Quell-NAT

Quell-NAT ist die Übersetzung der Quell-IP-Adresse eines Pakets, das das Gerät von Juniper Networks verlässt. Quell-NAT wird verwendet, um Hosts mit privaten IP-Adressen den Zugriff auf ein öffentliches Netzwerk zu ermöglichen.

Quell-NAT ermöglicht es, Verbindungen nur für ausgehende Netzwerkverbindungen – zum Beispiel von einem privaten Netzwerk zum Internet – zu initiieren. Quell-NAT wird üblicherweise verwendet, um die folgenden Übersetzungen durchzuführen:

• Übersetzen Sie eine einzelne IP-Adresse in eine andere Adresse (z. B. um einem einzelnen Gerät in einem privaten Netzwerk Zugriff auf das Internet zu bieten).

• Übersetzen Sie einen zusammenhängenden Adressblock in einen anderen Block von Adressen derselben Größe.

• Übersetzen Sie einen zusammenhängenden Adressblock in einen anderen, kleineren Adressblock.

• Übersetzen Sie einen zusammenhängenden Adressblock mithilfe von Portübersetzung in eine einzelne IP-Adresse oder einen kleineren Adressblock.

• Übersetzen Sie einen zusammenhängenden Adressblock in die Adresse der Ausgangsschnittstelle.

Die Übersetzung an die Adresse der Ausgangsschnittstelle erfordert keinen Adresspool. alle anderen Quell-NAT-Übersetzungen erfordern die Konfiguration eines Adresspools. One-to-One- und Many-to-Many-Übersetzungen für Adressblöcke gleicher Größe erfordern keine Portübersetzung, da für jede Adresse, die übersetzt werden würde, eine Adresse im Pool verfügbar ist.

Wenn die Größe des Adresspools kleiner ist als die Anzahl der Adressen, die übersetzt werden würden, muss entweder die Gesamtzahl der gleichzeitigen Adressen, die übersetzt werden können, durch die Größe des Adresspools begrenzt werden, oder die Portübersetzung muss verwendet werden. Wenn beispielsweise ein Block von 253 Adressen in einen Adresspool von 10 Adressen übersetzt wird, können maximal 10 Geräte gleichzeitig verbunden werden, es sei denn, es wird Portübersetzung verwendet.

Die folgenden Arten von Quell-NAT werden unterstützt:

• Übersetzung der ursprünglichen Quell-IP-Adresse in die IP-Adresse der Ausgangsschnittstelle (auch Schnittstellen-NAT genannt). Portadressenübersetzung wird immer durchgeführt.

• Übersetzung der ursprünglichen Quell-IP-Adresse in eine IP-Adresse aus einem benutzerdefinierten Adresspool ohne Port-Adressübersetzung. Die Zuordnung zwischen der ursprünglichen Quell-IP-Adresse und der übersetzten Quell-IP-Adresse ist dynamisch. Sobald jedoch eine Zuordnung vorhanden ist, wird dieselbe Zuordnung für dieselbe ursprüngliche Quell-IP-Adresse für neuen Datenverkehr verwendet, die mit derselben NAT-Regel übereinstimmt.

• Übersetzung der ursprünglichen Quell-IP-Adresse in eine IP-Adresse aus einem benutzerdefinierten Adresspool mit Port-Adressübersetzung. Die Zuordnung zwischen der ursprünglichen Quell-IP-Adresse und der übersetzten Quell-IP-Adresse ist dynamisch. Selbst wenn eine Zuordnung vorhanden ist, kann dieselbe ursprüngliche Quell-IP-Adresse in eine andere Adresse für neuen Datenverkehr übersetzt werden, die derselben NAT-Regel entspricht.

• Übersetzung der ursprünglichen Quell-IP-Adresse in eine IP-Adresse aus einem benutzerdefinierten Adresspool durch Verschieben der IP-Adressen. Diese Art von Übersetzung ist eins zu eins, statisch und ohne Portadressenübersetzung. Wenn der ursprüngliche Quell-IP-Adressbereich größer ist als der IP-Adressbereich im benutzerdefinierten Pool, werden nicht übersetzte Pakete gelöscht.

• Die Central Point-Architektur unterstützt keine Zentralen Punktsitzungen mehr. Daher muss NAT einen NAT-Tracker pflegen, um die IP-Adresse oder portzuordnung und -nutzung zu verfolgen. NAT-Tracker ist ein globales Array für SPU-Sitzungs-ID zu NAT-IP oder Portzuordnung, das zur Verwaltung von NAT-Ressourcen verwendet wird.

• Standardmäßig wird von der Services Processing Unit (SPU) im Abstand von einer Sekunde eine Meldung zum NAT-Regel-Alarm und Trap-Statistik-Zähler an den zentralen Punkt gesendet, anstatt die Statistiken basierend auf jedem Sitzungsauslöser im zentralen Punktsystem zu aktualisieren.

• Um eine bestimmte NAT-IP-Adresse oder einen bestimmten Port so zu unterstützen, dass der 5-Tupel-Hash nach NAT identisch mit dem ursprünglichen 5-Tupel-Hash vor NAT ist, wählen Sie einen NAT-Port aus, der durch die spezifische Berechnung denselben Hash wie der ursprüngliche Hash ergibt. Dadurch wird die Weiterleitungssitzung reduziert. Wenn NAT verwendet wird, wird der Reverse Wing auf eine andere SPU hashed. Eine Weiterleitungssitzung muss installiert werden, um den Umgekehrten Datenverkehr an eine Sitzungs-SPU weiterzuleiten. NAT versucht, einen Port auszuwählen, der vom Hash-Algorithmus verwendet werden kann, um den Reverse Wing auf dieselbe SPU wie der ursprüngliche Flügel zu hashen. Mit diesem Ansatz werden sowohl die NAT-Leistung als auch der Durchsatz verbessert.

• Um die NAT-Leistung zu verbessern, wird das IP-Shift-Pool-Management (Nicht-PAT-Pool) vom zentralen Punkt zur SPU verlagert, sodass alle lokalen NAT-Ressourcen für diesen Pool lokal verwaltet werden, anstatt die NAT-Anfrage an den zentralen Punkt zu senden. Dadurch werden IP-Adressen verschiebende NAT-Pool-Verbindungen pro Sekunde und der Durchsatz verbessert.

• Port-Zufallsmodus (Standard)
• Round-Robin-Modus
• Sitzungsaffinitätsmodus

• Zweck
• Aktion

In diesem Beispiel wird die Konfiguration einer Quell-NAT-Zuordnung privater Adressen zur öffentlichen Adresse einer Ausgangsschnittstelle beschrieben.

In diesem Beispiel wird die Konfiguration einer Quell-NAT-Zuordnung einer einzelnen privaten Adresse zu einer öffentlichen Adresse beschrieben.

In diesem Beispiel wird die Konfiguration von Quell- und Ziel-NAT-Zuordnungen beschrieben.

Quell-NAT-Regeln legen zwei Ebenen der Übereinstimmungsbedingungen fest:

• Datenverkehrsrichtung: Sie können Kombinationen von from interface, oder from zone, from routing-instance und to interface, to zoneoder . oder to routing-instance. . Sie können dieselben from und to Kontexte für verschiedene Regelsätze nicht konfigurieren.

• Paketinformationen: Können Quell- und Ziel-IP-Adressen oder Subnetzen, Quell-Portnummern oder Portbereiche, Ziel-Portnummern oder Portbereiche, Protokolle oder Anwendungen sein.

Für den gesamten ALG-Datenverkehr mit Ausnahme von FTP empfehlen wir, die source-port Regeloption nicht zu verwenden. Die Erstellung von Datensitzungen kann fehlschlagen, wenn diese Option verwendet wird, weil die IP-Adresse und der Quellportwert( ein zufälliger Wert) möglicherweise nicht mit der Regel übereinstimmen.

Darüber hinaus empfehlen wir, die Option bzw. die destination-port Option nicht als passende Bedingungen für den application ALG-Datenverkehr zu verwenden. Wenn diese Optionen verwendet werden, kann die Übersetzung fehlschlagen, weil der Portwert in der Anwendungsnutzlast möglicherweise nicht mit dem Portwert in der IP-Adresse übereinstimmt.

Wenn sich mehrere Quell-NAT-Regeln in den Übereinstimmungsbedingungen überschneiden, wird die spezifischste Regel ausgewählt. Wenn beispielsweise die Regeln A und B dieselben Quell- und Ziel-IP-Adressen angeben, Regel A jedoch den Datenverkehr von Zone 1 zu Zone 2 und Regel B den Datenverkehr von Zone 1 bis Schnittstelle ge-0/0/0 angibt, wird Regel B verwendet, um Quell-NAT auszuführen. Eine Schnittstellen-Übereinstimmung wird als spezifischer als eine Zonen-Übereinstimmung angesehen, die spezifischer ist als eine Übereinstimmung mit einer Routing-Instanz.

Die Aktionen, die Sie für eine Quell-NAT-Regel angeben können, sind:

• aus– Führen Sie keine Quell-NAT aus.

• pool: Verwenden Sie den angegebenen benutzerdefinierten Adressenpool, um Quell-NAT durchzuführen.

• Schnittstelle: Verwenden Sie die IP-Adresse der Ausgangsschnittstelle, um eine Quell-NAT durchzuführen.

Quell-NAT-Regeln werden auf den Datenverkehr im ersten Paket angewendet, das für den Datenstrom oder im Schnellen Pfad für die ALG verarbeitet wird. Quell-NAT-Regeln werden nach statischen NAT-Regeln, Ziel-NAT-Regeln und reverse Zuordnung statischer NAT-Regeln und nach Der Suche nach Routen- und Sicherheitsrichtlinien verarbeitet.

Wenn Zonen nicht unter Regelsatz konfiguriert sind und aktive Quell-NAT mit fehlender Pflichtaussage "von" konfiguriert ist, wird beim Commit "Fehlende Pflichtaussage: 'von' Fehler: Konfigurationsauscheck fehlgeschlagen" die folgende Meldung angezeigt, und die Konfigurationsauscheckung schlägt fehl.

In diesem Beispiel wird beschrieben, wie Sie Quell-NAT-Zuordnungen mit mehreren Regeln konfigurieren.

Ein NAT-Pool ist eine benutzerdefinierte Gruppe von IP-Adressen, die für die Übersetzung verwendet werden. Im Gegensatz zu statischem NAT, bei dem es eine 1-zu-eins-Zuordnung gibt, die die Ziel-IP-Adressübersetzung in eine Richtung und die Übersetzung der Quell-IP-Adressen in umgekehrter Richtung umfasst, übersetzen Sie mit Quell-NAT die ursprüngliche Quell-IP-Adresse in eine IP-Adresse im Adresspool.

Geben Sie für Source Network Address Translation (NAT)-Adresspools Folgendes an:

• Name des Quell-NAT-Adresspools.

• Bis zu acht Adress- oder Adressbereiche.

  Hinweis:

  Nat-Adressen für Quell-NAT, Ziel-NAT und statische NAT innerhalb einer Routing-Instanz dürfen nicht überschneiden.

• Routing-Instanz – Routing-Instanz, der der Pool angehört (der Standard ist die Haupt-inet.0-Routing-Instanz ).

• Port – Port Address Translation (PAT) für einen Quellpool. Standardmäßig wird PAT mit Quell-NAT durchgeführt. Wenn Sie die Option ohne Übersetzung angeben, ist die Anzahl der Hosts, die der Quell-NAT-Pool unterstützen kann, auf die Anzahl der Adressen im Pool beschränkt. Wenn Sie angeben block-allocation, wird ein Portblock für die Übersetzung zugewiesen, anstatt dass einzelne Ports zugewiesen werden. Wenn Sie angeben deterministic, werden eine eingehende (Quell-)IP-Adresse und ein Port basierend auf einem vordefinierten, deterministischen NAT-Algorithmus immer der spezifischen Zieladresse und dem Portblock zuzuordnen. Wenn Sie angeben port-overloading, können Sie die Portüberlastungskapazität in Quell-NAT konfigurieren. Wenn Sie angeben range, können Sie den an jede Adresse im Pool angefügten Portnummernbereich und den Twin-Port-Bereich für Quell-NAT-Pools angeben.

• Overflow-Pool (optional): Pakete werden gelöscht, wenn keine Adressen im vorgesehenen Quell-NAT-Pool verfügbar sind. Um dies zu verhindern, wenn die Option "Port ohne Übersetzung " konfiguriert ist, können Sie einen Überlaufpool angeben. Sobald die Adressen aus dem ursprünglichen Quell-NAT-Pool erschöpft sind, werden IP-Adressen und Portnummern aus dem Überlaufpool zugewiesen. Als Überlaufpool kann ein benutzerdefinierter Quell-NAT-Pool oder eine Ausgangsschnittstelle verwendet werden. (Wenn der Überlaufpool verwendet wird, wird die Pool-ID mit der Adresse zurückgegeben.)

• Verschiebung von IP-Adressen (optional): Durch Das Verschieben der IP-Adressen kann ein Bereich ursprünglicher IP-Adressen einem anderen Bereich von IP-Adressen oder einer einzelnen IP-Adresse zugeordnet werden. Geben Sie die Host-Address-Base-Option mit der Basisadresse des ursprünglichen Quell-IP-Adressbereichs an.

• Gemeinsame Nutzung von Adressen (optional): Mehrere interne IP-Adressen können derselben externen IP-Adresse zugeordnet werden. Diese Option kann nur verwendet werden, wenn der Quell-NAT-Pool ohne Portübersetzung konfiguriert ist. Geben Sie die address-shared Option an, wenn ein Quell-NAT-Pool über wenige externe IP-Adressen oder nur eine externe IP-Adresse verfügt. Mit einer Vielen-zu-eins-Zuordnung erhöhen die Verwendung dieser Option die NAT-Ressourcen und verbessert den Datenverkehr.

• Adresspooling (optional): Adresspooling kann als gekoppelt oder nicht gekoppelt konfiguriert werden. Geben Sie address-pooling paired für Anwendungen an, für die alle Sitzungen, die einer internen IP-Adresse zugeordnet sind, für die Dauer einer Sitzung derselben externen IP-Adresse zugeordnet werden müssen. Dies unterscheidet sich von der Option, bei der persistent-address dieselbe interne Adresse jedes Mal in dieselbe externe Adresse übersetzt wird. Geben Sie address-pooling no-paired für Anwendungen an, denen IP-Adressen im Round-Robin-Modus zugewiesen werden können. Wenn entweder address-pooling paired oder address-pooling no-paired für einen Quell-NAT-Pool mit PAT konfiguriert ist, ist die Option für dauerhafte Adressen deaktiviert. Wenn address-shared auf einem QUELL-NAT-Pool ohne PAT konfiguriert wird, ist die persistent-address Option aktiviert. Beides address-shared kann address-pooling paired auf demselben Quell-NAT-Pool ohne PAT konfiguriert werden.

• Poolauslastungsalarm (optional) – Wenn die Option "Raise-Threshold" für Quell-NAT konfiguriert ist, wird ein SNMP-Trap ausgelöst, wenn die Auslastung des Quell-NAT-Pools diesen Schwellenwert übersteigt. Wenn die optionale Option für klare Schwellenwerte konfiguriert ist, wird ein SNMP-Trap ausgelöst, wenn die Auslastung des Quell-NAT-Pools unter diesen Schwellenwert fällt. Wenn clear-threshold nicht konfiguriert ist, wird er standardmäßig auf 80 % des Schwellenwerts für die Erhöhung festgelegt.

Sie können den Befehl Show security nat resource usage source pool verwenden, um die Adressverwendung in einem Quell-NAT-Pool ohne PAT anzuzeigen und die Portnutzung in einem Quell-NAT-Pool mit PAT anzuzeigen.

Die maximalen Kapazitäten für Quellpools und IP-Adressen auf DEN Geräten SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX5400, SRX5600 und SRX5800 sind wie folgt:

Die Erhöhung der Gesamtzahl der für Quell-NAT verwendeten IP-Adressen, entweder durch Erhöhung der Anzahl der Pools in der Konfiguration und/oder durch Erhöhung der Kapazität oder IP-Adressen pro Pool, verbraucht den für die Portzuweisung erforderlichen Speicher. Wenn die Grenzen für Quell-NAT-Pool und IP-Adressen erreicht werden, sollten Portbereiche neu zugewiesen werden. Das heißt, die Anzahl der Ports für jede IP-Adresse sollte verringert werden, wenn die Anzahl der IP-Adressen und Quell-NAT-Pools erhöht wird. So wird sichergestellt, dass NAT nicht zu viel Speicher verbraucht.

Wenn beispielsweise in einem QUELL-NAT-Pool für SRX5000-Geräte die Anzahl der IP-Adressen, die Portübersetzung unterstützen, die Grenze von 1M erreicht, beträgt die Gesamtzahl der PAT-Ports 64G, was die 384-M-Begrenzung übersteigt. Dies liegt daran, dass standardmäßig jede IP-Adresse 64.512 Ports unterstützt. Um sicherzustellen, dass die PAT-Portnummern innerhalb der Kapazität liegen, muss der Portbereich für jede IP so konfiguriert werden, dass die Gesamtzahl der PAT-Ports verringert wird.

Verwenden Sie die range Optionen range twin-port auf Hierarchieebene [edit security nat source pool port] , um einem bestimmten Pool einen neuen Port- oder Twin-Port-Bereich zuzuweisen. Verwenden Sie die pool-default-port-range pool-default-twin-port-range Optionen auf [edit security nat source] Hierarchieebene, um den globalen Standard-Port- oder Twin-Port-Bereich für alle Quell-NAT-Pools anzugeben.

Die Konfiguration der Portüberlastung sollte auch sorgfältig durchgeführt werden, wenn Quell-NAT-Pools vergrößert werden.

Für einen Quellpool mit PAT im Bereich (63.488 bis 65.535) werden für RTP/RTCP-Anwendungen wie SIP, H.323 und RTSP gleichzeitig zwei Ports zugewiesen. In diesen Szenarien unterstützt jede IP-Adresse PAT und belegt 2048 Ports (63.488 bis 65.535) für die Verwendung des ALG-Moduls.

Standardmäßig wird die Portadressenübersetzung mit Quell-NAT durchgeführt. Eine originale Quelladresse darf jedoch nicht in dieselbe IP-Adresse für unterschiedlichen Datenverkehr übersetzt werden, der vom selben Host stammt. Die Quell-NAT-Option address-persistent stellt sicher, dass dieselbe IP-Adresse aus dem Quell-NAT-Pool einem bestimmten Host für mehrere gleichzeitige Sitzungen zugewiesen wird.

Diese Option unterscheidet sich von der kombinierten Option für Adresspooling, bei der die interne Adresse auf einer "First-Come-, First-Served"-Basis einer externen Adresse innerhalb des Pools zugeordnet wird und für jede Sitzung einer anderen externen Adresse zugeordnet werden kann.

In diesem Beispiel wird beschrieben, wie Sie die Kapazität von Quell-NAT-Pools mit Pat (Port Address Translation) konfigurieren, wenn kein Standardportbereich festgelegt ist oder Sie ihn überschreiben möchten. Für jede IP-Adresse werden Übersetzungen festgelegt. Wenn der Quellpool vergrößert wird, sollten Ports neu zugewiesen werden, wenn die aktuelle Portnummer die Einschränkungen überschreitet.

Wenn ein Host mehrere Sitzungen initiiert, die einer Richtlinie entsprechen, die NAT erfordert, und eine IP-Adresse aus einem Quellpool zugewiesen wird, der die Portadressenübersetzung aktiviert hat, wird für jede Sitzung eine andere Quell-IP-Adresse verwendet.

Da für einige Anwendungen für jede Sitzung dieselbe Quell-IP-Adresse erforderlich ist, können Sie die Funktion verwenden, um alle Sitzungen, die address-pooling paired einer internen IP-Adresse zugeordnet sind, für die Dauer der Sitzungen derselben externen IP-Adresse zuzuordnen. Wenn die Sitzungen beendet sind, endet die Zuordnung zwischen der internen und der externen IP-Adresse. Wenn der Host das nächste Mal eine Sitzung initiiert, kann ihm eine andere IP-Adresse aus dem Pool zugewiesen werden.

Dies unterscheidet sich von der Quell-NAT-Funktion address-persistent , die die Zuordnung statisch hält; dieselbe interne IP-Adresse wird jedes Mal derselben externen IP-Adresse zugeordnet. Es unterscheidet sich auch von der address-persistent Funktion, die address-pooling paired für einen bestimmten Pool konfiguriert ist. Die address-persistent Funktion ist eine globale Konfiguration, die für alle Quellpools gilt.

Die Übereinstimmungsbedingungen für einen Quell-NAT-Regelsatz erlauben es Ihnen nicht, einen Adressbereich anzugeben. in einer Regel dürfen nur Adresspräfixe angegeben werden. Wenn Sie einen Quell-NAT-Pool konfigurieren, können Sie die host-base-address Option angeben. Diese Option gibt die IP-Adresse an, an der der ursprüngliche Quell-IP-Adressbereich beginnt.

Der Bereich der originalen Quell-IP-Adressen, die übersetzt werden, wird durch die Anzahl der Adressen im Quell-NAT-Pool bestimmt. Wenn der Quell-NAT-Pool beispielsweise einen Bereich von zehn IP-Adressen enthält, können bis zu zehn originale Quell-IP-Adressen übersetzt werden, beginnend mit einer angegebenen Basisadresse. Diese Art von Übersetzung ist eins zu eins, statisch und ohne Portadressenübersetzung.

Die Übereinstimmungsbedingung in einer Quell-NAT-Regel kann einen größeren Adressbereich als den im Quell-NAT-Pool angegebenen definieren. Beispielsweise kann eine Übereinstimmungsbedingung ein Adresspräfix angeben, das 256 Adressen enthält, aber der Quell-NAT-Pool kann einen Bereich von nur wenigen IP-Adressen oder nur eine IP-Adresse enthalten. Die Quell-IP-Adresse eines Pakets kann mit einer Quell-NAT-Regel übereinstimmen, aber wenn die Quell-IP-Adresse nicht innerhalb des im Quell-NAT-Pool angegebenen Adressbereichs liegt, wird die Quell-IP-Adresse nicht übersetzt.

In diesem Beispiel wird die Konfiguration einer Quell-NAT-Zuordnung eines privaten Adressbereichs zu öffentlichen Adressen mit optionaler Adressverschiebung beschrieben. Diese Zuordnung erfolgt eins zu eins zwischen den ursprünglichen Quell-IP-Adressen und übersetzten IP-Adressen.

Mithilfe des Quellpools mit Port Address Translation (PAT) übersetzt Junos OS sowohl die Quell-IP-Adresse als auch die Portnummer der Pakete. Wenn PAT verwendet wird, können mehrere Hosts dieselbe IP-Adresse teilen.

Junos OS verwaltet eine Liste der zugewiesenen Portnummern, um zu unterscheiden, welche Sitzung zu welchem Host gehört. Wenn PAT aktiviert ist, können bis zu 63.488 Hosts eine einzige IP-Adresse teilen. Jeder Quellpool kann mehrere IP-Adressen, mehrere IP-Adressbereiche oder beides enthalten. Für einen Quellpool mit PAT kann Junos OS einem einzelnen Host für verschiedene gleichzeitige Sitzungen unterschiedliche Adressen zuweisen, es sei denn, der Quellpool oder Junos OS verfügt über die Funktion "Persistent Address" oder die funktion "Paired Address Pooling".

Für Schnittstellen-Quellpool und Quellpool mit PAT ist Bereich (1024, 65535) für die Zuordnung der Portnummern pro IP-Adresse verfügbar. Innerhalb des Bereichs (1024, 63487) wird jeweils ein Port für insgesamt 62.464 Ports zugewiesen. Im Bereich (63488, 65535) werden jeweils zwei Ports für RTP/RTCP-Anwendungen wie SIP, H.323 und RTSP für insgesamt 2.048 Ports zugewiesen.

Wenn ein Host mehrere Sitzungen initiiert, die einer Richtlinie entsprechen, die eine Übersetzung der Netzwerkadresse erfordert, und eine Adresse aus einem Quellpool zugewiesen wird, der PAT aktiviert hat, weist das Gerät für jede Sitzung eine andere Quell-IP-Adresse zu. Eine solche zufällige Adresszuweisung kann bei Services problematisch sein, die mehrere Sitzungen erstellen, die für jede Sitzung dieselbe Quell-IP-Adresse erfordern. Beispielsweise ist es wichtig, dieselbe IP-Adresse für mehrere Sitzungen zu haben, wenn sie den AOL Instant Message (AIM)-Client verwenden.

Um sicherzustellen, dass der Router dieselbe IP-Adresse aus einem Quellpool einem Host für mehrere gleichzeitige Sitzungen zuweist, können Sie eine persistente IP-Adresse pro Router aktivieren. Um sicherzustellen, dass das Gerät dieselbe IP-Adresse aus einem Quellpool für die Dauer einer einzelnen Sitzung einem Host zuweist, können Sie das gekoppelte Adresspooling aktivieren.

In diesem Beispiel wird beschrieben, wie Sie mithilfe von Portadressübersetzung eine Quell-NAT-Zuordnung eines privaten Adressblocks zu einem kleineren öffentlichen Adressblock konfigurieren.

Wenn Sie einen Quellpool definieren, aktiviert Junos OS standardmäßig PAT. Um PAT zu deaktivieren, müssen Sie beim Definieren eines Quellpools keine Portübersetzung angeben.

Wenn ein Quellpool ohne PAT verwendet wird, führt Junos OS eine Source Network Address Translation für die IP-Adresse durch, ohne eine PAT für die Quellportnummer auszuführen. Für Anwendungen, die erfordern, dass eine bestimmte Quell-Portnummer fest bleibt, müssen Sie den Quellpool ohne PAT verwenden.

Der Quellpool kann mehrere IP-Adressen, mehrere IP-Adressbereiche oder beides enthalten. Für Quellpool ohne PAT weist Junos OS demselben Host für alle seine gleichzeitigen Sitzungen eine übersetzte Quelladresse zu, es sei denn, die Option "Address-Pooling no-paired" ist aktiviert.

Die Anzahl der Hosts, die ein Quell-NAT-Pool ohne PAT unterstützen kann, ist auf die Anzahl der Adressen im Pool beschränkt. Wenn Sie über einen Pool mit einer einzigen IP-Adresse verfügen, kann nur ein Host unterstützt werden, und der Datenverkehr von anderen Hosts wird blockiert, da keine Ressourcen verfügbar sind. Wenn eine einzelne IP-Adresse für einen Quell-NAT-Pool ohne PAT konfiguriert wird, während sich die NAT-Ressourcenzuweisung in einem Chassis-Cluster nicht im aktiv-backup-Modus befindet, wird der Datenverkehr über Knoten 1 blockiert.

Die Poolnutzung für jeden Quellpool ohne PAT wird berechnet. Sie können den Alarm für die Poolauslastung aktivieren, indem Sie Alarmschwellenwerte konfigurieren. Jedes Mal, wenn die Poolnutzung einen Schwellenwert übersteigt und unter einen Schwellenwert geht, wird ein SNMP-Trap ausgelöst.

In diesem Beispiel wird beschrieben, wie Sie einen privaten Adressblock ohne Port Address Translation für eine einzelne öffentliche Adresse in einem Quell-NAT-Pool konfigurieren.

In diesem Beispiel wird beschrieben, wie Sie eine Quell-NAT-Zuordnung eines privaten Adressblocks zu einem kleineren öffentlichen Adressblock ohne Portadressübersetzung konfigurieren.

Quell-NAT-Pools ohne Portadressenübersetzung führen statische One-to-One-Zuordnungen von einer Quell-IP-Adresse zu einer externen IP-Adresse durch. Wenn nur eine externe IP-Adresse oder nur wenige in einem Source No-Pat-Pool verfügbar sind, können Sie mit der address-shared Option viele Quell-IP-Adressen einer externen IP-Adresse zuordnen, solange der Datenverkehr von verschiedenen Quell-Ports kommt.

Wenn es beispielsweise einen Quell-NAT-Pool ohne Portübersetzung gibt, der nur zwei IP-Adressen enthält, IP 1 und IP 2, wenn ein Paket von

1. Quell-IP 1, Port 1, übersetzt in IP 1, Port 1.

2. Quell-IP 2, Port 2, es wird in IP 2, Port 2 übersetzt.

3. Quell-IP 3, Port 1, es wird in IP 2, Port 1 übersetzt. (Er kann nicht in IP 1 Port 1 übersetzt werden, da dieser Port bereits verwendet wird.

   Wenn jedoch ein anderes Paket von Quell-IP 3, Port 1 für eine andere Ziel-IP und einen anderen Port ankommt, kann es nicht in IP 1, Port 1 oder IP 2, Port 1, Port 1, übersetzt werden, da Port 1 bereits für beide verfügbaren IP-Adressen verwendet wird. Die Sitzung schlägt fehl.

Diese Option erhöht die NAT-Ressourcen und verbessert die Möglichkeit, erfolgreichen übersetzten Datenverkehr einzurichten. Sie kann nicht in Quell-NAT-Pools mit Portadressenübersetzung verwendet werden, da die Adressfreigabe bereits standardmässig ist.

Die Persistenz der NAT-Sitzung (Network Address Translation) bietet eine Möglichkeit, vorhandene Sitzungen beizubehalten, anstatt sie zu löschen, wenn änderungen in der NAT-Konfiguration vorgenommen werden. Wenn die Sitzungspersistenz aktiviert ist, werden die beibehaltenen Sitzungen weiterhin Pakete verarbeiten und weiterleiten, während Zeit und Ressourcen optimal für die Wiederherstellung der betroffenen Sitzungen verwendet werden. Somit wird die Paketweiterleitung auch dann nicht beendet, wenn die NAT-Konfiguration für einige oder alle Sitzungen geändert wird.

Ab Junos OS Version 18.3R1 scannt die Packet Forwarding Engine mit Unterstützung für die Persistenz der NAT-Sitzung die Sitzungen und entscheidet, ob die Sitzungen beibehalten oder die Sitzungen löschen sollen. In Versionen vor Junos OS Version 18.3R1 werden die NAT-Sitzungen deaktiviert, wenn eine Änderung in der NAT-Konfiguration erfolgt.

Die Packet Forwarding Engine führt die folgenden zwei Arten von Scans durch, um zu entscheiden, ob Sitzungen beibehalten oder ablegen sollen:

• Source NAT pool session persistence scan— Die Packet Forwarding Engine vergleicht die vorhandene Sitzungs-IP-Adresse mit dem Quell-Pool-Adressbereich. Wenn sich die vorhandene Sitzungs-IP-Adresse im angegebenen Adressbereich des Quellpools befindet, wird die Sitzung am Leben gehalten, andernfalls wird die Sitzung deaktiviert.

• Source NAT rule session persistence scan— Die Packet Forwarding Engine verwendet die Regel-ID, um die Quell-IP-Adresse, den Quell-Port, die Ziel-IP-Adresse und den Ziel-Port zwischen der alten und der neuen Konfiguration zu vergleichen. Wenn die neuen und alten Konfigurationen identisch sind, wird die Sitzung am Laufen gehalten, andernfalls wird die Sitzung deaktiviert.

Die NAT-Sitzungspersistenz wird in den folgenden Szenarien nur für Quell-NAT unterstützt:

• Quellpool: Änderung in einem Adressbereich in einem Port Address Translation (PAT)-Pool.

• Quellregel: Ändern der Übereinstimmungsbedingungen für Adressbuch, Anwendung, Ziel-IP-Adresse, Ziel-Port, Quell-IP-Adresse und Ziel-Port-Informationen.

Um das Scannen der NAT-Sitzungspersistenz zu ermöglichen, fügen Sie die session-persistence-scan Anweisung auf [edit security nat source] Hierarchieebene ein.

Sie können mithilfe des Cli-Befehls auch einen Timeout-Wert konfigurieren, um die Sitzungen für den set security nat source session-drop-hold-down angegebenen Zeitraum beizubehalten. Der Wert der session-drop-hold-down Option reicht von 30 bis 28.800 Sekunden (acht Stunden). Die Sitzung läuft nach dem konfigurierten Timeout-Zeitraum ab.

Die Network Address Translation (NAT)-Konfiguration ändert sich oft, um mehr Benutzer zu unterstützen und den kürzesten Weg zur Übertragung des Datenverkehrs zu verbessern. Wenn sich die Ausgangsschnittstelle aufgrund des erneuten Routings des Datenverkehrs ändert, können Sie den set security flow enable-reroute-uniform-link-check nat Befehl verwenden, um die vorhandene NAT-Konfiguration und -Regel beizubehalten.

Wenn der enable-reroute-uniform-link-check nat Befehl aktiviert ist:

• Die Sitzung wird mit der vorhandenen NAT-Regel beibehalten, wenn sich die neue Ausgangsschnittstelle und die vorherige Ausgangsschnittstelle in derselben Sicherheitszone befinden und es keine Änderungen an der passenden NAT-Regel gibt oder wenn keine Regel vor und nach dem Rerouting angewendet wird.

• Die Sitzung läuft ab, wenn sich die neue Ausgangsschnittstelle und die vorherige Ausgangsschnittstelle in derselben Sicherheitszone befinden und die passende NAT-Regel geändert wird.

Wenn der enable-reroute-uniform-link-check nat Befehl deaktiviert ist:

• Der Datenverkehr wird an die neue Ausgangsschnittstelle weitergeleitet, wenn sich die neue Ausgangsschnittstelle und die vorherige Ausgangsschnittstelle in derselben Sicherheitszone befinden.

Configuration

Verwenden Sie den folgenden Befehl, um die NAT-Konfiguration für eine vorhandene Sitzung zu aktivieren, wenn eine Änderung in der Ausgangsschnittstelle aufgrund von Rerouting erfolgt:

[edit] user@host# set security flow enable-reroute-uniform-link-check natDie neue Konfiguration wird angewendet, wenn Sie die Konfigurationsänderungen festlegen.

Dies enable-reroute-uniform-link-check nat command ist standardmäßig deaktiviert.

Limitations

Die Beibehaltung der NAT-Konfiguration mit dem set security flow enable-reroute-uniform-link-check nat Befehl hat die folgenden Einschränkungen:

• Die TCP-Synchronisierung erlaubt es der neuen Sitzung nicht, den Datenverkehr zu übertragen. Sie müssen die TCP-Synchronisierung deaktivieren, um die Übertragung von Datenverkehr in neuen Sitzungen zu ermöglichen.

• Die Paketinformationen können verloren gehen, wenn eine Umleitung nach einem Drei-Wege-Handshake zur Initialisierung der Kommunikation eingeleitet wird. Sie müssen das Junos OS Services Framework (JSF) wie das Application Layer Gateway (ALG) deaktivieren, um die Übertragung des Datenverkehrs in neuen Sitzungen zu ermöglichen.