Zustandsbehafteter NAT64
Konfigurieren von zustandsbehaftetem NAT64
Um zustandsbehaftetes NAT64 zu konfigurieren, müssen Sie auf Hierarchieebene eine Regel für die [edit services nat] dynamische Übersetzung der Quelladresse und der statischen Zieladresse konfigurieren.
Wenn Sie den Servicesatz konfigurieren, der Ihre NAT-Regel enthält, schließen Sie die set stateful-nat64 clear-dont-fragment-bit auf der [edit services service-set service-set-name] Hierarchieebene ein. Dadurch wird das DF-Bit (Don't fragmenting) gelöscht, um die unnötige Erstellung eines IPv6-Fragmentierungsheaders bei der Übersetzung von IPv4-Paketen mit einer Größe von weniger als 1280 Byte zu verhindern. RFC 6145, IP/ICMP Translation Algorithm, bietet eine vollständige Erörterung der Verwendung des DF-Flags zur Steuerung der Generierung von Fragmentierungsheadern. Weitere Informationen zu Service Sets für NAT finden Sie unter Konfigurieren von Service Sets für Network Address Translation.
So konfigurieren Sie zustandsbehaftetes NAT64:
Im folgenden Beispiel wird die Übersetzung dynamischer Quelladressen (IPv6-zu-IPv4) und statischer Zieladressen (IPv6-zu-IPv4) konfiguriert.
[edit services]
user@host# show
nat {
pool src-pool-nat64 {
address 203.0.113.0/24;
port {
automatic;
}
}
rule stateful-nat64 {
match-direction input;
term t1 {
from {
source-address {
2001:db8::0/96;
}
destination-address {
64:ff9b::/96;
}
}
then {
translated {
source-pool src-pool-nat64;
destination-prefix 64:ff9b::/96;
translation-type {
stateful-nat64;
}
}
}
}
}
}
service-set sset-nat64 {
nat-options {
stateful-nat64 {
clear-dont-fragment-bit;
}
}
service-set-options;
nat-rules stateful-nat64;
interface-service {
service-interface ms-0/1/0;
}
}
Wenn Sie zwei NAT64-Regeln konfigurieren und sie demselben Servicesatz zusammen mit Stateful-Firewall-Regeln zuordnen und den Servicesatz auf zwei VLAN-getaggte Schnittstellen anwenden, wird für Datenverkehr, der übertragen wird, der beiden NAT-Regeln entspricht, der Datenverkehr, der für die zweite NAT-Regel bestimmt ist, gelöscht. In einem solchen Szenario werden die Datenverkehrsflüsse auf der Routing-Engine nicht unterbrochen. Dieses Verhalten des Datenverkehrsverlusts durch die zweite NAT-Regel wird erwartet. Wenn Junos OS Extension-Provider-Pakete auf einem Gerät installiert sind und die endpunktunabhängige Zuordnung (EIM) nicht unterstützt wird, EIM pro VLAN oder pro NAT-Regelbegriff. Die zweite Sitzung, die durch die zweite NAT-Regel in dem hier beschriebenen Konfigurationsszenario gelöscht wird, wird aufgrund der folgenden Abfolge von Ereignissen nicht erstellt:
Das erste Paket, das einer der beiden Regeln entspricht, erstellt eine EIM und eine Sitzung.
Das zweite Paket stimmt mit dem EIM-Eintrag überein, da das zweite Paket mit derselben Quell-IP-Adresse und demselben Port wie das erste Paket (aber mit einer anderen Zieladresse) gesendet wird.
Diese Bedingung bewirkt die Zuweisung (Wiederverwendung) derselben öffentlichen IP-Adresse und desselben Ports für das zweite Paket wie für das erste Paket. Der Reverse Flow für diese Sitzung hat die gleichen 5-Tupel-Daten wie der Reverse Flow der ersten Sitzung. Dieses Verhalten führt zu Fehlern bei der Flow-Addition, da ein doppelter Flow im selben Service-Set nicht zulässig ist.
Um dieses Problem zu umgehen, deaktivieren Sie EIM in beiden NAT-Regeln, wodurch beide Sitzungen ordnungsgemäß eingerichtet und verarbeitet werden. Um dieses Problem zu vermeiden, können Sie alternativ die NAT-Regeln für verschiedene Servicesätze angeben, die auf verschiedenen Einheiten der Medienschnittstelle konfiguriert sind, wobei EIM aktiviert ist, um beide Sitzungen erfolgreich einzurichten.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
sequential Sie die sequenzielle Zuweisung von Ports konfigurieren können.