Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Übersicht über die NAT-Konfiguration

Network Address Translation – Konfigurationsübersicht

Führen Sie die folgenden allgemeinen Schritte aus, um Network Address Translation (NAT) zu konfigurieren:

  1. Konfigurieren Sie die Quell- und Zieladressen. Weitere Informationen finden Sie unter Konfigurieren von Quell- und Zieladressen Network Address Translation – Übersicht.
  2. Definieren Sie die Adressen oder Präfixe, Adressbereiche und Ports, die für NAT verwendet werden. Weitere Informationen finden Sie unter Konfigurieren von Adresspools und Ports für Network Address Translation – Übersicht
  3. Konfigurieren Sie ggf. die Adresspools für NAPT (Network Address Port Translation). Weitere Informationen finden Sie unter Konfigurieren von Adresspools für NAPT (Network Address Port Translation) – Übersicht.
  4. Konfigurieren Sie die NAT-Regeln. Fügen Sie in die Regeln Übereinstimmungsanweisungen, Übereinstimmungsbedingungen, Aktionen und Übersetzungstypen ein. Weitere Informationen finden Sie unter Übersicht über Network Address Translation-Regeln.
  5. Konfigurieren Sie Service-Sets für die NAT-Verarbeitung. Definieren Sie innerhalb jeder Servicegruppe die Schnittstellen für die Verarbeitung von eingehendem und ausgehendem Datenverkehr sowie eine NAT Regel oder einen Regelsatz. Weitere Informationen finden Sie unter Service-Sets für Network Address Translation konfigurieren.

Siehe auch

Konfigurieren von Quell- und Zieladressen Network Address Translation – Übersicht

Sie müssen eine bestimmte Adresse, ein Präfix oder die Adressbereichsgrenzen konfigurieren:

  • Die folgenden Adressen sind zwar in inet.0gültig, können aber nicht für die NAT-Übersetzung verwendet werden:

    • 0.0.0.0/32

    • 127.0.0.0/8 (Loopback)

    • 128.0.0.0/16 (Marsianer)

    • 191.255.0.0/16 (Marsianer)

    • 192.0.0.0/24 (Marsianer)

    • 223.255.255.0/24 (Marsianer)

    • 224.0.0.0/4 (Multicast)

    • 240.0.0.0/4 (reserviert)

    • 255.255.255.255 (Broadcast)

    Die Adressen, die in der Routing-Tabelle als gültig angegeben sind und für die inet.0 NAT-Übersetzung nicht unterstützt werden, sind orlonger Übereinstimmungsfiltertypen. Sie können keine Regionen innerhalb solcher Adresspräfixe in einem NAT-Pool angeben.

  • Wenn Sie auf Routern der MX-Serie mit MS-MPCs und MS-MICs einen NAT-Adresspool mit einer Präfixlänge von /16 oder mehr konfigurieren, enthält der PIC nicht genügend Arbeitsspeicher für die Bereitstellung des konfigurierten Pools. Außerdem können Probleme mit der Speicherauslastung auftreten, wenn Sie versuchen, viele Pools zu konfigurieren, deren kombinierte IP-Adressen insgesamt /16 überschreiten. Unter solchen Umständen wird eine Systemprotokollierungsmeldung generiert, die besagt, dass der Name des NAT-Pools nicht erstellt werden konnte und dass der Servicesatz nicht aktiviert ist. Auf MS-MPCs und MS-MIC dürfen Sie keine NAT-Pools mit Präfixlängen größer oder gleich /16 konfigurieren.

  • Sie können ein oder mehrere IPv4-Adresspräfixe in der pool Anweisung und in der from Klausel des NAT-Regelbegriffs angeben. Auf diese Weise können Sie die Quellübersetzung von einem privaten Subnetz in ein öffentliches Subnetz konfigurieren, ohne einen Regelterm für jede Adresse im Subnetz zu definieren. Die Zielübersetzung kann mit dieser Methode nicht konfiguriert werden. Weitere Informationen finden Sie unter Beispiele: Konfigurieren von NAT-Regeln.

  • Wenn Sie statische Quell-NAT konfigurieren, muss die address Präfixgröße, die Sie auf Hierarchieebene [edit services nat pool pool-name] konfigurieren, größer sein als der source-address auf Hierarchieebene [edit services nat rule rule-name term term-name from] konfigurierte Präfixbereich. Der source-address Präfixbereich muss auch einem einzelnen Subnetz oder Bereich von IPv4- oder IPv6-Adressen in der pool Anweisung zugeordnet sein. Alle Pooladressen, die source-address nicht vom Präfixbereich verwendet werden, bleiben ungenutzt. Pools können nicht freigegeben werden.

  • Wenn Sie die Präfixgröße eines NAT-Adresspools mit der address Anweisung auf der Hierarchieebene [edit services nat pool nat-pool-name] konfigurieren, sind die Subnetz- und Broadcast-Adressen nicht in der Liste der verwendbaren IP-Adressen enthalten. Wenn Sie beispielsweise in einem NAT-Pool verwenden address 10.11.12.0/28 , sind die Adressen 10.11.12.0 (Subnetzadresse) und 10.11.12.15 (Broadcast-Adresse) nicht verfügbar.

Hinweis:

Wenn Sie eine NAT-Konfiguration einschließen, die IP-Adressen ändert, kann sich dies auf Weiterleitungspfadfunktionen an anderer Stelle in Ihrer Router-Konfiguration auswirken, z. B. Quellklassenverwendung (SCU), Zielklassenverwendung (DCU), filterbasierte Weiterleitung oder andere Funktionen, die auf bestimmte IP-Adressen oder Präfixe abzielen.

Die NAT-Konfiguration kann sich auch auf den Betrieb des Routingprotokolls auswirken, da die Protokoll-Peering-, Nachbar- und Schnittstellenadressen geändert werden können, wenn Routing-Protokollpakete die Adaptive Services (AS)- oder Multiservices-PIC übertragen.

Siehe auch

Konfigurieren von Adress- und Portpools für Network Address Translation – Übersicht

Konfigurieren von NAT-Pools

Sie können die pool Anweisung verwenden, um die Adressen (oder Präfixe), Adressbereiche und Ports zu definieren, die für Network Address Translation (NAT) verwendet werden. Um die Informationen zu konfigurieren, schließen Sie die pool Anweisung auf Hierarchieebene [edit services nat] ein.

Konfigurieren Sie den NAT-Pool ab Junos OS Version 14.2 wie folgt. Ab Junos OS Version 16.1 wird die limit-ports-per-address Anweisung unterstützt.

Konfigurieren Sie den NAT-Pool in Junos OS Version 14.1 und früher wie folgt:

Um Pools für herkömmliches NAT zu konfigurieren, geben Sie entweder einen Zielpool oder einen Quellpool an.

Mit statischer Quell-NAT und dynamischer Quell-NAT können Sie mehrere IPv4-Adressen (oder Präfixe) und IPv4-Adressbereiche angeben. Bis zu 32 Präfixe oder Adressbereiche (oder eine Kombination) können in einem einzigen Pool unterstützt werden.

Mit der statischen Ziel-NAT können Sie auch mehrere Adresspräfixe und Adressbereiche in einem einzigen Begriff angeben. Ein Ziel-NAT-Pool kann von mehreren Ziel-NAT-Bedingungen gemeinsam genutzt werden. Die Netzmaske oder der Bereich für die from Adresse muss jedoch kleiner oder gleich der Netzmaske oder dem Bereich für die Zielpooladresse sein. Wenn Sie den Pool als größer als erforderlich definieren, werden einige Adressen nicht verwendet. Wenn Sie z. B. die Poolgröße als 100 Adressen definieren und die Regel nur 80 Adressen angibt, werden die letzten 20 Adressen im Pool nicht verwendet.

Informationen zu Einschränkungen für bestimmte Übersetzungstypen finden Sie unter Übersicht über Network Address Translation-Regeln.

Bei quellenstatischer NAT dürfen sich die Präfixe und Adressbereiche nicht zwischen separaten Pools überschneiden.

In einem Adressbereich muss der low Wert eine niedrigere Zahl als der high Wert sein. Wenn mehrere Adressbereiche und Präfixe konfiguriert sind, werden zuerst die Präfixe und dann die Adressbereiche erschöpft.

Wenn Sie einen Port für dynamische Quell-NAT angeben, sind Adressbereiche auf maximal 65.000 Adressen beschränkt, also insgesamt (65.000 x 65.535) oder 4.259.775.000 Datenströme. Ein dynamischer NAT-Pool ohne Adressportübersetzung unterstützt bis zu 65.535 Adressen. Es gibt keine Begrenzung für die Poolgröße für statisches Quell-NAT.

Reichweite und Parität bewahren

Sie können Ihre NAT (CGN) auf Betreiberniveau so konfigurieren, dass der Bereich oder die Parität des Paketquellports beibehalten wird, wenn sie einen Quellport für eine ausgehende Verbindung zuweist. Sie können die Optionen "Parität beibehalten" und "Bereich beibehalten" unter der NAT-Pooldefinition konfigurieren, indem Sie die preserve-range preserve-parity und-Konfigurationsanweisungen auf Hierarchieebene [edit services nat pool poolname port] einschließen.

Die Beibehaltung des Bereichs und die Beibehaltung der Parität werden auf Routern der MX-Serie mit MS-DPCs und auf Routern der M Series mit MS-100-, MS-400- und MS-500 MultiServices-PICS unterstützt. Die Beibehaltung des Bereichs und die Beibehaltung der Parität werden auf Routern der MX-Serie mit MS-MPCs und MS-MICs ab Junos OS Version 15.1R1 unterstützt.

  • Bereich beibehalten: RFC 4787, Network Address Translation (NAT) Behavioral Requirements for Unicast UDP, definiert zwei Bereiche: 0 bis 1023 und 1024 bis 65.535. Wenn der preserve-range Regler konfiguriert ist und der eingehende Port in einen dieser Bereiche fällt, weist CGN nur einen Port aus diesem Bereich zu. Wenn jedoch kein Port im Bereich verfügbar ist, schlägt die Portzuweisungsanforderung fehl, und diese Sitzung wird nicht erstellt. Der Fehler wird auf Leistungsindikatoren und in der Systemprotokollierung widergespiegelt, aber es wird keine ICMP-Nachricht (Internet Control Message Protocol) generiert. Wenn dieser Knopf nicht konfiguriert ist, basiert die Zuweisung auf dem konfigurierten Portbereich ohne Berücksichtigung des Portbereichs, der den eingehenden Port enthält. Die Ausnahme sind einige Gateways auf Anwendungsebene (ALGs), z. B. hello, die über spezielle Zonen verfügen.

  • Parität beibehalten – Wenn der preserve-parity Regler konfiguriert ist, weist CGN einen Port mit der gleichen geraden oder ungeraden Parität wie der eingehende Port zu. Wenn die eingehende Portnummer ungerade oder gerade ist, sollte die ausgehende Portnummer entsprechend ungerade oder gerade sein. Wenn eine Portnummer der gewünschten Parität nicht verfügbar ist, schlägt die Portzuweisungsanforderung fehl, die Sitzung wird nicht erstellt und das Paket wird verworfen.

Festlegen von Ziel- und Quellpräfixen ohne Konfiguration eines Pools

Sie können das in NAT verwendete Ziel- oder Quellpräfix direkt angeben, ohne einen Pool zu konfigurieren.

Um die Informationen zu konfigurieren, schließen Sie die rule Anweisung auf Hierarchieebene [edit services nat] ein:

Übersicht über Network Address Translation-Regeln

Um eine NAT-Regel zu konfigurieren, schließen Sie die rule rule-name Anweisung auf Hierarchieebene [edit services nat] ein:

Jede Regel muss eine match-direction Anweisung enthalten, die die Richtung angibt, in der die Übereinstimmung angewendet wird.

Hinweis:

Router der ACX-Serie unterstützen nur input die Übereinstimmungsrichtung.

Darüber hinaus besteht jede NAT-Regel aus einer Reihe von Begriffen, ähnlich wie bei einem Firewallfilter. Ein Begriff besteht aus dem Folgenden:

  • from statement: Gibt die Übereinstimmungsbedingungen und Anwendungen an, die ein- und ausgeschlossen werden.

  • then statement: Gibt die Aktionen und Aktionsmodifikatoren an, die von der Router-Software ausgeführt werden sollen.

In den folgenden Abschnitten wird erläutert, wie die Komponenten von NAT regeln:

Konfigurieren der Übereinstimmungsrichtung für NAT-Regeln

Jede Regel muss eine match-direction Anweisung enthalten, die die Richtung angibt, in der die Übereinstimmung angewendet wird. Um zu konfigurieren, wo die Übereinstimmung angewendet wird, fügen Sie die match-direction Anweisung auf Hierarchieebene [edit services nat rule rule-name] ein:

Die Übereinstimmungsrichtung wird in Bezug auf den Datenverkehrsfluss durch die Multiservices DPC und Multiservices PICs verwendet. Wenn ein Paket an das PIC gesendet wird, werden Richtungsinformationen mitgeführt. Die Paketrichtung wird anhand der folgenden Kriterien bestimmt:

  • Bei einem Schnittstellen-Service-Set wird die Paketrichtung dadurch bestimmt, ob ein Paket in die Schnittstelle ein- oder ausgeht, auf der der Service-Satz angewendet wird.

  • Bei einem Next-Hop-Service-Set wird die Paketrichtung durch die Schnittstelle bestimmt, über die das Paket an den Multiservices DPC oder Multiservices PIC weitergeleitet wird. Wenn die interne Schnittstelle zum Weiterleiten des Pakets verwendet wird, wird die Paketrichtung eingegeben. Wenn die externe Schnittstelle verwendet wird, um das Paket an den PIC oder DPC zu leiten, wird die Paketrichtung ausgegeben. Weitere Informationen zu internen und externen Schnittstellen finden Sie unter Konfigurieren von Servicesätzen, die auf Serviceschnittstellen angewendet werden sollen.

  • Auf dem Multiservices DPC und dem Multiservices PIC wird eine Flow-Suche durchgeführt. Wenn kein Fluss gefunden wird, wird die Regelverarbeitung durchgeführt. Alle Regeln im Service-Set werden berücksichtigt. Während der Regelverarbeitung wird die Paketrichtung mit den Regelrichtungen verglichen. Es werden nur Regeln mit Richtungsinformationen berücksichtigt, die mit der Paketrichtung übereinstimmen.

Konfigurieren von Übereinstimmungsbedingungen in NAT-Regeln

Um NAT-Übereinstimmungsbedingungen zu konfigurieren, schließen Sie die from Anweisung auf Hierarchieebene [edit services nat rule rule-name term term-name] ein:

Um herkömmliche NAT zu konfigurieren, können Sie die Zieladresse, einen Zieladressbereich, die Quelladresse oder einen Bereich von Quelladressen als Übereinstimmungsbedingung verwenden, genauso wie Sie einen Firewallfilter konfigurieren würden. Weitere Informationen finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policers.

Alternativ können Sie eine Liste von Quell- oder Zielpräfixen angeben, indem Sie die prefix-list Anweisung auf Hierarchieebene [edit policy-options] und dann entweder die destination-prefix-list oder-Anweisung source-prefix-list in die NAT-Regel aufnehmen. Ein Beispiel finden Sie unter Beispiele: Konfigurieren von Stateful Firewall-Regeln.

Wenn die translation-type Anweisung in der then Anweisung der NAT-Regel auf stateful-nat-64festgelegt ist, muss der durch die destination-address-range oder die destination-prefix-list in der from Anweisung angegebene Bereich innerhalb des durch die destination-prefix Anweisung in der then Anweisung angegebenen Bereichs liegen.

Wenn für mindestens einen NAT-Begriff in einer NAT-Regel die APP-Funktionalität (Address Pooling Pairing) aktiviert ist (durch Einbeziehen der address-pooling Anweisung auf der [edit services nat rule rule-name term term-name then translated] Hierarchieebene muss für alle anderen Ausdrücke in der NAT-Regel, die denselben NAT-Adresspool wie der Adresspool für den Ausdruck mit aktivierter APP verwenden, APP aktiviert sein). Wenn Sie andernfalls einen NAT-Regelbegriff hinzufügen, ohne APP zu einer Regel hinzuzufügen, die andere Begriffe mit aktivierter APP enthält, verwerfen alle Begriffe mit aktivierter APP in einer NAT-Regel Datenverkehrsströme, die den angegebenen Kriterien in der NAT-Regel entsprechen.

Bei Routern der MX-Serie mit MS-MICs und MS-MPCs ist die APP-Funktion (Address Pooling Pairing) zwar innerhalb einer NAT-Regel aktiviert (durch Einschließen der address-pooling Anweisung auf der [edit services nat rule rule-name term term-name then translated] Hierarchieebene), aber ein Merkmal eines NAT-Pools. Ein solcher NAT-Pool, für den APP aktiviert ist, kann nicht für NAT-Regeln freigegeben werden, für die APP nicht konfiguriert ist.

Wenn bei der Konfiguration von NAT Datenverkehr für die folgenden Adressen bestimmt ist und nicht mit einem NAT-Datenstrom oder einer NAT-Regel übereinstimmt, wird der Datenverkehr verworfen:

  • Adressen, die in der from destination-address Anweisung angegeben sind, wenn Sie die Zielübersetzung verwenden

  • Adressen, die im Quell-NAT-Pool angegeben sind, wenn Sie die Quellübersetzung verwenden

Konfigurieren von Aktionen in NAT-Regeln

Um NAT-Aktionen zu konfigurieren, schließen Sie die then Anweisung auf Hierarchieebene [edit services nat rule rule-name term term-name] ein:

  • Mit der no-translation Anweisung können Sie Adressen angeben, die von NAT ausgeschlossen werden sollen.

    Diese no-translation Anweisung wird auf Routern der MX-Serie mit MS-DPCs und auf Routern der M Series mit MS-100-, MS-400- und MS-500-MultiServices-PICS unterstützt. Diese no-translation Anweisung wird auf Routern der MX-Serie mit MS-MPCs und MS-MICs ab Junos OS Version 15.1R1 unterstützt.

  • Die system log Anweisung ermöglicht es Ihnen, einen Alert in der Systemprotokollierungsfunktion aufzuzeichnen.

  • Die destination-poolAnweisungen , destination-prefix, source-poolund source-prefix geben Adressinformationen an, die Sie definieren, indem Sie die pool Anweisung auf der [edit services nat] Hierarchieebene einschließen. Weitere Informationen finden Sie unter Konfigurieren von Pools von Adressen und Ports für Network Address Translation – Übersicht.

  • Die translation-type Anweisung gibt den Typ von NAT an, der für Quell- oder Zieldatenverkehr verwendet wird. Die Optionen sind basic-nat-pt, basic-nat44, basic-nat66, , dnat-44, dynamic-nat44, napt-44, napt-ptstateful-nat64stateful-nat464twice-basic-nat-44napt-66 twice-dynamic-nat-44und .twice-napt-44

Hinweis:

In Junos OS Version 13.2 und früher wurde die folgende Einschränkung von der CLI nicht erzwungen: Wenn die translation-type Anweisung in der then Anweisung einer NAT-Regel auf stateful-nat-64festgelegt war, musste der durch die destination-address-range oder in destination-prefix-list der from Anweisung angegebene Bereich innerhalb des durch die destination-prefix Anweisung in der then Anweisung angegebenen Bereichs liegen. Ab Junos OS Version 13.3R1 wird diese Einschränkung erzwungen.

Übersetzungsarten konfigurieren

Die Umsetzungsdetails der neun Optionen der translation-type Erklärung lauten wie folgt:

  • basic-nat44—Diese Option implementiert die statische Übersetzung von Quell-IP-Adressen ohne Portzuordnung. Sie müssen die from source-address Anweisung in der Übereinstimmungsbedingung für die Regel konfigurieren. Die Größe des in der Anweisung angegebenen Adressbereichs muss gleich oder kleiner als der des Quellpools sein. Sie müssen entweder einen Quellpool oder ein Zielpräfix angeben. Der Pool, auf den verwiesen wird, kann mehrere Adressen enthalten, aber Sie können keine Ports für die Übersetzung angeben.

    Hinweis:

    In einem Schnittstellen-Service-Set werden alle Pakete, die für die in der Übereinstimmungsbedingung angegebene Quelladresse bestimmt sind, automatisch an das Services-PIC weitergeleitet, auch wenn der Schnittstelle kein Service-Set zugeordnet ist.
    Hinweis:

    Vor Junos OS Version 11.4R3 konnten Sie einen Quell-NAT-Pool nur in einem einzigen Servicesatz verwenden. Ab Junos OS Version 11.4R3 und nachfolgenden Versionen können Sie einen NAT-Quellpool in mehreren Service Sets wiederverwenden.

  • basic-nat66– Diese Option implementiert die statische Übersetzung von Quell-IP-Adressen ohne Portzuordnung in IPv6-Netzwerken. Die Konfiguration ist ähnlich wie bei der basic-nat44 Implementierung, jedoch mit IPv6-Adressen.

    Die basic-nat66 Option ist nicht verfügbar, wenn Sie MS-MPCs oder MS-MIC verwenden.

  • basic-nat-pt– Diese Option implementiert die Übersetzung von Adressen von IPv6-Hosts, wenn diese Sitzungen an die IPv4-Hosts in einer externen Domäne weiterleiten und umgekehrt. Diese Option ist immer mit DNS ALG implementiert. Sie müssen die Quell- und Zielpools von IPv4-Adressen definieren. Sie müssen eine Regel konfigurieren und zwei Bedingungen definieren. Konfigurieren Sie die IPv6-Adressen in der from Anweisung in beiden term Anweisungen. Verweisen Sie in der then Anweisung des ersten Terms innerhalb der Regel sowohl auf den Quell- als auch auf den Zielpool und konfigurieren dns-alg-prefixSie . Konfigurieren Sie das Quellpräfix in der then Anweisung des zweiten Begriffs innerhalb derselben Regel.

    Die basic-nat-pt Option ist nicht verfügbar, wenn Sie MS-MPCs oder MS-MIC verwenden.

  • deterministic-napt44– Diese Option implementiert die algorithmusbasierte Zuweisung von Blöcken von Zielports und IP-Adressen. Dadurch wird sichergestellt, dass eine eingehende (Quell-)IP-Adresse und ein Port immer derselben Ziel-IP-Adresse und demselben Port zugeordnet sind, sodass die Protokollierung der Adressübersetzung entfällt. Wenn Sie deterministic-napt44verwenden, müssen Sie auch auf Hierarchieebene [edit services nat pool poolname port] verwendendeterministic-port-block-allocation.

    Die deterministic-napt44 Option wird auf Routern der MX-Serie mit MS-DPCs und auf Routern der M Series mit MS-100-, MS-400- und MS-500-MultiServices-PICS unterstützt. Diese deterministic-napt44 Option, wenn Sie Router der MX-Serie mit MS-MPCs oder MS-MICs verwenden, wird nur in Junos OS Version 14.2R7 und höher 14.2 sowie in Version 15.1R3 und höher 15.1 unterstützt.

  • dnat-44– Diese Option implementiert die statische Übersetzung von Ziel-IP-Adressen ohne Portzuordnung. Die Größe des Pooladressraums muss größer oder gleich dem Zieladressraum sein. Sie müssen einen Namen für die destination pool Anweisung angeben. Der Pool, auf den verwiesen wird, kann mehrere Adressen, Bereiche oder Präfixe enthalten, solange die Anzahl der NAT-Adressen im Pool größer ist als die Anzahl der Zieladressen in der from Anweisung. Sie müssen genau einen destination-address Wert auf der [edit services nat rule rule-name term term-name from] Hierarchieebene angeben. Wenn es sich um ein Präfix handelt, muss die Größe kleiner oder gleich der Größe des Poolpräfixes sein. Alle Adressen im Pool, die nicht im Wert übereinstimmen, bleiben ungenutzt, da ein Pool nicht von mehreren Begriffen oder Regeln gemeinsam genutzt werden kann.

  • dynamic-nat44– Diese Option implementiert die dynamische Übersetzung von Quell-IP-Adressen ohne Portzuordnung. Sie müssen eine . source-pool Der Pool, auf den verwiesen wird, muss eine address Konfiguration enthalten (für die reine Adressübersetzung).

    Die dynamic-nat44 Nur-Adressen-Option unterstützt das Übersetzen von bis zu 16.777.216 Adressen in einen kleineren Pool. Die Anforderungen aus dem Quelladressbereich werden den Adressen im Pool zugewiesen, bis der Pool aufgebraucht ist und alle zusätzlichen Anforderungen abgelehnt werden. Eine einem Host zugewiesene NAT-Adresse wird für alle gleichzeitigen Sitzungen von diesem Host verwendet. Die Adresse wird erst dann für den Pool freigegeben, wenn alle Sitzungen für diesen Host abgelaufen sind. Diese Funktion ermöglicht es dem Router, einige öffentliche IP-Adressen zwischen mehreren privaten Hosts gemeinsam zu nutzen. Da möglicherweise nicht alle privaten Hosts gleichzeitig Sitzungen erstellen, können sie einige öffentliche IP-Adressen gemeinsam nutzen.

  • napt-44– Diese Option implementiert die dynamische Übersetzung von Quell-IP-Adressen mit Portzuordnung. Sie müssen einen Namen für die source-pool Anweisung angeben. Der Pool, auf den verwiesen wird, muss eine port Konfiguration enthalten. Wenn der Port als automatisch konfiguriert ist oder ein Portbereich angegeben ist, bedeutet dies, dass Network Address Port Translation (NAPT) verwendet wird.

  • napt-66– Diese Option implementiert die dynamische Adressübersetzung von Quell-IP-Adressen mit Portzuordnung für IPv6-Adressen. Die Konfiguration ist ähnlich wie bei der napt-44 Implementierung, jedoch mit IPv6-Adressen.

    Die napt-66 Option ist nicht verfügbar, wenn Sie MS-MPCs oder MS-MIC verwenden.

  • napt-pt– Diese Option implementiert die dynamische Adress- und Portübersetzung für die Quell- und statische Übersetzung der Ziel-IP-Adresse. Sie müssen einen Namen für die source-pool Anweisung angeben. Der Pool, auf den verwiesen wird, muss eine Portkonfiguration (für NAPT) enthalten. Zusätzlich müssen Sie zwei Regeln konfigurieren, eine für den DNS-Datenverkehr und die andere für den Rest des Datenverkehrs. Die für den DNS-Datenverkehr vorgesehene Regel sollte DNS ALG aktiviert sein und die dns-alg-prefix Anweisung sollte konfiguriert sein. Darüber hinaus muss das in der dns-alg-prefix Anweisung konfigurierte Präfix in der zweiten Regel verwendet werden, um die IPv6-Zieladressen in IPv4-Adressen zu übersetzen.

    Die napt-pt Option ist nicht verfügbar, wenn Sie MS-MPCs oder MS-MIC verwenden.

  • stateful-nat464– Diese Option implementiert 464XLAT Provider-Side Translater (PLAT)-Adressübersetzung für Quell-IP-Adressen und IPv6-Präfixentfernungsübersetzung für IPv4-Zieladressen. Sie müssen die IPv4-Adressen angeben, die für die Übersetzung auf der Hierarchieebene [edit services nat pool] verwendet werden. Auf diesen Pool muss in der Regel verwiesen werden, die die IPv6-Adressen in IPv4 übersetzt.

    Diese stateful-nat464 Option ist nur verfügbar, wenn Sie MS-MPCs oder MS-MIC verwenden, und wird ab Junos OS Version 17.1R1 unterstützt.

  • stateful-nat64– Diese Option implementiert eine dynamische Adress- und Portübersetzung für Quell-IP-Adressen und eine Präfixentfernungsübersetzung für Ziel-IP-Adressen. Sie müssen die IPv4-Adressen angeben, die für die Übersetzung auf Hierarchieebene [edit services nat pool] verwendet werden. Auf diesen Pool muss in der Regel verwiesen werden, die die IPv6-Adressen in IPv4 übersetzt.

  • twice-basic-nat-44– Diese Option implementiert eine statische Quell- und Zielübersetzung für IPv4-Adressen, wodurch Quell- und dnat-44 Zieladressen kombiniert werdenbasic-nat44.

    Die twice-basic-nat-44 Option wird auf MS-DPCs und MS-100-, MS-400- und MS-500-MultiServices-PICS unterstützt. Die twice-basic-nat-44 Option wird auf MS-MPCs und MS-MICs ab Junos OS Version 15.1R1 unterstützt.

  • twice-dynamic-nat-44– Diese Option implementiert die dynamische Quell- und statische Zielübersetzung für IPv4-Adressen, wobei Quell- und dnat-44 Zieladressen kombiniert dynamic-nat44 werden.

    Die twice-dynamic-nat-44 Option wird auf MS-DPCs und MS-100-, MS-400- und MS-500-MultiServices-PICS unterstützt. Die twice-dynamic-nat-44 Option wird auf MS-MPCs und MS-MICs ab Junos OS Version 15.1R1 unterstützt.

  • twice-napt-44– Diese Option implementiert Quell-NAPT und statische Zielübersetzung für IPv4-Adressen, wobei Quell- und dnat-44 Zieladressen kombiniert napt-44 werden.

    Die twice-napt-44 Option wird auf MS-DPCs und MS-100-, MS-400- und MS-500-MultiServices-PICS unterstützt. Die twice-napt-44 Option wird auf MS-MPCs und MS-MICs ab Junos OS Version 15.1R1 unterstützt.

Weitere Informationen zu NAT-Methoden finden Sie unter RFC 2663, IP Network Address Translator (NAT) Terminology and Considerations.

Konfigurieren von NAT-Regeln für IPsec-Passthrough für Nicht-NAT-T-Peers

Vor Junos OS Version 17.4R1 wird Network Address Translation-Traversal (NAT-T) für die Junos VPN Site Secure Suite von IPsec-Funktionen auf den MX-Serie-Routern nicht unterstützt. Ab Junos OS Version 14.2R7, 15.1R5, 16.1R2 und 17.1R1 können Sie IKEv1- und IPsec-Pakete über NAPT-44- und NAT64-Regeln zwischen IPsec-Peers weiterleiten, die nicht NAT-T-kompatibel sind. Es wird nur der ESP-Tunnel-Modus unterstützt. Diese Funktion wird nur auf MS-MPCs und MS-MICs unterstützt.

So konfigurieren Sie NAT-Regeln für IPsec-Passthrough für NAPT-44 oder NAT64:

  1. Konfigurieren Sie eine IKE ALG-Anwendung. Siehe Konfigurieren von Anwendungseigenschaften.

  2. Fügen Sie die Anwendung einem Anwendungssatz hinzu. Siehe Konfigurieren von Anwendungssätzen.

  3. Konfigurieren Sie einen NAT-Pool. Siehe Übersicht über das Konfigurieren von Pools von Adressen und Ports für Network Address Translation.

  4. Konfigurieren Sie die NAT-Regel:

    1. Konfigurieren Sie eine Übereinstimmungsrichtung für die Regel. Siehe Konfigurieren der Übereinstimmungsrichtung für NAT-Regeln.

    2. Konfigurieren Sie eine der übereinstimmenden Bedingungen als die Anwendung, die für IKE- und IPsec-Passthrough festgelegt ist, die Sie in Schritt 2 konfiguriert haben.

    3. Konfigurieren Sie andere Übereinstimmungsbedingungen. Siehe Konfigurieren von Übereinstimmungsbedingungen in NAT-Regeln.

    4. Konfigurieren Sie den Übersetzungstyp als NAPT-44 oder NAT64.

    5. Konfigurieren Sie andere NAT-Aktionen. Siehe Konfigurieren von Aktionen in NAT-Regeln.

  5. Weisen Sie die NAT-Regel einem Service-Set zu.

Siehe auch

Schutz von CGN-Geräten vor Denial-of-Service-Angriffen (DOS)

Sie können jetzt Konfigurationsoptionen auswählen, die helfen, die Auswirkungen von versuchten Denial-of-Service-Angriffen (DOS) zu verhindern oder zu minimieren.

Verhalten beim Aktualisieren von Zuordnungen

Vor der Implementierung der neuen Optionen zum Konfigurieren des Aktualisierungsverhaltens der NAT-Zuordnung, die in diesem Thema beschrieben wird, wurde eine Konversation aufrechterhalten, wenn eingehende oder ausgehende Flows aktiv waren. Dies bleibt das Standardverhalten. Sie können jetzt auch die Zuordnungsaktualisierung nur für eingehende Flüsse oder nur für ausgehende Flüsse angeben. Um das Aktualisierungsverhalten der Zuordnung zu konfigurieren, schließen Sie die mapping-refresh (inbound | outbound | inbound-outbound) Anweisung auf Hierarchieebene [edit services nat rule rule-name term term-name then translated secure-nat-mapping] ein.

EIF-Datenstromlimit für eingehenden Datenverkehr

Früher. Die Anzahl der eingehenden Verbindungen in einem EIF-Mapping war nur durch die maximal zulässigen Datenströme im System begrenzt. Sie können jetzt die Anzahl der eingehenden Datenströme konfigurieren, die für einen EIF zulässig sind. Um die Anzahl der eingehenden Verbindungen in einem EIF-Mapping zu begrenzen, schließen Sie die eif-flow-limit number-of-flows Anweisung auf Hierarchieebene [edit services nat rule rule-name term term-name then translated secure-nat-mapping] ein.

NAT-Implementierung auf Betreiberniveau: Best Practices

In den folgenden Themen werden die Best Practices für die Implementierung von NAT auf Betreiberniveau vorgestellt:

Verwenden Sie die Round-Robin-Adresszuweisung, wenn Sie APP mit dem MS-DPC verwenden

Optimale Vorgehensweise:

Wenn Sie eine MS-DPC verwenden und APP (Address Pooling Pairing) in einer NAT-Regel konfigurieren, sollten Sie die Adresszuweisung im Round-Robin-Modus für den NAT-Pool verwenden.

Das APP-Feature ordnet eine private IP-Adresse derselben öffentlichen IP-Adresse in einem NAT-Pool für alle NAT-Sitzungen für diese private IP-Adresse zu.

Die sequenzielle Adresszuweisung für NAT-Pools ist die Standardeinstellung auf MS-DPC und weist alle Ports für eine öffentliche IP-Adresse zu, bevor die nächste IP-Adresse zugewiesen wird. Die sequenzielle Zuweisung kann zusammen mit APP dazu führen, dass mehrere private Hosts derselben öffentlichen IP-Adresse zugeordnet werden, was zu einer schnellen Portauslastung für eine öffentliche IP-Adresse führt, während andere Ports von den verbleibenden IP-Adressen im NAT-Pool noch verfügbar sind.

Bei der Round-Robin-Zuweisung hingegen wird die nächste IP-Adresse im NAT-Pool der nächsten privaten IP-Adresse zugewiesen, die übersetzt werden muss, wodurch die Wahrscheinlichkeit verringert wird, dass alle Ports für eine öffentliche IP-Adresse erschöpft sind.

Weitere Informationen zur APP- und Roundrobin-Adresszuordnung finden Sie unter Konfigurieren von Adresspools für NAPT (Network Address Port Translation) – Übersicht.

Hinweis:

MS-MPC und MS-MIC verwenden nur die Round-Robin-Zuordnung.

Das folgende Beispiel zeigt die Adresszuweisung im Round-Robin-Verfahren.

Verwenden Sie die EIM-Funktion nur bei Bedarf

Optimale Vorgehensweise:

Verwenden Sie keine Endgerät-unabhängige Zuordnung (EIM) in NAT-Regelbegriffen, die Junos ALGs enthalten. EIM weist für eine bestimmte Sitzung von einem privaten Host aus dieselbe externe NAT-Adresse und denselben Port zu, fügt jedoch Verarbeitungsaufwand hinzu. EIM bietet keinen Vorteil für die Junos ALGs, die bereits die von EIM verwendeten Funktionen verwenden.
Optimale Vorgehensweise:

Aktivieren Sie EIM für Anwendungen, die die Quellports wiederverwenden und sich darauf verlassen, dass ein CGNAT-Gerät dieselbe Adresse und Portzuordnung für den gesamten Datenverkehr beibehält, der an verschiedene Ziele gesendet wird. Verwenden Sie EIM beispielsweise für Konsolenspielanwendungen wie Xbox und PS4 oder Anwendungen, die einseitige Methoden zur Adressbestimmung (UNSAF) verwenden. Siehe (IETF RFC 3424 IAB Considerations for Unilateral Self-Address Fixing (UNSAF) across Network Address Translation).

Weitere Informationen zu EIM finden Sie unter Konfigurieren von Adresspools für NAPT (Network Address Port Translation) – Übersicht.

Im folgenden Beispiel wird der Junos SIP ALG in der NAT-Regel verwendet, sodass EIM nicht verwendet wird.

Definieren der Blockgrößen für die Portblockierung basierend auf der erwarteten Anzahl von Benutzersitzungen

Optimale Vorgehensweise:

Definieren Sie für die sichere Portblockzuweisung und die deterministische Portblockzuweisung eine Blockgröße für die Portblockierung, die 2 bis 4 Mal größer ist als die erwartete durchschnittliche Anzahl aktiver Sitzungen für einen Benutzer. Wenn der Benutzer beispielsweise durchschnittlich etwa 200 bis 250 NAT-Sitzungen aktiv haben wird, bietet die Konfiguration der Blockgröße auf 512 oder 1024 eine großzügige Zuordnung.
Optimale Vorgehensweise:

Wenn Sie die sichere Portblockierung mit der MX-Serie als NAT-Gerät einführen und sich Ihres Anwender-Benutzerprofils und Datenverkehrsprofils nicht sicher sind, legen Sie die Portblockierungsgröße auf 1024 fest, wenn Sie über genügend NAT-IP-Adressen verfügen, um die geschätzte Spitzenzahl privater Abonnenten zu bewältigen. Die Anzahl der NAT-IP-Adressen mal 62 ergibt die Anzahl der privaten Abonnenten, die mit einer Portblockgröße von 1024 (pro IP-Adresse gibt es 62 Blöcke) behandelt werden können. Überwachen Sie dann den Router der MX-Serie genau, indem Sie den show services nat pool detail Befehl verwenden, um festzustellen, ob die Blockgröße geändert werden muss.
Optimale Vorgehensweise:

Achten Sie darauf, die Blockgröße nicht zu groß zu machen, wenn die Anzahl der IP-Adressen, die Sie dem NAT-Pool zuweisen können, begrenzt ist. Wenn Sie eine Portblockgröße festlegen, die groß genug ist, um die Blöcke Ihren Abonnenten effizient zuzuweisen, können alle Portblöcke gebunden werden.

Bei der sicheren Portblockzuweisung werden Portblöcke für NAT44 oder NAT64 einem bestimmten Benutzer zugewiesen. Die sichere Portblockzuweisung begrenzt die Anzahl der Syslog-Meldungen, indem nur ein Syslog pro Portblock generiert wird.

Eine falsche Konfiguration der Blockgröße kann jedoch zu einer ineffizienten Nutzung von NAT-Ressourcen oder zu Leistungsproblemen führen. Wenn ein Benutzer beispielsweise eine Verbindung zu einer Website herstellt, die die Einrichtung einer erheblichen Anzahl von Sockets für eine einzelne HTML-Seite erfordert, muss eine entsprechende Anzahl neuer Ports zugewiesen werden. Die Portblockgröße sollte groß genug sein, um eine kontinuierliche Zuweisung neuer Blöcke zu verhindern. Wenn die Anzahl der gleichzeitigen Sitzungen für einen privaten Anwender die Anzahl der im aktiven Portblock verfügbaren Ports überschreitet, werden die anderen dem Anwender zugewiesenen Portblöcke nach verfügbaren Ports durchsucht, oder ein neuer Block wird aus dem freien Blockpool für den Anwender zugewiesen. Das Scannen von zugewiesenen Portblöcken und die Zuweisung zusätzlicher Blöcke kann zu Verzögerungen beim Einrichten neuer Sitzungen und beim Laden von Webseiten führen.

Weitere Informationen zur Portblockzuweisung finden Sie unter Konfigurieren der gesicherten Portblockzuweisung und Konfigurieren von deterministischem NAPT.

Im folgenden Beispiel wird die Portblockgröße auf 1024 festgelegt.

Überlegungen zum Ändern der Konfiguration der Portblockzuweisung auf laufenden Systemen

Optimale Vorgehensweise:

Bevor Sie die sichere Portblockzuweisung oder die deterministische Portblockkonfiguration auf einem laufenden System bei Verwendung eines MS-MPC oder MS-MIC ändern, planen Sie eine schnelle Unterbrechung der NAT-Sitzungen ein. Die Änderung der Konfiguration führt dazu, dass alle aktuellen NAT-Sitzungen neu erstellt werden.
Optimale Vorgehensweise:

Planen Sie eine Unterbrechung der Dienste ein, bevor Sie die Konfiguration der Portblockzuweisung auf einem laufenden System bei Verwendung eines MS-DPC ändern. Nach dem Ändern der Konfiguration müssen Sie den MS-DPC neu starten, oder, falls dies nicht möglich ist, das Service-Set deaktivieren und erneut aktivieren.

Zu den Änderungen an der Konfiguration der Portblockierung gehören:

  • Ändern einer beliebigen NAT-Pool-PBA-Konfiguration.

  • Ändern eines PBA NAT-Pools in einen Nicht-PBA NAT-Pool.

  • Ändern eines Nicht-PBA-NAT-Pools in einen PBA-NAT-Pool.

Weitere Informationen zum Konfigurieren der Portblockzuweisung finden Sie unter Konfigurieren der gesicherten Portblockzuweisung und Konfigurieren des deterministischen NAPT.

Weisen Sie keine NAT-Pools zu, die größer als erforderlich sind

MS-MPC und MS-MIC

Optimale Vorgehensweise:

Wenn Sie NAPT44 als Übersetzungstyp mit MS-MIC oder MS-MPC verwenden, konfigurieren Sie keine NAT-Pools, die größer sind als für die Spitzensitzungsrate erforderlich, da dies wertvolle IPv4-Ressourcen binden würde. Jede Konversation, auch als Sitzung bezeichnet, umfasst zwei Abläufe – einen Eingangs- und einen Ausgangsfluss. Jede Konversation erfordert einen Port und jede IP-Adresse im Pool hat einen Portbereich von 1024-65535 (64K), sodass die Größe des NAT-Pools nicht größer sein muss als:

Spitzenanzahl der Konversationen /64K
Optimale Vorgehensweise:

Wenn Sie NAPT44 als Übersetzungstyp mit der MS-MIC verwenden, empfehlen wir eine maximale NAT-Poolgröße von 128 Adressen (ein /25-Netzwerk).
Optimale Vorgehensweise:

Wenn Sie NAPT44 als Übersetzungstyp mit dem MS-MPC verwenden, empfehlen wir eine maximale NAT-Poolgröße von 256 Adressen (ein /24-Netzwerk).

Die maximal empfohlene NAT-Poolgröße bei Verwendung von NAPT-44 für ein MS-MIC beträgt 128 IP-Adressen, da das MS-MIC maximal 14 Millionen Datenströme oder 7 Millionen Konversationen unterstützt, für die 7 Millionen Ports erforderlich sind. Insgesamt stehen 7 Millionen Ports mit 128 IP-Adressen zur Verfügung, wobei jede IP-Adresse einen Portbereich von 1024-65535 hat.

Die maximal empfohlene NAT-Poolgröße für jeden Steckplatz auf einem MS-MPC bei Verwendung von NAPT-44 beträgt 256 IP-Adressen, da jeder Steckplatz maximal 30 Millionen Datenströme oder 15 Millionen Konversationen unterstützt, für die 15 Millionen Ports erforderlich sind. Insgesamt stehen 15 Millionen Ports mit 256 IP-Adressen zur Verfügung, wobei jede IP-Adresse einen Portbereich von 1024-65535 hat.

Sie können größere Pools als die empfohlenen Werte verwenden, und Sie können davon ausgehen, dass Konfigurationen, die das Feature für die Portblockierung (PBA) verwenden, größere Pools erfordern. Dies liegt daran, dass PBA privaten IP-Adressen Portblöcke zuweist, wodurch sich das Pool-Effizienzmodell ändert.

Weitere Informationen zum Konfigurieren von NAT-Pools finden Sie unter Konfigurieren von Pools von Adressen und Ports für Network Address Translation – Übersicht.

MS-DPC

Optimale Vorgehensweise:

Wenn Sie NAPT44 als Übersetzungstyp mit dem MS-DPC verwenden, konfigurieren Sie keine NAT-Pools, die größer sind als für die Spitzenflussrate erforderlich, da dies wertvolle IPv4-Ressourcen binden würde. Jede Konversation umfasst zwei Flows (1 Reverse-Flow für jeden Forward-Flow). Jede Konversation erfordert einen Port und jede IP-Adresse im Pool hat einen Portbereich von 1024-65535 (64K), sodass die Größe des NAT-Pools nicht größer sein muss als:

Spitzenanzahl der Konversationen /64K
Optimale Vorgehensweise:

Wenn Sie NAPT44 als Übersetzungstyp mit dem MS-DPC verwenden, konfigurieren Sie keine NAT-Pools mit mehr als 64 Adressen (ein /26-Netzwerk).

Die maximale NAT-Poolgröße für einen MS-DPC beträgt 64 IP-Adressen, da der MS-DPC maximal 8 Millionen Datenströme oder 4 Millionen Konversationen unterstützt, was maximal 4 Millionen Ports erfordert. Insgesamt stehen 4 Millionen Ports mit 64 IP-Adressen zur Verfügung, wobei jede IP-Adresse einen Portbereich von 1024-65535 hat. Wenn APP, EIM und EIF aktiviert sind, unterstützt der MS-DPC maximal 5,8 Millionen Datenströme oder 2,9 Millionen Konversationen, sodass die maximale Größe des NAT-Pools geringer wäre.

Weitere Informationen zum Konfigurieren von NAT-Pools finden Sie unter Konfigurieren von Pools von Adressen und Ports für Network Address Translation – Übersicht.

Systemprotokollierung für NAT nur bei Bedarf konfigurieren

Optimale Vorgehensweise:

Aktivieren Sie die Systemprotokollierung pro Sitzung nicht für sichere Portblockierungszuweisungskonfigurationen.
Optimale Vorgehensweise:

Aktivieren Sie die Systemprotokollierung nicht für deterministische NAT-Konfigurationen.
Optimale Vorgehensweise:

Aktivieren Sie die Systemprotokollierung nach Möglichkeit auf Servicesatzebene und nicht auf Dienstschnittstellenebene.
Optimale Vorgehensweise:

Senden Sie in Produktionsnetzwerken die Protokollmeldungen immer an einen externen Systemprotokollserver. Dadurch wird vermieden, dass die Routing-Engine mit CPU-Last belastet wird, was bei der lokalen Protokollierung von Nachrichten der Fall ist.
Optimale Vorgehensweise:

Geben Sie die Systemprotokollklasse an, um die Protokollierung auf die Klasse von Anwendungen zu beschränken, an denen Sie interessiert sind.
Optimale Vorgehensweise:

Wenn Sie die Systemprotokollierung innerhalb eines NAT-Regelbegriffs konfigurieren, verwenden Sie eine Stateful-Firewall-Regel, um den Datenverkehr einzuschränken, der den NAT-Regelterm erreicht.

Systemprotokollmeldungen können sich je nach Häufigkeit der Erstellung und Löschung von Sitzungen negativ auf die Leistung der Dienstkarte auswirken. Alle von der Servicekarte erstellten Systemprotokollmeldungen erfordern CPU-Verarbeitung auf der Serviceskarte. Die Systemprotokollmeldungen selbst stellen Datenverkehr dar, der über den Router der MX-Serie gesendet wird und mit dem Datenverkehr des Benutzers konkurriert, um den externen Protokollserver zu erreichen.

Durch die sichere Portblockierung entfällt die Notwendigkeit, Protokolle pro Sitzung zu konfigurieren, da Sie den Block und die Blockgröße kennen und die jedem Benutzer zugewiesenen Ports ableiten können.

Durch die deterministische NAT entfällt die Notwendigkeit, überhaupt protokolliert zu werden, da alle Informationen zur Portzuweisung mathematisch abgeleitet werden können.

Im folgenden Beispiel wird die Protokollierung auf NAT-Ereignisse eingeschränkt und Protokollmeldungen an den externen Protokollserver 203.0.113.4 gesendet

Wenn Sie die Systemprotokollierung innerhalb eines NAT-Regelbegriffs konfigurieren, generiert der gesamte Datenverkehr, der in den NAT-Regelbegriff eintritt, ein Protokoll, was zu einer übermäßigen Protokollierung führen kann. Dies kann dazu führen, dass der Grenzwert für die Protokollierungsrate erreicht wird und Sie die benötigten Protokolle verlieren.

Weitere Informationen zum Konfigurieren der Systemprotokollierung für NAT finden Sie unter Konfigurieren von NAT-Sitzungsprotokollen.

Begrenzen Sie die Auswirkungen fehlender IP-Fragmente

Optimale Vorgehensweise:

Begrenzen Sie für die für NAT konfigurierte Dienstschnittstelle die Auswirkungen fehlender oder verzögerter Fragmente, indem Sie Folgendes konfigurieren:

  • Maximale Anzahl der Fragmente für ein Paket

  • Maximale Wartezeit für ein fehlendes Fragment

IP-Fragmente, die von der für NAT konfigurierten Servicekarte empfangen werden, werden beim Eintreffen gepuffert. Dies ermöglicht eine Integritätsprüfung des vollständig wieder zusammengesetzten Pakets, bevor das Paket von NAT verarbeitet wird. Fehlende oder verzögerte Fragmente können dazu führen, dass die bereits empfangenen Fragmente zurückgehalten werden, bis der interne Puffer voll ist und sie ausgespült werden, was zu CPU-Auslastungsaufwand und reduzierter Weiterleitung des Datenverkehrs führt.

Wenn Sie die maximale Anzahl von Fragmenten konfigurieren, die ein Paket haben kann, und die Wartezeit auf ein fehlendes Fragment begrenzen, verringert sich die Wahrscheinlichkeit, dass der interne Puffer voll wird.

Im folgenden Beispiel wird die maximale Anzahl von Fragmenten auf 10 und die maximale Wartezeit auf 3 Sekunden festgelegt.

Verwenden Sie keine Konfigurationen, die anfällig für Paket-Routing-Schleifen sind

Optimale Vorgehensweise:

Verhindern Sie Paket-Routing-Schleifen, indem Sie sicherstellen, dass nur der beabsichtigte Datenverkehr die Servicekarte erreichen und von der Service Set NAT-Regel verarbeitet werden kann. Sie können dies tun, indem Sie:

  • Konfigurieren eines Quelladressbereichs gemäß der NAT-Regel, wenn möglich.

  • Konfigurieren eines Firewallfilters, der nur den Datenverkehr akzeptiert, der von der NAT-Regel in einem Servicesatz im Next-Hop-Stil verarbeitet werden soll.

Paketschleifen zwischen der Packet Forwarding Engine und der Servicekarte führen zu einer anhaltend hohen CPU-Auslastung auf der Serviceskarte. Paketschleifen können dadurch verursacht werden, dass die Servicekarte Datenverkehr von einem unerwarteten privaten Quellnetzwerk empfängt. Wenn unerwarteter Datenverkehr von NAT verarbeitet wird, entsteht eine Lochblende, und im Fall von EIF können viele Lochblenden entstehen. Diese Lochblenden verursachen Routingschleifen, wenn der Rückverkehr über die Servicekarte zurückgeleitet wird.

Das folgende Beispiel zeigt einen Firewallfilter, der nur zulässt, dass der Datenverkehr von 198.51.100.0/24 die Dienstschnittstelle ms-1/0/0 erreicht, die die interne Schnittstelle für einen Next Hop-Dienstsatz ist.

Weitere Informationen zum Konfigurieren von Firewall-Filtern finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Datenverkehrs-Policer.

Das folgende Beispiel zeigt eine NAT-Regel, die nur Datenverkehr von 198.51.100.0/24 verarbeitet (anderer Datenverkehr erreicht die Dienstschnittstelle, wird aber nicht verarbeitet).

Weitere Informationen zum Konfigurieren von NAT-Regeln finden Sie unter Übersicht über Network Address Translation-Regeln.

Zeitüberschreitungen bei Inaktivität

Optimale Vorgehensweise:

Legen Sie das Inaktivitätstimeout nur für benutzerdefinierte Anwendungen fest, für die die NAT-Sitzungszuordnung länger als das standardmäßige NAT-Inaktivitätstimeout von 30 Sekunden im Arbeitsspeicher verbleiben muss. Beispielsweise kann eine HTTP- oder HTTPS-Bankanwendung mehr als 30 Sekunden Inaktivität erfordern, da der Benutzer Daten eingeben muss.
Optimale Vorgehensweise:

Bevor Sie Änderungen an den vorhandenen Inaktivitätstimeouts vornehmen, führen Sie die folgenden Befehle während der Spitzenzeiten mehrmals aus. Führen Sie dann die Befehle aus, nachdem Sie die Änderungen vorgenommen haben, und stellen Sie sicher, dass die Änderungen den Router der MX-Serie nicht von NAT-Ressourcen oder den Arbeitsspeicher der Servicekarte beeinträchtigen.

Das folgende Beispiel zeigt, dass das Inaktivitätstimeout für HTTPS- und HTTP-Anwendungen auf 1800 Sekunden festgelegt ist.

Weitere Informationen zum Konfigurieren benutzerdefinierter Anwendungen finden Sie unter Konfigurieren von Anwendungseigenschaften.

Sie müssen die Risiken abwägen, die mit der Festlegung hoher Inaktivitäts-Timeouts für den gesamten Datenverkehr verbunden sind. Während das standardmäßige NAT-Inaktivitätstimeout von 30 Sekunden für einige benutzerdefinierte Anwendungen zu niedrig sein kann, kann ein zu hoher Timeoutwert NAT-Ressourcen binden. Wenn Sie beispielsweise hohe Inaktivitäts-Timeout-Werte festlegen, kann jede TCP-Sitzung gebunden werden, die nur wenige Minuten nach ihrer Erstellung inaktiv ist. Wenn die TCP-Sitzung vom Client oder Server nicht sauber durch eine FIN oder RST geschlossen wird, befindet sich die Sitzung im Arbeitsspeicher und bindet die ihr zugewiesenen NAT-Ressourcen, bis der Timeoutwert abläuft.

Das Festlegen höherer Inaktivitätszeitüberschreitungen, die sich auf jeden UDP- und TCP-Port auswirken, kann gefährlich sein, insbesondere bei UDP-Datenverkehr wie DNS. Im Gegensatz zu TCP gibt es bei UDP keine andere Möglichkeit, eine Sitzung zu beenden, als eine Zeitüberschreitung zu erreichen, sodass alle UDP-Sitzungen für den vollständigen Wert des Inaktivitätstimeouts aktiv bleiben.

Das folgende Beispiel ist keine empfohlene Konfiguration, da es hohe Inaktivitäts-Timeoutwerte für den gesamten TCP- und UDP-Datenverkehr festlegt.

Es gibt keine spezifischen empfohlenen Inaktivitäts-Timeout-Werte. Die richtigen Timeoutwerte für Inaktivität hängen von mehreren Faktoren ab, darunter:

  • Welche Anwendungen werden im Netzwerk eines Endbenutzers verwendet?

    Apple hat beispielsweise angegeben, dass für die folgenden Apple-Dienste, die eine lange Verbindungslebensdauer erfordern, ein Inaktivitäts-Timeout von 60 Minuten erforderlich ist:

    • Apple Push Services: eingehender TCP-Port 5223

    • Exchange Active Sync: eingehender TCP-Port 443

    • MobileMe: eingehende TCP-Ports 5222 und 5223

  • Wie die NAT-Lösung genutzt wird, zum Beispiel als Gi NAT-Gerät oder als Enterprise-Edge-Router

  • Wie groß Ihre NAT-Pools sind

  • Der Datenverkehr, den jede Servicekarte bei Lastspitzen empfängt

  • Wie viel Arbeitsspeicher Sie zur Verfügung haben

Speicherabbild für Datenstromsteuerung aktivieren

Optimale Vorgehensweise:

Aktivieren Sie die Option "Dump-on-Flow-Control" für jede Servicekarte, die den NAT-Datenverkehr in einem Produktionsnetzwerk verarbeitet. Diese Option erkennt, wenn eine Servicekarte gesperrt ist, schreibt einen Core-Dump, den Juniper Networks analysieren kann, um festzustellen, warum die Karte gesperrt ist, und stellt die Servicekarte durch einen Neustart wieder her.

Legen Sie für MS-MIC und MS-MPC die Option dump-on-flow-control unter der pc-Schnittstelle fest, die zum Senden von Steuerungsdatenverkehr von der Routing-Engine an die Servicekarte verwendet wird. Das folgende Beispiel zeigt die Konfiguration, wenn die Dienstschnittstelle ms-2/1/0 ist.

Legen Sie für MS-DPC die Option dump-on-flow control unter der sp-Schnittstelle fest. Das folgende Beispiel zeigt die Konfiguration, wenn die Dienstschnittstelle sp-2/1/0 ist.

Siehe auch

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung
Beschreibung
17.1R1
Ab Junos OS Version 14.2R7, 15.1R5, 16.1R2 und 17.1R1 können Sie IKEv1- und IPsec-Pakete über NAPT-44- und NAT64-Regeln zwischen IPsec-Peers weiterleiten, die nicht NAT-T-kompatibel sind.
16.1
Ab Junos OS Version 16.1 wird die limit-ports-per-address Anweisung unterstützt.
14.2
Konfigurieren Sie den NAT-Pool ab Junos OS Version 14.2 wie folgt.