Quelle: NAT

Quell-NAT ist die Übersetzung der Quell-IP-Adresse eines Pakets, das das Gerät von Juniper Networks verlässt. Quell-NAT wird verwendet, um Hosts mit privaten IP-Adressen den Zugriff auf ein öffentliches Netzwerk zu ermöglichen.

Quell-NAT ermöglicht das Initiieren von Verbindungen nur für ausgehende Netzwerkverbindungen, z. B. von einem privaten Netzwerk zum Internet. Quell-NAT wird üblicherweise verwendet, um die folgenden Übersetzungen durchzuführen:

• Übersetzen einer einzelnen IP-Adresse in eine andere Adresse (z. B. um einem einzelnen Gerät in einem privaten Netzwerk Zugang zum Internet zu gewähren).

• Übersetzen Sie einen zusammenhängenden Block von Adressen in einen anderen Block von Adressen derselben Größe.

• Übersetzen Sie einen zusammenhängenden Block von Adressen in einen anderen Block von Adressen kleinerer Größe.

• Übersetzen Sie einen zusammenhängenden Adressblock mithilfe der Portübersetzung in eine einzelne IP-Adresse oder einen kleineren Adressblock.

• Übersetzen eines zusammenhängenden Adressblocks in die Adresse der Ausgangsschnittstelle.

Für die Übersetzung an die Adresse der Ausgangsschnittstelle ist kein Adresspool erforderlich. Alle anderen NAT-Quellübersetzungen erfordern die Konfiguration eines Adresspools. Eins-zu-Eins- und Viele-zu-Viele-Übersetzungen für Adressblöcke derselben Größe erfordern keine Portübersetzung, da für jede Adresse, die übersetzt werden soll, eine verfügbare Adresse im Pool vorhanden ist.

Wenn die Größe des Adresspools kleiner ist als die Anzahl der Adressen, die übersetzt werden sollen, ist entweder die Gesamtzahl der gleichzeitigen Adressen, die übersetzt werden können, durch die Größe des Adresspools begrenzt oder es muss die Portübersetzung verwendet werden. Wenn beispielsweise ein Block von 253 Adressen in einen Adresspool von 10 Adressen übersetzt wird, können maximal 10 Geräte gleichzeitig verbunden werden, es sei denn, es wird eine Portübersetzung verwendet.

Die folgenden Arten von Quell-NAT werden unterstützt:

• Übersetzung der ursprünglichen Quell-IP-Adresse in die IP-Adresse der Ausgangsschnittstelle (auch Schnittstellen-NAT genannt). Die Portadressübersetzung wird immer durchgeführt.

• Übersetzung der ursprünglichen Quell-IP-Adresse in eine IP-Adresse aus einem benutzerdefinierten Adresspool ohne Portadressübersetzung. Die Zuordnung der ursprünglichen Quell-IP-Adresse zur übersetzten Quell-IP-Adresse ist dynamisch. Sobald jedoch eine Zuordnung besteht, wird dieselbe Zuordnung für dieselbe ursprüngliche Quell-IP-Adresse für neuen Datenverkehr verwendet, der derselben NAT-Regel entspricht.

• Übersetzung der ursprünglichen Quell-IP-Adresse in eine IP-Adresse aus einem benutzerdefinierten Adresspool mit Portadressübersetzung. Die Zuordnung der ursprünglichen Quell-IP-Adresse zur übersetzten Quell-IP-Adresse ist dynamisch. Selbst wenn eine Zuordnung vorhanden ist, kann dieselbe ursprüngliche Quell-IP-Adresse für neuen Datenverkehr, der derselben NAT-Regel entspricht, in eine andere Adresse übersetzt werden.

• Übersetzung der ursprünglichen Quell-IP-Adresse in eine IP-Adresse aus einem benutzerdefinierten Adresspool durch Verschieben der IP-Adressen. Diese Art der Übersetzung ist eins-zu-eins, statisch und ohne Portadressübersetzung. Wenn der ursprüngliche Quell-IP-Adressbereich größer ist als der IP-Adressbereich im benutzerdefinierten Pool, werden nicht übersetzte Pakete verworfen.

Auf dem Gerät der MX-Serie, wenn Sie die Quell-NAT auf einer AMS-Schnittstelle (Aggregated Multiservices) verwenden. Der service set Befehl erstellt einen separaten Eintrag für jede AMS-Schnittstelle. Daher ist die Speicherauslastung erschöpft, und wenn Sie eine zusätzliche AMS-Schnittstelle konfigurieren, führt dies zu einem Konfigurationscommit-Fehler.

• Die Central Point-Architektur unterstützt keine Central Point-Sitzungen mehr. Daher muss NAT einen NAT-Tracker unterhalten, um die IP-Adresse oder Portzuweisung und -nutzung zu verfolgen. Der NAT-Tracker ist ein globales Array für die Zuordnung von SPU-Sitzungs-ID zu NAT-IP oder -Ports, das zur Verwaltung von NAT-Ressourcen verwendet wird.

• Standardmäßig wird eine Nachricht über die Aktualisierung von NAT-Regelalarmen und Trap-Statistiken in Abständen von 1 Sekunde von der Services Processing Unit (SPU) an den zentralen Punkt gesendet, anstatt die Statistiken basierend auf jedem Sitzungsauslöser im Zentralpunktsystem zu aktualisieren.

• Um eine bestimmte NAT-IP-Adresse oder einen bestimmten Port zu unterstützen, der so zugewiesen ist, dass der 5-Tupel-Hash nach NAT mit dem ursprünglichen 5-Tupel-Hash vor NAT identisch ist, wählen Sie einen NAT-Port aus, der nach der spezifischen Berechnung denselben Hash wie der ursprüngliche Hash ergibt. Dadurch wird die Weiterleitungssitzung reduziert. Wenn NAT verwendet wird, wird der umgekehrte Flügel auf eine andere SPU gehasht. Eine Weiterleitungssitzung muss installiert werden, um den Datenverkehr umgekehrt an eine Sitzungs-SPU weiterzuleiten. NAT versucht, einen Port auszuwählen, der vom Hashalgorithmus verwendet werden kann, um den Reverse Wing auf dieselbe SPU wie den ursprünglichen Wing zu hashen. Sowohl die NAT-Leistung als auch der Durchsatz werden mit diesem Ansatz verbessert.

• Um die NAT-Leistung zu verbessern, wird die Verwaltung des IP-Verschiebungspools (Nicht-PAT-Pools) vom zentralen Punkt auf die SPU verlagert, sodass alle lokalen NAT-Ressourcen für diesen Pool lokal verwaltet werden, anstatt die NAT-Anforderung an den zentralen Punkt zu senden. Dadurch werden die IP-Adressverschiebung der NAT-Pool-Verbindungen pro Sekunde und der Durchsatz verbessert.

Der Port-Überlauf-Burst-Modus ermöglicht es Ihnen, die Ports über die zugewiesenen Portblöcke hinaus zu verwenden. Sie können einen Burst-Pool mit einer Reihe von Ports in einer IP-Adresse konfigurieren, die für Bursting reserviert werden soll.

Es gibt Primär- und Burstpooltypen, das Gerät verwendet den Burstpool, sobald die Abonnenten das im primären Pool konfigurierte Limit erreichen.

Der Brust-Modus wird unterstützt auf:

1. Deterministischer NAT-Quell-NAT-Pool mit PBA-Burst-Pool.

2. Deterministischer NAT-Quell-NAT-Pool mit dynamischem Burst-Pool vom Typ Network Address Port Translation (NAPT).

3. Regulärer PBA-Quell-NAT-Pool mit PBA-Burst-Pool.

4. Regulärer PBA-Quell-NAT-Pool mit dynamischem NAPT-Burst-Pool.

PBA-Burst-Typ-Methode: PBA unterstützt APP- und Nicht-APP-Betriebsmodi.

• APP-Modus: Ports werden aus dem primären Pool zugewiesen. Wenn das Limit der Anwender aus dem primären Pool überschreitet und Ports für dieselbe IP-Adresse aus dem Burst-Pool verfügbar sind, werden neue Sitzungen erstellt.

• Nicht-APP-Modus: Ports werden aus dem primären Pool zugewiesen. Wenn das Limit der Anwender aus dem primären Pool überschritten wird, werden neue Sitzungen aus dem Burst-Pool mit allen verfügbaren IP-Adressen und Ports erstellt.

DetNAT-Burst-Typ-Methode: Ports werden aus dem primären Pool zugewiesen. Wenn dieselbe IP-Adresse aus dem Burst-Pool oder alle verfügbaren Ports von derselben IP-Adresse aus nicht verfügbar sind, wird eine neue Sitzung mit einer anderen IP-Adresse erstellt. Wenn der Burst-Pool mit einer anderen IP als dem primären Pool konfiguriert ist, wird eine andere IP aus dem Burst-Pool verwendet.

• Port-Randomisierungsmodus (Standard)
• Round-Robin-Modus
• Session-Affinitätsmodus

• Zweck
• Aktion

In diesem Beispiel wird beschrieben, wie eine Quell-NAT-Zuordnung privater Adressen zur öffentlichen Adresse einer Ausgangsschnittstelle konfiguriert wird.

In diesem Beispiel wird beschrieben, wie eine Quell-NAT-Zuordnung einer einzelnen privaten Adresse zu einer öffentlichen Adresse konfiguriert wird.

In diesem Beispiel wird beschrieben, wie sowohl Quell- als auch Ziel-NAT-Zuordnungen konfiguriert werden.

Quell-NAT-Regeln spezifizieren zwei Ebenen von Übereinstimmungsbedingungen:

• Verkehrsrichtung: Ermöglicht die Angabe von Kombinationen aus from interface, from zone, oder from routing-instance und to interface, to zoneoder to routing-instance. Sie können nicht dieselben from und to Kontexte für verschiedene Regelsätze konfigurieren.

• Paketinformationen: Kann Quell- und Ziel-IP-Adressen oder Subnetze, Quellportnummern oder -portbereiche, Zielportnummern oder Portbereiche, Protokolle oder Anwendungen sein.

Für den gesamten ALG-Datenverkehr mit Ausnahme von FTP wird empfohlen, die source-port Regeloption nicht zu verwenden. Die Erstellung von Datensitzungen kann fehlschlagen, wenn diese Option verwendet wird, da die IP-Adresse und der Quellportwert, bei dem es sich um einen Zufallswert handelt, möglicherweise nicht mit der Regel übereinstimmen.

Darüber hinaus wird empfohlen, die Option oder die Option nicht als übereinstimmende destination-port application Bedingungen für den ALG-Datenverkehr zu verwenden. Wenn diese Optionen verwendet werden, kann die Übersetzung fehlschlagen, da der Portwert in der Anwendungsnutzlast möglicherweise nicht mit dem Portwert in der IP-Adresse übereinstimmt.

Wenn sich mehrere Quell-NAT-Regeln in den Übereinstimmungsbedingungen überschneiden, wird die spezifischste Regel ausgewählt. Wenn z. B. die Regeln A und B dieselben Quell- und Ziel-IP-Adressen angeben, Regel A jedoch Datenverkehr von Zone 1 nach Zone 2 und Regel B Datenverkehr von Zone 1 zur Schnittstelle ge-0/0/0 angibt, wird Regel B verwendet, um Quell-NAT durchzuführen. Eine Schnittstellenübereinstimmung wird als spezifischer angesehen als eine Zonenübereinstimmung, die spezifischer ist als eine Übereinstimmung mit einer Routing-Instanz.

Die Aktionen, die Sie für eine Quell-NAT-Regel angeben können, sind:

• off – Keine Quell-NAT ausführen.

• pool: Verwenden Sie den angegebenen benutzerdefinierten Adresspool, um Quell-NAT durchzuführen.

• Schnittstelle: Verwendet die IP-Adresse der Ausgangsschnittstelle für die Durchführung von Quell-NAT.

Quell-NAT-Regeln werden auf den Datenverkehr im ersten Paket angewendet, das für den Datenstrom oder im schnellen Pfad für das ALG verarbeitet wird. Quell-NAT-Regeln werden nach statischen NAT-Regeln, Ziel-NAT-Regeln und umgekehrter Zuordnung statischer NAT-Regeln sowie nach Routen- und Sicherheitsrichtliniensuche verarbeitet.

Wenn Zonen nicht unter dem Regelsatz konfiguriert sind und wenn die aktive Quell-NAT mit fehlender obligatorischer Anweisung "von" konfiguriert ist, wird beim Ausführen von Commit "Fehlende obligatorische Anweisung: 'von'-Fehler: Konfigurationsauschecken fehlgeschlagen" die folgende Meldung angezeigt, und der Konfigurationsauscheckvorgang schlägt fehl.

In diesem Beispiel wird beschrieben, wie Quell-NAT-Zuordnungen mit mehreren Regeln konfiguriert werden.

Ein NAT-Pool ist ein benutzerdefinierter Satz von IP-Adressen, die für die Übersetzung verwendet werden. Im Gegensatz zu statischer NAT, bei der es eine Eins-zu-Eins-Zuordnung gibt, die die Übersetzung der Ziel-IP-Adresse in eine Richtung und die Übersetzung der Quell-IP-Adresse in die umgekehrte Richtung umfasst, übersetzen Sie bei der Quell-NAT die ursprüngliche Quell-IP-Adresse in eine IP-Adresse im Adresspool.

Geben Sie für Quell-Network Address Translation-Adresspools (NAT) Folgendes an:

• Name des Quell-NAT-Adresspools.

• Bis zu 64 Adressbereiche.

  Überlappen Sie keine NAT-Adressen für Quell-NAT, Ziel-NAT und statische NAT innerhalb einer Routing-Instanz.

• Routing-Instanz: Routing-Instanz, zu der der Pool gehört (der Standardwert ist die inet.0-Hauptrouting-Instanz ).

• Port —Port Address Translation (PAT) für einen Quell-Pool. Standardmäßig wird PAT mit Quell-NAT ausgeführt. Wenn Sie die Option "keine Übersetzung" angeben, ist die Anzahl der Hosts, die der NAT-Quellpool unterstützen kann, auf die Anzahl der Adressen im Pool beschränkt. Wenn Sie block-allocationangeben, wird ein Block von Ports für die Übersetzung zugewiesen, anstatt dass einzelne Ports zugewiesen werden. Wenn Sie deterministicangeben, werden eine eingehende (Quell-)IP-Adresse und ein Port basierend auf einem vordefinierten, deterministischen NAT-Algorithmus immer der spezifischen Zieladresse und dem Portblock zugeordnet. Wenn Sie port-overloadingangeben, können Sie die Portüberlastungskapazität in Quell-NAT konfigurieren. Wenn Sie rangeangeben, können Sie den Portnummernbereich angeben, der jeder Adresse im Pool zugeordnet ist, und den Zwillingsportbereich für Quell-NAT-Pools.

• Überlaufpool (optional): Pakete werden verworfen, wenn im angegebenen Quell-NAT-Pool keine Adressen verfügbar sind. Um dies zu verhindern, wenn die Option "Port ohne Übersetzung " konfiguriert ist, können Sie einen Überlaufpool angeben. Sobald die Adressen aus dem ursprünglichen Quell-NAT-Pool erschöpft sind, werden IP-Adressen und Portnummern aus dem Überlaufpool zugewiesen. Ein benutzerdefinierter Quell-NAT-Pool oder eine Ausgangsschnittstelle kann als Überlaufpool verwendet werden. (Wenn der Überlaufpool verwendet wird, wird die Pool-ID mit der Adresse zurückgegeben.)

• IP-Adressverschiebung (optional): Ein Bereich der ursprünglichen Quell-IP-Adressen kann durch Verschieben der IP-Adressen einem anderen IP-Adressbereich oder einer einzelnen IP-Adresse zugeordnet werden. Geben Sie die Option host-address-base mit der Basisadresse des ursprünglichen Quell-IP-Adressbereichs an.

• Adressfreigabe (optional): Mehrere interne IP-Adressen können derselben externen IP-Adresse zugeordnet werden. Diese Option kann nur verwendet werden, wenn der Quell-NAT-Pool ohne Portübersetzung konfiguriert ist. Geben Sie die address-shared Option an, wenn in einem Quell-NAT-Pool nur wenige externe IP-Adressen oder nur eine externe IP-Adresse verfügbar sind. Bei einer Viele-zu-Eins-Zuordnung erhöht die Verwendung dieser Option die NAT-Ressourcen und verbessert den Datenverkehr.

• Adressenpooling (optional): Adresspooling kann als gepaart oder nicht gekoppelt konfiguriert werden. Geben Sie diese Option address-pooling paired für Anwendungen an, bei denen alle Sitzungen, die einer internen IP-Adresse zugeordnet sind, für die Dauer einer Sitzung derselben externen IP-Adresse zugeordnet werden müssen. Dies unterscheidet sich von der Option, bei der persistent-address jedes Mal dieselbe interne Adresse in dieselbe externe Adresse übersetzt wird. Geben Sie für Anwendungen an address-pooling no-paired , denen IP-Adressen im Rundlaufverfahren zugewiesen werden können. Wenn entweder address-pooling paired oder address-pooling no-paired für einen Quell-NAT-Pool mit PAT konfiguriert ist, ist die Option für persistente Adressen deaktiviert. Wenn address-shared für einen Quell-NAT-Pool ohne PAT konfiguriert ist, ist die persistent-address Option aktiviert. Beide address-shared und address-pooling paired können ohne PAT im selben Quell-NAT-Pool konfiguriert werden.

• Poolauslastungsalarm (optional): Wenn die Option zum Erhöhen des Schwellenwerts für Quell-NAT konfiguriert ist, wird ein SNMP-Trap ausgelöst, wenn die Quell-NAT-Poolauslastung über diesen Schwellenwert steigt. Wenn die optionale Option zum Löschen des Schwellenwerts konfiguriert ist, wird ein SNMP-Trap ausgelöst, wenn die Auslastung des Quell-NAT-Pools unter diesen Schwellenwert fällt. Wenn clear-threshold nicht konfiguriert ist, wird er standardmäßig auf 80 Prozent des raise-threshold-Werts festgelegt.

Sie können den Befehl show security nat resource usage source pool verwenden, um die Adressverwendung in einem Quell-NAT-Pool ohne PAT und die Portverwendung in einem Quell-NAT-Pool mit PAT anzuzeigen.

Eine Erhöhung der Gesamtzahl der IP-Adressen, die für die Quell-NAT verwendet werden, entweder durch Erhöhung der Anzahl der Pools in der Konfiguration und/oder durch Erhöhung der Kapazität oder der IP-Adressen pro Pool, verbraucht Speicher, der für die Portzuweisung benötigt wird. Wenn die Grenzwerte für den Quell-NAT-Pool und die IP-Adressen erreicht sind, sollten die Portbereiche neu zugewiesen werden. Das heißt, die Anzahl der Ports für jede IP-Adresse sollte verringert werden, wenn die Anzahl der IP-Adressen und Quell-NAT-Pools erhöht wird. Dadurch wird sichergestellt, dass NAT nicht zu viel Arbeitsspeicher verbraucht.

Weitere Informationen finden Sie im Abschnitt Zusätzliche Plattforminformationen .

Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen. Weitere Plattformen können unterstützt werden.

Verwenden Sie die range Optionen und range twin-port auf der [edit security nat source pool port] Hierarchieebene, um einem bestimmten Pool einen neuen Portbereich oder einen Zwillingsportbereich zuzuweisen. Verwenden Sie die pool-default-port-range und die pool-default-twin-port-range Optionen auf der [edit security nat source] Hierarchieebene, um den globalen Standardportbereich oder den Zwillingsportbereich für alle Quell-NAT-Pools anzugeben.

Die Konfiguration der Portüberlastung sollte auch sorgfältig erfolgen, wenn die Quell-NAT-Pools erhöht werden.

Für einen Quellpool mit PAT im Bereich (63.488 bis 65.535) werden zwei Ports gleichzeitig für RTP/RTCP-Anwendungen wie SIP, H.323 und RTSP zugewiesen. In diesen Szenarien unterstützt jede IP-Adresse PAT und belegt 2048 Ports (63.488 bis 65.535) für die Verwendung durch ALG-Module.

Standardmäßig wird die Portadressübersetzung mit Quell-NAT durchgeführt. Eine ursprüngliche Quelladresse kann jedoch nicht für unterschiedlichen Datenverkehr, der vom selben Host stammt, in dieselbe IP-Adresse übersetzt werden. Die Quell-NAT-Option address-persistent stellt sicher, dass dieselbe IP-Adresse aus dem Quell-NAT-Pool einem bestimmten Host für mehrere gleichzeitige Sitzungen zugewiesen wird.

Diese Option unterscheidet sich von der gekoppelten Adresspooling-Option, bei der die interne Adresse nach dem Prinzip "Wer zuerst kommt, mahlt zuerst" einer externen Adresse innerhalb des Pools zugeordnet wird und für jede Sitzung einer anderen externen Adresse zugeordnet werden kann.

In diesem Beispiel wird beschrieben, wie Sie die Kapazität von Quell-NAT-Pools mit Port Address Translation (PAT) konfigurieren, wenn ein Standardportbereich nicht festgelegt ist oder Sie ihn überschreiben möchten. Übersetzungen werden für jede IP-Adresse festgelegt. Wenn der Quellpool vergrößert wird, sollten Ports neu zugewiesen werden, wenn die aktuelle Portnummer die Beschränkungen überschreitet.

Wenn ein Host mehrere Sitzungen initiiert, die einer Richtlinie entsprechen, die NAT erfordert, und ihm eine IP-Adresse aus einem Quellpool zugewiesen wird, für den die Portadressübersetzung aktiviert ist, wird für jede Sitzung eine andere Quell-IP-Adresse verwendet.

Da einige Anwendungen für jede Sitzung dieselbe Quell-IP-Adresse benötigen, können Sie die address-pooling paired Funktion verwenden, um alle Sitzungen, die einer internen IP-Adresse zugeordnet sind, für die Dauer der Sitzungen derselben externen IP-Adresse zuzuordnen. Wenn die Sitzungen beendet werden, wird die Zuordnung zwischen der internen IP-Adresse und der externen IP-Adresse beendet. Wenn der Host das nächste Mal eine Sitzung initiiert, wird ihm möglicherweise eine andere IP-Adresse aus dem Pool zugewiesen.

Dies unterscheidet sich von der Quell-NAT-Funktion address-persistent , bei der die Zuordnung statisch bleibt; dieselbe interne IP-Adresse wird jedes Mal derselben externen IP-Adresse zugeordnet. Es unterscheidet sich auch von der Funktion, die address-persistent address-pooling paired für einen bestimmten Pool konfiguriert ist. Das address-persistent Feature ist eine globale Konfiguration, die für alle Quellpools gilt.

Die Übereinstimmungsbedingungen für einen Quell-NAT-Regelsatz erlauben es Ihnen nicht, einen Adressbereich anzugeben. In einer Regel dürfen nur Adresspräfixe angegeben werden. Beim Konfigurieren eines Quell-NAT-Pools können Sie die host-base-address Option angeben: Diese Option gibt die IP-Adresse an, an der der ursprüngliche Quell-IP-Adressbereich beginnt.

Der Bereich der ursprünglichen Quell-IP-Adressen, die übersetzt werden, wird durch die Anzahl der Adressen im Quell-NAT-Pool bestimmt. Wenn der Quell-NAT-Pool beispielsweise einen Bereich von zehn IP-Adressen enthält, können bis zu zehn ursprüngliche Quell-IP-Adressen übersetzt werden, beginnend mit einer angegebenen Basisadresse. Diese Art der Übersetzung ist eins-zu-eins, statisch und ohne Portadressübersetzung.

Die Übereinstimmungsbedingung in einer Quell-NAT-Regel kann einen größeren Adressbereich definieren als im Quell-NAT-Pool angegeben. Eine Übereinstimmungsbedingung kann z. B. ein Adresspräfix angeben, das 256 Adressen enthält, aber der Quell-NAT-Pool kann einen Bereich von nur wenigen IP-Adressen oder nur einer IP-Adresse enthalten. Die Quell-IP-Adresse eines Pakets kann mit einer Quell-NAT-Regel übereinstimmen, aber wenn die Quell-IP-Adresse nicht innerhalb des im Quell-NAT-Pool angegebenen Adressbereichs liegt, wird die Quell-IP-Adresse nicht übersetzt.

In diesem Beispiel wird beschrieben, wie eine Quell-NAT-Zuordnung eines privaten Adressbereichs zu öffentlichen Adressen mit optionaler Adressverschiebung konfiguriert wird. Diese Zuordnung erfolgt eins zu eins zwischen den ursprünglichen Quell-IP-Adressen und den übersetzten IP-Adressen.

Die Übereinstimmungsbedingungen für einen Quell-NAT-Regelsatz erlauben es Ihnen nicht, einen Adressbereich anzugeben. In einer Regel dürfen nur Adresspräfixe angegeben werden. Beim Konfigurieren eines Quell-NAT-Pools können Sie die host-base-address Option angeben: Diese Option gibt die IP-Adresse an, an der der ursprüngliche Quell-IP-Adressbereich beginnt, und deaktiviert die Portübersetzung.

Der Bereich der ursprünglichen Quell-IP-Adressen, die übersetzt werden, wird durch die Anzahl der Adressen im Quell-NAT-Pool bestimmt. Wenn der Quell-NAT-Pool beispielsweise einen Bereich von zehn IP-Adressen enthält, können bis zu zehn ursprüngliche Quell-IP-Adressen übersetzt werden, beginnend mit einer angegebenen Basisadresse.

Die Übereinstimmungsbedingung in einer Quell-NAT-Regel kann einen größeren Adressbereich definieren als im Quell-NAT-Pool angegeben. Eine Übereinstimmungsbedingung kann z. B. ein Adresspräfix angeben, das 256 Adressen enthält, aber der Quell-NAT-Pool enthält nur einen Bereich von zehn IP-Adressen. Die Quell-IP-Adresse eines Pakets kann mit einer Quell-NAT-Regel übereinstimmen, aber wenn die Quell-IP-Adresse nicht innerhalb des im Quell-NAT-Pool angegebenen Adressbereichs liegt, wird die Quell-IP-Adresse nicht übersetzt.

Mithilfe des Quellpools mit Port Address Translation (PAT) übersetzt Junos OS sowohl die Quell-IP-Adresse als auch die Portnummer der Pakete. Wenn PAT verwendet wird, können mehrere Hosts dieselbe IP-Adresse gemeinsam nutzen.

Junos OS verwaltet eine Liste der zugewiesenen Portnummern, um zu unterscheiden, welche Sitzung zu welchem Host gehört. Wenn PAT aktiviert ist, können bis zu 63.488 Hosts eine einzige IP-Adresse gemeinsam nutzen. Jeder Quellpool kann mehrere IP-Adressen, mehrere IP-Adressbereiche oder beides enthalten. Bei einem Quell-Pool mit PAT kann Junos OS einem einzelnen Host für verschiedene gleichzeitige Sitzungen unterschiedliche Adressen zuweisen, es sei denn, der Quell-Pool oder Junos OS hat die Funktion für persistente Adressen oder die Funktion zum Pooling gekoppelter Adressen aktiviert.

Für Schnittstellenquellpools und Quellpools mit PAT ist der Bereich (1024, 65535) für die Portnummernzuordnung pro IP-Adresse verfügbar. Innerhalb des Bereichs (1024, 63487) wird jeweils ein Port zugewiesen, also insgesamt 62.464 Ports. Im Bereich (63488, 65535) werden jeweils zwei Ports für RTP/RTCP-Anwendungen wie SIP, H.323 und RTSP zugewiesen, also insgesamt 2.048 Ports.

Wenn ein Host mehrere Sitzungen initiiert, die einer Richtlinie entsprechen, die eine Netzwerkadressübersetzung erfordert, und ihm eine Adresse aus einem Quellpool zugewiesen wird, für den PAT aktiviert ist, weist das Gerät für jede Sitzung eine andere Quell-IP-Adresse zu. Eine solche zufällige Adresszuweisung kann für Dienste problematisch sein, die mehrere Sitzungen erstellen, die für jede Sitzung dieselbe Quell-IP-Adresse benötigen. Beispielsweise ist es wichtig, dieselbe IP-Adresse für mehrere Sitzungen zu haben, wenn Sie den AOL Instant Message (AIM)-Client verwenden.

Um sicherzustellen, dass der Router einem Host für mehrere gleichzeitige Sitzungen dieselbe IP-Adresse aus einem Quellpool zuweist, können Sie eine persistente IP-Adresse pro Router aktivieren. Um sicherzustellen, dass das Gerät einem Host für die Dauer einer einzelnen Sitzung dieselbe IP-Adresse aus einem Quellpool zuweist, können Sie das gekoppelte Adresspooling aktivieren.

In diesem Beispiel wird beschrieben, wie Sie eine Quell-NAT-Zuordnung eines privaten Adressblocks zu einem kleineren öffentlichen Adressblock mithilfe der Portadressübersetzung konfigurieren.

Wenn Sie einen Quell-Pool definieren, aktiviert Junos OS standardmäßig PAT. Um PAT zu deaktivieren, müssen Sie beim Definieren eines Quellpools keine Portübersetzung angeben.

Bei Verwendung eines Quellpools ohne PAT führt Junos OS Source Network Address Translation für die IP-Adresse durch, ohne PAT für die Quellportnummer durchzuführen. Für Anwendungen, die erfordern, dass eine bestimmte Quellportnummer fest bleibt, müssen Sie den Quellpool ohne PAT verwenden.

Der Quellpool kann mehrere IP-Adressen, mehrere IP-Adressbereiche oder beides enthalten. Bei einem Quellpool ohne PAT weist Junos OS demselben Host für alle gleichzeitigen Sitzungen eine übersetzte Quelladresse zu, es sei denn, die Option Adresspooling ohne Paar ist aktiviert.

Die Anzahl der Hosts, die ein Quell-NAT-Pool ohne PAT unterstützen kann, ist auf die Anzahl der Adressen im Pool beschränkt. Wenn Sie über einen Pool mit einer einzigen IP-Adresse verfügen, kann nur ein Host unterstützt werden, und der Datenverkehr von anderen Hosts wird blockiert, da keine Ressourcen verfügbar sind. Wenn eine einzelne IP-Adresse für einen Quell-NAT-Pool ohne PAT konfiguriert ist, wenn sich die NAT-Ressourcenzuweisung in einem Chassis-Cluster nicht im aktiven Backup-Modus befindet, wird der Datenverkehr über Knoten 1 blockiert.

Die Poolauslastung für jeden Quellpool ohne PAT wird berechnet. Sie können den Poolauslastungsalarm aktivieren, indem Sie Alarmschwellenwerte konfigurieren. Ein SNMP-Trap wird jedes Mal ausgelöst, wenn die Poolauslastung einen Schwellenwert überschreitet und unterschreitet.

Wenn eine statische NAT-Regel für die Eins-zu-Eins-IP-Übersetzung vorgesehen ist, vermeiden Sie die Aufteilung der Regel in eine Zielregel und eine Quellregel, wenn ein Quell-No-Pat-Pool ohne Adressfreigabe verwendet wird. Wenn Sie sich dafür entscheiden, die Regel zu teilen, müssen Sie den Quell-Pat-Pool mit einer einzigen IP oder den Quell-No-Pat-Pool mit mehreren IPs verwenden.

In diesem Beispiel wird beschrieben, wie Sie einen privaten Adressblock ohne Portadressübersetzung für eine einzelne öffentliche Adresse in einem Quell-NAT-Pool konfigurieren.

PAT ist standardmäßig für Quell-NAT-Pools aktiviert. Wenn PAT deaktiviert ist, ist die Anzahl der Übersetzungen, die der NAT-Quellpool gleichzeitig unterstützen kann, auf die Anzahl der Adressen im Pool beschränkt. Pakete werden verworfen, wenn im Quell-NAT-Pool keine Adressen verfügbar sind. Mit dieser address-shared Option können Sie jedoch mehr als eine private IP-Adresse einer einzigen öffentlichen IP-Adresse zuordnen, solange der Datenverkehr von verschiedenen Quellports stammt.

In diesem Beispiel wird beschrieben, wie eine Quell-NAT-Zuordnung eines privaten Adressblocks zu einem kleineren öffentlichen Adressblock ohne Portadressübersetzung konfiguriert wird.

Die Portadressübersetzung ist standardmäßig für Quell-NAT-Pools aktiviert. Wenn die Portadressübersetzung deaktiviert ist, ist die Anzahl der Übersetzungen, die der Quell-NAT-Pool gleichzeitig unterstützen kann, auf die Anzahl der Adressen im Pool beschränkt. Pakete werden verworfen, wenn im Quell-NAT-Pool keine Adressen verfügbar sind. Sie können optional einen Überlaufpool angeben, aus dem IP-Adressen und Portnummern zugewiesen werden, wenn im ursprünglichen Quell-NAT-Pool keine Adressen verfügbar sind.

Quell-NAT-Pools ohne Portadressübersetzung führen statische Eins-zu-Eins-Zuordnungen von einer Quell-IP-Adresse zu einer externen IP-Adresse durch. Wenn nur eine externe IP-Adresse oder nur sehr wenige in einem No-Pat-Quellpool verfügbar sind, können Sie mit dieser address-shared Option viele Quell-IP-Adressen einer externen IP-Adresse zuordnen, solange der Datenverkehr von verschiedenen Quellports stammt.

Wenn beispielsweise ein Quell-NAT-Pool ohne Portübersetzung nur zwei IP-Adressen enthält, IP 1 und IP 2, wenn ein Paket von

1. Quelle IP 1, Port 1, es wird übersetzt in IP 1, Port 1.

2. Quelle IP 2, Port 2, es wird übersetzt in IP 2, Port 2.

3. Quelle IP 3, Port 1, es wird übersetzt in IP 2, Port 1. (Es kann nicht in IP 1 Port 1 übersetzt werden, da dieser Port bereits verwendet wird.

   Wenn jedoch ein anderes Paket von Quell-IP 3, Port 1 für eine andere Ziel-IP und einen anderen Port eintrifft, kann es nicht in IP 1, Port 1 oder IP 2, Port 1 übersetzt werden, da Port 1 bereits für beide verfügbaren IP-Adressen verwendet wird. Die Sitzung schlägt fehl.

Diese Option erhöht die NAT-Ressourcen und verbessert die Möglichkeit, erfolgreichen übersetzten Traffic einzurichten. Sie kann nicht für Quell-NAT-Pools mit Portadressübersetzung verwendet werden, da die Adressfreigabe bereits ihr Standardverhalten ist.

Die Sitzungspersistenz von Network Address Translation (NAT) bietet die Möglichkeit, vorhandene Sitzungen beizubehalten, anstatt sie zu löschen, wenn sich die NAT-Konfiguration ändert. Wenn die Sitzungspersistenz aktiviert ist, verarbeiten und leiten die beibehaltenen Sitzungen weiterhin Pakete weiter, während Zeit und Ressourcen optimal genutzt werden, um die betroffenen Sitzungen wiederherzustellen. Daher wird die Paketweiterleitung auch dann nicht beendet, wenn die NAT-Konfiguration für einige oder alle Sitzungen geändert wird.

Ab Junos OS Version 18.3R1 scannt die Packet Forwarding Engine mit Unterstützung für NAT-Sitzungspersistenz die Sitzungen und entscheidet, ob die Sitzungen beibehalten oder gelöscht werden sollen. In Versionen vor Junos OS Version 18.3R1 werden die NAT-Sitzungen gelöscht, wenn sich die NAT-Konfiguration ändert.

Die Packet Forwarding Engine führt die folgenden zwei Arten von Scans durch, um zu entscheiden, ob Sitzungen beibehalten oder gelöscht werden sollen:

• Source NAT pool session persistence scan– Die Packet Forwarding Engine vergleicht die vorhandene Sitzungs-IP-Adresse mit dem Adressbereich des Quellpools. Wenn sich die vorhandene Sitzungs-IP-Adresse im angegebenen Adressbereich des Quellpools befindet, wird die Sitzung aufrechterhalten, andernfalls wird die Sitzung gelöscht.

• Source NAT rule session persistence scan– Die Packet Forwarding Engine verwendet die Regel-ID, um die Quell-IP-Adresse, den Quellport, die Ziel-IP-Adresse und den Zielport zwischen der alten und der neuen Konfiguration zu vergleichen. Wenn die neue und die alte Konfiguration identisch sind, wird die Sitzung aufrechterhalten, andernfalls wird die Sitzung gelöscht.

Die Persistenz von NAT-Sitzungen wird für statische NAT und Ziel-NAT nicht unterstützt.

Die Persistenz von NAT-Sitzungen wird nicht unterstützt, wenn der PAT-Pool mit den Feldern Address Persistent, Address Pooling Paired, Source Address Persistent, Port Block Allocation, Port Deterministic, Persistent NAT und Port Overloading Factor konfiguriert ist.

Die Aufrechterhaltung von NAT-Sitzungen wird nur für Quell-NAT in den folgenden Szenarien unterstützt:

• Quellpool: Änderung eines Adressbereichs in einem Port Address Translation (PAT)-Pool.

• Quellregel: Änderung der Übereinstimmungsbedingungen für Adressbuch, Anwendung, Ziel-IP-Adresse, Zielport, Quell-IP-Adresse und Zielportinformationen.

Um den Persistenzscan von NAT-Sitzungen zu aktivieren, schließen Sie die session-persistence-scan Anweisung auf Hierarchieebene [edit security nat source] ein.

Sie können auch einen Timeoutwert konfigurieren, um die Sitzungen für den angegebenen Zeitraum beizubehalten, indem Sie den set security nat source session-drop-hold-down Befehl CLI verwenden. Der Wert der session-drop-hold-down Option liegt zwischen 30 und 28.800 Sekunden (acht Stunden). Die Sitzung läuft nach dem konfigurierten Timeoutzeitraum ab.

Die Konfiguration von Network Address Translation (NAT) ändert sich häufig, um mehr Benutzer aufzunehmen und die kürzeste Route für die Übertragung des Datenverkehrs zu verbessern. Wenn sich die Ausgangsschnittstelle aufgrund einer Umleitung des Datenverkehrs ändert, können Sie den set security flow enable-reroute-uniform-link-check nat Befehl verwenden, um die vorhandene NAT-Konfiguration und -Regel beizubehalten.

Wenn der enable-reroute-uniform-link-check nat Befehl aktiviert ist:

• Die Sitzung wird mit der vorhandenen NAT-Regel beibehalten, wenn sich die neue Ausgangsschnittstelle und die vorherige Ausgangsschnittstelle in derselben Sicherheitszone befinden und die übereinstimmende NAT-Regel nicht geändert wird oder wenn keine Regel vor und nach der Umleitung angewendet wird.

• Die Sitzung läuft ab, wenn sich die neue Ausgangsschnittstelle und die vorherige Ausgangsschnittstelle in derselben Sicherheitszone befinden und die übereinstimmende NAT-Regel geändert wird.

Wenn der enable-reroute-uniform-link-check nat Befehl deaktiviert ist:

• Der Datenverkehr wird an die neue Ausgangsschnittstelle weitergeleitet, wenn sich die neue Ausgangsschnittstelle und die vorherige Ausgangsschnittstelle in derselben Sicherheitszone befinden.

Configuration

Verwenden Sie den folgenden Befehl, um die NAT-Konfiguration für eine vorhandene Sitzung zu aktivieren, wenn sich die Ausgangsschnittstelle aufgrund einer Umleitung ändert:

[edit] user@host# set security flow enable-reroute-uniform-link-check natDie neue Konfiguration wird angewendet, wenn Sie die Konfigurationsänderungen bestätigen.

Das ist enable-reroute-uniform-link-check nat command standardmäßig deaktiviert.

Limitations

Das Beibehalten der NAT-Konfiguration mit dem set security flow enable-reroute-uniform-link-check nat Befehl hat die folgenden Einschränkungen:

• Die TCP-Synchronisierung lässt nicht zu, dass die neue Sitzung den Datenverkehr überträgt. Sie müssen die TCP-Synchronisierung deaktivieren, um die Übertragung des Datenverkehrs in neuen Sitzungen zu ermöglichen.

• Die Paketinformationen können verloren gehen, wenn die Umleitung nach einem Drei-Wege-Handshake initiiert wird, um die Kommunikation zu initialisieren. Sie müssen das Junos OS Services Framework (JSF) wie das Anwendungsebene Gateway (ALG) deaktivieren, um die Übertragung des Datenverkehrs in neuen Sitzungen zu ermöglichen.

Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen. Weitere Plattformen können unterstützt werden.