为新一代服务配置网络地址端口转换
为 NAPT 配置源池
要为 NAPT 配置源池,请执行以下操作:
- 创建源池。
user@host# edit services nat source pool nat-pool-name
- 定义源地址转换为的地址或子网。
[edit services nat source pool nat-pool-name] user@host# set address address-prefix
或
[edit services nat source pool nat-pool-name] user@host# set address address-prefix to address address-prefix
- 要为池配置自动端口分配,请指定随机分配或轮询分配。轮询分配是默认设置。
[edit services nat source pool nat-pool-name port] user@host# set automatic (random-allocation | round-robin)
随机分配会为每个端口转换随机分配一个范围为 1024 到 65535 的端口。轮询分配首先分配端口 1024,并在每个连续的端口分配中使用下一个更高的端口。
- 要为所有未指定设置的
automatic (random-allocation | round-robin)NAT 池禁用轮询端口分配,请配置全局设置。[edit services nat source] user@host# set port-round-robin disable
- 要配置要分配给池的一系列端口,请执行以下操作:
注意:
如果指定要分配的端口范围,则忽略该
automatic语句。- 指定端口的低值和高值。如果未配置自动端口分配,则必须配置一系列端口。
[edit services nat source pool nat-pool-name port] user@host# set range port-low to port-high
- 指定随机分配或循环分配。轮询分配是默认设置。
[edit services nat source pool nat-pool-name port range] user@host# set (random-allocation | round-robin)
- 指定端口的低值和高值。如果未配置自动端口分配,则必须配置一系列端口。
- 在与传入端口相同的范围内分配一个端口 - 0 到 1023 或 1024 到 65,535。如果配置端口块分配,则此功能不可用。
[edit services nat source pool nat-pool-name port] user@host# set preserve-range
- 分配一个与传入源端口具有相同奇偶校验(偶数或奇数)的端口。如果配置端口块分配,则此功能不可用。
[edit services nat source pool nat-pool-name port] user@host# set preserve-parity
- 为使用端口转换的 NAT 池配置全局默认端口范围。当 NAT 池未指定端口范围且未指定自动端口分配时,将使用此端口范围。全局端口范围可以从 1024 到 65,535。
[edit services nat source] user@host# set pool-default-port-range port-low to port-high
- 如果要为每个订阅者分配用于 NAPT 的端口块,请配置端口块分配:
- 配置块中的端口数。范围为 1 到 64,512,默认值为 128。
[edit services nat source pool nat-pool-name port] user@host# set block-allocation block-size block-size
- 配置块处于活动状态的时间间隔(以秒为单位)。超时后,即使活动块中有可用的端口,也会分配一个新块。如果将超时设置为 0,则在分配新端口块之前,端口块将完全填满,最后一个端口块将无限期保持活动状态。范围为 0 到 86,400,默认值为 0。
[edit services nat source pool nat-pool-name port block-allocation] user@host# set active-block-timeout timeout-interval
- 指定使用 NAT 池的地址池配对映射的超时期限。范围为 120 到 86,400 秒,默认值为 300。在此时间段内处于非活动状态的映射将被丢弃。
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
如果未
ei-mapping-timeout配置与终结点无关的转换,则该mapping-timeout值将用于与终结点无关的转换。 - 配置可分配给用户地址的最大块数。范围为 1 到 512,默认值为 8。
[edit services nat source pool nat-pool-name port block-allocation] user@host# set maximum-blocks-per-host maximum-block-number
- 指定为活动端口块和具有实时会话的非活动端口块发送临时系统日志的频率。这提高了基于 UDP 的系统日志的可靠性,这些日志可能会在网络中丢失。范围为 1800 到 86,400 秒,默认值为 0(禁用临时日志)。
[edit services nat source pool nat-pool-name port block-allocation] user@host# set interim-logging-interval timeout-interval
- 配置块中的端口数。范围为 1 到 64,512,默认值为 128。
- 指定使用指定 NAT 池的与终结点无关的转换的超时期限。在此时间段内处于非活动状态的映射将被丢弃。范围为 120 到 86,400 秒。如果未配置
ei-mapping-timeout,则该mapping-timeout值将用于与端点无关的转换。[edit services nat source pool nat-pool-name] user@host# set ei-mapping-timeout ei-mapping-timeout
- 指定使用 NAT 池的地址池配对映射的超时期限。范围为 120 到 86,400 秒,默认值为 300。在此时间段内处于非活动状态的映射将被丢弃。
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
如果未
ei-mapping-timeout配置与终结点无关的转换,则该mapping-timeout值将用于与终结点无关的转换。 - 定义触发 SNMP 陷阱的 NAT 池利用率级别。
raise-threshold是触发陷阱的池利用率百分比,范围为 50 到 100。clear-threshold是清除陷阱的池利用率百分比,范围为 40 到 100。对于使用端口块分配的池,利用率基于使用的端口数;对于不使用端口块分配的池,利用率基于使用的地址数。[edit services nat source pool nat-pool-name] user@host# set pool-utilization-alarm raise-threshold value user@host# set pool-utilization-alarm clear-threshold value
如果未配置
pool-utilization-alarm,则不会创建陷阱。 - 要允许 NAT 池的 IP 地址与其他服务集中使用的池中的 IP 地址重叠,请配置
allow-overlapping-pools。但是,配置端口块分配的池不得与其他池重叠。[edit services nat] user@host# set allow-overlapping-pools
为 NAPT 配置 NAT 源规则
要为 NAPT 配置 NAT 源规则,请执行以下操作:
- 配置 NAT 规则名称。
[edit services nat source] user@host# edit rule-set rule-set-name rule rule-name
- 指定 NAT 规则集适用的流量方向。
[edit services nat source rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- 指定由源 NAT 规则转换的源地址。
要指定一个地址或前缀值:
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address address
要指定地址范围,请使用所需的地址范围配置通讯簿全局地址,并将全局地址分配给 NAT 规则:
[edit services address-book global] user@host# set address address-name range-address lower-limit to upper-limit [edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address-name address-name
要指定任何单播地址:
[edit services nat source rule-set rule-set-name rule rule-name rule rule-name] user@host# set match source-address any-unicast
- 指定应用 NAT 规则的一个或多个应用程序协议。规则中列出的申请数量不得超过 3072 个。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match application [application-name]
- 指定包含转换流量地址的 NAT 池。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set then source-nat pool nat-pool-name
- 如果要确保为来自同一内部主机的所有会话分配相同的外部 IP 地址,请配置地址池配对功能。
[edit services nat source rule-set rule-set-name rule rule-name then source-nat mapping-type] user@host# set address-pooling
- 如果要确保为来自给定主机的所有连接分配相同的外部地址和端口,请配置与端点无关的映射:
- 将映射类型配置为与终结点无关。
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set mapping-type endpoint-independent
- 指定前缀列表,其中包含允许使用与端点无关的映射建立入站连接的主机。(前缀列表在
[edit policy-options]层次结构级别上配置。[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set filtering-type endpoint-independent prefix-list [allowed-host] except [denied-host]
- 指定在与端点无关的映射上同时允许的最大入站流数。
[edit services nat source rule-set rule-set-name rule rule-name filtering-type then source-nat] user@host# set secure-nat-mapping eif-flow-limit number-of-flows
- 指定与活动终结点无关的映射的刷新方向。默认情况下,入站和出站活动流的映射都会刷新。
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping mapping-refresh (inbound | inbound-outbound | outbound)
- 将映射类型配置为与终结点无关。
- 配置当流量与 NAT 规则条件匹配时生成系统日志。
[edit services nat source rule-set rule-set-name rule rule-name then] user@host# set syslog
为 NAPT 配置服务集
要为 NAPT 配置服务集,请执行以下操作:
- 定义服务集。
[edit services] user@host# edit service-set service-set-name
- 配置接口服务(需要单个服务接口)或下一跃点服务(需要内部和外部服务接口)。
[edit services service-set service-set-name] user@host# set interface-service service-interface interface-name
或
[edit services service-set service-set-name] user@host# set next-hop-service inside-service-interface interface-name outside-service-interface interface-name
- 指定要与服务集一起使用的 NAT 规则集。
[edit services service-set service-set-name] user@host# set nat-rule-sets rule-set-name