-pool-2
usar a interface de saída:[edit security nat source] user@host# set pool src-nat-pool-2 overflow-pool interface
Crie um conjunto de regras de NAT de origem.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure uma regra que combine pacotes e traduz o endereço de origem para um endereço no pool.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address [10.1.1.0/24 10.1.2.0/24] user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure uma regra para combinar pacotes para os quais o endereço de origem não é traduzido.
[edit security nat source] user@host# set rule-set rs1 rule r2 match source-address 192.168.1.250/32 user@host# set rule-set rs1 rule r2 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r2 then source-nat off
Configure uma regra para combinar pacotes e traduzir o endereço de origem para um endereço no pool sem tradução de porta.
[edit security nat source] user@host# set rule-set rs1 rule r3 match source-address 192.168.1.0/24 user@host# set rule-set rs1 rule r3 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r3 then source-nat pool src-nat-pool-2
Configure o ARP proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 192.0.2.1 to 192.0.2.24 user@host# set proxy-arp interface ge-0/0/0.0 address 192.0.2.100 to 192.0.2.249
Configure uma política de segurança que permita o tráfego da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat
comandos e show security policies
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 192.0.2.1/32 to 192.0.2.24/32; } } pool src-nat-pool-2 { address { 192.0.2.100/32 to 192.0.2.249/32; } port no-translation; } rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address [ 10.1.1.0/24 10.1.2.0/24 ]; destination-address 0.0.0.0/0; } then { source-nat { pool { src-nat-pool-1; } } } } rule r2 { match { source-address 192.168.1.250/32; destination-address 0.0.0.0/0; } then { source-nat { off; } } } rule r3 { match { source-address 192.168.1.0/24; destination-address 0.0.0.0/0; } then { source-nat { pool { src-nat-pool-2; } } } } } } proxy-arp { interface ge-0/0/0.0 { address { 192.0.2.1/32 to 192.0.2.24/32; 192.0.2.100/32 to 192.0.2.249/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
- Verificando o uso do pool NAT de origem
- Verificando o uso das regras do NAT de origem
- Verificando a aplicação de NAT no tráfego
Verificando o uso do pool NAT de origem
Propósito
Verifique se há tráfego usando endereços IP do pool NAT de origem.
Ação
Do modo operacional, entre no show security nat source pool all
comando. Veja o campo de acesso da tradução para verificar o tráfego usando endereços IP da piscina.
Verificando o uso das regras do NAT de origem
Propósito
Verifique se há tráfego que corresponda à regra NAT de origem.
Ação
Do modo operacional, entre no show security nat source rule all
comando. Veja a tradução em campo para verificar se o tráfego corresponde à regra.
Entender os pools nat de origem
Um pool NAT é um conjunto definido pelo usuário de endereços IP que são usados para tradução. Ao contrário do NAT estático, onde existe um mapeamento de um para um que inclui a tradução de endereço IP de destino em uma direção e tradução de endereço IP de origem na direção inversa, com NAT de origem, você traduz o endereço IP de origem original para um endereço IP no pool de endereços.
Para pools de endereços de tradução de endereço de rede (NAT) de origem, especifique o seguinte:
Nome do pool de endereços NAT de origem.
Até oito faixas de endereço ou endereço.
Nota:Não se sobreponha aos endereços NAT de origem, NAT de destino e NAT estático em uma única instância de roteamento.
Instância de roteamento — instância de roteamento à qual o pool pertence (o padrão é a instância principal de roteamento inet.0 ).
Porta — A tradução do endereço de porta (PAT) para um pool de origem. Por padrão, o PAT é realizado com NAT de origem. Se você especificar a opção sem tradução , o número de hosts que o pool NAT de origem pode suportar está limitado ao número de endereços no pool. Se você especificar
block-allocation
, um bloco de portas é alocado para tradução, em vez de portas individuais serem alocadas. Se você especificardeterministic
, um endereço IP de entrada (fonte) e uma porta sempre mapeiem para o endereço de destino e bloco de porta específicos, com base em algoritmo NAT determinístico predefinido. Se você especificarport-overloading
, você pode configurar a capacidade de sobrecarga da porta no NAT de origem. Se você especificarrange
, você pode fornecer a faixa de número de porta anexada a cada endereço na piscina e a faixa de porta dupla para pools NAT de origem.Pool de estouro (opcional)— os pacotes são descartados se não houver endereços disponíveis no pool NAT de origem designado. Para evitar que isso aconteça quando a opção de não tradução de porta estiver configurada, você pode especificar um pool de transbordamento. Assim que os endereços do pool NAT de origem original estiverem esgotados, endereços IP e números de porta são alocados no pool de transbordamento. Um pool NAT de origem definido pelo usuário ou uma interface de saída podem ser usados como o pool de estouro. (Quando o pool de estouro é usado, o ID da piscina é devolvido com o endereço.)
Mudança de endereço IP (opcional)— uma variedade de endereços IP de origem original pode ser mapeada para outra variedade de endereços IP, ou para um único endereço IP, deslocando os endereços IP. Especifique a opção de base de endereço de host com o endereço base da faixa de endereço IP de origem original.
Compartilhamento de endereços (opcional)— Vários endereços IP internos podem ser mapeados no mesmo endereço IP externo. Essa opção só pode ser usada quando o pool NAT de origem estiver configurado sem tradução de porta. Especifique a opção
address-shared
quando um pool NAT de origem tiver poucos endereços IP externos disponíveis, ou apenas um endereço IP externo. Com um mapeamento de muitos para um, o uso dessa opção aumenta os recursos de NAT e melhora o tráfego.Agrupamento de endereços (opcional)— O agrupamento de endereços pode ser configurado como emparelhado ou sem pareamento. Especifique para aplicativos que exijam
address-pooling paired
que todas as sessões associadas a um endereço IP interno sejam mapeadas no mesmo endereço IP externo durante a duração de uma sessão. Isso difere da opçãopersistent-address
, na qual o mesmo endereço interno é traduzido para o mesmo endereço externo todas as vezes. Especifiqueaddress-pooling no-paired
para aplicativos que podem ser atribuídos endereços IP de forma redonda. Se estiveraddress-pooling paired
configurado ouaddress-pooling no-paired
configurado para um pool NAT de origem com PAT, a opção de endereço persistente será desabilitada. Seaddress-shared
estiver configurado em um pool NAT de origem sem PAT, a opçãopersistent-address
será ativada. Ambosaddress-shared
eaddress-pooling paired
podem ser configurados no mesmo pool NAT de origem sem PAT.Alarme de utilização de pool (opcional)— Quando a opção de limite de elevação é configurada para NAT de origem, uma armadilha SNMP é acionada se a utilização do pool NAT de origem estiver acima desse limite. Se a opção de limite claro opcional estiver configurada, uma armadilha SNMP será acionada se a utilização do pool NAT de origem cair abaixo desse limiar. Se o limite claro não estiver configurado, ele será definido por padrão para 80% do valor do limite de elevação .
Você pode usar o comando de pool de origem de uso de recursos nat de segurança para visualizar o uso do endereço em um pool NAT de origem sem PAT, e visualizar o uso da porta em um pool NAT de origem com PAT.
Entender as capacidades do pool NAT de origem
As capacidades máximas para pools de origem e endereços IP nos dispositivos SRX300, SRX320, SRX340, SRX345 e SRX650 são as seguintes:
Capacidade máxima de endereço pool/PAT |
SRX300SRX320 |
SRX340SRX345 |
SRX650 |
---|---|---|---|
Pools nat de origem |
1024 |
2048 |
1024 |
Endereços IP com suporte à tradução de portas |
1024 |
2048 |
1024 |
Número da porta PAT |
64M |
64M |
64M |
As capacidades máximas para pools de origem e endereços IP em SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX5400, SRX5600 e SRX5800 são as seguintes:
Capacidade máxima de endereço pool/PAT |
SRX1400 SRX1500 |
SRX3600 SRX3400 |
SRX4100SRX4200 |
SRX5400SRX5600SRX5800 |
---|---|---|---|---|
Pools nat de origem |
8192 |
10,240 |
10,240 |
12,288 |
Endereços IP com suporte à tradução de portas |
8192 |
12,288 |
12,288 |
1M |
Número da porta PAT |
256M |
384M |
384M |
384M |
No lançamento 12.3X48-D40 e no lançamento 15.1X49-D60 e versões posteriores, você pode aumentar a capacidade da porta NAT de origem para 2,4G nos dispositivos SRX5400, SRX5600 e SRX5800 com placas de processamento de serviços (SPCs) de próxima geração usando a port-scaling-enlargement
declaração no nível [edit security nat source
] de hierarquia suportada.
O suporte à plataforma depende da versão do Junos OS em sua instalação.
Aumentar o número total de endereços IP usados para NAT de origem, seja aumentando o número de pools na configuração e/ou aumentando a capacidade ou endereços IP por pool, consome a memória necessária para a alocação da porta. Quando o pool NAT de origem e os limites de endereço IP são atingidos, as faixas de porta devem ser reatribuídas. Ou seja, o número de portas para cada endereço IP deve ser reduzido quando o número de endereços IP e pools NAT de origem for aumentado. Isso garante que o NAT não consuma muita memória.
Por exemplo, em um pool NAT de origem para dispositivos SRX5000, quando o número de endereços IP com suporte à tradução de portas atinge o limite de 1M, o número total de portas PAT é de 64G, o que excede a limitação de 384M. Isso ocorre porque, por padrão, cada endereço IP oferece suporte a 64.512 portas. Para garantir que os números das portas PAT estejam dentro da capacidade, a faixa de porta para cada IP precisa ser configurada para diminuir o número total de portas PAT.
Use o e range twin-port
as range
opções no nível de [edit security nat source pool port]
hierarquia para atribuir uma nova faixa de porta ou faixa de porta dupla para um pool específico. Use a pool-default-port-range
e as pool-default-twin-port-range
opções no nível de [edit security nat source]
hierarquia para especificar a faixa de porta padrão global ou a faixa de portas duplas para todos os pools NAT de origem.
Configurar a sobrecarga de porta também deve ser feito com cuidado quando os pools NAT de origem são aumentados.
Para um pool de origem com PAT na faixa (63.488 a 65.535), duas portas são alocadas ao mesmo tempo para aplicativos RTP/RTCP, como SIP, H.323 e RTSP. Nesses cenários, cada endereço IP oferece suporte ao PAT, ocupando 2048 portas (63.488 a 65.535) para uso de módulos ALG.
Entender endereços persistentes para pools NAT de origem
Por padrão, a tradução do endereço de porta é realizada com NAT de origem. No entanto, um endereço de origem original pode não ser traduzido para o mesmo endereço IP para tráfego diferente que se origina do mesmo host. A opção NAT address-persistent
de origem garante que o mesmo endereço IP seja atribuído do pool NAT de origem a um host específico para várias sessões simultâneas.
Essa opção difere da opção pareada de agrupamento de endereços, na qual o endereço interno é mapeado para um endereço externo dentro do pool por úxito e servido pela primeira vez, e pode ser mapeado para um endereço externo diferente para cada sessão.
Exemplo: configuração da capacidade para pools NAT de origem com PAT
Este exemplo descreve como configurar a capacidade dos pools NAT de origem com a tradução de endereços de porta (PAT) se uma faixa de porta padrão não for definida ou você quiser substituí-la. As traduções são definidas para cada endereço IP. Quando o pool de origem é aumentado, as portas devem ser remanejadas se o número de porta atual exceder as limitações.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo mostra como configurar um pool PAT de endereços IP de 2048 com 32.000 portas para cada endereço IP.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
[edit security nat source] set pool src-nat-pat-addr address 192.168.0.0/32 to 192.168.3.255/32 set pool src-nat-pat-addr address 192.168.4.0/32 to 192.168.7.255/32 set pool-default-port-range 2001 set pool-default-port-range to 32720
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar a capacidade de um pool NAT de origem com o PAT:
Especifique um pool NAT de origem com PAT e uma faixa de endereço IP.
[edit security nat source] user@host# set pool src-nat-pat-addr address 192.168.0.0/32 to 192.168.3.255/32 user@host#set pool src-nat-pat-addr address 192.168.4.0/32 to 192.168.7.255/32
Especifique uma faixa de porta padrão para o pool de origem.
[edit security nat source] user@host# set pool-default-port-range 2001 user@host# set pool-default-port-range to 32720
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat-source-summary
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
user@host> run show security nat source summary Total port number usage for port translation pool: 16515072 Maximum port number for port translation pool: 134217728 Total pools: 1 Pool Address Routing PAT Total Name Range Instance Address pool2 203.0.113.1 - 203.0.113.3 default yes 2048 Name Range Instance Address pool1 198.51.100.0 - 198.51.100.255 default yes 256 Total rules: 1 Rule name Rule set From To Action rule 1 ruleset1 ge-2/2/2.0 ge-2/2/3.0 pool1 rule 1 ge-2/2/4.0 ge-2/2/5.0
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando a capacidade dos pools NAT de origem
Propósito
Veja as informações da porta e do pool. As limitações de porta são verificadas automaticamente, de modo que a configuração não será comprometida se as limitações de porta forem excedidas.
Ação
Do modo operacional, entre no comando para visualizar os show security nat source summary
detalhes da porta e do pool.
Entender os pools de NAT de origem com o agrupamento de endereços
Quando um host inicia várias sessões que correspondem a uma política que requer NAT, e é atribuído um endereço IP a partir de um pool de origem que tem tradução de endereço de porta habilitada, um endereço IP de origem diferente é usado para cada sessão.
Como alguns aplicativos exigem o mesmo endereço IP de origem para cada sessão, você pode usar o address-pooling paired
recurso para habilitar todas as sessões associadas a um endereço IP interno para mapear o mesmo endereço IP externo durante as sessões. Quando as sessões terminam, o mapeamento entre o endereço IP interno e o endereço IP externo termina. Da próxima vez que o host iniciar uma sessão, um endereço IP diferente do pool pode ser atribuído a ele.
Isso difere do recurso NAT address-persistent
de origem, que mantém o mapeamento estático; o mesmo endereço IP interno é mapeado para o mesmo endereço IP externo todas as vezes. Ele também difere do address-persistent
recurso em que address-pooling paired
está configurado para um pool específico. O address-persistent
recurso é uma configuração global que se aplica a todos os pools de origem.
Entender os pools nat de origem com a mudança de endereço
As condições de correspondência para um conjunto de regras nat de origem não permitem que você especifique uma faixa de endereço; apenas prefixos de endereço podem ser especificados em uma regra. Ao configurar um pool NAT de origem, você pode especificar a opção; esta opção host-base-address
especifica o endereço IP onde começa a faixa de endereço IP de origem original.
A variedade de endereços IP de origem originais traduzidos é determinada pelo número de endereços no pool NAT de origem. Por exemplo, se o pool NAT de origem contém uma variedade de dez endereços IP, até dez endereços IP de origem originais podem ser traduzidos, começando por um endereço base especificado. Esse tipo de tradução é de um para um, estático e sem tradução de endereço de porta.
A condição de correspondência em uma regra NAT de origem pode definir uma faixa de endereço maior do que a especificada no pool NAT de origem. Por exemplo, uma condição de correspondência pode especificar um prefixo de endereço que contém 256 endereços, mas o pool NAT de origem pode conter uma variedade de apenas alguns endereços IP, ou apenas um endereço IP. O endereço IP de origem de um pacote pode combinar com uma regra NAT de origem, mas se o endereço IP de origem não estiver dentro da faixa de endereço especificada no pool NAT de origem, o endereço IP de origem não for traduzido.
Exemplo: configurar pools NAT de origem com mudança de endereço
Este exemplo descreve como configurar um mapeamento NAT de origem de uma faixa de endereço privado para endereços públicos, com mudança de endereço opcional. Este mapeamento é um a um entre os endereços IP de origem originais e endereços IP traduzidos.
As condições de correspondência para um conjunto de regras nat de origem não permitem que você especifique uma faixa de endereço; apenas prefixos de endereço podem ser especificados em uma regra. Ao configurar um pool NAT de origem, você pode especificar a opção; essa opção host-base-address
especifica o endereço IP onde começa a faixa de endereço IP de origem original e desativa a tradução da porta.
A variedade de endereços IP de origem originais traduzidos é determinada pelo número de endereços no pool NAT de origem. Por exemplo, se o pool NAT de origem contém uma variedade de dez endereços IP, até dez endereços IP de origem originais podem ser traduzidos, começando por um endereço base especificado.
A condição de correspondência em uma regra NAT de origem pode definir uma faixa de endereço maior do que a especificada no pool NAT de origem. Por exemplo, uma condição de correspondência pode especificar um prefixo de endereço que contém 256 endereços, mas o pool NAT de origem contém uma variedade de apenas dez endereços IP. O endereço IP de origem de um pacote pode combinar com uma regra NAT de origem, mas se o endereço IP de origem não estiver dentro da faixa de endereço especificada no pool NAT de origem, o endereço IP de origem não for traduzido.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo usa a zona de segurança de confiança para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. Na Figura 5, uma variedade de endereços privados na zona de confiança é mapeada para uma variedade de endereços públicos na zona não confiável. Para pacotes enviados da zona de confiança para a zona não confiável, um endereço IP de origem na faixa de 192.168.1.10/32 a 192.168.1.20/32 é traduzido para um endereço público na faixa de 203.0.113.30/32 a 203.0.113,40/32.

Este exemplo descreve as seguintes configurações:
Grupo NAT
src-nat-pool-1
de origem que contém a faixa de endereço IP 203.0.113.30/32 até 203.0.113.40/32. Para este pool, o início da faixa de endereço IP de origem original é de 192.168.1.10/32 e é especificado com a opçãohost-address-base
.Regra de NAT de origem definida
rs1
com regrar1
para combinar pacotes da zona de confiança à zona não confiável com um endereço IP de origem na sub-rede 192.168.1.0/24. Para a correspondência de pacotes que se enquadram na faixa de endereço IP de origemsrc-nat-pool-1
especificada pela configuração, o endereço de origem é traduzido para o endereço IP nosrc-nat-pool-1
pool.Proxy ARP para os endereços 203.0.113.30/32 a 203.0.113.40/32 na interface ge-0/0/0.0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface para esse endereço.
Políticas de segurança para permitir o tráfego da zona de confiança até a zona não confiável.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat source pool src-nat-pool-1 address 203.0.113.30/32 to 203.0.113.40/32 set security nat source pool src-nat-pool-1 host-address-base 192.168.1.10/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.30/32 to 203.0.113.40/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar um mapeamento NAT de origem com a mudança de endereço:
Crie um pool NAT de origem.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.30/32 to 203.0.113.40/32
Especifique o início da faixa de endereço IP de origem original.
[edit security nat source] user@host# set pool src-nat-pool-1 host-address-base 192.168.1.10/32
Crie um conjunto de regras de NAT de origem.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure uma regra que combine pacotes e traduz o endereço de origem para um endereço no pool.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.168.1.0/24 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure o ARP proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.30/32 to 203.0.113.40/32
Configure uma política de segurança que permita o tráfego da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat
comandos e show security policies
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.30/32 to 203.0.113.40/32; } host-address-base 192.168.1.10/32; } rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address 192.168.1.0/24; } then { source-nat { pool { src-nat-pool-1; } } } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.30/32 to 203.0.113.40/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
- Verificando o uso do pool NAT de origem
- Verificando o uso das regras do NAT de origem
- Verificando a aplicação de NAT no tráfego
Verificando o uso do pool NAT de origem
Propósito
Verifique se há tráfego usando endereços IP do pool NAT de origem.
Ação
Do modo operacional, entre no show security nat source pool all
comando. Veja o campo de acesso da tradução para verificar o tráfego usando endereços IP da piscina.
Verificando o uso das regras do NAT de origem
Propósito
Verifique se há tráfego que corresponda à regra NAT de origem.
Ação
Do modo operacional, entre no show security nat source rule all
comando. Veja a tradução em campo para verificar se o tráfego corresponde à regra.
Entender os pools nat de origem com o PAT
Usando o pool de origem com o Port Address Translation (PAT), o Junos OS traduz tanto o endereço IP de origem quanto o número de porta dos pacotes. Quando o PAT é usado, vários hosts podem compartilhar o mesmo endereço IP.
O Junos OS mantém uma lista de números de porta atribuídos para distinguir qual sessão pertence a qual host. Quando o PAT está habilitado, até 63.488 hosts podem compartilhar um único endereço IP. Cada pool de origem pode conter vários endereços IP, várias faixas de endereço IP ou ambos. Para um pool de origem com PAT, o Junos OS pode atribuir endereços diferentes a um único host para diferentes sessões simultâneas, a menos que o pool de origem ou o Junos OS tenha o recurso de endereço persistente ou o recurso de agrupamento de endereços emparelhado ativado.
Para pool de origem de interface e pool de origem com PAT, o alcance (1024, 65535) está disponível para mapeamento de números de porta por endereço IP. Dentro do alcance (1024, 63487) uma porta é alocada por vez, para um total de 62.464 portas. Na faixa (63488, 65535), duas portas são alocadas por vez para aplicativos RTP/RTCP, como SIP, H.323 e RTSP, para um total de 2.048 portas.
Quando um host inicia várias sessões que correspondem a uma política que requer tradução de endereço de rede e recebe um endereço de um pool de origem habilitado pelo PAT, o dispositivo atribui um endereço IP de origem diferente para cada sessão. Essa atribuição de endereço aleatório pode ser problemática para serviços que criam várias sessões que exigem o mesmo endereço IP de origem para cada sessão. Por exemplo, é importante ter o mesmo endereço IP para várias sessões ao usar o cliente AOL Instant Message (AIM).
Para garantir que o roteador atribua o mesmo endereço IP de um pool de origem a um host para várias sessões simultâneas, você pode habilitar um endereço IP persistente por roteador. Para garantir que o dispositivo atribua o mesmo endereço IP de um pool de origem a um host durante a duração de uma única sessão, você pode habilitar o agrupamento de endereços em pares.
Exemplo: configurar o NAT de origem para vários endereços com PAT
Este exemplo descreve como configurar um mapeamento NAT de origem de um bloco de endereço privado para um bloco de endereço público menor usando a tradução de endereços de porta.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo usa a zona de segurança de confiança para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. Na Figura 6, o endereço IP de origem em pacotes enviados da zona de confiança para a zona não confiável é mapeado para um bloco menor de endereços públicos na faixa de 203.0.113.1/32 a 203.0.113.24/32. Como o tamanho do pool de endereços NAT de origem é menor do que o número de endereços potenciais que podem precisar ser traduzidos, a tradução do endereço da porta é usada.
A tradução do endereço da porta inclui um número de porta de origem com o mapeamento de endereço IP de origem. Isso permite que vários endereços em uma rede privada mapeiem para um número menor de endereços IP públicos. A tradução do endereço de porta é habilitada por padrão para pools NAT de origem.

Este exemplo descreve as seguintes configurações:
Grupo NAT
src-nat-pool-1
de origem que contém a faixa de endereço IP 203.0.113.1/32 até 203.0.113.24/32.Regra de NAT de origem definida
rs1
para combinar todos os pacotes da zona de confiança com a zona não confiável. Para combinar pacotes, o endereço IP de origem é traduzido para um endereço IP nosrc-nat-pool-1
pool.Proxy ARP para os endereços 203.0.113.1/32 a 203.0.113.24/32 na interface ge-0/0/0.0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface desses endereços.
Políticas de segurança para permitir o tráfego da zona de confiança até a zona não confiável.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat source pool src-nat-pool-1 address 203.0.113.1/32 to 203.0.113.24/32 set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 10.1.1.0/24 set security nat source rule-set rs1 rule r1 match source-address 10.1.2.0/24 set security nat source rule-set rs1 rule r1 match source-address 192.168.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.24/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar um mapeamento NAT de origem de um bloco de endereço privado para um bloco de endereço público menor usando o PAT:
Crie um pool NAT de origem.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1 to 203.0.113.24
Crie um conjunto de regras de NAT de origem.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure uma regra que combine pacotes e traduz o endereço de origem para um endereço no pool.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address [10.1.1.0/24 10.1.2.0/24 192.168.1.0/24] user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure o ARP proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1 to 203.0.113.24
Configure uma política de segurança que permita o tráfego da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat
comandos e show security policies
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.1/32 to 203.0.113.24/32; } } rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address [10.1.1.0/24 10.1.2.0/24 192.168.1.0/24]; destination-address 0.0.0.0/0; } then { source-nat { pool { src-nat-pool-1; } } } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.1/32 to 203.0.113.24/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
- Verificando o uso do pool NAT de origem
- Verificando o uso das regras do NAT de origem
- Verificando a aplicação de NAT no tráfego
Verificando o uso do pool NAT de origem
Propósito
Verifique se há tráfego usando endereços IP do pool NAT de origem.
Ação
Do modo operacional, entre no show security nat source pool all
comando. Veja o campo de acesso da tradução para verificar o tráfego usando endereços IP da piscina.
Verificando o uso das regras do NAT de origem
Propósito
Verifique se há tráfego que corresponda à regra NAT de origem.
Ação
Do modo operacional, entre no show security nat source rule all
comando. Veja a tradução em campo para verificar se o tráfego corresponde à regra.
Entender os pools nat de origem sem PAT
Quando você define um pool de origem, o Junos OS permite o PAT por padrão. Para desativar o PAT, você não deve especificar nenhuma tradução de porta quando estiver definindo um pool de origem.
Ao usar um pool de origem sem PAT, o Junos OS executa a tradução de endereço de rede de origem para o endereço IP sem realizar o PAT para o número da porta de origem. Para aplicativos que exigem que um número de porta de origem específico permaneça fixo, você deve usar o pool de origem sem PAT.
O pool de origem pode conter vários endereços IP, várias faixas de endereço IP ou ambos. Para o pool de origem sem PAT, o Junos OS atribui um endereço de origem traduzido ao mesmo host para todas as suas sessões simultâneas, a menos que a opção de agrupamento de endereços sem pareamento seja ativada.
O número de hosts que um pool NAT de origem sem PAT pode suportar é limitado ao número de endereços no pool. Quando você tem um pool com um único endereço IP, apenas um host pode ser suportado, e o tráfego de outros hosts é bloqueado porque não há recursos disponíveis. Se um único endereço IP estiver configurado para um pool NAT de origem sem PAT quando a atribuição de recursos nat não estiver no modo de backup ativo em um cluster de chassi, o tráfego através do nó 1 será bloqueado.
A utilização do pool para cada pool de origem sem PAT é computada. Você pode ativar o alarme de utilização do pool configurando limiares de alarme. Uma armadilha SNMP é acionada toda vez que a utilização da piscina sobe acima de um limiar e fica abaixo de um limiar.
Se uma regra NAT estática for para a tradução ip de um para um, evite dividir a regra em uma regra de destino e uma regra de origem quando o pool não-pat de origem sem compartilhamento de endereços for usado. Se você optar por dividir a regra, você terá que usar o pat-pool de origem com um único IP ou pool no-pat de origem com vários IP.
Exemplo: configurar um único endereço IP em um pool NAT de origem sem PAT
Este exemplo descreve como configurar um bloco de endereço privado para um único endereço público em um pool NAT de origem sem tradução de endereço de porta.
O PAT é habilitado por padrão para pools NAT de origem. Quando o PAT é desativado, o número de traduções que o pool NAT de origem pode suportar simultaneamente é limitado ao número de endereços no pool. Os pacotes são descartados se não houver endereços disponíveis no pool NAT de origem. No entanto, usando a opção address-shared
, você pode mapear mais de um endereço IP privado para um único endereço IP público, desde que o tráfego seja de diferentes portas de origem.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo usa a zona de segurança de confiança para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. O endereço IP de origem dos pacotes enviados da zona de confiança para a zona não confiável é mapeado em um único endereço público.
Este exemplo descreve as seguintes configurações:
Pool NAT
src-nat-pool-1
de origem que contém o endereço IP 203.0.113.1/30. A opçãoport no-translation
e a opçãoaddress shared
estão especificadas para o pool.Regra de NAT de origem definida
rs1
para combinar todos os pacotes da zona de confiança com a zona não confiável. Para combinar pacotes, o endereço IP de origem é traduzido para um endereço IP nosrc-nat-pool-1
pool.Políticas de segurança para permitir o tráfego da zona de confiança até a zona não confiável.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat source pool src-nat-pool-1 address 203.0.113.1/30 set security nat source pool src-nat-pool-1 port no-translation set security nat source pool-src-nat-pool-1 address-shared set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule1 match source address 192.0.2.0/24 set security nat source rule-set rs1 rule r1 then source src-nat-pool-1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar um mapeamento NAT de origem de um bloco de endereço privado para um único endereço público sem PAT:
Crie um pool NAT de origem com um único endereço IP para o endereço compartilhado.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1/30
Especifique a opção
port no-translation
.[edit security nat source] user@host# set pool src-nat-pool-1 port no-translation
Especifique a opção
address-shared
.[edit security nat source] user@host# set pool pool-src-nat-pool-1 address-shared
Crie um conjunto de regras de NAT de origem.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure uma regra que combine pacotes e traduz o endereço de origem para um endereço no pool.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 192.0.2.0/24 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure uma política de segurança que permita o tráfego da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat source pool
comandos e show security policies
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.1/30 } port no-translation; } address-shared; rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address [192.0.2.0/24] } then { source-nat { pool { src-nat-pool-1; } } } } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
Verificação de endereço compartilhado
Propósito
Verifique se dois endereços IP internos, com portas de origem diferentes, compartilham um endereço IP externo.
Ação
Do modo operacional, entre no show security nat source pool
comando. Veja o campo de atribuição de endereços para verificar se ele é compartilhado.
Exemplo: configurar vários endereços em um pool NAT de origem sem PAT
Este exemplo descreve como configurar um mapeamento NAT de origem de um bloco de endereço privado para um bloco de endereço público menor sem tradução de endereço de porta.
A tradução do endereço de porta é habilitada por padrão para pools NAT de origem. Quando a tradução do endereço da porta é desabilitada, o número de traduções que o pool NAT de origem pode oferecer é limitado ao número de endereços no pool. Os pacotes são descartados se não houver endereços disponíveis no pool NAT de origem. Você pode especificar opcionalmente um pool de estouro de quais endereços IP e números de porta são alocados quando não há endereços disponíveis no pool NAT de origem original.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
Este exemplo usa a zona de segurança de confiança para o espaço de endereço privado e a zona de segurança não confiável para o espaço de endereço público. Na Figura 7, o endereço IP de origem em pacotes enviados da zona de confiança para a zona não confiável é mapeado para um bloco menor de endereços públicos na faixa de 203.0.113.1/32 a 203.0.113.24/32.

Este exemplo descreve as seguintes configurações:
Grupo NAT
src-nat-pool-1
de origem que contém a faixa de endereço IP 203.0.113.1/32 até 203.0.113.24/32. A opçãoport no-translation
é especificada para o pool.Regra de NAT de origem definida
rs1
para combinar todos os pacotes da zona de confiança com a zona não confiável. Para combinar pacotes, o endereço IP de origem é traduzido para um endereço IP nosrc-nat-pool-1
pool.Proxy ARP para os endereços 203.0.113.1/32 a 203.0.113.24/32 na interface ge-0/0/0.0. Isso permite que o dispositivo de segurança da Juniper Networks responda às solicitações de ARP recebidas na interface desses endereços.
Políticas de segurança para permitir o tráfego da zona de confiança até a zona não confiável.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security nat source pool src-nat-pool-1 address 203.0.113.1/32 to 203.0.113.24/32 set security nat source pool src-nat-pool-1 port no-translation set security nat source rule-set rs1 from zone trust set security nat source rule-set rs1 to zone untrust set security nat source rule-set rs1 rule r1 match source-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set rs1 rule r1 then source-nat pool src-nat-pool-1 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.24/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.
Para configurar um mapeamento NAT de origem de um bloco de endereço privado para um bloco de endereço público menor sem PAT:
Crie um pool NAT de origem.
[edit security nat source] user@host# set pool src-nat-pool-1 address 203.0.113.1 to 203.0.113.24
Especifique a opção
port no-translation
.[edit security nat source] user@host# set pool src-nat-pool-1 port no-translation
Crie um conjunto de regras de NAT de origem.
[edit security nat source] user@host# set rule-set rs1 from zone trust user@host# set rule-set rs1 to zone untrust
Configure uma regra que combine pacotes e traduz o endereço de origem para um endereço no pool.
[edit security nat source] user@host# set rule-set rs1 rule r1 match source-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 user@host# set rule-set rs1 rule r1 then source-nat pool src-nat-pool-1
Configure o ARP proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1 to 203.0.113.24
Configure uma política de segurança que permita o tráfego da zona de confiança até a zona não confiável.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat
comandos e show security policies
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat source { pool src-nat-pool-1 { address { 203.0.113.1/32 to 203.0.113.24/32; } port no-translation; } rule-set rs1 { from zone trust; to zone untrust; rule r1 { match { source-address 0.0.0.0/0; destination-address 0.0.0.0/0; } then { source-nat { pool { src-nat-pool-1; } } } } } } proxy-arp { interface ge-0/0/0.0 { address { 203.0.113.1/32 to 203.0.113.24/32; } } } user@host# show security policies from-zone trust to-zone untrust { policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:
- Verificando o uso do pool NAT de origem
- Verificando o uso das regras do NAT de origem
- Verificando a aplicação de NAT no tráfego
Verificando o uso do pool NAT de origem
Propósito
Verifique se há tráfego usando endereços IP do pool NAT de origem.
Ação
Do modo operacional, entre no show security nat source pool all
comando. Veja o campo de acesso da tradução para verificar o tráfego usando endereços IP da piscina.
Verificando o uso das regras do NAT de origem
Propósito
Verifique se há tráfego que corresponda à regra NAT de origem.
Ação
Do modo operacional, entre no show security nat source rule all
comando. Veja a tradução em campo para verificar se o tráfego corresponde à regra.
Entender a persistência da sessão nat
A persistência da sessão de tradução de endereços de rede (NAT) fornece um meio de reter as sessões existentes, em vez de liberá-las, quando houver alterações na configuração do NAT. Se a persistência da sessão for habilitada, as sessões retidas continuarão a processar e encaminhar pacotes conforme o tempo e os recursos são usados de maneira ideal para reconstruir as sessões impactadas. Assim, o encaminhamento de pacotes não para mesmo se a configuração nat for alterada para algumas ou todas as sessões.
A partir do Junos OS Release 18.3R1, com o suporte para a persistência da sessão NAT, o Mecanismo de Encaminhamento de Pacotes verifica as sessões e decide se mantém as sessões ou elimina as sessões. Em versões antes do Junos OS Release 18.3R1, as sessões de NAT são liberadas se houver uma mudança na configuração do NAT.
O Mecanismo de encaminhamento de pacotes executa os dois tipos de varreduras a fim de decidir se deve reter ou derrubar sessões:
Source NAT pool session persistence scan— O Mecanismo de encaminhamento de pacotes compara o endereço IP de sessão existente com a faixa de endereço do pool de origem. Se o endereço IP da sessão existente estiver na faixa de endereço do pool de origem especificado, a sessão será mantida viva, caso contrário, a sessão será liberada.
Source NAT rule session persistence scan— O Mecanismo de Encaminhamento de Pacotes usa o ID de regra para comparar o endereço IP de origem, a porta de origem, o endereço IP de destino e a porta de destino entre as configurações antigas e novas. Se as configurações novas e antigas forem as mesmas, a sessão será mantida viva, caso contrário, a sessão será liberada.
A persistência da sessão de NAT não é suportada para NAT estático e NAT de destino.
A persistência da sessão de NAT não é suportada se o pool PAT estiver configurado com o endereço persistente, agrupamento de endereços emparelhado, persistente em endereço de origem, alocação de blocos de porta, nat determinístico de porta, nat persistente e campos de fator de sobrecarga de porta.
A persistência da sessão de NAT é suportada apenas para NAT de origem nos seguintes cenários:
Pool de origem — Alterar em uma faixa de endereço em um pool de tradução de endereços de porta (PAT).
Regra de origem — Alterar as condições de correspondência para a lista de endereços, aplicativos, endereço IP de destino, porta de destino, endereço IP de origem e informações de porta de destino.
Para habilitar a digitalização da persistência da sessão NAT, inclua a session-persistence-scan
declaração no nível de [edit security nat source]
hierarquia.
Você também pode configurar um valor de tempo limite para reter as sessões pelo período de tempo especificado usando o set security nat source session-drop-hold-down
comando CLI. O valor da opção session-drop-hold-down
varia de 30 a 28.800 segundos (oito horas). A sessão expira após o período de intervalo configurado.
Limitações da persistência da sessão de NAT
Quando há uma mudança nos endereços IP no pool de origem do NAT, os endereços IP recém-configurados são anexos ao pool de origem do NAT. Após a reconstrução do pool de origem do NAT, os novos endereços IP não são os mesmos que os endereços IP existentes. As diferenças nos endereços IP no pool de origem do NAT afetam o modo round-robin de escolher endereços IP do pool de origem do NAT.
Se os tipos de varredura identificarem sessões que nunca serão cronometradas (ou seja, as sessões para as quais o
session-drop-hold-down
valor não está configurado ou está configurado como 8 horas), então o Mecanismo de Encaminhamento de Pacotes ignora essas sessões e as sessões são retidas.
Configure o tamanho da alocação de blocos de porta
Antes de começar:
Entenda as diretrizes para configurar a alocação de blocos de porta. Leia diretrizes para configurar a alocação segura de blocos de porta.
Você pode configurar a alocação protegida de blocos de porta, que aloca blocos de portas para um assinante NAT. Com a alocação de blocos de porta, geramos um log de syslog por conjunto de portas alocadas para um assinante. Use esse procedimento para configurar o tamanho da alocação de blocos de porta.
Configurando o tempo limite de espera de sessão do NAT e a verificação da persistência da sessão NAT
Esta configuração mostra como configurar o tempo de espera da sessão NAT e a persistência da sessão NAT.
Configuring NAT Session Hold Timeout
A configuração a seguir mostra como configurar o tempo limite de espera da sessão NAT.
Para definir o período de tempo limite da sessão NAT:
[edit security nat source] user@host#
set session-drop-hold-down time;
O valor da variável de tempo varia de 30 a 28.800 segundos (oito horas). A sessão expira após o período de intervalo configurado.
Results
A partir do modo de configuração, confirme sua configuração entrando no show security
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat { source { session-drop-hold-down 28800; } }
Configuring NAT Session Persistence Scan
A configuração a seguir mostra como configurar a varredura de persistência da sessão NAT.
Para habilitar a varredura de persistência da sessão NAT:
[edit security nat source] user@host#
set session-persistence-scan
Results
A partir do modo de configuração, confirme sua configuração entrando no show security
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat { source { session-persistence-scan; } }
Entenda a verificação da configuração do NAT nas interfaces de saída após o reroute
A configuração de tradução de endereços de rede (NAT) costuma mudar para acomodar mais usuários e melhorar a rota mais curta para transferir o tráfego. Se houver uma mudança na interface de saída por causa do redirecionamento do tráfego, você pode usar o set security flow enable-reroute-uniform-link-check nat
comando para reter a configuração e a regra do NAT existentes.
Quando o enable-reroute-uniform-link-check nat
comando é ativado:
A sessão é mantida com a regra NAT existente, se a nova interface de saída e a interface de saída anterior estiverem na mesma zona de segurança, e não houver mudança na regra NAT combinada ou se nenhuma regra for aplicada antes e depois do reencamamento.
A sessão expira se a nova interface de saída e a interface de saída anterior estiverem na mesma zona de segurança e a regra NAT combinada for alterada.
Quando o enable-reroute-uniform-link-check nat
comando é desativado:
O tráfego é encaminhado para a nova interface de saída se a nova interface de saída e a interface de saída anterior estiverem na mesma zona de segurança.
Configuration
Para habilitar a configuração nat para uma sessão existente quando houver uma mudança na interface de saída por causa do reencamamento, use o seguinte comando:
[edit]
user@host# set security flow enable-reroute-uniform-link-check nat
A nova configuração é aplicada quando você comete as alterações de configuração.
A enable-reroute-uniform-link-check nat command
rede é desabilitada por padrão.
Limitations
Manter a configuração de NAT usando o set security flow enable-reroute-uniform-link-check nat
comando tem as seguintes limitações:
A sincronização do TCP não permite que a nova sessão transfira o tráfego. Você deve desativar a sincronização de TCP para permitir a transferência de tráfego em novas sessões.
As informações do pacote podem ser perdidas se o redirecionamento for iniciado após um aperto de mão de três vias para inicializar a comunicação. Você deve desativar a Junos OS Services Framework (JSF), como o Application Layer Gateway (ALG) para permitir a transferência do tráfego em novas sessões.
port-scaling-enlargement
declaração no nível [
edit security nat source
] de hierarquia suportada