disable-natt (Services IPsec VPN)
Sintaxis
disable-natt;
Nivel jerárquico
[edit services ipsec-vpn],
Descripción
Antes de Junos OS versión 17.4R1, la traslación de direcciones de red (NAT-T) no era compatible con el conjunto de funciones IPsec de Junos VPN Site Secure en los enrutadores de la serie MX. En las versiones de Junos OS anteriores a 17.4R1, desactive NAT-traversal (NAT-T) cuando haya un dispositivo NAT presente entre dos puertas de enlace IPsec para hacer que se utilice el protocolo Carga de seguridad de encapsulación (ESP) para la encapsulación.
En las implementaciones de red tradicionales, IPsec no funciona cuando los paquetes atraviesan un dispositivo configurado para la traducción de direcciones de red (NAT) o la traducción de puertos de direcciones de red (NAPT) para traducir paquetes, IPsec no funciona cuando uno de los dispositivos o los dos dispositivos que terminan el túnel IPsec están detrás de un dispositivo NAT. Este comportamiento se produce porque NAT comprueba la información del puerto, que no está presente para el tráfico protegido por IPsec.
Cuando se configura NAT-T, el tráfico IPsec se encapsula mediante el encabezado UDP y se proporciona información de puerto para los dispositivos NAT. De forma predeterminada, Junos OS detecta si alguno de los túneles IPsec está detrás de un dispositivo NAT y cambia automáticamente al uso de NAT-T para el tráfico protegido. Sin embargo, en algunos casos, es posible que la compatibilidad con NAT-T en enrutadores de la serie MX que ejecuten una versión de Junos OS anterior a 17.4R1 no funcione como se desea. Además, es posible que necesite deshabilitar el recorrido NAT si sabe que la red usa NAT compatible con IPsec.
Para evitar problemas con NAT-T en los enrutadores de la serie MX, puede desactivar NAT-T. Cuando se deshabilita NAT-T, la funcionalidad NAT-T se desactiva globalmente. Además, incluso cuando hay un dispositivo NAT presente entre las dos puertas de enlace IPsec, solo se usa la encapsulación ESP cuando se deshabilita NAT-T.
Nivel de privilegio requerido
interfaz: para ver esta instrucción en la configuración.
interface-control: para agregar esta instrucción a la configuración.
Información de la versión
Instrucción introducida en Junos OS versión 16.1.