配置新一代服务 有状态 NAT64
执行以下步骤以配置新一代服务 状态式 NAT64
为有状态 NAT64 配置源池
要为 Stateful NAT64 配置源池:
- 创建源池。
user@host# edit services nat source pool nat-pool-name
- 定义源地址转换为的地址或子网。
[edit services nat source pool nat-pool-name] user@host# set address address-prefix
或
[edit services nat source pool nat-pool-name] user@host# set address address-prefix to address address-prefix
要为所有未指定设置的
automatic (random-allocation | round-robin)NAT 池禁用轮询端口分配,请配置全局设置。[edit services nat source] user@host# set port-round-robin disable
- 要配置要分配给池的一系列端口,请执行以下操作:
注意:
如果指定要分配的端口范围,则忽略该
automatic语句。- 指定端口的低值和高值。如果未配置自动端口分配,则必须配置一系列端口。
[edit services nat source pool nat-pool-name port] user@host# set range port-low to port-high
- 指定随机分配或循环分配。轮询分配是默认设置。
[edit services nat source pool nat-pool-name port range] user@host# set (random-allocation | round-robin)
- 指定端口的低值和高值。如果未配置自动端口分配,则必须配置一系列端口。
- 在与传入端口相同的范围内分配一个端口 - 0 到 1023 或 1024 到 65,535。如果配置端口块分配,则此功能不可用。
[edit services nat source pool nat-pool-name port] user@host# set preserve-range
- 分配一个与传入端口具有相同奇偶校验(偶数或奇数)的端口。如果配置端口块分配,则此功能不可用。
[edit services nat source pool nat-pool-name port] user@host# set preserve-parity
- 为使用端口转换的 NAT 池配置全局默认端口范围。当 NAT 池未指定端口范围且未指定自动端口分配时,将使用此端口范围。全局端口范围可以从 1024 到 65,535。
[edit services nat source] user@host# set pool-default-port-range port-low to port-high
- 配置不带端口转换的源池。
[edit services nat source pool nat-pool-name] user@host# set address-pooling no-paired
- 配置可为每个主机分配的最大端口数。范围是 2 到 65,535。
[edit services nat source pool nat-pool-name] user@host# set limit-ports-per-host number
- 如果要为每个订阅者分配一个端口块供使用,请配置端口块分配:
- 配置块中的端口数。范围为 1 到 64,512,默认值为 128。
[edit services nat source pool nat-pool-name port] user@host# set block-allocation block-size block-size
- 配置块处于活动状态的时间间隔(以秒为单位)。超时后,即使活动块中有可用的端口,也会分配一个新块。如果将超时设置为 0,则在分配新端口块之前,端口块将完全填满,最后一个端口块将无限期保持活动状态。范围为 0 到 86,400,默认值为 0。
[edit services nat source pool nat-pool-name port block-allocation] user@host# set active-block-timeout timeout-interval
- 指定使用 NAT 池的地址池配对映射的超时期限。范围为 120 到 86,400 秒,默认值为 300。在此时间段内处于非活动状态的映射将被丢弃。
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
如果未
ei-mapping-timeout配置与终结点无关的转换,则该mapping-timeout值将用于与终结点无关的转换。 - 配置可分配给用户地址的最大块数。范围为 1 到 512,默认值为 8。
[edit services nat source pool nat-pool-name port block-allocation] user@host# set maximum-blocks-per-host maximum-block-number
- 指定为活动端口块和具有实时会话的非活动端口块发送临时系统日志的频率。这提高了基于 UDP 的系统日志的可靠性,这些日志可能会在网络中丢失。范围为 1800 到 86,400 秒,默认值为 0(禁用临时日志)。
[edit services nat source pool nat-pool-name port block-allocation] user@host# set interim-logging-interval timeout-interval
- 配置块中的端口数。范围为 1 到 64,512,默认值为 128。
- 指定使用指定 NAT 池的与终结点无关的转换的超时期限。在此时间段内处于非活动状态的映射将被丢弃。范围为 120 到 86,400 秒。如果未配置
ei-mapping-timeout,则该mapping-timeout值将用于与端点无关的转换。[edit services nat source pool nat-pool-name] user@host# set ei-mapping-timeout ei-mapping-timeout
- 指定使用 NAT 池的地址池配对映射的超时期限。范围为 120 到 86,400 秒,默认值为 300。在此时间段内处于非活动状态的映射将被丢弃。
[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
如果未
ei-mapping-timeout配置与终结点无关的转换,则该mapping-timeout值将用于与终结点无关的转换。 - 要允许 NAT 源池的 IP 地址与其他服务集中使用的池中的 IP 地址重叠,请配置
allow-overlapping-pools。[edit services nat] user@host# set allow-overlapping-pools
为有状态 NAT64 配置 NAT 规则
对于有状态 NAT64,您必须配置源规则和目标规则。要为状态式 NAT64 配置 NAT 规则:
- 配置源 NAT 规则名称。
[edit services nat source] user@host# set rule-set rule-set-name rule rule-name
- 指定 NAT 规则集适用的流量方向。
[edit services nat source rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- 指定由 NAT 规则转换的 IPv6 源地址。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address address
- 将匹配的目标地址配置为 0.0.0.0/0。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match destination-address 0.0.0.0/0
- 指定应用 NAT 规则的一个或多个应用程序协议。规则中列出的申请数量不得超过 3072 个。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match application [application-name]
- 指定包含转换源地址的地址的 NAT 源池。
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set then source-nat pool nat-pool-name
- 配置与端点无关的映射,以确保将相同的外部地址和端口分配给来自给定主机的所有连接。
- 将映射类型配置为与终结点无关。
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set mapping-type endpoint-independent
- 指定前缀列表,其中包含允许使用与端点无关的映射建立入站连接的主机。(前缀列表在
[edit policy-options]层次结构级别上配置。[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set filtering-type endpoint-independent prefix-list [allowed-host] except [denied-host]
- 指定在与端点无关的映射上同时允许的最大入站流数。
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping eif-flow-limit number-of-flows
- 指定与活动终结点无关的映射的刷新方向。默认情况下,入站和出站活动流的映射都会刷新。
[edit services nat source rule-set rule-set-name rule rule-name then source-nat] user@host# set secure-nat-mapping mapping-refresh (inbound | inbound-outbound | outbound)
- 将映射类型配置为与终结点无关。
- 配置目标 NAT 规则名称。
[edit services nat destination] user@host# set rule-set rule-set-name rule rule-name
- 指定目标 NAT 规则集适用的流量方向。
[edit services nat destination rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- 指定由目标 NAT 规则转换的 IPv6 前缀源地址。使用与用于 NAT 源规则相同的值。
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match source-address address
- 指定用于将 IPv4 目的地址嵌入到 IPv6 目的地址中的前缀。
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set then destination-nat destination-prefix destination-prefix
- 配置要匹配的 IPv6 目标地址。这是使用
destination-prefixIPv6 嵌入的 IPv4 目的地址。[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match destination-address address
- 配置当流量与 NAT 规则条件匹配时生成系统日志。
[edit services nat (source | destination) rule-set rule-set-name rule rule-name then] user@host# set syslog
为有状态 NAT64 配置服务集
要为有状态 NAT64 配置服务集:
- 定义服务集。
[edit services] user@host# edit service-set service-set-name
- 配置接口服务(需要单个服务接口)或下一跃点服务(需要内部和外部服务接口)。
[edit services service-set service-set-name] user@host# set interface-service service-interface interface-name
或
[edit services service-set service-set-name] user@host# set next-hop-service inside-service-interface interface-name outside-service-interface interface-name
- 指定要与服务集一起使用的 NAT 规则集。
[edit services service-set service-set-name] user@host# set nat-rule-sets rule-set-name
清除 Don't Fragment 位
为防止在转换小于 1280 字节的 IPv4 数据包时不必要地创建 IPv6 分段报头,可以指定在数据包长度小于 1280 字节时清除 IPv4 数据包标头的不分段 (DF) 位。
[edit services nat natv6v4] user@host# set clear-dont-fragment-bit