状态式 NAT64
配置状态式 NAT64
要配置状态式 NAT64,您必须在层次结构级别配置 [edit services nat] 一个规则,用于动态转换源地址和静态转换目标地址。
配置包含 NAT 规则的服务集时,请在层次结构级别包含 [edit services service-set service-set-name] 。set stateful-nat64 clear-dont-fragment-bit这会清除 DF(不分段)位,以防止在转换小于 1280 字节的 IPv4 数据包时不必要地创建 IPv6 分段标头。RFC 6145(IP/ICMP 转换算法)全面介绍了如何使用 DF 标志来控制分段标头的生成。有关 NAT 服务集的详细信息,请参阅为网络地址转换配置服务集。
要配置状态式 NAT64:
以下示例配置动态源地址(IPv6 到 IPv4)和静态目标地址(IPv6 到 IPv4)转换。
[edit services]
user@host# show
nat {
pool src-pool-nat64 {
address 203.0.113.0/24;
port {
automatic;
}
}
rule stateful-nat64 {
match-direction input;
term t1 {
from {
source-address {
2001:db8::0/96;
}
destination-address {
64:ff9b::/96;
}
}
then {
translated {
source-pool src-pool-nat64;
destination-prefix 64:ff9b::/96;
translation-type {
stateful-nat64;
}
}
}
}
}
}
service-set sset-nat64 {
nat-options {
stateful-nat64 {
clear-dont-fragment-bit;
}
}
service-set-options;
nat-rules stateful-nat64;
interface-service {
service-interface ms-0/1/0;
}
}
如果配置两个 NAT64 规则,并将其与同一服务集以及状态防火墙规则相关联,并在两个 VLAN 标记接口上应用服务集,对于与两个 NAT 规则匹配的传输流量,则发往第二个 NAT 规则的流量将被丢弃。在这种情况下,路由引擎上的流量流不会被丢弃。第二个 NAT 规则会丢弃这种流量行为是预期的。设备上安装了 Junos OS 扩展提供程序包时,由于不支持与端点无关的映射 (EIM),因此每个 VLAN 或每个 NAT 规则术语的 EIM。由于事件顺序如下,因此不会创建第二个会话(由此处所述的配置方案中的第二个 NAT 规则丢弃):
与任一规则匹配的第一个数据包将创建一个 EIM 和一个会话。
第二个数据包与 EIM 条目匹配,因为第二个数据包使用与第一个数据包相同的源 IP 地址和端口发送(但目标地址不同)。
这种情况会导致将相同的公共 IP 地址和端口分配给第二个数据包,作为第一个数据包。此会话的反向流与第一个会话的反向流具有相同的 5 元组数据。此行为会导致流添加失败,因为不允许同一服务集中出现重复流。
要解决此问题,请在两个 NAT 规则中禁用 EIM,这将导致正确建立和处理两个会话。或者,要避免出现此问题,请在启用了 EIM 的介质接口的不同单元上配置的不同服务集上指定 NAT 规则,以成功建立两个会话。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。
sequential 选项,使您能够配置端口的顺序分配。