Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de la traducción de direcciones de red en la serie ACX

Descripción general de la traducción de direcciones de red en la serie ACX

La traducción de direcciones de red (NAT) es un método para modificar o traducir la información de direcciones de red en encabezados de paquete. Es posible que se traduzca una o ambas direcciones de origen y destino de un paquete. NAT puede incluir la traducción de números de puerto, así como direcciones IP.

NAT se describe en RFC 1631 para resolver problemas de agotamiento de direcciones IP (versión 4). Se ha descubierto que NAT es una herramienta útil para firewalls, redireccionamiento de tráfico, uso compartido de carga, migraciones de red, etc.

Nota:

En los enrutadores de la serie ACX, NAT solo se admite en el enrutador con alimentación de CA ACX1100 y en los enrutadores ACX500 para servicios NAT en línea e IPsec en línea. ACX1100 enrutador alimentado por CA solo admite NAT de origen para paquetes IPv4. Actualmente no se admiten los tipos de NAT estática y dinámica. No se admite el encadenamiento de servicios (GRE, NAT e IPSec) en enrutadores ACX1100-AC y ACX500.

Se requiere una licencia para habilitar los servicios en línea en enrutadores ACX500.

Nota:

Los enrutadores ACX5048 y ACX5096 no admiten configuraciones NAT.

NAT de origen es la traducción de la dirección IP de origen de un paquete que sale del enrutador. La TDR de origen se utiliza para permitir que los hosts con direcciones IP privadas accedan a una red pública.

La TDR de origen permite que las conexiones se inicien solo para conexiones de red salientes, por ejemplo, desde una red privada a Internet. La NAT de origen se usa comúnmente para:

  • Traduzca una sola dirección IP a otra dirección (por ejemplo, para proporcionar acceso a Internet a un único dispositivo de una red privada).

  • Traducir un bloque contiguo de direcciones a otro bloque de direcciones del mismo tamaño.

  • Traducir un bloque contiguo de direcciones a otro bloque de direcciones de menor tamaño.

  • Traduzca un bloque contiguo de direcciones a una sola dirección IP o a un bloque más pequeño de direcciones mediante la traducción de puertos.

  • Traducir un bloque contiguo de direcciones a la dirección de la interfaz de salida.

Descripción general de la traducción de puertos de dirección de red

La traducción de puertos de direcciones de red (NAPT) es un método mediante el cual muchas direcciones de red y sus puertos TCP/UDP se traducen en una única dirección de red y sus puertos TCP/UDP. Esta traducción se puede configurar en redes IPv4 e IPv6.

En los enrutadores de la serie ACX, puede tener hasta 4096 traducciones de direcciones de red a la vez.

Sobrecarga de direcciones de traducción de direcciones de red en la serie ACX

Los servicios NAT de los enrutadores de la serie ACX permiten compartir direcciones de interfaz de Junos OS con un grupo de NAPT. Esta función de compartir la misma dirección o puerto entre el grupo NAPT y Junos OS se denomina sobrecarga de direcciones.

Para lograr la sobrecarga de direcciones, la dirección IPv4 disponible o el intervalo de puertos de 1 a 65.536 direcciones se divide entre Junos OS y NAT, como se muestra a continuación:

  • Junos OS: de 1 a 49 159 direcciones.

  • Grupo NAPT: de 49 160 a 53 255 direcciones.

  • Junos OS: de 53 255 a 65 535 direcciones.

El número de puertos reservados para el grupo NAPT con función de sobrecarga de direcciones es 4096.

Para habilitar la sobrecarga de direcciones, incluya la instrucción y la address-overload interface instrucción en el nivel jerárquico [edit services nat pool nat-pool-name] .

La address-overload instrucción permite compartir la dirección IPv4 entre Junos OS y el grupo NAT. Junto con la instrucción, también debe especificar la instrucción para que se recoja la primera dirección IPv4 o el puerto disponible de la address-overload interface interfaz para el grupo NAT.

Puede configurar la característica de sobrecarga de direcciones de las siguientes maneras:

  • Configure una interfaz junto con la address-overload instrucción como se muestra en el ejemplo siguiente.

    En este caso, la dirección principal de la interfaz se selecciona para el grupo NAT.

  • Configure directamente una dirección /32 como se muestra en el ejemplo siguiente:

La interface instrucción permite compartir la dirección de interfaz IPv4 con el grupo NAT junto con el intervalo de puertos especificado en el grupo.

Restricciones de traducción de direcciones de red en ACX

Debe tener en cuenta las siguientes restricciones al configurar la traducción de direcciones de red (NAT) en enrutadores de la serie ACX:

  • Cuando se define un puerto en un grupo NAT, solo puede configurar una dirección o un intervalo de direcciones en el grupo.

  • Los enrutadores de la serie ACX admiten nat-rules match-direction como input. match-direction como output no es compatible.

  • Cuando se especifica un intervalo de direcciones o un prefijo de direcciones en un grupo NAT, el número máximo de direcciones admitidas es 65.535. Los enrutadores de la serie ACX admiten hasta 4096 traducciones de direcciones de red a la vez.

  • El número máximo de conjuntos de servicios que se pueden configurar es 2.

  • En un término de regla NAT, la from cláusula puede contener un máximo de 4 direcciones coincidentes.

  • El plazo máximo permitido por regla NAT es 4.

  • El máximo de reglas NAT por conjunto de servicio permitido es 2.

Habilitación de la interfaz de servicios en línea en la serie ACX

La interfaz de servicios en línea es una interfaz virtual que reside en el motor de reenvío de paquetes. La si- interfaz permite proporcionar servicios NAT e IPsec sin utilizar una PIC de servicios especiales.

Para configurar la interfaz de servicios en línea, defina la interfaz de servicio como interfaz de tipo si- (service-inline). También debe reservar un ancho de banda adecuado para la interfaz de servicios en línea. Esto le permite configurar conjuntos de servicios de interfaz o del próximo salto usados para los servicios NAT e IPsec.

Nota:

En los enrutadores de la serie ACX, sólo puede configurar una interfaz de servicios en línea como interfaz de anclaje para las sesiones NAT e IPsec: si-0/0/0.

Nota:

En los enrutadores de la serie ACX, solo los enrutadores ACX1100-AC y ACX500 admiten servicios IPsec. Los enrutadores de la serie ACX solo admiten NAT básica.

Para habilitar la interfaz de servicios en línea:

  1. Acceda a una ranura administrada por FPC y a la PIC donde se va a habilitar la interfaz.
  2. Habilite la interfaz y especifique la cantidad de ancho de banda reservado en cada motor de reenvío de paquetes para el tráfico de túnel que utiliza servicios en línea.