Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de la configuración de NAT

Descripción general de la configuración de traducción de direcciones de red

Para configurar la traducción de direcciones de red (NAT), siga estos pasos de alto nivel:

  1. Configure las direcciones de origen y destino. Para obtener más información, vea Configurar direcciones de origen y destino Información general sobre la traducción de direcciones de red.
  2. Defina las direcciones o prefijos, los intervalos de direcciones y los puertos utilizados para NAT. Para obtener más información, consulte Información general sobre la configuración de grupos de direcciones y puertos para la traducción de direcciones de red
  3. Si procede, configure los grupos de direcciones para la traducción de puertos de direcciones de red (NAPT). Para obtener más información, consulte Descripción general de la configuración de agrupaciones de direcciones para la traducción de puertos de direcciones de red (NAPT).
  4. Configure las reglas NAT. Dentro de las reglas, incluya instrucciones de coincidencia, condiciones de coincidencia, acciones y tipos de traducción. Para obtener más información, vea Descripción general de las reglas de traducción de direcciones de red.
  5. Configurar conjuntos de servicios para el procesamiento de NAT. Dentro de cada conjunto de servicios, defina las interfaces para controlar el tráfico entrante y saliente y una regla o conjunto de reglas NAT. Para obtener más información, vea Configurar conjuntos de servicios para la traducción de direcciones de red.

Información general sobre la configuración de direcciones de origen y destino Traducción de direcciones de red

Debe configurar una dirección específica, un prefijo o los límites del intervalo de direcciones:

  • Las siguientes direcciones, aunque sean válidas en inet.0, no se pueden utilizar para la traducción de NAT:

    • 0.0.0.0/32

    • 127.0.0.0/8 (circuito cerrado)

    • 128.0.0.0/16 (marciano)

    • 191.255.0.0/16 (marciano)

    • 192.0.0.0/24 (marciano)

    • 223.255.255.0/24 (marciano)

    • 224.0.0.0/4 (multidifusión)

    • 240.0.0.0/4 (reservado)

    • 255.255.255.255 (emisión)

    Las direcciones especificadas como válidas en la tabla de enrutamiento y no compatibles con la traducción NAT son orlonger tipos de inet.0 filtro coincidentes. No puede especificar ninguna región dentro de dichos prefijos de dirección en un grupo NAT.

  • En enrutadores serie MX con MS-MPC y MS-MIC, si configura un grupo de direcciones NAT con una longitud de prefijo igual o mayor que /16, la PIC no contiene memoria suficiente para aprovisionar el grupo configurado. Además, pueden producirse problemas de utilización de memoria si intenta configurar muchos grupos cuyas direcciones IP totales combinadas superen /16. En tales circunstancias, se genera un mensaje de registro del sistema que indica que no se pudo crear el nombre del grupo NAT y que el conjunto de servicios no está activado. En MS-MPC y MS-MIC, no debe configurar grupos NAT con longitudes de prefijo mayores o iguales a /16.

  • Puede especificar uno o varios prefijos de dirección IPv4 en la instrucción y en la pool from cláusula del término de la regla NAT. Esto permite configurar la traducción de origen de una subred privada a una subred pública sin definir un término de regla para cada dirección de la subred. La traducción de destino no se puede configurar mediante este método. Para obtener más información, consulte Ejemplos: configuración de reglas NAT.

  • Cuando configure NAT de origen estático, el tamaño del prefijo que configure en el nivel de jerarquía debe ser mayor que el intervalo de prefijos configurado en el address nivel de [edit services nat pool pool-name] source-address [edit services nat rule rule-name term term-name from] jerarquía. El source-address intervalo de prefijos también debe asignarse a una única subred o rango de direcciones IPv4 o IPv6 en la pool instrucción. Las direcciones de grupo que no sean utilizadas por el intervalo de source-address prefijos se dejan sin usar. Los grupos no se pueden compartir.

  • Cuando se configura un tamaño de prefijo de agrupación de direcciones NAT con la instrucción en el nivel de jerarquía [edit services nat pool nat-pool-name], las direcciones de subred y difusión no se incluyen en la address lista de direcciones IP utilizables. Por ejemplo, si usa address 10.11.12.0/28 en un grupo NAT, las direcciones 10.11.12.0 (dirección de subred) y 10.11.12.15 (dirección de difusión) no están disponibles.

Nota:

Cuando se incluye una configuración NAT que cambia las direcciones IP, puede afectar a las funciones de ruta de reenvío en otras partes de la configuración del enrutador, como el uso de clase de origen (SCU), el uso de clase de destino (DCU), el reenvío basado en filtros u otras características destinadas a direcciones IP o prefijos específicos.

La configuración de NAT también puede afectar al funcionamiento del protocolo de enrutamiento, ya que las direcciones de emparejamiento, vecino e interfaz del protocolo se pueden modificar cuando los paquetes de protocolos de enrutamiento transitan por la PIC de servicios adaptables (AS) o multiservicios.

Información general sobre la configuración de grupos de direcciones y puertos para la traducción de direcciones de red

Configuración de grupos NAT

Puede utilizar la instrucción para definir las direcciones (o prefijos), los intervalos de direcciones y los puertos utilizados para la traducción de direcciones de pool red (NAT). Para configurar la información, incluya la pool instrucción en el nivel de [edit services nat] jerarquía.

A partir de Junos OS versión 14.2, configure el grupo NAT de la siguiente manera. A partir de Junos OS versión 16.1, se admite la limit-ports-per-address instrucción.

En Junos OS versión 14.1 y anteriores, configure el grupo NAT de la siguiente manera:

Para configurar grupos para NAT tradicional, especifique un grupo de destino o un grupo de origen.

Con NAT de origen estático y NAT de origen dinámico, puede especificar varias direcciones IPv4 (o prefijos) y rangos de direcciones IPv4. Se pueden admitir hasta 32 prefijos o rangos de direcciones (o una combinación) dentro de un solo grupo.

Con NAT de destino estático, también puede especificar varios prefijos de dirección y rangos de direcciones en un solo término. Varios términos NAT de destino pueden compartir un grupo NAT de destino. Sin embargo, la máscara de red o el intervalo de la dirección debe ser menor o igual que la máscara de red o el intervalo de la from dirección del grupo de destino. Si define que el grupo sea mayor de lo necesario, no se usarán algunas direcciones. Por ejemplo, si define el tamaño del grupo como 100 direcciones y la regla especifica sólo 80 direcciones, no se utilizarán las últimas 20 direcciones del grupo.

Para conocer las restricciones de tipos de traducción específicos, consulte Descripción general de las reglas de traducción de direcciones de red.

Con NAT estático de origen, los prefijos y los intervalos de direcciones no pueden superponerse entre grupos independientes.

En un intervalo de direcciones, el valor debe ser un número menor que el low high valor. Cuando se configuran varios rangos de direcciones y prefijos, los prefijos se agotan primero, seguidos de los rangos de direcciones.

Cuando se especifica un puerto para NAT de origen dinámico, los intervalos de direcciones se limitan a un máximo de 65.000 direcciones, para un total de (65.000 x 65.535) o 4.259.775.000 flujos. Un grupo NAT dinámico sin traducción de puertos de direcciones admite hasta 65.535 direcciones. No hay límite en el tamaño del grupo para NAT de origen estático.

Preservar el rango y preservar la paridad

Puede configurar su NAT de grado de operador (CGN) para conservar el rango o la paridad del puerto de origen del paquete cuando asigna un puerto de origen para una conexión saliente. Puede configurar las opciones de conservar paridad y conservar rango en la definición del grupo NAT incluyendo las preserve-range instrucciones de configuración y en el nivel de preserve-parity [edit services nat pool poolname port] jerarquía.

La preservación del rango y la preservación de la paridad se admiten en los enrutadores serie MX con MS-DPC y en los enrutadores serie M con PIC multiservicios MS-100, MS-400 y MS-500. La conservación del intervalo y la preservación de la paridad se admiten en enrutadores serie MX con MS-MPC y MS-MICs a partir de Junos OS versión 15.1R1.

  • Conservar rango: RFC 4787, Requisitos de comportamiento de traducción de direcciones de red (NAT) para UDP de unidifusión, define dos rangos: 0 a 1023 y 1024 a 65.535. Cuando la preserve-range perilla está configurada y el puerto entrante cae en uno de estos rangos, CGN asigna un puerto solo de ese rango. Sin embargo, si no hay ningún puerto disponible en el intervalo, se produce un error en la solicitud de asignación de puertos y no se crea esa sesión. El error se refleja en los contadores y el registro del sistema, pero no se genera ningún mensaje del Protocolo de mensajes de control de Internet (ICMP). Si esta perilla no está configurada, la asignación se basa en el intervalo de puertos configurado sin tener en cuenta el intervalo de puertos que contiene el puerto entrante. La excepción son algunas puertas de enlace de nivel de aplicación (ALG), como hola, que tienen zonas especiales.

  • Conservar paridad: cuando se configura el knob, CGN asigna un puerto con la misma paridad par o impar que el preserve-parity puerto entrante. Si el número de puerto entrante es par o impar, el número de puerto de salida debe ser par o impar. Si no hay disponible un número de puerto de la paridad deseada, se produce un error en la solicitud de asignación de puertos, no se crea la sesión y se descarta el paquete.

Especificación de prefijos de origen y destino sin configurar un grupo

Puede especificar directamente el destino o el prefijo de origen utilizado en NAT sin configurar un grupo.

Para configurar la información, incluya la rule instrucción en el nivel de [edit services nat] jerarquía:

Descripción general de las reglas de traducción de direcciones de red

Para configurar una regla NAT, incluya la rule rule-name instrucción en el nivel de [edit services nat] jerarquía:

Cada regla debe incluir una match-direction instrucción que especifique la dirección en la que se aplica la coincidencia.

Nota:

Los enrutadores de la serie ACX solo input admiten como dirección de coincidencia.

Además, cada regla NAT consta de un conjunto de términos, similar a un filtro de firewall. Un término consiste en lo siguiente:

  • from instrucción: especifica las condiciones de coincidencia y las aplicaciones que se incluyen y excluyen.

  • then instrucción: especifica las acciones y los modificadores de acciones que debe realizar el software del enrutador.

En las secciones siguientes se explica cómo se explican los componentes de las reglas NAT:

Configuración de la dirección de coincidencia para reglas NAT

Cada regla debe incluir una match-direction instrucción que especifique la dirección en la que se aplica la coincidencia. Para configurar dónde se aplica la coincidencia, incluya la match-direction instrucción en el nivel de [edit services nat rule rule-name] jerarquía:

La dirección de coincidencia se utiliza con respecto al flujo de tráfico a través de los DPC de multiservicios y las PIC de multiservicios. Cuando se envía un paquete al PIC, la información de dirección se lleva junto con él. La dirección del paquete se determina en función de los siguientes criterios:

  • Con un conjunto de servicios de interfaz, la dirección del paquete viene determinada por si un paquete entra o sale de la interfaz en la que se aplica el conjunto de servicios.

  • Con un conjunto de servicios del salto siguiente, la dirección del paquete viene determinada por la interfaz utilizada para enrutar el paquete al DPC multiservicios o a la PIC multiservicios. Si se utiliza la interfaz interna para enrutar el paquete, se ingresará la dirección del paquete. Si se utiliza la interfaz externa para dirigir el paquete a la PIC o DPC, se generará la dirección del paquete. Para obtener más información acerca de las interfaces internas y externas, consulte Configuración de conjuntos de servicios para aplicarlos a interfaces de servicios.

  • En el DPC multiservicios y PIC multiservicios, se realiza una búsqueda de flujo. Si no se encuentra ningún flujo, se realiza el procesamiento de reglas. Se tienen en cuenta todas las reglas del conjunto de servicios. Durante el procesamiento de reglas, la dirección del paquete se compara con las instrucciones de la regla. Solo se consideran las reglas con información de dirección que coincida con la dirección del paquete.

Configuración de condiciones de coincidencia en reglas NAT

Para configurar condiciones de coincidencia de NAT, incluya la instrucción en el nivel de from [edit services nat rule rule-name term term-name] jerarquía:

Para configurar NAT tradicional, puede usar la dirección de destino, un rango de direcciones de destino, la dirección de origen o un rango de direcciones de origen como condición de coincidencia, de la misma manera que configuraría un filtro de firewall; para obtener más información, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.

Como alternativa, puede especificar una lista de prefijos de origen o destino incluyendo la instrucción en el [edit policy-options] nivel de jerarquía y, a continuación, incluyendo la instrucción o source-prefix-list en la prefix-list destination-prefix-list regla NAT. Para obtener un ejemplo, consulte Ejemplos: Configuración de reglas de firewall con estado.

Si la instrucción de la instrucción de la regla NAT se establece en , el intervalo especificado por o destination-address-range el en la instrucción debe estar dentro del intervalo especificado por la instrucción en stateful-nat-64la from then translation-type then destination-prefix instrucción.destination-prefix-list

Si al menos un término NAT dentro de una regla NAT tiene habilitada la funcionalidad de agrupación de direcciones emparejadas (APP) (mediante la inclusión de la instrucción en el nivel de jerarquía), todos los demás términos de la regla NAT que usan el mismo grupo de address-pooling direcciones NAT que el grupo de direcciones para el [edit services nat rule rule-name term term-name then translated] término con APP habilitada deben tener APP habilitada. De lo contrario, si agrega un término de regla NAT sin habilitar APP a una regla que contiene otros términos con APP habilitada, todos los términos con APP habilitada en una regla NAT eliminan los flujos de tráfico que coinciden con los criterios especificados en la regla NAT.

Para enrutadores serie MX con MS-MICs y MS-MPCs, aunque la funcionalidad de agrupación de direcciones emparejadas (APP) está habilitada dentro de una regla NAT (mediante la inclusión de la address-pooling instrucción en el [edit services nat rule rule-name term term-name then translated] nivel de jerarquía), es una característica de un grupo NAT. Un grupo de NAT para el que APP está habilitada no se puede compartir con reglas NAT que no tengan configurada APP.

Al configurar NAT, si algún tráfico está destinado a las siguientes direcciones y no coincide con un flujo NAT o una regla NAT, el tráfico se descarta:

  • Direcciones especificadas en la instrucción cuando se utiliza la from destination-address traducción de destino

  • Direcciones especificadas en el grupo NAT de origen cuando se usa la traducción de origen

Configuración de acciones en reglas NAT

Para configurar acciones NAT, incluya la then instrucción en el nivel de [edit services nat rule rule-name term term-name] jerarquía:

  • La no-translation instrucción le permite especificar las direcciones que desea excluir de NAT.

    La no-translation instrucción se admite en enrutadores serie MX con MS-DPC y en enrutadores serie M con PIC multiservicios MS-100, MS-400 y MS-500. La no-translation instrucción se admite en enrutadores de la serie MX con MS-MPC y MS-MIC a partir de Junos OS versión 15.1R1.

  • La system log instrucción le permite registrar una alerta en el servicio de registro del sistema.

  • Las destination-poolinstrucciones , , source-pooly especifican la información de direccionamiento que se define incluyendo la instrucción en el nivel de jerarquía; para obtener más información, destination-prefixconsulte Información general sobre la pool configuración de grupos de direcciones ysource-prefix puertos para la [edit services nat] traducción de direcciones de red.

  • La translation-type instrucción especifica el tipo de NAT utilizada para el tráfico de origen o destino. Las opciones son basic-nat-pt, , , , dynamic-nat44dnat-44, , , napt-ptnapt-44napt-66basic-nat66basic-nat44stateful-nat64twice-basic-nat-44stateful-nat464 twice-dynamic-nat-44y .twice-napt-44

Nota:

En Junos OS versión 13.2 y anteriores, la CLI no aplicaba la siguiente restricción: si la instrucción de la then instrucción de una regla NAT se establecía en , el intervalo especificado por o destination-address-range el destination-prefix-list en la instrucción debía estar dentro del intervalo especificado por la instrucción en stateful-nat-64la then translation-type from destination-prefix instrucción. A partir de Junos OS versión 13.3R1, se aplica esta restricción.

Configuración de tipos de traducción

Los detalles de implementación de las nueve opciones de la translation-type declaración son los siguientes:

  • basic-nat44: esta opción implementa la traducción estática de direcciones IP de origen sin asignación de puertos. Debe configurar la instrucción en la condición de coincidencia para la from source-address regla. El tamaño del intervalo de direcciones especificado en la instrucción debe ser igual o menor que el grupo de origen. Debe especificar un grupo de origen o un prefijo de destino. El grupo al que se hace referencia puede contener varias direcciones, pero no puede especificar puertos para la traducción.

    Nota:

    En un conjunto de servicios de interfaz, todos los paquetes destinados a la dirección de origen especificada en la condición de coincidencia se enrutan automáticamente a la PIC de servicios, incluso si no hay ningún conjunto de servicios asociado con la interfaz.

    Nota:

    Antes de Junos OS versión 11.4R3, solo se podía utilizar un grupo NAT de origen en un único conjunto de servicios. A partir de Junos OS versión 11.4R3 y versiones posteriores, puede reutilizar un grupo NAT de origen en varios conjuntos de servicios.

  • basic-nat66—Esta opción implementa la traducción estática de direcciones IP de origen sin asignación de puertos en redes IPv6. La configuración es similar a la basic-nat44 implementación, pero con direcciones IPv6.

    La basic-nat66 opción no está disponible si utiliza MS-MPC o MS-MIC.

  • basic-nat-pt: esta opción implementa la traducción de direcciones de hosts IPv6, ya que originan sesiones a hosts IPv4 en un dominio externo y viceversa. Esta opción siempre se implementa con DNS ALG. Debe definir los grupos de direcciones IPv4 de origen y destino. Debe configurar una regla y definir dos términos. Configure las direcciones IPv6 de la from instrucción en ambas term instrucciones. En la instrucción del primer término dentro de la then regla, haga referencia a los grupos de origen y destino y configure dns-alg-prefix. Configure el prefijo de origen en la instrucción del segundo término dentro de la then misma regla.

    La basic-nat-pt opción no está disponible si utiliza MS-MPC o MS-MIC.

  • deterministic-napt44: esta opción implementa la asignación basada en algoritmos de bloques de puertos de destino y direcciones IP. Esto garantiza que una dirección IP entrante (fuente) y un puerto siempre se asignen a la misma dirección IP y puerto de destino, eliminando así la necesidad del registro de traducción de direcciones. Cuando utilice deterministic-napt44, también debe utilizar deterministic-port-block-allocation en el nivel de [edit services nat pool poolname port] jerarquía.

    La deterministic-napt44 opción se admite en enrutadores serie MX con MS-DPC y en enrutadores serie M con PIC multiservicios MS-100, MS-400 y MS-500. La deterministic-napt44 opción si utiliza enrutadores serie MX con MS-MPC o MS-MIC solo se admite en la versión 14.2R7 y 14.2 posteriores y en las versiones 15.1R3 y 15.1 posteriores.

  • dnat-44: esta opción implementa la traducción estática de direcciones IP de destino sin asignación de puertos. El tamaño del espacio de direcciones del grupo debe ser mayor o igual que el espacio de direcciones de destino. Debe especificar un nombre para la destination pool instrucción. El grupo al que se hace referencia puede contener varias direcciones, intervalos o prefijos, siempre que el número de direcciones NAT del grupo sea mayor que el número de direcciones de destino de la from instrucción. Debe incluir exactamente un valor en el nivel de jerarquía; si se trata de un destination-address prefijo, el tamaño debe ser menor o igual que el [edit services nat rule rule-name term term-name from] tamaño del prefijo del grupo. Las direcciones del grupo que no coincidan en el valor permanecen sin usar, ya que un grupo no se puede compartir entre varios términos o reglas.

  • dynamic-nat44: esta opción implementa la traducción dinámica de direcciones IP de origen sin asignación de puertos. Debe especificar un source-poolarchivo . El grupo al que se hace referencia debe incluir una address configuración (para la traducción de solo dirección).

    La dynamic-nat44 opción de solo dirección admite la traducción de hasta 16.777.216 direcciones a un grupo de tamaño más pequeño. Las solicitudes del intervalo de direcciones de origen se asignan a las direcciones del grupo hasta que el grupo se agota y se rechazan las solicitudes adicionales. Se utiliza una dirección NAT asignada a un host para todas las sesiones simultáneas de ese host. La dirección se libera al grupo solo después de que expiren todas las sesiones para ese host. Esta característica permite que el enrutador comparta algunas direcciones IP públicas entre varios hosts privados. Debido a que es posible que todos los hosts privados no creen sesiones simultáneamente, pueden compartir algunas direcciones IP públicas.

  • napt-44: esta opción implementa la traducción dinámica de direcciones IP de origen con asignación de puertos. Debe especificar un nombre para la source-pool instrucción. El grupo al que se hace referencia debe incluir una port configuración. Si el puerto está configurado como automático o se especifica un intervalo de puertos, implica que se utiliza la traducción de puertos de direcciones de red (NAPT).

  • napt-66: esta opción implementa la traducción dinámica de direcciones IP de origen con asignación de puertos para direcciones IPv6. La configuración es similar a la napt-44 implementación, pero con direcciones IPv6.

    La napt-66 opción no está disponible si utiliza MS-MPC o MS-MIC.

  • napt-pt: esta opción implementa la traducción dinámica de direcciones y puertos para la traducción estática y de origen de la dirección IP de destino. Debe especificar un nombre para la source-pool instrucción. El grupo al que se hace referencia debe incluir una configuración de puerto (para NAPT). Además, debe configurar dos reglas, una para el tráfico DNS y la otra para el resto del tráfico. La regla destinada al tráfico DNS debe estar habilitada para DNS ALG y la dns-alg-prefix instrucción debe estar configurada. Además, el prefijo configurado en la instrucción debe utilizarse en la dns-alg-prefix segunda regla para traducir las direcciones IPv6 de destino en direcciones IPv4.

    La napt-pt opción no está disponible si utiliza MS-MPC o MS-MIC.

  • stateful-nat464—Esta opción implementa la traducción de direcciones 464XLAT Provider-Side Translater (PLAT) para las direcciones IP de origen y la traducción de eliminación del prefijo IPv6 para las direcciones IPv4 de destino. Debe especificar las direcciones IPv4 utilizadas para la traducción en el nivel jerárquico [edit services nat pool]. Se debe hacer referencia a este grupo en la regla que traduce las direcciones IPv6 a IPv4.

    La stateful-nat464 opción solo está disponible si utiliza MS-MPC o MS-MIC y se admite a partir de Junos OS versión 17.1R1.

  • stateful-nat64: esta opción implementa la traducción dinámica de direcciones y puertos para las direcciones IP de origen y la traducción de eliminación de prefijos para las direcciones IP de destino. Debe especificar las direcciones IPv4 utilizadas para la traducción en el nivel jerárquico [edit services nat pool] . Se debe hacer referencia a este grupo en la regla que traduce las direcciones IPv6 a IPv4.

  • twice-basic-nat-44: esta opción implementa la traducción estática de origen y destino estático para direcciones IPv4, combinándose basic-nat44 así para direcciones de origen y dnat-44 de destino.

    La twice-basic-nat-44 opción se admite en MS-DPC y MS-100, MS-400 y MS-500 MultiServices PICS. La twice-basic-nat-44 opción se admite en MS-MPC y MS-MIC a partir de Junos OS versión 15.1R1.

  • twice-dynamic-nat-44: esta opción implementa la traducción dinámica de origen y estática de destino para direcciones IPv4, combinando dynamic-nat44 direcciones de origen y dnat-44 de destino.

    La twice-dynamic-nat-44 opción se admite en MS-DPC y MS-100, MS-400 y MS-500 MultiServices PICS. La twice-dynamic-nat-44 opción se admite en MS-MPC y MS-MIC a partir de Junos OS versión 15.1R1.

  • twice-napt-44—Esta opción implementa la traducción estática NAPT de origen y destino para direcciones IPv4, combinando napt-44 direcciones de origen y dnat-44 de destino.

    La twice-napt-44 opción se admite en MS-DPC y MS-100, MS-400 y MS-500 MultiServices PICS. La twice-napt-44 opción se admite en MS-MPC y MS-MIC a partir de Junos OS versión 15.1R1.

Para obtener más información sobre los métodos NAT, consulte RFC 2663, Terminología y consideraciones del Traductor de direcciones de red IP (NAT).

Configuración de reglas NAT para el paso a través de IPsec para pares que no son NAT-T

Antes de Junos OS versión 17.4R1, la traslación de direcciones de red (NAT-T) no era compatible con el conjunto de funciones IPsec de Junos VPN Site Secure en los enrutadores de la serie MX. A partir de Junos OS versión 14.2R7, 15.1R5, 16.1R2 y 17.1R1, puede pasar paquetes IKEv1 e IPsec a través de reglas NAPT-44 y NAT64 entre pares IPsec que no sean compatibles con NAT-T. Solo se admite el modo de túnel ESP. Esta característica solo se admite en MS-MPC y MS-MIC.

Para configurar reglas NAT para el paso a través de IPsec para NAPT-44 o NAT64:

  1. Configure una aplicación IKE ALG. Consulte Configuración de las propiedades de la aplicación.

  2. Agregue la aplicación a un conjunto de aplicaciones. Consulte Configuración de conjuntos de aplicaciones.

  3. Configure un grupo NAT. Consulte Descripción general de la configuración de grupos de direcciones y puertos para la traducción de direcciones de red.

  4. Configure la regla NAT:

    1. Configure una dirección de coincidencia para la regla. Consulte Configuración de la dirección de coincidencia para reglas NAT.

    2. Configure una de las condiciones coincidentes para que sea el conjunto de aplicaciones para el paso a través de IKE e IPsec que configuró en el paso 2.

    3. Configure otras condiciones de coincidencia. Consulte Configuración de condiciones de coincidencia en Reglas NAT.

    4. Configure el tipo de traducción como NAPT-44 o NAT64.

    5. Configure otras acciones NAT. Consulte Configuración de acciones en reglas NAT.

  5. Asigne la regla NAT a un conjunto de servicios.

Protección de dispositivos CGN contra ataques de denegación de servicio (DOS)

Ahora puede elegir opciones de configuración que ayuden a prevenir o minimizar el efecto de los intentos de ataques de denegación de servicio (DOS).

Comportamiento de actualización de asignación

Antes de la implementación de las nuevas opciones para configurar el comportamiento de actualización de la asignación NAT, descritas en este tema, se mantenía viva una conversación cuando los flujos entrantes o salientes estaban activos. Este sigue siendo el comportamiento predeterminado. Ahora también puede especificar la actualización de la asignación solo para los flujos entrantes o solo para los flujos salientes. Para configurar el comportamiento de actualización de la asignación, incluya la mapping-refresh (inbound | outbound | inbound-outbound) instrucción en el nivel de [edit services nat rule rule-name term term-name then translated secure-nat-mapping] jerarquía.

Límite de flujo entrante del FEI

Previamente. el número de conexiones entrantes en una asignación del MIM estaba limitado únicamente por los flujos máximos permitidos en el sistema. Ahora puede configurar el número de flujos entrantes permitidos para un EIF. Para limitar el número de conexiones entrantes en una asignación de FEI, incluya la eif-flow-limit number-of-flows instrucción en el [edit services nat rule rule-name term term-name then translated secure-nat-mapping] nivel de jerarquía.

Implementación de NAT de grado de operador: mejores prácticas

En los temas siguientes se presentan las prácticas recomendadas para la implementación de NAT carrier-grade:

Usar la asignación de direcciones por turnos cuando se usa la aplicación con MS-DPC

Práctica recomendada:

Si usa un MS-DPC y configura la agrupación de direcciones emparejadas (APP) en una regla NAT, debe usar la asignación de direcciones por turnos para el grupo NAT.

La función APP asigna una dirección IP privada a la misma dirección IP pública en un grupo NAT para todas las sesiones NAT para esa dirección IP privada.

La asignación secuencial de direcciones para grupos NAT es la predeterminada en MS-DPC y asigna todos los puertos para una dirección IP pública antes de asignar la siguiente dirección IP. La asignación secuencial, junto con APP, puede dar como resultado la asignación de varios hosts privados a la misma dirección IP pública, lo que resulta en un rápido agotamiento del puerto para una dirección IP pública, mientras que otros puertos siguen estando disponibles desde las direcciones IP restantes en el grupo NAT.

La asignación por turnos, por otro lado, asigna la siguiente dirección IP en el grupo NAT a la siguiente dirección IP privada que necesita traducción, lo que reduce la posibilidad de que todos los puertos para una dirección IP pública se agoten.

Para obtener más información acerca de la APP y la asignación de direcciones por turn-robin, consulte Configuración de grupos de direcciones para la traducción de puertos de direcciones de red (NAPT).

Nota:

El MS-MPC y el MS-MIC solo usan la asignación por turnos.

En el ejemplo siguiente se muestra la asignación de direcciones por turnos.

Utilice la función EIM solo cuando sea necesario

Práctica recomendada:

No utilice la asignación independiente de puntos de conexión (EIM) en términos de regla NAT que incluyan ALG de Junos. EIM asigna la misma dirección NAT externa y el mismo puerto para una sesión específica desde un host privado, pero agrega sobrecarga de procesamiento. EIM no proporciona ningún beneficio para ninguno de los ALG de Junos, que ya emplean la funcionalidad utilizada por EIM.

Práctica recomendada:

Habilite EIM para aplicaciones que reutilizan los puertos de origen y dependen de un dispositivo CGNAT para mantener la misma dirección y asignación de puertos para todo el tráfico enviado a diferentes destinos. Por ejemplo, use EIM para aplicaciones de juegos de consola como Xbox y PS4 o aplicaciones que usan métodos unilaterales de fijación de autodirección (UNSAF). Consulte (IETF RFC 3424 IAB Considerations for Unilateral Self-Address Fixing (UNSAF) Across Network Address Translation).

Para obtener más información acerca de EIM, consulte Descripción general de la configuración de agrupaciones de direcciones para la traducción de puertos de direcciones de red (NAPT).

En el siguiente ejemplo se utiliza el ALG SIP de Junos en la regla NAT, por lo que no se utiliza EIM.

Definir tamaños de bloque de asignación de bloques de puerto en función del número esperado de sesiones de usuario

Práctica recomendada:

Para la asignación segura de bloques de puertos y la asignación de bloques de puertos determinista, defina un tamaño de bloque de asignación de bloques de puerto que sea de 2 a 4 veces mayor que el número promedio esperado de sesiones activas para un usuario. Por ejemplo, si se espera que el usuario tenga un promedio de aproximadamente 200 a 250 sesiones NAT activas, configurar el tamaño del bloque en 512 o 1024 proporciona una asignación liberal.

Práctica recomendada:

Si está implementando la asignación segura de bloques de puertos con la serie MX como dispositivo NAT y no está seguro de su perfil de usuario de suscriptor y perfil de tráfico, establezca el tamaño del bloque de puerto en 1024 si tiene suficientes direcciones IP NAT para manejar el número máximo estimado de suscriptores privados. El número de direcciones IP NAT multiplicado por 62 le da el número de suscriptores privados que se pueden manejar con un tamaño de bloque de puerto de 1024 (hay 62 bloques por dirección IP). Luego, supervise de cerca el enrutador de la serie MX mediante el comando para determinar si es necesario cambiar el show services nat pool detail tamaño del bloque.

Práctica recomendada:

Tenga cuidado de no aumentar demasiado el tamaño del bloque si el número de direcciones IP que puede asignar al grupo NAT es limitado. Hacer un tamaño de bloque de puerto que sea lo suficientemente grande como para asignar eficientemente los bloques a sus suscriptores puede hacer que todos los bloques de puerto estén atados.

La asignación segura de bloques de puertos asigna bloques de puertos a un usuario en particular para NAT44 o NAT64. La asignación segura de bloques de puertos limita el número de mensajes syslog al generar solo un syslog por bloque de puertos.

Sin embargo, configurar el tamaño del bloque incorrectamente puede provocar un uso ineficiente de los recursos NAT o problemas de rendimiento. Por ejemplo, cuando un usuario se conecta a un sitio web que requiere el establecimiento de un número significativo de sockets para una sola página HTML, se debe asignar un número correspondiente de puertos nuevos. El tamaño del bloque de puerto debe ser lo suficientemente grande como para evitar la asignación continua de nuevos bloques. Si el número de sesiones simultáneas para un suscriptor privado supera el número de puertos disponibles en el bloque de puertos activo, los otros bloques de puertos asignados al suscriptor se analizan en busca de puertos disponibles para usar o se asigna un nuevo bloque desde el grupo de bloques libres para el suscriptor. El análisis de los bloques de puertos asignados y la asignación de bloques adicionales pueden provocar retrasos en la configuración de nuevas sesiones y en la carga de páginas web.

Para obtener más información acerca de la asignación de bloques de puertos, consulte Configuración de la asignación de bloques de puertos protegidos y Configuración de NAPT determinista.

En el ejemplo siguiente se establece el tamaño del bloque de puerto en 1024.

Consideraciones al cambiar la configuración de asignación de bloques de puertos en sistemas en ejecución

Práctica recomendada:

Antes de cambiar la asignación segura de bloques de puertos o la configuración determinista de bloques de puertos en un sistema en ejecución cuando se utiliza un MS-MPC o MS-MIC, planifique una interrupción rápida en las sesiones NAT. El cambio en la configuración da como resultado la recreación de todas las sesiones NAT actuales.

Práctica recomendada:

Antes de cambiar la configuración de asignación de bloques de puertos en un sistema en ejecución cuando se utiliza un MS-DPC, planifique una interrupción de los servicios. Después de cambiar la configuración, debe reiniciar MS-DPC o, si esto no es posible, debe desactivar y reactivar el conjunto de servicios.

Los cambios en la configuración de asignación de bloques de puertos incluyen:

  • Cambiar cualquier configuración de PBA del grupo NAT.

  • Cambiar un grupo de PBA NAT a un grupo de NAT que no sea de PBA.

  • Cambiar un grupo NAT que no sea PBA a un grupo NAT PBA.

Para obtener más información acerca de cómo configurar la asignación de bloques de puertos, consulte Configuración de la asignación de bloques de puertos protegidos y Configuración de NAPT determinista.

No asigne grupos NAT mayores de lo necesario

MS-MPC y MS-MIC

Práctica recomendada:

Cuando utilice NAPT44 como tipo de traducción con MS-MIC o MS-MPC, no configure grupos NAT mayores de lo necesario para la velocidad máxima de sesión, lo que inmovilizaría valiosos recursos IPv4. Cada conversación, también conocida como sesión, incluye dos flujos: un flujo de entrada y otro de salida. Cada conversación requiere un puerto y cada dirección IP del grupo tiene un rango de puertos 1024-65535 (64 K), por lo que no es necesario que el tamaño del grupo NAT sea mayor que:

Número máximo de conversaciones /64K

Práctica recomendada:

Cuando se utiliza NAPT44 como tipo de traducción con MS-MIC, se recomienda un tamaño máximo de grupo NAT de 128 direcciones (una red /25).

Práctica recomendada:

Cuando se utiliza NAPT44 como tipo de traducción con MS-MPC, se recomienda un tamaño máximo de grupo NAT de 256 direcciones (una red /24).

El tamaño máximo recomendado del grupo NAT cuando se utiliza NAPT-44 para un MS-MIC es de 128 direcciones IP porque MS-MIC admite un máximo de 14 millones de flujos, o 7 millones de conversaciones, que requieren 7 millones de puertos. Hay un total de 7 millones de puertos disponibles con 128 direcciones IP, y cada dirección IP tiene un rango de puertos de 1024-65535.

El tamaño máximo recomendado de grupo NAT para cada ranura en un MS-MPC cuando se utiliza NAPT-44 es de 256 direcciones IP, ya que cada ranura admite un máximo de 30 millones de flujos, o 15 millones de conversaciones, que requieren 15 millones de puertos. Hay un total de 15 millones de puertos disponibles con 256 direcciones IP, y cada dirección IP tiene un rango de puertos de 1024-65535.

Puede usar grupos más grandes que los valores recomendados y puede esperar que las configuraciones que usan la característica de asignación de bloques de puertos (PBA) requieran grupos más grandes. Esto se debe a que PBA asigna bloques de puertos a direcciones IP privadas, lo que cambia el modelo de eficiencia del grupo.

Para obtener más información acerca de la configuración de grupos NAT, consulte Información general sobre la configuración de grupos de direcciones y puertos para la traducción de direcciones de red.

MS-DPC

Práctica recomendada:

Cuando utilice NAPT44 como tipo de traducción con MS-DPC, no configure grupos NAT mayores de lo necesario para la velocidad de flujo máxima, lo que inmovilizaría valiosos recursos IPv4. Cada conversación incluye dos flujos (1 flujo inverso por cada flujo hacia adelante). Cada conversación requiere un puerto y cada dirección IP del grupo tiene un rango de puertos 1024-65535 (64 K), por lo que no es necesario que el tamaño del grupo NAT sea mayor que:

Número máximo de conversaciones /64K

Práctica recomendada:

Cuando utilice NAPT44 como tipo de traducción con MS-DPC, no configure grupos NAT con más de 64 direcciones (una red /26).

El tamaño máximo del grupo NAT para un MS-DPC es de 64 direcciones IP porque MS-DPC admite un máximo de 8 millones de flujos, o 4 millones de conversaciones, lo que requiere un máximo de 4 millones de puertos. Hay un total de 4 millones de puertos disponibles con 64 direcciones IP, y cada dirección IP tiene un rango de puertos de 1024-65535. Si APP, EIM y EIF están habilitados, MS-DPC admite un máximo de 5,8 millones de flujos, o 2,9 millones de conversaciones, por lo que el tamaño máximo del grupo NAT sería menor.

Para obtener más información acerca de la configuración de grupos NAT, consulte Información general sobre la configuración de grupos de direcciones y puertos para la traducción de direcciones de red.

Configurar el registro del sistema para NAT solo cuando sea necesario

Práctica recomendada:

No habilite el registro del sistema por sesión para configuraciones seguras de asignación de bloques de puertos.

Práctica recomendada:

No habilite el registro del sistema para configuraciones NAT deterministas.

Práctica recomendada:

Habilite el registro del sistema en el nivel del conjunto de servicios en lugar de en el nivel de la interfaz de servicios cuando sea posible.

Práctica recomendada:

En las redes de producción, envíe siempre los mensajes de registro a un servidor de registro del sistema externo. Esto evita agregar carga de CPU al motor de enrutamiento, lo que ocurre cuando los mensajes se registran localmente.

Práctica recomendada:

Especifique la clase de registro del sistema para restringir el registro a la clase de aplicaciones que le interesan.

Práctica recomendada:

Si configura el registro del sistema dentro de un término de regla NAT, utilice una regla de firewall con estado para restringir el tráfico que llega al término de regla NAT.

Los mensajes de registro del sistema pueden afectar negativamente al rendimiento de la tarjeta de servicios, dependiendo de la frecuencia de creación y eliminación de sesiones. Todos los mensajes de registro del sistema creados por la tarjeta de servicios requieren el procesamiento de la CPU en la tarjeta de servicios, y los mensajes de registro del sistema constituyen tráfico que se envía a través del enrutador de la serie MX y compite con el tráfico de usuarios para llegar al servidor de registro externo.

La asignación segura de bloques de puertos elimina la necesidad de configurar registros por sesión, ya que conoce el bloque y el tamaño del bloque y puede derivar los puertos asignados a cada usuario.

La NAT determinista elimina la necesidad de registrar en absoluto, ya que toda la información sobre la asignación de puertos se puede deducir matemáticamente.

En el ejemplo siguiente se restringe el registro a eventos NAT y se envían mensajes de registro al servidor de registro externo 203.0.113.4

Cuando se configura el registro del sistema dentro de un término de regla NAT, todo el tráfico que entra en el término de regla NAT genera un registro, lo que puede provocar un registro excesivo. Esto podría resultar en que se alcance el límite de velocidad de registro y perdería los registros que necesita.

Para obtener más información acerca de cómo configurar el registro del sistema para NAT, consulte Configuración de registros de sesión NAT.

Limite el impacto de la falta de fragmentos de IP

Práctica recomendada:

Para la interfaz de servicios configurada para NAT, configure lo siguiente para limitar el impacto de los fragmentos que faltan o se retrasan:

  • Número máximo de fragmentos para un paquete

  • Tiempo máximo de espera para un fragmento faltante

Los fragmentos IP recibidos por la tarjeta de servicios configurada para NAT se almacenan en búfer a medida que llegan. Esto permite una comprobación de integridad del paquete completamente reensamblado antes de que NAT procese el paquete. Los fragmentos faltantes o retrasados pueden hacer que los fragmentos ya recibidos se retengan hasta que el búfer interno esté lleno y se vacíen, lo que resulta en una sobrecarga del uso de la CPU y una reducción del reenvío de tráfico.

Configurar el número máximo de fragmentos que puede tener un paquete y limitar el tiempo de espera de un fragmento faltante reduce la posibilidad de que el búfer interno se llene.

En el ejemplo siguiente se establece el número máximo de fragmentos en 10 y el tiempo de espera máximo en 3 segundos.

No utilice configuraciones propensas a bucles de enrutamiento de paquetes

Práctica recomendada:

Evite los bucles de enrutamiento de paquetes asegurándose de que solo el tráfico deseado pueda llegar a la tarjeta de servicios y ser procesado por la regla NAT del conjunto de servicios. Puede hacerlo de la siguiente manera:

  • Configurar un intervalo de direcciones de origen con la regla NAT cuando sea posible.

  • Configuración de un filtro de firewall que acepte solo el tráfico destinado a ser atendido por la regla NAT en un conjunto de servicios de estilo de salto siguiente.

El bucle de paquetes entre el motor de reenvío de paquetes y la tarjeta de servicios da como resultado un alto uso de CPU persistente en la tarjeta de servicios. El bucle de paquetes puede deberse a que la tarjeta de servicios recibe tráfico de una red de origen privada inesperada. Cuando NAT procesa tráfico inesperado, se crea un agujero de alfiler y, en el caso del FEI, es posible que se creen muchos agujeros de alfiler. Estos agujeros de alfiler causan bucles de enrutamiento si el tráfico de retorno se enruta de vuelta a través de la tarjeta de servicios.

En el ejemplo siguiente se muestra un filtro de firewall que solo permite que el tráfico de 198.51.100.0/24 llegue a la interfaz de servicios ms-1/0/0, que es la interfaz interna de un conjunto de servicios del próximo salto.

Para obtener más información acerca de cómo configurar filtros de firewall, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y aplicadores de políticas de tráfico.

En el ejemplo siguiente se muestra una regla NAT que solo procesa el tráfico de 198.51.100.0/24 (otro tráfico llega a la interfaz de servicios, pero no se procesa).

Para obtener más información acerca de la configuración de reglas NAT, consulte Información general sobre las reglas de traducción de direcciones de red.

Tiempos de espera de inactividad

Práctica recomendada:

Establezca el tiempo de espera de inactividad solo para las aplicaciones definidas por el usuario que podrían requerir que la asignación de sesión NAT permanezca en memoria durante más tiempo que el tiempo de espera de inactividad NAT predeterminado de 30 segundos. Por ejemplo, una aplicación bancaria HTTP o HTTPS puede requerir más de 30 segundos de inactividad porque el usuario debe introducir datos.

Práctica recomendada:

Antes de realizar cambios en los tiempos de espera de inactividad existentes, ejecute los siguientes comandos varias veces durante las horas pico. Luego, ejecute los comandos después de realizar los cambios y verifique que los cambios no priven al enrutador de la serie MX de recursos NAT o de memoria de la tarjeta de servicios.

En el ejemplo siguiente se muestra el tiempo de espera de inactividad establecido en 1800 segundos para las aplicaciones HTTPS y HTTP.

Para obtener más información acerca de la configuración de aplicaciones definidas por el usuario, consulte Configuración de las propiedades de la aplicación.

Debe sopesar los riesgos de establecer tiempos de espera de inactividad altos para todo el tráfico. Aunque el tiempo de espera predeterminado de inactividad de NAT de 30 segundos puede ser demasiado bajo para algunas aplicaciones definidas por el usuario, establecer un valor de tiempo de espera demasiado alto puede inmovilizar recursos NAT. Por ejemplo, establecer valores altos de tiempo de espera de inactividad puede inmovilizar cualquier sesión TCP que esté inactiva pocos minutos después de su creación. Si la sesión TCP no se cierra limpiamente mediante un FIN o RST por el cliente o servidor, la sesión permanecerá en la memoria y atará los recursos NAT asignados hasta que expire el valor de tiempo de espera.

Establecer tiempos de espera de inactividad más altos que afecten a todos los puertos UDP y TCP puede ser peligroso, especialmente con tráfico UDP como DNS. A diferencia de TCP, UDP no tiene otra forma de finalizar una sesión que no sea el tiempo de espera, por lo que todas las sesiones UDP permanecerían activas durante el valor de tiempo de espera de inactividad completo.

El siguiente ejemplo no es una configuración recomendada porque establece valores altos de tiempo de espera de inactividad para todo el tráfico TCP y UDP.

No tenemos valores específicos recomendados de tiempo de espera de inactividad. Los valores adecuados del tiempo de espera de inactividad dependen de varios factores, entre los que se incluyen:

  • Qué aplicaciones se utilizan en la red de un usuario final

    Por ejemplo, Apple ha declarado que se requiere un tiempo de espera de inactividad de 60 minutos para los siguientes servicios de Apple, que requieren una larga vida útil de la conexión:

    • Servicios push de Apple: puerto TCP entrante 5223

    • Exchange Active Sync: puerto TCP entrante 443

    • MobileMe: puertos TCP entrantes 5222 y 5223

  • Cómo se usa la solución NAT, por ejemplo, como dispositivo Gi NAT o como enrutador perimetral empresarial

  • Qué tamaño tienen los grupos NAT

  • Cuánto tráfico recibe cada tarjeta de servicios durante los picos de carga

  • Cuánta memoria tiene disponible

Habilitar volcado en control de flujo

Práctica recomendada:

Habilite la opción de dump-on-flow-control para cualquier tarjeta de servicios que esté procesando tráfico NAT en una red de producción. Esta opción detecta cuando una tarjeta de servicios está bloqueada, escribe un volcado de núcleo que Juniper Networks puede analizar para determinar por qué la tarjeta está bloqueada y recupera la tarjeta de servicios reiniciándola.

Para MS-MIC y MS-MPC, establezca la opción dump-on-flow-control en la interfaz pc, que se utiliza para enviar tráfico de control desde el motor de enrutamiento a la tarjeta de servicios. En el ejemplo siguiente se muestra la configuración si la interfaz de servicios es ms-2/1/0.

Para MS-DPC, establezca la opción de control de volcado en flujo en la interfaz sp-. En el ejemplo siguiente se muestra la configuración si la interfaz de servicios es sp-2/1/0.

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
17.1R1
A partir de Junos OS versión 14.2R7, 15.1R5, 16.1R2 y 17.1R1, puede pasar paquetes IKEv1 e IPsec a través de reglas NAPT-44 y NAT64 entre pares IPsec que no sean compatibles con NAT-T.
16.1
A partir de Junos OS versión 16.1, se admite la limit-ports-per-address instrucción.
14.2
A partir de Junos OS versión 14.2, configure el grupo NAT de la siguiente manera.