状态式 NAT64
配置有状态 NAT64
要配置有状态 NAT64,必须在层次结构级别配置一个规则 [edit services nat] ,以便动态转换源地址和静态转换目标地址。
配置包含 NAT 规则的服务集时,请在[edit services service-set service-set-name]层次结构级别上包括 。set stateful-nat64 clear-dont-fragment-bit这将清除 DF(不分段)位,以防止在转换小于 1280 字节的 IPv4 数据包时不必要地创建 IPv6 分段标头。RFC 6145,IP/ICMP 转换算法,全面讨论了如何使用 DF 标志来控制分段标头的生成。有关 NAT 服务集的更多信息,请参阅配置网络地址转换服务集。
要配置有状态 NAT64:
以下示例配置动态源地址(IPv6 到 IPv4)和静态目标地址(IPv6 到 IPv4)转换。
[edit services]
user@host# show
nat {
pool src-pool-nat64 {
address 203.0.113.0/24;
port {
automatic;
}
}
rule stateful-nat64 {
match-direction input;
term t1 {
from {
source-address {
2001:db8::0/96;
}
destination-address {
64:ff9b::/96;
}
}
then {
translated {
source-pool src-pool-nat64;
destination-prefix 64:ff9b::/96;
translation-type {
stateful-nat64;
}
}
}
}
}
}
service-set sset-nat64 {
nat-options {
stateful-nat64 {
clear-dont-fragment-bit;
}
}
service-set-options;
nat-rules stateful-nat64;
interface-service {
service-interface ms-0/1/0;
}
}
如果配置两个 NAT64 规则并将它们与同一个服务集和有状态防火墙规则相关联,并在两个 VLAN 标记的接口上应用该服务集,对于传输的流量与两个 NAT 规则匹配,则发往第二个 NAT 规则的流量将被丢弃。在这种情况量不会丢弃在路由引擎上。流量下降第二个 NAT 规则的这种行为是意料之中的。在设备上安装 Junos OS 扩展提供商软件包时,由于不支持与端点无关的映射 (EIM),因此每个 VLAN 或每个 NAT 规则术语的 EIM。由于以下事件顺序,不会创建此处描述的配置方案中的第二个 NAT 规则丢弃的第二个会话:
与任一规则匹配的第一个数据包将创建一个 EIM 和一个会话。
第二个数据包与 EIM 条目匹配,因为发送的第二个数据包的源 IP 地址和端口与第一个数据包相同(但目标地址不同)。
这种情况会导致将相同的公共 IP 地址和端口分配给第二个数据包,就像第一个数据包一样。此会话的反向流与第一个会话的反向流具有相同的 5 元组数据。此行为会导致流添加失败,因为不允许同一服务集中的重复流。
要变通解决此问题,请在两个 NAT 规则中禁用 EIM,这将导致正确建立和处理会话。或者,为避免出现此问题,请在启用 EIM 的介质接口的不同单元上配置的不同服务集上指定 NAT 规则,以成功建立两个会话。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。
sequential 引入了该选项,以便您能够配置端口的顺序分配。