NAT de origem

NAT de origem é a tradução do endereço IP de origem de um pacote que sai do dispositivo Juniper Networks. O NAT de origem é usado para permitir que hosts com endereços IP privados acessem uma rede pública.

O NAT de origem permite que as conexões sejam iniciadas apenas para conexões de rede de saída , por exemplo, de uma rede privada à Internet. O NAT de origem é comumente usado para realizar as seguintes traduções:

• Traduza um único endereço IP para outro endereço (por exemplo, para fornecer um único dispositivo em uma rede privada com acesso à Internet).

• Traduza um bloco contíguo de endereços para outro bloco de endereços do mesmo tamanho.

• Traduza um bloco contíguo de endereços para outro bloco de endereços de menor tamanho.

• Traduza um bloco contíguo de endereços para um único endereço IP ou um bloco menor de endereços usando a tradução de portas.

• Traduza um bloco contíguo de endereços para o endereço da interface de saída.

A tradução para o endereço da interface de saída não requer um pool de endereços; todas as outras traduções NAT de origem exigem configuração de um pool de endereços. Traduções de um para um e muitas para muitos para blocos de endereço do mesmo tamanho não exigem tradução de portas porque há um endereço disponível no pool para cada endereço que seria traduzido.

Se o tamanho do pool de endereços for menor do que o número de endereços que seriam traduzidos, o número total de endereços simultânticos que podem ser traduzidos é limitado pelo tamanho do pool de endereços ou pela tradução da porta deve ser usado. Por exemplo, se um bloco de 253 endereços for traduzido para um pool de endereços de 10 endereços, um máximo de 10 dispositivos pode ser conectado simultaneamente, a menos que a tradução da porta seja usada.

Os seguintes tipos de NAT de origem são suportados:

• Tradução do endereço IP de origem original para o endereço IP da interface de saída (também chamado de NAT de interface). A tradução do endereço de porta é sempre realizada.

• Tradução do endereço IP de origem original para um endereço IP a partir de um pool de endereço definido pelo usuário sem tradução de endereço de porta. A associação entre o endereço IP de origem original ao endereço IP de origem traduzido é dinâmica. No entanto, uma vez que haja uma associação, a mesma associação é usada para o mesmo endereço IP de origem original para tráfego novo que corresponda à mesma regra NAT.

• Tradução do endereço IP de origem original para um endereço IP a partir de um pool de endereço definido pelo usuário com tradução de endereço de porta. A associação entre o endereço IP de origem original ao endereço IP de origem traduzido é dinâmica. Mesmo que exista uma associação, o mesmo endereço IP de origem original pode ser traduzido para um endereço diferente para um novo tráfego que corresponda à mesma regra nat.

• Tradução do endereço IP de origem original para um endereço IP a partir de um pool de endereço definido pelo usuário, mudando os endereços IP. Esse tipo de tradução é de um para um, estático e sem tradução de endereço de porta. Se a faixa de endereço IP de origem original for maior do que a faixa de endereço IP no pool definido pelo usuário, os pacotes não traduzidos serão descartados.

• A arquitetura de pontos centrais não suporta mais sessões de pontos centrais. Portanto, o NAT precisa manter um localizador NAT para rastrear o endereço IP ou a alocação e o uso da porta. O NAT tracker é um array global para ID de sessão de SPU para IP NAT ou mapeamento de porta que é usado para gerenciar recursos NAT.

• Por padrão, uma mensagem de contra-atualização de estatísticas de regras de NAT é enviada da Unidade de Processamento de Serviços (SPU) para o ponto central em intervalos de 1 segundo, em vez de atualizar as estatísticas com base em cada gatilho de sessão no sistema de pontos centrais.

• Para dar suporte a um endereço IP ou porta NAT específico alocado de forma que o hash de 5 tuple após o NAT seja o mesmo que o hash original de 5 tuple antes do NAT, selecione uma porta NAT que resulte no mesmo hash que o hash original pelo cálculo específico. Portanto, a sessão de encaminhamento é reduzida. Quando o NAT é usado, a asa reversa é hashed para uma SPU diferente. Uma sessão avançada precisa ser instalada para encaminhar o tráfego reverso para uma SPU de sessão. O NAT tenta selecionar uma porta que pode ser usada pelo algoritmo hash para fazer com que a asa reversa seja hashed para a mesma SPU que a asa inicial. Assim, tanto o desempenho do NAT quanto a taxa de transferência são melhorados com essa abordagem.

• Para melhorar o desempenho do NAT, o gerenciamento do pool de mudança de IP (não-PAT pool) é transferido do ponto central para a SPU para que todos os recursos nat locais para esse pool sejam gerenciados localmente, em vez de enviar a solicitação de NAT para o ponto central. Assim, as conexões de pool NAT com mudança de endereço IP por segundo e taxa de transferência são melhoradas.

• Modo de randomização de portas (padrão)
• Modo Round-Robin
• Modo afinidade de sessão

• Propósito
• Ação

Este exemplo descreve como configurar um mapeamento NAT de origem de endereços privados para o endereço público de uma interface de saída.

Este exemplo descreve como configurar um mapeamento NAT de origem de um único endereço privado para um endereço público.

Este exemplo descreve como configurar mapeamentos NAT de origem e destino.

As regras do NAT de origem especificam duas camadas de condições de correspondência:

• Direção de tráfego — permite especificar combinações defrom interface, from zoneou, ou to interfacefrom routing-instance to zone, ou to routing-instance. Você não pode configurar os mesmos from contextos to para diferentes conjuntos de regras.

• Informações de pacotes — podem ser endereços IP de origem e destino ou sub-redes, números de porta de origem ou faixas de porta, números de porta de destino ou faixas de porta, protocolos ou aplicativos.

Para todo o tráfego ALG, exceto FTP, recomendamos que você não use a opção de source-port regra. A criação de sessão de dados pode falhar se essa opção for usada porque o endereço IP e o valor da porta de origem, que é um valor aleatório, podem não coincidir com a regra.

Além disso, recomendamos que você não use a opção destination-port ou a opção application como condições de correspondência para tráfego ALG. Se essas opções forem usadas, a tradução pode falhar porque o valor da porta no payload do aplicativo pode não corresponder ao valor da porta no endereço IP.

Se várias regras de NAT de origem se sobreporem nas condições de correspondência, a regra mais específica será escolhida. Por exemplo, se as regras A e B especificarem os mesmos endereços IP de origem e destino, mas a regra A especifica o tráfego da zona 1 à zona 2 e a regra B especifica o tráfego da zona 1 para a interface ge-0/0/0, a regra B é usada para executar NAT de origem. Uma correspondência de interface é considerada mais específica do que uma correspondência de zona, que é mais específica do que uma instância de roteamento.

As ações que você pode especificar para uma regra nat de origem são:

• off — Não execute NAT de origem.

• pool — Use o pool de endereço definido pelo usuário especificado para realizar NAT de origem.

• interface — Use o endereço IP da interface de saída para realizar NAT de origem.

As regras de NAT de origem são aplicadas ao tráfego no primeiro pacote que é processado para o fluxo ou no caminho rápido para o ALG. As regras de NAT de origem são processadas após regras de NAT estáticas, regras de NAT de destino e mapeamento reverso de regras de NAT estáticas e após a pesquisa de políticas de rota e segurança.

Quando as zonas não estão configuradas sob o conjunto de regras e quando o NAT de origem ativa é configurado com uma declaração obrigatória "a partir" ausente, a mensagem a seguir é exibida ao realizar o commit "Declaração obrigatória ausente: erro "a partir": falha na verificação de configuração" e a verificação da configuração falha.

Este exemplo descreve como configurar mapeamentos NAT de origem com várias regras.

Um pool NAT é um conjunto definido pelo usuário de endereços IP que são usados para tradução. Ao contrário do NAT estático, onde existe um mapeamento de um para um que inclui a tradução de endereço IP de destino em uma direção e tradução de endereço IP de origem na direção inversa, com NAT de origem, você traduz o endereço IP de origem original para um endereço IP no pool de endereços.

Para pools de endereços de tradução de endereço de rede (NAT) de origem, especifique o seguinte:

• Nome do pool de endereços NAT de origem.

• Até oito faixas de endereço ou endereço.

  Nota:

  Não se sobreponha aos endereços NAT de origem, NAT de destino e NAT estático em uma única instância de roteamento.

• Instância de roteamento — instância de roteamento à qual o pool pertence (o padrão é a instância principal de roteamento inet.0 ).

• Porta — A tradução do endereço de porta (PAT) para um pool de origem. Por padrão, o PAT é realizado com NAT de origem. Se você especificar a opção sem tradução , o número de hosts que o pool NAT de origem pode suportar está limitado ao número de endereços no pool. Se você especificar block-allocation, um bloco de portas é alocado para tradução, em vez de portas individuais serem alocadas. Se você especificar deterministic, um endereço IP de entrada (fonte) e uma porta sempre mapeiem para o endereço de destino e bloco de porta específicos, com base em algoritmo NAT determinístico predefinido. Se você especificar port-overloading, você pode configurar a capacidade de sobrecarga da porta no NAT de origem. Se você especificar range, você pode fornecer a faixa de número de porta anexada a cada endereço na piscina e a faixa de porta dupla para pools NAT de origem.

• Pool de estouro (opcional)— os pacotes são descartados se não houver endereços disponíveis no pool NAT de origem designado. Para evitar que isso aconteça quando a opção de não tradução de porta estiver configurada, você pode especificar um pool de transbordamento. Assim que os endereços do pool NAT de origem original estiverem esgotados, endereços IP e números de porta são alocados no pool de transbordamento. Um pool NAT de origem definido pelo usuário ou uma interface de saída podem ser usados como o pool de estouro. (Quando o pool de estouro é usado, o ID da piscina é devolvido com o endereço.)

• Mudança de endereço IP (opcional)— uma variedade de endereços IP de origem original pode ser mapeada para outra variedade de endereços IP, ou para um único endereço IP, deslocando os endereços IP. Especifique a opção de base de endereço de host com o endereço base da faixa de endereço IP de origem original.

• Compartilhamento de endereços (opcional)— Vários endereços IP internos podem ser mapeados no mesmo endereço IP externo. Essa opção só pode ser usada quando o pool NAT de origem estiver configurado sem tradução de porta. Especifique a opção address-shared quando um pool NAT de origem tiver poucos endereços IP externos disponíveis, ou apenas um endereço IP externo. Com um mapeamento de muitos para um, o uso dessa opção aumenta os recursos de NAT e melhora o tráfego.

• Agrupamento de endereços (opcional)— O agrupamento de endereços pode ser configurado como emparelhado ou sem pareamento. Especifique para aplicativos que exijam address-pooling paired que todas as sessões associadas a um endereço IP interno sejam mapeadas no mesmo endereço IP externo durante a duração de uma sessão. Isso difere da opção persistent-address , na qual o mesmo endereço interno é traduzido para o mesmo endereço externo todas as vezes. Especifique address-pooling no-paired para aplicativos que podem ser atribuídos endereços IP de forma redonda. Se estiver address-pooling paired configurado ou address-pooling no-paired configurado para um pool NAT de origem com PAT, a opção de endereço persistente será desabilitada. Se address-shared estiver configurado em um pool NAT de origem sem PAT, a opção persistent-address será ativada. Ambos address-shared e address-pooling paired podem ser configurados no mesmo pool NAT de origem sem PAT.

• Alarme de utilização de pool (opcional)— Quando a opção de limite de elevação é configurada para NAT de origem, uma armadilha SNMP é acionada se a utilização do pool NAT de origem estiver acima desse limite. Se a opção de limite claro opcional estiver configurada, uma armadilha SNMP será acionada se a utilização do pool NAT de origem cair abaixo desse limiar. Se o limite claro não estiver configurado, ele será definido por padrão para 80% do valor do limite de elevação .

Você pode usar o comando de pool de origem de uso de recursos nat de segurança para visualizar o uso do endereço em um pool NAT de origem sem PAT, e visualizar o uso da porta em um pool NAT de origem com PAT.

As capacidades máximas para pools de origem e endereços IP em SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX5400, SRX5600 e SRX5800 são as seguintes:

Aumentar o número total de endereços IP usados para NAT de origem, seja aumentando o número de pools na configuração e/ou aumentando a capacidade ou endereços IP por pool, consome a memória necessária para a alocação da porta. Quando o pool NAT de origem e os limites de endereço IP são atingidos, as faixas de porta devem ser reatribuídas. Ou seja, o número de portas para cada endereço IP deve ser reduzido quando o número de endereços IP e pools NAT de origem for aumentado. Isso garante que o NAT não consuma muita memória.

Por exemplo, em um pool NAT de origem para dispositivos SRX5000, quando o número de endereços IP com suporte à tradução de portas atinge o limite de 1M, o número total de portas PAT é de 64G, o que excede a limitação de 384M. Isso ocorre porque, por padrão, cada endereço IP oferece suporte a 64.512 portas. Para garantir que os números das portas PAT estejam dentro da capacidade, a faixa de porta para cada IP precisa ser configurada para diminuir o número total de portas PAT.

Use o e range twin-port as range opções no nível de [edit security nat source pool port] hierarquia para atribuir uma nova faixa de porta ou faixa de porta dupla para um pool específico. Use a pool-default-port-range e as pool-default-twin-port-range opções no nível de [edit security nat source] hierarquia para especificar a faixa de porta padrão global ou a faixa de portas duplas para todos os pools NAT de origem.

Configurar a sobrecarga de porta também deve ser feito com cuidado quando os pools NAT de origem são aumentados.

Para um pool de origem com PAT na faixa (63.488 a 65.535), duas portas são alocadas ao mesmo tempo para aplicativos RTP/RTCP, como SIP, H.323 e RTSP. Nesses cenários, cada endereço IP oferece suporte ao PAT, ocupando 2048 portas (63.488 a 65.535) para uso de módulos ALG.

Por padrão, a tradução do endereço de porta é realizada com NAT de origem. No entanto, um endereço de origem original pode não ser traduzido para o mesmo endereço IP para tráfego diferente que se origina do mesmo host. A opção NAT address-persistent de origem garante que o mesmo endereço IP seja atribuído do pool NAT de origem a um host específico para várias sessões simultâneas.

Essa opção difere da opção pareada de agrupamento de endereços, na qual o endereço interno é mapeado para um endereço externo dentro do pool por úxito e servido pela primeira vez, e pode ser mapeado para um endereço externo diferente para cada sessão.

Este exemplo descreve como configurar a capacidade dos pools NAT de origem com a tradução de endereços de porta (PAT) se uma faixa de porta padrão não for definida ou você quiser substituí-la. As traduções são definidas para cada endereço IP. Quando o pool de origem é aumentado, as portas devem ser remanejadas se o número de porta atual exceder as limitações.

Quando um host inicia várias sessões que correspondem a uma política que requer NAT, e é atribuído um endereço IP a partir de um pool de origem que tem tradução de endereço de porta habilitada, um endereço IP de origem diferente é usado para cada sessão.

Como alguns aplicativos exigem o mesmo endereço IP de origem para cada sessão, você pode usar o address-pooling paired recurso para habilitar todas as sessões associadas a um endereço IP interno para mapear o mesmo endereço IP externo durante as sessões. Quando as sessões terminam, o mapeamento entre o endereço IP interno e o endereço IP externo termina. Da próxima vez que o host iniciar uma sessão, um endereço IP diferente do pool pode ser atribuído a ele.

Isso difere do recurso NAT address-persistent de origem, que mantém o mapeamento estático; o mesmo endereço IP interno é mapeado para o mesmo endereço IP externo todas as vezes. Ele também difere do address-persistent recurso em que address-pooling paired está configurado para um pool específico. O address-persistent recurso é uma configuração global que se aplica a todos os pools de origem.

As condições de correspondência para um conjunto de regras nat de origem não permitem que você especifique uma faixa de endereço; apenas prefixos de endereço podem ser especificados em uma regra. Ao configurar um pool NAT de origem, você pode especificar a opção; esta opção host-base-address especifica o endereço IP onde começa a faixa de endereço IP de origem original.

A variedade de endereços IP de origem originais traduzidos é determinada pelo número de endereços no pool NAT de origem. Por exemplo, se o pool NAT de origem contém uma variedade de dez endereços IP, até dez endereços IP de origem originais podem ser traduzidos, começando por um endereço base especificado. Esse tipo de tradução é de um para um, estático e sem tradução de endereço de porta.

A condição de correspondência em uma regra NAT de origem pode definir uma faixa de endereço maior do que a especificada no pool NAT de origem. Por exemplo, uma condição de correspondência pode especificar um prefixo de endereço que contém 256 endereços, mas o pool NAT de origem pode conter uma variedade de apenas alguns endereços IP, ou apenas um endereço IP. O endereço IP de origem de um pacote pode combinar com uma regra NAT de origem, mas se o endereço IP de origem não estiver dentro da faixa de endereço especificada no pool NAT de origem, o endereço IP de origem não for traduzido.

Este exemplo descreve como configurar um mapeamento NAT de origem de uma faixa de endereço privado para endereços públicos, com mudança de endereço opcional. Este mapeamento é um a um entre os endereços IP de origem originais e endereços IP traduzidos.

Usando o pool de origem com o Port Address Translation (PAT), o Junos OS traduz tanto o endereço IP de origem quanto o número de porta dos pacotes. Quando o PAT é usado, vários hosts podem compartilhar o mesmo endereço IP.

O Junos OS mantém uma lista de números de porta atribuídos para distinguir qual sessão pertence a qual host. Quando o PAT está habilitado, até 63.488 hosts podem compartilhar um único endereço IP. Cada pool de origem pode conter vários endereços IP, várias faixas de endereço IP ou ambos. Para um pool de origem com PAT, o Junos OS pode atribuir endereços diferentes a um único host para diferentes sessões simultâneas, a menos que o pool de origem ou o Junos OS tenha o recurso de endereço persistente ou o recurso de agrupamento de endereços emparelhado ativado.

Para pool de origem de interface e pool de origem com PAT, o alcance (1024, 65535) está disponível para mapeamento de números de porta por endereço IP. Dentro do alcance (1024, 63487) uma porta é alocada por vez, para um total de 62.464 portas. Na faixa (63488, 65535), duas portas são alocadas por vez para aplicativos RTP/RTCP, como SIP, H.323 e RTSP, para um total de 2.048 portas.

Quando um host inicia várias sessões que correspondem a uma política que requer tradução de endereço de rede e recebe um endereço de um pool de origem habilitado pelo PAT, o dispositivo atribui um endereço IP de origem diferente para cada sessão. Essa atribuição de endereço aleatório pode ser problemática para serviços que criam várias sessões que exigem o mesmo endereço IP de origem para cada sessão. Por exemplo, é importante ter o mesmo endereço IP para várias sessões ao usar o cliente AOL Instant Message (AIM).

Para garantir que o roteador atribua o mesmo endereço IP de um pool de origem a um host para várias sessões simultâneas, você pode habilitar um endereço IP persistente por roteador. Para garantir que o dispositivo atribua o mesmo endereço IP de um pool de origem a um host durante a duração de uma única sessão, você pode habilitar o agrupamento de endereços em pares.

Este exemplo descreve como configurar um mapeamento NAT de origem de um bloco de endereço privado para um bloco de endereço público menor usando a tradução de endereços de porta.

Quando você define um pool de origem, o Junos OS permite o PAT por padrão. Para desativar o PAT, você não deve especificar nenhuma tradução de porta quando estiver definindo um pool de origem.

Ao usar um pool de origem sem PAT, o Junos OS executa a tradução de endereço de rede de origem para o endereço IP sem realizar o PAT para o número da porta de origem. Para aplicativos que exigem que um número de porta de origem específico permaneça fixo, você deve usar o pool de origem sem PAT.

O pool de origem pode conter vários endereços IP, várias faixas de endereço IP ou ambos. Para o pool de origem sem PAT, o Junos OS atribui um endereço de origem traduzido ao mesmo host para todas as suas sessões simultâneas, a menos que a opção de agrupamento de endereços sem pareamento seja ativada.

O número de hosts que um pool NAT de origem sem PAT pode suportar é limitado ao número de endereços no pool. Quando você tem um pool com um único endereço IP, apenas um host pode ser suportado, e o tráfego de outros hosts é bloqueado porque não há recursos disponíveis. Se um único endereço IP estiver configurado para um pool NAT de origem sem PAT quando a atribuição de recursos nat não estiver no modo de backup ativo em um cluster de chassi, o tráfego através do nó 1 será bloqueado.

A utilização do pool para cada pool de origem sem PAT é computada. Você pode ativar o alarme de utilização do pool configurando limiares de alarme. Uma armadilha SNMP é acionada toda vez que a utilização da piscina sobe acima de um limiar e fica abaixo de um limiar.

Este exemplo descreve como configurar um bloco de endereço privado para um único endereço público em um pool NAT de origem sem tradução de endereço de porta.

Este exemplo descreve como configurar um mapeamento NAT de origem de um bloco de endereço privado para um bloco de endereço público menor sem tradução de endereço de porta.

Os pools NAT de origem sem tradução de endereço de porta realizam mapeamentos estáticos de um para um de um endereço IP de origem a um endereço IP externo. Quando há apenas um endereço IP externo ou muito poucos disponíveis em um pool no-pat de origem, a opção address-shared permite que você mapeie muitos endereços IP de origem para um endereço IP externo, desde que o tráfego venha de diferentes portas de origem.

Por exemplo, se houver um pool NAT de origem sem tradução de porta contendo apenas dois endereços IP, IP 1 e IP 2, quando um pacote chega de

1. Ip 1 de origem, porta 1, é traduzido para IP 1, porta 1.

2. Ip 2 de origem, porta 2, é traduzido para IP 2, porta 2.

3. Ip 3 de origem, porta 1, é traduzido para IP 2, porta 1. (Não pode ser traduzido para a porta IP 1 1 porque essa porta já é usada.

   No entanto, se outro pacote chegar da Fonte IP 3, porta 1 para um IP e porta de destino diferente, ele não pode ser traduzido para IP 1, porta 1 ou IP 2, porta 1 porque a porta 1 já é usada para ambos os endereços IP disponíveis. A sessão falhará.

Essa opção aumenta os recursos de NAT e melhora a possibilidade de configurar um tráfego traduzido bem-sucedido. Ele não pode ser usado em pools NAT de origem com tradução de endereço de porta, porque o compartilhamento de endereços já é seu comportamento padrão.

A persistência da sessão de tradução de endereços de rede (NAT) fornece um meio de reter as sessões existentes, em vez de liberá-las, quando houver alterações na configuração do NAT. Se a persistência da sessão for habilitada, as sessões retidas continuarão a processar e encaminhar pacotes conforme o tempo e os recursos são usados de maneira ideal para reconstruir as sessões impactadas. Assim, o encaminhamento de pacotes não para mesmo se a configuração nat for alterada para algumas ou todas as sessões.

A partir do Junos OS Release 18.3R1, com o suporte para a persistência da sessão NAT, o Mecanismo de Encaminhamento de Pacotes verifica as sessões e decide se mantém as sessões ou elimina as sessões. Em versões antes do Junos OS Release 18.3R1, as sessões de NAT são liberadas se houver uma mudança na configuração do NAT.

O Mecanismo de encaminhamento de pacotes executa os dois tipos de varreduras a fim de decidir se deve reter ou derrubar sessões:

• Source NAT pool session persistence scan— O Mecanismo de encaminhamento de pacotes compara o endereço IP de sessão existente com a faixa de endereço do pool de origem. Se o endereço IP da sessão existente estiver na faixa de endereço do pool de origem especificado, a sessão será mantida viva, caso contrário, a sessão será liberada.

• Source NAT rule session persistence scan— O Mecanismo de Encaminhamento de Pacotes usa o ID de regra para comparar o endereço IP de origem, a porta de origem, o endereço IP de destino e a porta de destino entre as configurações antigas e novas. Se as configurações novas e antigas forem as mesmas, a sessão será mantida viva, caso contrário, a sessão será liberada.

A persistência da sessão de NAT é suportada apenas para NAT de origem nos seguintes cenários:

• Pool de origem — Alterar em uma faixa de endereço em um pool de tradução de endereços de porta (PAT).

• Regra de origem — Alterar as condições de correspondência para a lista de endereços, aplicativos, endereço IP de destino, porta de destino, endereço IP de origem e informações de porta de destino.

Para habilitar a digitalização da persistência da sessão NAT, inclua a session-persistence-scan declaração no nível de [edit security nat source] hierarquia.

Você também pode configurar um valor de tempo limite para reter as sessões pelo período de tempo especificado usando o set security nat source session-drop-hold-down comando CLI. O valor da opção session-drop-hold-down varia de 30 a 28.800 segundos (oito horas). A sessão expira após o período de intervalo configurado.

A configuração de tradução de endereços de rede (NAT) costuma mudar para acomodar mais usuários e melhorar a rota mais curta para transferir o tráfego. Se houver uma mudança na interface de saída por causa do redirecionamento do tráfego, você pode usar o set security flow enable-reroute-uniform-link-check nat comando para reter a configuração e a regra do NAT existentes.

Quando o enable-reroute-uniform-link-check nat comando é ativado:

• A sessão é mantida com a regra NAT existente, se a nova interface de saída e a interface de saída anterior estiverem na mesma zona de segurança, e não houver mudança na regra NAT combinada ou se nenhuma regra for aplicada antes e depois do reencamamento.

• A sessão expira se a nova interface de saída e a interface de saída anterior estiverem na mesma zona de segurança e a regra NAT combinada for alterada.

Quando o enable-reroute-uniform-link-check nat comando é desativado:

• O tráfego é encaminhado para a nova interface de saída se a nova interface de saída e a interface de saída anterior estiverem na mesma zona de segurança.

Configuration

Para habilitar a configuração nat para uma sessão existente quando houver uma mudança na interface de saída por causa do reencamamento, use o seguinte comando:

[edit] user@host# set security flow enable-reroute-uniform-link-check natA nova configuração é aplicada quando você comete as alterações de configuração.

A enable-reroute-uniform-link-check nat command rede é desabilitada por padrão.

Limitations

Manter a configuração de NAT usando o set security flow enable-reroute-uniform-link-check nat comando tem as seguintes limitações:

• A sincronização do TCP não permite que a nova sessão transfira o tráfego. Você deve desativar a sincronização de TCP para permitir a transferência de tráfego em novas sessões.

• As informações do pacote podem ser perdidas se o redirecionamento for iniciado após um aperto de mão de três vias para inicializar a comunicação. Você deve desativar a Junos OS Services Framework (JSF), como o Application Layer Gateway (ALG) para permitir a transferência do tráfego em novas sessões.