Quell-NAT

Quell NAT die Übersetzung der Quell-IP-Adresse eines Pakets, das das Juniper Networks verlässt. Mit NAT Quelladressen können Hosts mit privaten IP-Adressen auf ein öffentliches Netzwerk zugreifen.

Quell NAT ermöglicht das Herstellen von Verbindungen nur für ausgehende Netzwerkverbindungen, z. B. von einem privaten Netzwerk zum Internet. Source NAT wird häufig für die Durchführung der folgenden Übersetzungen verwendet:

• Übersetzen Sie eine einzelne IP-Adresse in eine andere Adresse (z. B. um ein einzelnes Gerät in einem privaten Netzwerk mit Zugriff auf das Internet zu versorgen).

• Übersetzen Sie einen zusammenhängende Block von Adressen in einen anderen Block von Adressen derselben Größe.

• Übersetzen Sie einen zusammenhängende Block von Adressen in einen anderen Block von Adressen kleinerer Größe.

• Übersetzen Sie einen zusammenhängende Block von Adressen in eine einzelne IP-Adresse oder einen kleineren Block von Adressen mithilfe der Portübersetzung.

• Übersetzen Sie einen zusammenhängende Block von Adressen in die Adresse der Ausgangsschnittstelle.

Für die Übersetzung in die Adresse der Ausgangsschnittstelle ist kein Adressenpool erforderlich. alle anderen Quellübersetzungen NAT setzen die Konfiguration eines Adressenpools voraus. 1:1- und N:n-Übersetzungen für Adressblöcke derselben Größe erfordern keine Portübersetzung, da im Pool für jede Adresse, die übersetzt werden würde, eine verfügbare Adresse vorhanden ist.

Wenn die Größe des Adressenpools geringer ist als die Anzahl der Adressen, die übersetzt werden sollen, muss entweder die Gesamtzahl der gleichzeitigen Adressen, die übersetzt werden können, durch die Größe des Adressenpools oder der Portübersetzung begrenzt sein. Wenn beispielsweise ein Block von 253 Adressen in einen Adressenpool mit 10 Adressen übersetzt wird, können maximal 10 Geräte gleichzeitig verbunden werden, wenn keine Portübersetzung verwendet wird.

Es werden die folgenden Arten von NAT unterstützt:

• Übersetzung der ursprünglichen IP-Adresse der Quelle in die IP-Adresse der Ausgangsschnittstelle (auch als Schnittstellen-NAT. Portadressenübersetzung wird immer ausgeführt.

• Übersetzung der ursprünglichen IP-Quelladresse von einem benutzerdefinierten Adressenpool in eine IP-Adresse ohne Port-Adressenübersetzung. Die Zuordnung zwischen der ursprünglichen Quell-IP-Adresse und der übersetzten Quell-IP-Adresse ist dynamisch. Sobald jedoch eine Zuordnung besteht, wird dieselbe Zuordnung für die gleiche ursprüngliche Quell-IP-Adresse für neuen Datenverkehr verwendet, der der gleichen NAT entspricht.

• Übersetzung der ursprünglichen IP-Quelladresse in eine IP-Adresse aus einem benutzerdefinierten Adressenpool mit Port-Adressenübersetzung. Die Zuordnung zwischen der ursprünglichen Quell-IP-Adresse und der übersetzten Quell-IP-Adresse ist dynamisch. Selbst wenn eine Zuordnung vorhanden ist, kann die gleiche Ursprünglichen-NAT IP-Adresse für neuen Datenverkehr, der der gleichen Regel entspricht, in eine andere Adresse übersetzt werden.

• Übersetzung der ursprünglichen IP-Quelladresse von einem benutzerdefinierten Adressenpool in eine IP-Adresse durch Verschieben der IP-Adressen. Diese Art der Übersetzung ist 1:1, statisch und ohne Port-Adressenübersetzung. Wenn der ursprüngliche IP-Quell-IP-Adressbereich größer als der IP-Adressbereich im benutzerdefinierten Pool ist, werden nicht übertragene Pakete verworfen.

• Die Central Point-Architektur unterstützt keine zentralen Punktsitzungen mehr. Deshalb muss NAT einen Tracker NAT verfolgen, um die IP-Adresse bzw. Portzuweisung und -nutzung zu verfolgen. NAT Tracker ist ein globales Array für SPU-Sitzungs-ID NAT- oder Portzuordnung, das zur Verwaltung von Netzwerkressourcen NAT wird.

• Standardmäßig wird eine NAT-Regelalarme und Trap-Zähleraktualisierungsnachricht von der Services Processing Unit (SPU) in Intervallen von 1 Sekunde an den zentralen Punkt gesendet, anstatt die Statistiken basierend auf jedem Sitzungs-Trigger im zentralen Punktsystem zu aktualisieren.

• Um eine bestimmte NAT-IP-Adresse oder einen bestimmten Port zu unterstützen, der nach NAT dem 5-Tuple-Hash den gleichen Wert wie der 5-Tuple-Hash vor NAT hat, wählen Sie einen NAT-Port, der zu dem gleichen Hash wie der ursprüngliche Hash führt. Damit wird die Weiterleitungssitzung reduziert. Wenn NAT Verwendet werden, wird der Reverse Wing mit einer anderen SPU (Reverse Wing) umgehasht. Es muss eine Forward Session installiert werden, um reversen Datenverkehr an einen Sitzungs-SPU weiterzukehren. NAT versuchen, einen Port zu wählen, der vom Hash-Algorithmus verwendet werden kann, um zu ermöglichen, dass der Reverse Wing in den gleichen SPU wie die ersten Flügel umgehasht wird. Mit diesem Ansatz NAT die Leistung und der Durchsatz verbessert.

• Zur Leistungssteigerung NAT wird die Verwaltung des IP-Shifting Pool (Nicht-PAT-Pool) vom zentralen Punkt zum SPU verschoben, sodass alle lokalen NAT-Ressourcen für diesen Pool lokal verwaltet werden, anstatt die NAT-Anforderung an den zentralen Punkt zu senden. Dadurch werden die IP-Adresswechsel-NAT-Verbindungen pro Sekunde verbessert und der Durchsatz verbessert.

• Port-Zufallsmodus (Standard)
• Round-Robin-Modus
• Sitzungsaffinitätsmodus

• Zweck
• Aktion

In diesem Beispiel wird beschrieben, wie eine Quell-NAT Zuordnung privater Adressen zur öffentlichen Adresse einer Ausgangsschnittstelle konfiguriert wird.

In diesem Beispiel wird beschrieben, wie eine Quell-NAT einer einzelnen privaten Adresse zu einer öffentlichen Adresse konfiguriert wird.

In diesem Beispiel wird beschrieben, wie Quell- und Zieldatenzuordnungen NAT werden.

Quell-NAT-Regeln legen zwei Ebenen von Übereinstimmungsbedingungen fest:

• Datenverkehrsrichtung: Ermöglicht die Kombination von , oder und / oder to routing-instanceto zone.to interfacefrom routing-instance from zonefrom interface Sie können nicht dasselbe und from den to gleichen Kontext für unterschiedliche Regelsätze konfigurieren.

• Paketinformationen: Können Quell- und Ziel-IP-Adressen oder Subnetze, Quell-Portnummern oder Port-Bereiche, Ziel-Portnummern oder Port-Bereiche, Protokolle oder Anwendungen sein.

Für den ALG-Verkehr mit Ausnahme von FTP empfehlen wir Ihnen, die Regeloption nicht source-port zu verwenden. Bei Verwendung dieser Option kann die Erstellung von Datensitzungs ausfällt, da die IP-Adresse und der Quellportwert (ein zufalls beliebiger Wert) möglicherweise nicht der Regel übereinstimmen.

Außerdem empfehlen wir Ihnen, die destination-port Option oder Option application nicht als Anpassungsbedingungen für ALG-Datenverkehr zu verwenden. Wenn diese Optionen verwendet werden, kann die Übersetzung ausfällt, da der Portwert der Anwendungsnutzlast möglicherweise nicht dem Portwert der IP-Adresse dient.

Wenn mehrere Quellen NAT in den Übereinstimmungsbedingungen überschneiden, wird die spezifischere Regel ausgewählt. Wenn beispielsweise die Regeln A und B die gleichen Quell- und Ziel-IP-Adressen angeben, aber die Regel A den Datenverkehr von Zone 1 bis Zone 2 angibt und Regel B den Datenverkehr von Zone 1 bis ge-0/0/0 angibt, wird Regel B zur Ausführung der NAT. Eine Schnittstellen übereinstimmung gilt als spezifischer als eine Zonen übereinstimmung, die spezifischer ist als eine Routinginstanz-Übereinstimmung.

Sie können für eine Quellregel NAT Aktionen angeben:

• off: Führen Sie keine Quell-NAT.

• Pool: Verwenden Sie den angegebenen benutzerdefinierten Adressenpool zur Ausführung der NAT.

• Schnittstelle: Verwenden Sie die IP-Adresse der Ausgangsschnittstelle zur Ausführung der NAT.

Quell-NAT-Regeln werden auf Datenverkehr im ersten Paket angewendet, das für den Datenstrom oder über den schnellen Pfad für ALG verarbeitet wird. Die Quell-NAT-Regeln werden nach statischen NAT-Regeln, Ziel-NAT-Regeln und reverser Zuordnung statischer NAT-Regeln und nach der Suche nach Routen- und Sicherheitsrichtlinien verarbeitet.

Wenn die Zonen nicht mit Regelsatz konfiguriert sind und wenn aktive Quell-NAT mit einer fehlenden"-Anweisung "von" konfiguriert wird, wird bei der Commit-Ausführung "Fehlende Pflichtserklärung : 'from' Error: Configuration Check-out failed" angezeigt, und der Konfigurationscheck schlägt fehl.

In diesem Beispiel wird die Konfiguration von Quell-NAT zuordnungen mit mehreren Regeln beschrieben.

Ein NAT-Pool besteht aus einer benutzerdefinierten Gruppe von IP-Adressen, die für die Übersetzung verwendet werden. Im Gegensatz zur statischen NAT, bei der es eine 1:1-Zuordnung gibt, die die Adressenübersetzung des Ziels in eine Richtung und die Quell-IP-Adressenübersetzung in die umgekehrte Richtung umfasst, übersetzen Sie die Quell-IP-Adresse mit Quell-NAT in eine IP-Adresse im Adressenpool.

Geben Sie Network Address Translation (NAT) Adressenpools an:

• Name des Quell-NAT-Adressenpools.

• Bis zu acht Adress- oder Adressbereiche.

  Hinweis:

  Überschneiden Sie sich nicht NAT Adressen für Quell-NAT, Ziel-NAT und statische NAT in einer Routinginstanz.

• Routing-Instanz: Routinginstanz, zu der der Pool gehört (Standard ist die Haupt-Inet.0-Routinginstanz ).

• Port: Die Port Address Translation (PAT) für einen Quellpool. STANDARDMÄßIG wird PAT mit Quelldaten ausgeführt NAT. Wenn Sie die Option "Keine Übersetzung " angeben, ist die Anzahl der Hosts, die der Quell-Pool NAT unterstützen kann, auf die Anzahl von Adressen im Pool begrenzt. Wenn Sie angeben block-allocation, wird eine Blockierung von Ports für die Übersetzung zugewiesen, anstelle der einzelnen Ports. Wenn Sie angeben deterministic, werden eingehende (Quelle) IP-Adresse und Port immer der jeweiligen Zieladresse und Portblockierung auf der Basis eines vordefinierten deterministischen Algorithmus NAT zuordnen. Wenn Sie angeben port-overloading, können Sie die Portüberlastungskapazität in der NAT. Wenn Sie angeben range, können Sie einen Portnummernbereich, der jeder Adresse im Pool und dem Twin-Port-Bereich für Quell-Port-Pools NAT.

• Zusatzpool (optional): Pakete werden verworfen, wenn im angegebenen Quellpool keine Adressen NAT sind. Um zu verhindern, dass dies passiert, wenn die Port-Keine-Übersetzungsoption konfiguriert ist, können Sie einen Überlauf-Pool angeben. Sobald die Adressen des ursprünglichen NAT pools aufgebraucht sind, werden vom Überlaufpool IP-Adressen und Portnummern zugewiesen. Ein benutzerdefinierter Quellpool NAT oder eine Ausgangsschnittstelle kann als Überlaufpool verwendet werden. (Bei Verwendung des Überlaufpools wird die Pool-ID mit der Adresse zurückgegeben.)

• Verlagerung der IP-Adresse (optional): Durch Verschieben der IP-Adressen können verschiedene Quell-IP-Adressen anderen IP-Adressen oder einer einzelnen IP-Adresse zugeordnet werden. Geben Sie die Option mit der Hostadressenbasis und der Basisadresse des ursprünglichen IP-Quell-Adressbereichs an.

• Adressfreigabe (optional): Mehrere interne IP-Adressen können der gleichen externen IP-Adresse zugeordnet werden. Diese Option kann nur verwendet werden, wenn der NAT-Pool ohne Portübersetzung konfiguriert wurde. Geben Sie die address-shared Option an, wenn ein NAT-Pool über wenige externe IP-Adressen oder nur eine externe IP-Adresse verfügt. Bei einer n:1-Zuordnung erhöht diese Option die Ressourcen NAT und den Datenverkehr.

• Adresspooling (optional): Adresspooling kann als gekoppelt oder nicht gekoppelt konfiguriert werden. Geben address-pooling paired Sie für Anwendungen an, bei denen alle Sitzungen, die mit einer internen IP-Adresse verknüpft sind, für die Dauer einer Sitzung der gleichen externen IP-Adresse zugeordnet werden müssen. Dies unterscheidet sich persistent-address von der Option, in der dieselbe interne Adresse jedes Mal an dieselbe externe Adresse übersetzt wird. Geben address-pooling no-paired Sie für Anwendungen an, denen IP-Adressen im Rund um die Uhr zugewiesen werden können. Wenn ein Quelladressen-Pool address-pooling paired address-pooling no-paired mit PAT entweder oder für einen NAT-Pool konfiguriert ist, ist die Option für dauerhafte Adressen deaktiviert. Wenn address-shared sie auf einem Quell-Pool NAT PAT konfiguriert ist, dann persistent-address ist die Option aktiviert. Sowohl address-shared als auch address-pooling paired kann ohne PAT auf dem gleichen NAT-Pool konfiguriert werden.

• Alarm bei der Poolnutzung (optional): Wenn die Option für den Hochschwellwert für den Quell-NAT konfiguriert ist, wird eine SNMP-Trap ausgelöst, wenn die Source-NAT-Poolauslastung diesen Grenzwert überschreitet. Wenn Sie die optionale Option für klare Grenzwerte konfiguriert haben, wird eine SNMP-Trap ausgelöst, wenn die Quell-NAT diesen Schwellenwert unterschreitet. Wenn kein eindeutiger Schwellwert konfiguriert ist, wird er standardmäßig auf 80 Prozent des Grenzwertes festgelegt.

Sie können den Quellpoolbefehl "Security NAT Resource Usage " verwenden, um die Adressnutzung in einem Quell-NAT-Pool ohne PAT anzeigen und die Portverwendung in einem Quell-pool NAT PAT anzeigen.

Maximale Kapazitäten für Quellpools und IP-Adressen auf SRX1400-, SRX1500-, SRX3400-, SRX3600-, SRX4100-, SRX4200-, SRX5400-, SRX5600- und SRX5800-Geräten:

Die Erhöhung der Gesamtanzahl der für die Quell-NAT verwendeten IP-Adressen, entweder durch Erhöhung der Anzahl von Pools in der Konfiguration und/oder durch Erhöhung der Kapazität oder IP-Adressen pro Pool, nimmt den für die Portzuweisung erforderlichen Speicher auf. Wenn die NAT der Quell- und IP-Adressen erreicht werden, sollten Portbereiche neu zugewiesen werden. Das bedeutet, die Anzahl der Ports für jede IP-Adresse sollte gesenkt werden, wenn die Anzahl der IP-Adressen und NAT-Pools erhöht wird. So wird sichergestellt NAT dass sie nicht zu viel Speicherplatz verbrauchen.

In einem Quell-NAT-Pool für SRX5000-Geräte beispielsweise, wenn die Anzahl der IP-Adressen, die eine Portübersetzung unterstützen, die Grenze von 1M erreicht, beträgt die Gesamtanzahl der PAT-Ports 64G, was die 384M-Begrenzung überschreitet. Der Grund dafür ist, dass standardmäßig jede IP-Adresse 64.512 Ports unterstützt. Um sicherzustellen, dass die PAT-Portnummern die Kapazität enthalten, muss der Portbereich für jede IP so konfiguriert werden, dass die Gesamtanzahl von PAT-Ports verringert wird.

Verwenden Sie die range Optionen range twin-port auf der [edit security nat source pool port] Hierarchieebene, um einem neuen Portbereich oder Twin-Port-Bereich für einen bestimmten Pool zu zuweisen. Verwenden Sie die pool-default-port-range Optionen pool-default-twin-port-range in [edit security nat source] der Hierarchieebene, um den globalen Standard-Portbereich oder Twin-Port-Bereich für alle Quell-NAT anzugeben.

Beim Erhöhen der Quell- und NAT Port-Pools sollte auch das Konfigurieren des Portüberlastens sorgfältig durchgeführt werden.

Für einen Quellpool mit PAT in Reichweite (63.488 bis 65.535) werden zwei Ports gleichzeitig für RTP/RTCP-Anwendungen wie SIP, H.323 und RTSP zugewiesen. In diesen Szenarien unterstützt jede IP-Adresse PAT mit 2048 Ports (63.488 bis 65.535) für das ALG-Modul.

Die Portadressenübersetzung wird standardmäßig mit Quelladressen durchgeführt, NAT. Die Original-Quelladresse wird jedoch möglicherweise nicht für unterschiedlichen Datenverkehr, der von demselben Host stammt, in dieselbe IP-Adresse übersetzt. Die Quell-NAT-Option address-persistent stellt sicher, dass dieselbe IP-Adresse dem Quell-NAT-Pool für mehrere gleichzeitige Sitzungen zugewiesen wird.

Diese Option unterscheidet sich von der gekoppelten Address-Pooling-Option, bei der die interne Adresse beim Ersten und beim ersten Schritt im Pool einer externen Adresse zugeordnet und gegebenenfalls einer anderen externen Adresse für jede Sitzung zugeordnet werden kann.

In diesem Beispiel wird beschrieben, wie die Kapazität von Quell-NAT-Pools mit Port Address Translation (PAT) konfiguriert wird, wenn ein Standard-Portbereich nicht festgelegt ist oder Sie ihn außer Kraft setzen möchten. Für jede IP-Adresse werden Übersetzungen festgelegt. Wenn der Quellpool erhöht wird, sollten Ports neu zugewiesen werden, wenn die aktuelle Portnummer Einschränkungen überschreitet.

Wenn ein Host mehrere Sitzungen initiiert, die einer Richtlinie übereinstimmen, die NAT erfordert, und ihm eine IP-Adresse aus einem Quellpool zugewiesen wird, der die Portadressenübersetzung aktiviert hat, wird für jede Sitzung eine andere Quell-IP-Adresse verwendet.

Da für einige Anwendungen für jede Sitzung die gleiche Quell-IP-Adresse erforderlich ist, können Sie mit dieser Funktion allen Sitzungen, die mit einer internen IP-Adresse verknüpft sind, address-pooling paired die Zuordnung zur gleichen externen IP-Adresse für die Dauer der Sitzungen ermöglichen. Nach beenden der Sitzungen hört die Zuordnung zwischen der internen IP-Adresse und der externen IP-Adresse auf. Wenn das nächste Mal eine Sitzung vom Host initiiert wird, wird ihm möglicherweise eine andere IP-Adresse vom Pool zugewiesen.

Dies unterscheidet sich von der Funktion NAT address-persistent Source, bei der die Zuordnung statisch bleibt. Die gleiche interne IP-Adresse wird jedes Mal der gleichen externen IP-Adresse zugeordnet. Sie unterscheidet sich außerdem address-persistent von der Funktion, address-pooling paired die für einen bestimmten Pool konfiguriert wurde. Die address-persistent Funktion ist eine globale Konfiguration, die für alle Quellpools gilt.

Die Bedingungen für einen Quell- NAT-Regelsatz ermöglichen es Ihnen nicht, einen Adressbereich anzugeben. nur Adress-Präfixe können in einer Regel festgelegt werden. Bei der Konfiguration eines Quell-IP NAT Pools können Sie die Option angeben. Diese Option gibt die IP-Adresse an, host-base-address an der der ursprüngliche QUELL-IP-Adressbereich beginnt.

Der Bereich der originalen Quell-IP-Adressen, die übersetzt werden, wird von der Anzahl der Adressen im Quell-IP-Pool NAT ermittelt. Wenn der Quell-NAT-Pool beispielsweise einen Bereich von zehn IP-Adressen enthält, können bis zu zehn Quell-IP-Adressen mit einer angegebenen Basisadresse übersetzt werden. Diese Art der Übersetzung ist 1:1, statisch und ohne Port-Adressenübersetzung.

Die Übereinstimmungsbedingung in einer Quell-NAT-Regel kann einen größeren Adressbereich definieren, als den im Quell-NAT angegebenen. In einer Übereinstimmungsbedingung kann beispielsweise ein Adressen-Präfix angegeben werden, das 256 Adressen enthält. Der Quell-NAT-Pool kann jedoch möglicherweise einen Bereich von nur einigen IP-Adressen oder nur eine IP-Adresse enthalten. Die Quell-IP-Adresse eines Pakets kann mit einer Quell-IP NAT regel übereinstimmen. Wenn die Quell-IP-Adresse jedoch nicht innerhalb des im Quell-NAT-Pool angegebenen Adressbereichs liegt, wird die Quell-IP-Adresse nicht übersetzt.

In diesem Beispiel wird beschrieben, wie eine Quell-NAT zuordnung eines privaten Adressbereichs zu öffentlichen Adressen bei optionaler Verschiebung der Adresse konfiguriert wird. Diese Zuordnung besteht aus einer 1:1-Zuordnung zwischen den ursprünglichen IP-Quelladressen und den übersetzten IP-Adressen.

Durch Verwenden des Quellpools mit Port Address Translation (PAT) werden Junos OS Quell-IP-Adresse und Portnummer der Pakete übersetzt. Wenn PAT verwendet wird, können mehrere Hosts dieselbe IP-Adresse gemeinsam verwenden.

Junos OS verwaltet eine Liste mit zugewiesenen Portnummern, um zu unterscheiden, welche Sitzung zu welchem Host gehört. Wenn PAT aktiviert ist, können bis zu 63.488 Hosts eine einzelne IP-Adresse gemeinsam verwenden. Jeder Quellpool kann mehrere IP-Adressen, mehrere IP-Adressbereiche oder beides enthalten. Für einen Quellpool mit PAT kann Junos OS einem einzelnen Host unterschiedliche Adressen für unterschiedliche gleichzeitige Sitzungen zuweisen, es sei denn, der Quellpool oder der Junos OS verfügt über die persistente Adressfunktion oder die gekoppelte Adressenpoolfunktion.

Für den Quellpool der Schnittstelle und den Quellpool mit PAT ist der Bereich (1024, 65535) für die Zuordnung von Portnummer pro IP-Adresse verfügbar. Innerhalb des Bereichs (1024, 63487) wird ein Port gleichzeitig zugewiesen, und das für insgesamt 62.464 Ports. In einer Reichweite (63488, 65535) werden gleichzeitig zwei Ports für RTP/RTCP-Anwendungen wie SIP, H.323 und RTSP für insgesamt 2.048 Ports zugewiesen.

Wenn ein Host mehrere Sitzungen initiiert, die einer Richtlinie zugewiesen werden, die eine Netzwerkadressenübersetzung erfordert, und eine Adresse aus einem Quellpool mit PAT-Aktivierung zugewiesen wird, weist das Gerät für jede Sitzung eine andere Quell-IP-Adresse zu. Eine solche zufällige Adressenzuweisung kann für Services problematisch sein, die mehrere Sitzungen erstellen, für die für jede Sitzung die gleiche Quell-IP-Adresse erforderlich ist. Beispielsweise ist es wichtig, bei der Verwendung des AOL Instant Message (AIM)-Clients für mehrere Sitzungen die gleiche IP-Adresse zu haben.

Um sicherzustellen, dass der Router die gleiche IP-Adresse aus einem Quellpool einem Host für mehrere gleichzeitige Sitzungen zu weist, können Sie eine persistente IP-Adresse pro Router aktivieren. Um sicherzustellen, dass das Gerät dieselbe IP-Adresse über die Dauer einer sitzung aus einem Quellpool einem Host zuträgt, können Sie das gekoppelte Adressenpooling aktivieren.

In diesem Beispiel wird beschrieben, wie eine Quell-NAT eines privaten Adressblocks zu einem kleineren Block öffentlicher Adressen mithilfe von Portadressenübersetzung konfiguriert wird.

Wenn Sie einen Quellpool definieren, Junos OS standardmäßig PAT aktiviert. Zum Deaktivieren von PAT muss bei der Definition eines Quellpools keine Portübersetzung angegeben werden.

Bei Verwendung eines Quellpools ohne PAT führt Junos OS Source-Network Address Translation für die IP-Adresse aus, ohne PAT für die Quell-Portnummer vor. Anwendungen, für die eine bestimmte Quell-Portnummer festgelegt bleiben soll, müssen ohne PAT den Quellpool verwenden.

Der Quellpool kann mehrere IP-Adressen, mehrere IP-Adressbereiche oder beides enthalten. Für den Quellpool ohne PAT weist Junos OS für alle gleichzeitigen Sitzungen dem gleichen Host eine übersetzte Quelladresse zu, es sei denn, die Option zum Adressenpooling ohne gekoppelte Option ist aktiviert.

Die Anzahl der Hosts, die ein Quell-NAT ohne PAT unterstützen kann, ist auf die Anzahl von Adressen im Pool beschränkt. Wenn Sie einen Pool mit einer einzigen IP-Adresse haben, kann nur ein Host unterstützt werden, und der Datenverkehr von anderen Hosts wird blockiert, da keine Ressourcen verfügbar sind. Wenn eine einzelne IP-Adresse für einen Quell-NAT-Pool ohne PAT konfiguriert ist, wenn sich NAT-Ressourcenzuweisung nicht im Aktiv-Backup-Modus eines Gehäuseclusters befindet, wird der Datenverkehr über Knoten 1 blockiert.

Die Poolnutzung für jeden Quellpool ohne PAT wird berechnet. Sie können den Pool-Auslastungsalarm aktivieren, indem Sie Schwellenwerte für Alarme konfigurieren. Jedes Mal, wenn die Poolnutzung einen Schwellenwert überschreitet und eine Schwelle unterschreitet, wird eine SNMP-Falle ausgelöst.

In diesem Beispiel wird beschrieben, wie Sie eine Blockierung privater Adressen für eine einzige öffentliche Adresse in einem NAT-Pool ohne Port Address Translation konfigurieren.

In diesem Beispiel wird beschrieben, wie eine Quell-NAT eines privaten Adressblocks zu einem kleineren Block öffentlicher Adressen ohne Port-Adressenübersetzung konfiguriert wird.

Quell NAT pools ohne Portadressenübersetzung führen statische 1:1-Zuordnungen von einer Quell-IP-Adresse zu einer externen IP-Adresse durch. Wenn nur eine externe IP-Adresse vorhanden ist oder nur sehr wenige in einem Nicht-Pat-Pool vorhanden sind, address-shared können Sie mit dieser Option viele Quell-IP-Adressen einer externen IP-Adresse zuordnen, solange der Datenverkehr von verschiedenen Quell-Ports stammt.

Wenn beispielsweise ein Quell-NAT-Pool ohne Portübersetzung, der nur zwei IP-Adressen enthält, IP 1 und IP 2, wenn ein Paket von

1. Quelle IP 1, Port 1, wird in IP 1, Port 1 übersetzt.

2. Quelle IP 2, Port 2, wird in IP 2, Port 2 übersetzt.

3. Quelle IP 3, Port 1, wird in IP 2, Port 1 übersetzt. (Er kann nicht in IP 1 Port 1 übersetzt werden, da dieser Port bereits verwendet wird.

   Wenn jedoch ein anderes Paket von Source IP 3, Port 1 für eine andere Ziel-IP und einen anderen Port ankommt, kann es nicht in IP 1, Port 1 oder IP 2, Port 1 übersetzt werden, da Port 1 bereits für beide verfügbaren IP-Adressen verwendet wird. Die Sitzung wird ausfallen.

Mit dieser Option können NAT Ressourcen erhöht und die Einrichtung erfolgreich übertragener Daten verbessert werden. Sie kann nicht für Quell-NAT-Pools mit Port-Adressumsetzung verwendet werden, da Adressfreigabe bereits Standardverhalten ist.

Network Address Translation (NAT) Sitzungspersistenz dient als Mittel zum Beibehalten vorhandener Sitzungen, anstatt sie zu löschen, wenn Änderungen an der NAT vorhanden sind. Wenn die Sitzungspersistenz aktiviert ist, werden die beibehaltenen Sitzungen weiterverfolgen und Pakete weitergeleitet, da Zeit und Ressourcen optimal zum Neuaufbau der auswirkungsfähigen Sitzungen verwendet werden. Die Paketweiterleitung stoppt also selbst dann nicht, NAT Konfiguration für einige oder alle Sitzungen geändert wurde.

Ab Junos OS Veröffentlichung 18.3R1 scannt der Packet Forwarding Engine mit Unterstützung für die NAT-Sitzungspersistenz die Sitzungen und entscheidet, ob die Sitzungen behalten oder die Sitzungen entfernt werden sollen. In versionen vor Junos OS Veröffentlichung 18.3R1 werden die NAT-Sitzungen bei einer Änderung der Konfiguration NAT genehmigt.

Das Packet Forwarding Engine führt die folgenden zwei Arten von Scans durch, um zu entscheiden, ob Sitzungen beibehalten oder ablegen werden:

• Source NAT pool session persistence scan— Der Packet Forwarding Engine Vergleich der vorhandenen Sitzungs-IP-Adresse mit dem Adressbereich des Quellpools. Wenn sich die vorhandene IP-Adresse der Sitzung im angegebenen Adressbereich des Quellpools befindet, wird die Sitzung am Leben erhalten, andernfalls wird die Sitzung gelöscht.

• Source NAT rule session persistence scan— Der Packet Forwarding Engine verwendet die Regel-ID, um die Quell-IP-Adresse, den Quell-Port, die Ziel-IP-Adresse und den Zielport zwischen alten und neuen Konfigurationen zu vergleichen. Wenn die neuen und alten Konfigurationen identisch sind, bleibt die Sitzung am Leben, andernfalls wird die Sitzung geräumt.

NAT Sitzungspersistenz wird in den folgenden Szenarien nur für Quell NAT unterstützt:

• Quellpool: Ändern Sie einen Adressbereich in einem PAT-Pool (Port Address Translation).

• Quellregel: Ändern der Übereinstimmungsbedingungen für Adressbuch, Anwendung, Ziel-IP-Adresse, Ziel-Port, Quell-IP-Adresse und Ziel-Portinformationen.

Um die NAT Sitzungspersistenz zu aktivieren, fügen Sie die session-persistence-scan Anweisung auf der Hierarchieebene [edit security nat source] ein.

Sie können auch einen Timeout-Wert konfigurieren, um set security nat source session-drop-hold-down die Sitzungen für den angegebenen Zeitraum mithilfe des Befehlszeilenbefehls CLI beibehalten zu können. Der Wert der Option session-drop-hold-down reicht von 30 bis 28.800 Sekunden (acht Stunden). Die Sitzung läuft nach der konfigurierten Timeout-Zeitspanne ab.

Die Network Address Translation (NAT) ändert sich oft, um mehr Benutzer zu beherbergen und die kürzeste Route für die Übertragung des Datenverkehrs zu verbessern. Wenn aufgrund von Datenverkehrsumführungen eine Änderung an der Ausgangsschnittstelle vorhanden ist, können Sie den Befehl verwenden, set security flow enable-reroute-uniform-link-check nat um die vorhandene Konfiguration NAT und Regel beibehalten.

Wenn der Befehl enable-reroute-uniform-link-check nat aktiviert ist:

• Die Sitzung wird mit der vorhandenen NAT-Regel beibehalten, wenn sich die neue Ausgangsschnittstelle und die vorherige Ausgangsschnittstelle in derselben Sicherheitszone befinden und keine Änderungen in der übereinstimmungen NAT-Regel vorhanden sind oder vor und nach der Umleitung keine Regeln angewendet werden.

• Die Sitzung läuft ab, wenn sich die neue Ausgangsschnittstelle und die vorherige Ausgangsschnittstelle in derselben Sicherheitszone befinden und die gleiche NAT wird geändert.

Deaktivierter enable-reroute-uniform-link-check nat Befehl:

• Der Datenverkehr wird an die neue Ausgangsschnittstelle weitergeleitet, wenn sich die neue Ausgangsschnittstelle und die vorherige Ausgangsschnittstelle in der gleichen Sicherheitszone befinden.

Configuration

Verwenden Sie den folgenden Befehl, um die NAT einer vorhandenen Sitzung zu aktivieren, wenn eine Änderung der Ausgangsschnittstelle aufgrund einer Umleitung vorhanden ist:

[edit] user@host# set security flow enable-reroute-uniform-link-check natDie neue Konfiguration wird angewendet, wenn Sie die Konfigurationsänderungen commit.

Die enable-reroute-uniform-link-check nat command ist standardmäßig deaktiviert.

Limitations

Die Beibehaltung der NAT mit dem Befehl set security flow enable-reroute-uniform-link-check nat hat folgende Einschränkungen:

• Die TCP-Synchronisierung ermöglicht es der neuen Sitzung nicht, den Datenverkehr zu übertragen. Sie müssen die TCP-Synchronisierung deaktivieren, um die Übertragung von Datenverkehr in neuen Sitzungen zu ermöglichen.

• Wenn die Paketinformationen nach einem Drei-Wege-Handshake zur Initialisierung der Kommunikation eingeleitet werden, können die Paketinformationen verloren gehen. Sie müssen das Junos OS Services Framework (JSF) wie Anwendungsebene Gateway (ALG) deaktivieren, um die Übertragung von Datenverkehr in neuen Sitzungen zu ermöglichen.