Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

disable-natt (Services IPsec VPN)

语法

层次结构级别

描述

在Junos OS版本 17.4R1之前,网络地址转换 MX 系列路由器上的 Junos VPN Site Secure IPsec 功能套件不支持遍历 (NAT-T)。在 17.4R1 前的 Junos OS 版本中,当两个 IPsec 网关之间存在 NAT 设备时,禁用 NAT 遍历 (NAT-T),使封装安全有效负载 (ESP) 协议用于封装。

在传统网络部署中,当数据包遍历配置为网络地址转换 (NAT) 或网络地址端口转换 (NAPT) 以转换数据包的设备时,如果终止 IPsec 隧道的两台设备之一或两台设备均位于 NAT 设备后面,IPsec 就不起作用。发生这种情况的原因是,NAT检查端口信息,IPsec 保护的信息流不存在此信息。

配置 NAT-T 时,将使用 UDP 标头封装 IPsec 流量,并为此NAT信息。默认情况下,Junos OS检测某一个 IPsec 隧道是否位于NAT设备后面,并自动切换到对受保护的信息流使用 NAT-T。但是,在某些情况下,运行 NAT-T 的 MX 系列路由器在运行 Junos OS 版本17.4R1可能无法正常运行。此外,如果NAT网络使用 IPsec 感知型设备,可能需要禁用遍历NAT。

为避免在 MX 系列路由器NAT-T 出现问题,您可禁用 NAT-T。禁用 NAT-T 时,NAT-T 功能将全局关闭。此外,即使NAT IPsec 网关之间存在一个安全设备,在禁用两个 IPsec 网关时也只会NAT-T。

所需的权限级别

接口— 要查看配置中的此语句。

接口控制 - 要将此语句添加至配置中。

发布信息

在 16.1 Junos OS中引入的语句。