Traducción de puertos de direcciones de red
Descripción general de la configuración de grupos de direcciones para la traducción de puertos de direcciones de red (NAPT)
Con la traducción de puertos de direcciones de red (NAPT), puede configurar hasta 32 rangos de direcciones con hasta 65.536 direcciones cada uno.
La port instrucción especifica la asignación de puertos para las direcciones traducidas. Para configurar la asignación automática de puertos, incluya la port automatic instrucción en el nivel de [edit services nat pool nat-pool-name] jerarquía. De forma predeterminada, se produce la asignación secuencial de puertos.
A partir de Junos OS versión 14.2, puede incluir la sequential opción con la port automatic instrucción en el nivel de jerarquía para la [edit services nat pool nat-pool-name] asignación secuenciada de puertos del rango especificado. Para configurar un intervalo específico de números de puerto, incluya la port range low minimum-value high maximum-value instrucción en el [edit services nat pool nat-pool-name] nivel jerárquico.
Cuando el 99% del total de puertos disponibles en el grupo para napt-44 , no se permiten nuevos flujos en ese grupo NAT.
A partir de Junos OS versión 14.2, la auto opción está oculta y en desuso, y solo se mantiene para la compatibilidad con versiones anteriores. Es posible que se elimine por completo en una futura versión de software.
Junos OS ofrece varias alternativas para asignar puertos:
- Asignación por turnos para NAPT
- Asignación secuencial para NAPT
- Preservar la paridad y preservar el rango para NAPT
- Agrupación de direcciones y asignación independiente de puntos de conexión para NAPT
- Asignación segura de bloques de puertos para NAPT
- Comparación de los métodos de aplicación del NAPT
Asignación por turnos para NAPT
Para configurar la asignación por turnos para grupos NAT, incluya la instrucción de configuración round-robin de asignación de direcciones en el nivel de [edit services nat pool pool-name] jerarquía. Cuando se utiliza la asignación por turnos, se asigna un puerto de cada dirección en un rango antes de repetir el proceso para cada dirección en el siguiente rango. Una vez asignados los puertos para todas las direcciones del último intervalo, el proceso de asignación se ajusta y asigna el siguiente puerto no utilizado para las direcciones del primer intervalo.
La primera conexión se asigna a la dirección:puerto 100.0.0.1:3333.
La segunda conexión se asigna a la dirección:puerto 100.0.0.2:3333.
La tercera conexión se asigna a la dirección:puerto 100.0.0.3:3333.
La cuarta conexión se asigna a la dirección:puerto 100.0.0.4:3333.
La quinta conexión se asigna a la dirección:puerto 100.0.0.5:3333.
La sexta conexión se asigna a la dirección:puerto 100.0.0.6:3333.
La séptima conexión se asigna a la dirección:puerto 100.0.0.7:3333.
La octava conexión se asigna a la dirección:puerto 100.0.0.8:3333.
La novena conexión se asigna a la dirección:puerto 100.0.0.9:3333.
La décima conexión se asigna a la dirección:puerto 100.0.0.10:3333.
La undécima conexión se asigna a la dirección:puerto 100.0.0.11:3333.
La duodécima conexión se asigna a la dirección:puerto 100.0.0.12:3333.
Se produce el wraparound y la decimotercera conexión se asigna a la dirección:puerto 100.0.0.1:3334.
Asignación secuencial para NAPT
Con la asignación secuencial, la siguiente dirección disponible en el grupo NAT se selecciona solo cuando se han agotado todos los puertos disponibles desde una dirección.
La asignación secuencial solo se puede configurar para MS-DPC y los PIC multiservicios MS-100, MS-400 y MS-500. Las tarjetas MS-MPC y MS-MIC utilizan únicamente el enfoque de asignación por turnos.
Esta implementación heredada proporciona compatibilidad con versiones anteriores y ya no es un enfoque recomendado.
El grupo de NAT denominado napt en el siguiente ejemplo de configuración usa la implementación secuencial:
pool napt {
address-range low 100.0.0.1 high 100.0.0.3;
address-range low 100.0.0.4 high 100.0.0.6;
address-range low 100.0.0.8 high 100.0.0.10;
address-range low 100.0.0.12 high 100.0.0.13;
port {
range low 3333 high 3334;
}
}
En este ejemplo, los puertos se asignan a partir de la primera dirección del primer intervalo de direcciones y la asignación continúa desde esta dirección hasta que se hayan utilizado todos los puertos disponibles. Cuando se han utilizado todos los puertos disponibles, se asigna la siguiente dirección (en el mismo rango de direcciones o en el siguiente rango de direcciones) y se seleccionan todos sus puertos según sea necesario. En el caso del grupo de napt de ejemplo, la dirección de la tupla, el puerto 100.0.0.4:3333, se asigna solo cuando se han utilizado todos los puertos para todas las direcciones del primer rango.
La primera conexión se asigna a la dirección:puerto 100.0.0.1:3333.
La segunda conexión se asigna a la dirección:puerto 100.0.0.1:3334.
La tercera conexión se asigna a la dirección:puerto 100.0.0.2:3333.
La cuarta conexión se asigna a la dirección:puerto 100.0.0.2:3334, y así sucesivamente.
Preservar la paridad y preservar el rango para NAPT
Las opciones de preservar paridad y preservar rango están disponibles para NAPT, y son compatibles con MS-DPC y MS-100, MS-400 y MS-500 MultiServices PICS. La compatibilidad con MS-MPC y MS-MIC comienza en Junos OS versión 15.1R1. Las siguientes opciones están disponibles para NAPT:
Conservar la paridad: utilice el
preserve-paritycomando para asignar puertos pares para paquetes con puertos de origen pares y puertos impares para paquetes con puertos de origen impares.Conservar rango: use el
preserve-rangecomando para asignar puertos dentro de un rango de 0 a 1023, suponiendo que el paquete original contiene un puerto de origen en el rango reservado. Esto se aplica a las sesiones de control, no a las sesiones de datos.
Agrupación de direcciones y asignación independiente de puntos de conexión para NAPT
- Agrupación de direcciones
- Mapeo independiente de punto de conexión y filtrado independiente de punto de conexión
Agrupación de direcciones
La agrupación de direcciones o agrupación de direcciones emparejada (APP) garantiza la asignación de la misma dirección IP externa para todas las sesiones que se originan en el mismo host interno. Puede usar esta función al asignar direcciones IP externas de un grupo. Esta opción no afecta a la utilización del puerto
La agrupación de direcciones resuelve los problemas de una aplicación que abre varias conexiones. Por ejemplo, cuando el cliente del Protocolo de inicio de sesión (SIP) envía paquetes de Protocolo de transporte en tiempo real (RTP) y Protocolo de control en tiempo real (RTCP), el servidor SIP generalmente requiere que provengan de la misma dirección IP, incluso si han estado sujetos a NAT. Si las direcciones IP RTP y RTCP son diferentes, el extremo receptor podría dejar caer paquetes. Cualquier protocolo punto a punto (P2P) que negocie puertos (suponiendo que la estabilidad de la dirección) se beneficia de la agrupación de direcciones emparejada.
Los siguientes son casos de uso para la agrupación de direcciones:
Un sitio que ofrece servicios de mensajería instantánea requiere que el chat y sus sesiones de control provengan de la misma dirección de fuente pública. Cuando el usuario inicia sesión en el chat, una sesión de control autentica al usuario. Una sesión diferente comienza cuando el usuario inicia una sesión de chat. Si la sesión de chat se origina en una dirección de origen diferente de la sesión de autenticación, el servidor de mensajería instantánea rechaza la sesión de chat porque se origina en una dirección no autorizada.
Ciertos sitios web, como los sitios de banca en línea, requieren que todas las conexiones de un host determinado provengan de la misma dirección IP.
A partir de Junos OS versión 14.1, cuando se desactiva un conjunto de servicios que contiene pares de agrupación de direcciones (APP) para ese conjunto de servicios, los mensajes se muestran en la consola de PIC y las asignaciones se borran para ese conjunto de servicios. Estos mensajes se activan cuando comienza la eliminación de un conjunto de servicios y se generan de nuevo cuando se completa la eliminación del conjunto de servicios. Los siguientes mensajes de ejemplo se muestran cuando comienza y finaliza la eliminación:
Nov 15 08:33:13.974 LOG: Crítico] SVC-SET ss1 (iid 5) desactivar/eliminar: mapeos NAT y eliminación de flujos iniciados
Nov 15 08:33:14.674 LOG: Crítico] SVC-SET ss1 (iid 5) desactivar/eliminar: mapeos NAT y eliminación de flujos completados
En un entorno escalado que contiene un gran número de APP en un conjunto de servicios, se genera un gran volumen de mensajes y este proceso lleva cierto tiempo. Le recomendamos que espere hasta que se completen los mensajes de consola que indican que se ha completado la eliminación del conjunto de servicios antes de volver a activar el conjunto de servicios.
Mapeo independiente de punto de conexión y filtrado independiente de punto de conexión
La asignación independiente de puntos de conexión (EIM) garantiza la asignación de la misma dirección externa y el mismo puerto para todas las conexiones de un host determinado si utilizan el mismo puerto interno. Esto significa que si provienen de un puerto de origen diferente, puede asignar una dirección externa diferente.
EIM y APP difieren de la siguiente manera:
APP garantiza la asignación de la misma dirección IP externa.
EIM proporciona una dirección IP externa estable y un puerto (durante un período de tiempo) al que los hosts externos pueden conectarse. El filtrado independiente de puntos de conexión (EIF) controla qué hosts externos pueden conectarse a un host interno.
A partir de Junos OS versión 14.1, cuando se desactiva un conjunto de servicios que contiene asignación independiente de extremo (EIM) para ese conjunto de servicios, los mensajes se muestran en la consola de PIC y las asignaciones se borran para ese conjunto de servicios. Estos mensajes se activan cuando comienza la eliminación de un conjunto de servicios y se generan de nuevo cuando se completa la eliminación del conjunto de servicios. Los siguientes mensajes de ejemplo se muestran cuando comienza y finaliza la eliminación:
Nov 15 08:33:13.974 LOG: Crítico] SVC-SET ss1 (iid 5) desactivar/eliminar: mapeos NAT y eliminación de flujos iniciados
Nov 15 08:33:14.674 LOG: Crítico] SVC-SET ss1 (iid 5) desactivar/eliminar: mapeos NAT y eliminación de flujos completados
En un entorno escalado que contiene un gran número de asignaciones de EIM en un conjunto de servicios, se genera un gran volumen de mensajes y este proceso lleva cierto tiempo. Le recomendamos que espere hasta que se completen los mensajes de consola que indican que se ha completado la eliminación del conjunto de servicios antes de volver a activar el conjunto de servicios.
Asignación segura de bloques de puertos para NAPT
La asignación de bloques de puertos se admite en enrutadores serie MX con MS-DPC y en enrutadores serie M con PIC multiservicios MS-100, MS-400 y MS-500. La asignación de bloques de puertos se admite en enrutadores de la serie MX con MS-MPC y MS-MICs a partir de Junos OS versión 14.2R2.
Los operadores rastrean a los suscriptores utilizando el registro de la dirección IP (RADIUS o DHCP). Si usan NAPT, varios suscriptores comparten una dirección IP y el operador debe rastrear la dirección IP y el puerto, que forman parte del registro NAT. Debido a que los puertos se usan y reutilizan a una velocidad muy alta, el seguimiento de los suscriptores que usan el registro se vuelve difícil debido a la gran cantidad de mensajes, que son difíciles de archivar y correlacionar. Al habilitar la asignación de puertos en bloques, la asignación de bloques de puertos puede reducir significativamente el número de registros, lo que facilita el seguimiento de los suscriptores.
- Asignación segura de bloques de puertos para NAPT
- Registro provisional para la asignación de bloques de puertos
Asignación segura de bloques de puertos para NAPT
La asignación de bloques de puertos protegidos se puede utilizar para tipos napt-44 de traducción y stateful-nat64.
Al asignar bloques de puertos, el bloque asignado más recientemente es el bloque activo actual. Las nuevas solicitudes de puertos NAT se atienden desde el bloque activo. Los puertos se asignan aleatoriamente desde el bloque activo actual.
Al configurar la asignación de bloques de puertos protegidos, puede especificar lo siguiente:
block-sizemax-blocks-per-addressactive-block-timeout
Registro provisional para la asignación de bloques de puertos
Con la asignación de bloques de puertos, generamos un registro syslog por conjunto de puertos asignados para un suscriptor. Estos registros se basan en UDP y pueden perderse en la red, especialmente para flujos de larga ejecución. El registro provisional activa el reenvío de los registros anteriores en un intervalo configurado para los bloques activos que tienen tráfico en al menos uno de los puertos del bloque.
El registro provisional se activa mediante la inclusión de la pba-interim-logging-interval instrucción en services-options para interfaces sp-.
Ver también
Comparación de los métodos de aplicación del NAPT
En el cuadro 1 se ofrece una comparación de los métodos de aplicación del NAPT disponibles.
Característica/función |
Asignación dinámica de puertos |
Asignación segura de bloques de puertos |
Asignación determinista de bloques de puertos |
|---|---|---|---|
Usuarios por IP |
Alto |
Medio |
Bajo |
Riesgo de seguridad |
Bajo |
Medio |
Medio |
Utilización de registros |
Alto |
Bajo |
Ninguno (no se necesitan registros) |
Reducción de riesgos de seguridad |
Asignación aleatoria |
característica de tiempo de espera de bloqueo activo |
N/A |
Aumento de usuarios por IP |
N/A |
Configure múltiplos de bloques de puertos más pequeños para maximizar los usuarios / IP pública |
Asignación de puertos basada en algoritmos |
Configuración de NAPT en redes IPv4
La traducción de puertos de direcciones de red (NAPT) es un método mediante el cual muchas direcciones de red y sus puertos TCP/UDP se traducen en una única dirección de red y sus puertos TCP/UDP. Esta traducción se puede configurar en redes IPv4 e IPv6. En esta sección se describen los pasos para configurar NAPT en redes IPv4.
Para configurar NAPT, debe configurar una regla en el nivel de [edit services nat] jerarquía para traducir dinámicamente las direcciones IPv4 de origen.
Para configurar el NAPT en redes IPv4:
En el ejemplo siguiente se configura el tipo de traducción como napt-44.
[edit services]
user@host# show
service-set s1 {
nat-rules rule-napt-44;
interface-service {
service-interface ms-0/1/0;
}
}
nat {
pool napt-pool {
address 10.10.10.0/32;
port {
automatic auto;
}
}
rule rule-napt-44 {
match-direction input;
term t1 {
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Traducción dinámica de direcciones a un grupo pequeño con respaldo a NAT
La siguiente configuración muestra la traducción dinámica de direcciones de un prefijo grande a un grupo pequeño, traduciendo una subred /24 a un grupo de 10 direcciones. Cuando se agotan las direcciones del grupo de origen (src-pool), el grupo de sobrecarga de NAPT (pat-pool) proporciona NAT.
[edit services nat]
pool src-pool {
address-range low 192.16.2.1 high 192.16.2.10;
}
pool pat-pool {
address-range low 192.16.2.11 high 192.16.2.12;
port automatic auto;
rule myrule {
match-direction input;
term myterm {
from {
source-address 10.150.1.0/24;
}
then {
translated {
source-pool src-pool;
overload-pool pat-pool;
translation-type napt-44;
}
}
}
}
Traducción dinámica de direcciones con grupo pequeño
La siguiente configuración muestra la traducción dinámica de direcciones de un prefijo grande a un grupo pequeño, traduciendo una subred /24 a un grupo de 10 direcciones. A las sesiones de las primeras 10 sesiones de host se les asigna una dirección del grupo por orden de llegada, y se rechazan todas las solicitudes adicionales. Cada host con una NAT asignada puede participar en varias sesiones.
[edit services nat]
pool my-pool {
address-range low 10.10.10.1 high 10.10.10.10;
}
rule src-nat {
match-direction input;
term t1 {
from {
source-address 192.168.1.0/24;
}
then {
translated {
translation-type dynamic-nat44;
source-pool my-pool;
}
}
}
}
Configuración de NAPT en redes IPv6
La traducción de puertos de direcciones de red (NAPT) es un método mediante el cual muchas direcciones de red y sus puertos TCP/UDP se traducen en una única dirección de red y sus puertos TCP/UDP. Esta traducción se puede configurar en redes IPv4 e IPv6. En esta sección se describen los pasos para configurar NAPT en redes IPv6. La configuración de NAPT en redes IPv6 no se admite si utiliza MS-MPC o MS-MIC. Para obtener información acerca de la configuración de NAPT en redes IPv4, consulte Configuración de NAPT en redes IPv4.
Para configurar NAPT, debe configurar una regla en el nivel de [edit services nat] jerarquía para traducir dinámicamente las direcciones IPv6 de origen.
Para configurar NAPT en redes IPv6:
En el ejemplo siguiente se configura la traducción de origen dinámico (dirección y puerto) o NAPT para una red IPv6.
[edit services]
user@host# show
service-set IPV6-NAPT-ServiceSet {
nat-rules IPV6-NAPT-Rule;
interface-service {
service-interface sp-0/1/0;
}
}
nat {
pool IPV6-NAPT-Pool {
address 2002::1/96;
port automatic sequential;
}
rule IPV6-NAPT-Rule {
match-direction input;
term term1 {
then {
translated {
source-pool IPV6-NAPT-Pool;
translation-type {
napt-66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
}
Ejemplo: configuración de NAT con traducción de puertos
En este ejemplo se muestra cómo configurar NAT con traducción de puertos.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Una plataforma de enrutamiento universal 5G serie MX con un DPC de servicios o un enrutador perimetral multiservicio serie M con una PIC de servicios
Un servidor de nombres de dominio (DNS)
Junos OS versión 11.4 o superior
Visión general
En este ejemplo se muestra una configuración completa de CGN NAT44 y opciones avanzadas.
Configuración de NAT con traducción de puertos
Procedimiento
Procedimiento paso a paso
Para configurar el conjunto de servicios:
-
Configure un conjunto de servicios.
user@host# edit services service-set ss2 -
En el modo de configuración, vaya al nivel de
[edit services nat]jerarquía.[edit] user@host# edit services nat
-
Defina el conjunto de direcciones de origen que se deben usar para la traducción dinámica. Para NAPT, especifique también los números de puerto al configurar el grupo de origen.
[edit services nat] user@host# set pool pool name address source addresses user@host# set pool pool name port source ports
Por ejemplo:
[edit services nat] user@host# set pool NAPT-Pool address 192.168.2.1/24; user@host# set pool NAPT-Pool port automatic
-
Especifique la regla NAT que se va a utilizar.
[edit services service-set ss2]host# set nat-rules r1 - Defina una regla NAT para traducir las direcciones de origen. Para ello, establezca la
match-directioninstrucción de la regla comoinput. Además, defina un término que utilicenapt-44como tipo de traducción para traducir las direcciones del grupo definido en el paso anterior.[edit services nat] user@host# set rule rule name match-direction input user@host# set rule rule name term term name from source-address source-address user@host# set rule rule name term term name then translated source-pool pool name user@host# set rule rule name term term name then translated translation-type napt-44
Por ejemplo:
[edit services nat] user@host# set rule r1 match-direction input user@host# set rule r1 term t1 from source-address 10.10.10.1 user@host# set rule r1 term t1 then translated source-pool NAPT-Pool user@host# set rule r1 term t1 then translated translation-type napt-44
-
Especifique el servicio de interfaz.
[edit services service-set ss2]host# set interface-service service-interface sp-5/0/0
Resultados
user@host# show services service-sets sset2
service-set ss2 {
nat-rules r1;
interface-service {
service-interface sp-5/0/0;
}
}
nat {
pool NAPT-Pool {
address 192.168.2.1/24;
port automatic;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.1/32;
}
}
then {
translated {
source-pool NAPT-Pool;
translation-type {
napt-44;
}
}
}
}
}
}
Ejemplo: configuración de NAPT en MS-MPC con un conjunto de servicios de interfaz
En este ejemplo se muestra cómo configurar la traducción de direcciones de red con traducción de puertos (NAPT) en un enrutador serie MX mediante un concentrador de puerto modular multiservicios (MS-MPC) como tarjeta de interfaz de servicios.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Enrutador de la serie MX
Concentrador de puerto modular multiservicios (MS-MPC)
Junos OS versión 13.2R1 o superior
Visión general
Un proveedor de servicios ha elegido un MS-MPC como plataforma para proporcionar servicios NAT para dar cabida a nuevos suscriptores.
Configuración
Para configurar NAPT44 mediante MS-MPC como tarjeta de interfaz de servicios, realice estas tareas:
- Configuración rápida de CLI
- Configuración de interfaces
- Configurar un conjunto de aplicaciones de tráfico de aplicaciones aceptable
- Configuración de una regla de firewall con estado
- Configuración del conjunto de NAT y la regla
- Configuración del conjunto de servicios
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit].
set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24 set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1 set interfaces ms-3/0/0 unit 0 family inet set applications application-set accept-algs application junos-http set applications application-set accept-algs application junos-ftp set applications application-set accept-algs application junos-tftp set applications application-set accept-algs application junos-telnet set applications application-set accept-algs application junos-sip set applications application-set accept-algs application junos-rtcp set services stateful-firewall rule sf-rule1 match-direction input-output set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs set services stateful-firewall rule sf-rule1 term sf-term1 then accept set services nat pool napt-pool address 1.1.1.0/24 set services nat pool napt-pool port automatic * nat rule for napt set services nat rule nat-rule1 match-direction input set services nat rule nat-rule1 term nat-term1 from source-address 10.255.247.0/24 set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44 * nat rule for basic nat set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
Configuración de interfaces
Procedimiento paso a paso
Configure las interfaces necesarias para el procesamiento de NAT. Necesitará las siguientes interfaces:
Una interfaz orientada al cliente que controla el tráfico desde y hacia el cliente.
Una interfaz orientada a Internet.
Una interfaz de servicios que proporciona servicios NAT y de firewall de estado a la interfaz orientada al cliente
Configure la interfaz para la interfaz orientada al cliente.
user@host# edit [edit ] user@host# set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 user@host# set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 user@host# set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1
Configure la interfaz para la interfaz orientada a Internet.
[edit ] set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24
Configure la interfaz para el conjunto de servicios que conectará los servicios a la interfaz orientada al cliente. En nuestro ejemplo, la interfaz reside en un MS-MPC.
[edit ] user@host# set interfaces ms-3/0/0 unit 0 family inet
Configurar un conjunto de aplicaciones de tráfico de aplicaciones aceptable
Procedimiento paso a paso
Identificar las aplicaciones aceptables para el tráfico entrante.
Especifique un conjunto de aplicaciones que contenga tráfico de aplicaciones entrantes aceptable.
user@host# set applications application-set accept-algs application junos-http user@host# set applications application-set accept-algs application junos-ftp user@host# set applications application-set accept-algs application junos-tftp user@host# set applications application-set accept-algs application junos-telnet user@host# set applications application-set accept-algs application junos-sip user@host# set applications application-set accept-algs application junos-rtcp
Resultados
user@host#edit services applications application-set accept-algs user@host#show application junos-http; application junos-ftp; application junos-tftp; application junos-telnet; application junos-sip; application junos-
Configuración de una regla de firewall con estado
Procedimiento paso a paso
Configure una regla de firewall con estado que acepte todo el tráfico entrante.
Especificar la coincidencia de firewall para todas las entradas y salidas
user@hos#t set services stateful-firewall rule sf-rule1 match-direction input-output
Identifique la dirección de origen y el tráfico aceptable de la aplicación desde la interfaz orientada al cliente.
user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs user@host# set services stateful-firewall rule sf-rule1 term sf-term1 then accept
Resultados
user@host# edit services stateful-firewall
user@host# show
rule sf-rule1 {
match-direction input-output;
term sf-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
accept;
}
}
}
Configuración del conjunto de NAT y la regla
Procedimiento paso a paso
Configure un grupo NAT y una regla para la traducción de direcciones con asignación automática de puertos.
Configure el grupo NAT con asignación automática de puertos.
user@host# set services nat pool napt-pool address 1.1.1.0/24 user@host# set services nat pool napt-pool port automatic auto
Configure una regla NAT que aplique el tipo
napt-44de traducción mediante el grupo NAT definido.user@host# set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs user@host# set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool user@host# set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44
Resultados
user@host#edit services nat
user@host#show
pool napt-pool {
address 1.1.1.0/24;
port {
automatic;
}
}
rule nat-rule1 {
match-direction input;
term nat-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
Configuración del conjunto de servicios
Procedimiento paso a paso
Configure un conjunto de servicios de tipo de interfaz.
Especifique la NAT y las reglas de firewall de estado que se aplican al tráfico de clientes.
user@host set services service-set sset1 stateful-firewall-rules sf-rule1 user@host set services service-set sset1 nat-rules bat-rule1
Especifique la interfaz de servicios que aplica las reglas al tráfico de clientes.
set services service-set sset1 interface-service service-interface ms-3/0/0
Resultados
user@host# edit services service-set sset1 user@host# show set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
sequential opción con la
port automatic instrucción en el nivel de jerarquía para la
[edit services nat pool nat-pool-name] asignación secuenciada de puertos del rango especificado.
auto opción está oculta y en desuso, y solo se mantiene para la compatibilidad con versiones anteriores.
sequential asignación secuencial de puertos.