Traducción de puertos de dirección de red
Descripción general de la configuración de grupos de direcciones para la traducción de puertos de direcciones de red (NAPT)
Con la traducción de puertos de direcciones de red (NAPT), puede configurar hasta 32 rangos de direcciones con hasta 65 536 direcciones cada uno.
La port instrucción especifica la asignación de puerto para las direcciones traducidas. Para configurar la asignación automática de puertos, incluya la port automatic instrucción en el [edit services nat pool nat-pool-name] nivel de jerarquía. De forma predeterminada, se produce una asignación secuencial de puertos.
A partir de Junos OS versión 14.2, puede incluir la sequential opción con la port automatic instrucción en el nivel de jerarquía para la [edit services nat pool nat-pool-name] asignación secuencial de puertos del rango especificado. Para configurar un rango específico de números de puerto, incluya la port range low minimum-value high maximum-value instrucción en el [edit services nat pool nat-pool-name] nivel de jerarquía.
Cuando el 99 % del total de puertos disponibles en la agrupación para napt-44 , no se permiten nuevos flujos en esa agrupación TDR.
A partir de Junos OS versión 14.2, la auto opción está oculta y está obsoleta, y solo se mantiene por compatibilidad con versiones anteriores. Es posible que se elimine por completo en una versión de software futura.
Junos OS ofrece varias alternativas para la asignación de puertos:
- Asignación de operación rotativa para NAPT
- Asignación secuencial para NAPT
- Preservar la paridad y preservar el rango para NAPT
- Agrupación de direcciones y mapeo independiente de puntos de conexión para NAPT
- Asignación segura de bloques de puerto para NAPT
- Comparación de los métodos de implementación de NAPT
Asignación de operación rotativa para NAPT
Para configurar la asignación round-robin para grupos TDR, incluya la instrucción de configuración round-robin address-allocation en el [edit services nat pool pool-name] nivel de jerarquía. Cuando se utiliza la asignación de operación rotativa, se asigna un puerto desde cada dirección de un intervalo antes de repetir el proceso para cada dirección del siguiente intervalo. Una vez asignados los puertos para todas las direcciones del último rango, el proceso de asignación se ajusta y asigna el siguiente puerto no utilizado para las direcciones del primer rango.
La primera conexión se asigna a la dirección: puerto 100.0.0.1:3333.
La segunda conexión se asigna a la dirección: puerto 100.0.0.2:3333.
La tercera conexión se asigna a la dirección: puerto 100.0.0.3:3333.
La cuarta conexión se asigna a la dirección: puerto 100.0.0.4:3333.
La quinta conexión se asigna a la dirección: puerto 100.0.0.5:3333.
La sexta conexión se asigna a la dirección: puerto 100.0.0.6:3333.
La séptima conexión se asigna a la dirección: puerto 100.0.0.7:3333.
La octava conexión se asigna a la dirección: puerto 100.0.0.8:3333.
La novena conexión se asigna a la dirección: puerto 100.0.0.9:3333.
La décima conexión se asigna a la dirección: puerto 100.0.0.10:3333.
La undécima conexión se asigna a la dirección: puerto 100.0.0.11:3333.
La duodécima conexión se asigna a la dirección: puerto 100.0.0.12:3333.
Se produce una envoltura y la decimotercera conexión se asigna a la dirección: puerto 100.0.0.1:3334.
Asignación secuencial para NAPT
Con la asignación secuencial, la siguiente dirección disponible en el grupo de TDR se selecciona solo cuando se agotan todos los puertos disponibles desde una dirección.
La asignación secuencial solo se puede configurar para MS-CPC y MS-100, MS-400 y MS-500 PIC multiservicios. Las tarjetas MS-MPC y MS-MIC utilizan únicamente el enfoque de asignación a operación rotativa.
Esta implementación heredada ofrece compatibilidad con versiones anteriores y ya no es un enfoque recomendado.
El grupo de TDR llamado napt en el siguiente ejemplo de configuración utiliza la implementación secuencial:
pool napt {
address-range low 100.0.0.1 high 100.0.0.3;
address-range low 100.0.0.4 high 100.0.0.6;
address-range low 100.0.0.8 high 100.0.0.10;
address-range low 100.0.0.12 high 100.0.0.13;
port {
range low 3333 high 3334;
}
}
En este ejemplo, los puertos se asignan a partir de la primera dirección del primer rango de direcciones y la asignación continúa desde esta dirección hasta que se hayan utilizado todos los puertos disponibles. Cuando se han utilizado todos los puertos disponibles, se asigna la siguiente dirección (en el mismo rango de direcciones o en el siguiente rango de direcciones) y se seleccionan todos sus puertos según sea necesario. En el caso del grupo napt de ejemplo, la dirección de tupla, el puerto 100.0.0.4:3333, se asigna solo cuando se han utilizado todos los puertos para todas las direcciones del primer rango.
La primera conexión se asigna a la dirección: puerto 100.0.0.1:3333.
La segunda conexión se asigna a la dirección: puerto 100.0.0.1:3334.
La tercera conexión se asigna a la dirección: puerto 100.0.0.2:3333.
La cuarta conexión se asigna a la dirección:puerto 100.0.0.2:3334, y así sucesivamente.
Preservar la paridad y preservar el rango para NAPT
Las opciones de conservar paridad y rango de conservación están disponibles para NAPT y son compatibles con MS-DPC y PIC multiservicios MS-100, MS-400 y MS-500. La compatibilidad con MS-MPC y MS-MIC comienza en Junos OS versión 15.1R1. Las siguientes opciones están disponibles para NAPT:
Conservar la paridad: utilice el
preserve-paritycomando para asignar puertos pares para paquetes con puertos de origen pares y puertos impares para paquetes con puertos de origen impares.Conservar rango: utilice el
preserve-rangecomando para asignar puertos dentro de un rango de 0 a 1023, suponiendo que el paquete original contenga un puerto de origen en el rango reservado. Esto se aplica a las sesiones de control, no a las sesiones de datos.
Agrupación de direcciones y mapeo independiente de puntos de conexión para NAPT
- Agrupación de direcciones
- Mapeo independiente del punto de conexión y filtrado independiente del punto de conexión
Agrupación de direcciones
La agrupación de direcciones o emparejamiento de direcciones (APP) garantiza la asignación de la misma dirección IP externa para todas las sesiones que se originan en el mismo host interno. Puede utilizar esta función al asignar direcciones IP externas desde un grupo. Esta opción no afecta a la utilización de puertos
La agrupación de direcciones resuelve los problemas de una aplicación que abre múltiples conexiones. Por ejemplo, cuando el cliente del Protocolo de inicio de sesión (SIP) envía paquetes del Protocolo de transporte en tiempo real (RTP) y del Protocolo de control en tiempo real (RTCP), el servidor SIP generalmente requiere que provengan de la misma dirección IP, incluso si han estado sujetos a TDR. Si las direcciones IP RTP y RTCP son diferentes, el punto de conexión receptor podría dejar caer paquetes. Cualquier protocolo punto a punto (P2P) que negocie puertos (suponiendo estabilidad de direcciones) se beneficia de la agrupación de direcciones emparejada.
A continuación, se muestran casos de uso para la agrupación de direcciones:
Un sitio que ofrece servicios de mensajería instantánea requiere que el chat y sus sesiones de control provengan de la misma dirección de fuente pública. Cuando el usuario inicia sesión en el chat, una sesión de control lo autentica. Una sesión diferente comienza cuando el usuario inicia una sesión de chat. Si la sesión de chat se origina en una dirección de origen diferente de la sesión de autenticación, el servidor de mensajería instantánea rechaza la sesión de chat porque se origina en una dirección no autorizada.
Ciertos sitios web, como los sitios de banca en línea, requieren que todas las conexiones de un host determinado provengan de la misma dirección IP.
A partir de Junos OS versión 14.1, cuando desactive un conjunto de servicios que contenga emparejamiento de agrupación de direcciones (APP) para ese conjunto de servicios, se muestran mensajes en la consola de PIC y las asignaciones se borran para ese conjunto de servicios. Estos mensajes se activan cuando comienza la eliminación de un conjunto de servicios y se vuelven a generar cuando se completa la eliminación del conjunto de servicios. Los siguientes mensajes de ejemplo se muestran cuando se inicia y finaliza la eliminación:
Nov 15 08:33:13.974 LOG: Crítico] SVC-SET ss1 (iid 5) desactivar/eliminar: Se inicia la eliminación de mapeos y flujos de TDR
Nov 15 08:33:14.674 REGISTRO: Crítico] SVC-SET ss1 (iid 5) desactivar/eliminar: Eliminación de mapeos y flujos de TDR completada
En un entorno escalado que contiene un gran número de aplicaciones en un conjunto de servicios, se genera un gran volumen de mensajes y este proceso tarda algún tiempo. Le recomendamos que espere hasta que se completen los mensajes de la consola que indican que se completó la eliminación del conjunto de servicios antes de volver a activar el conjunto de servicios.
Mapeo independiente del punto de conexión y filtrado independiente del punto de conexión
La asignación independiente del punto de conexión (EIM) garantiza la asignación de la misma dirección y puerto externos para todas las conexiones desde un host dado si utilizan el mismo puerto interno. Esto significa que si provienen de un puerto de origen diferente, puede asignar una dirección externa diferente.
EIM y APP se diferencian de la siguiente manera:
APP garantiza la asignación de la misma dirección IP externa.
EIM proporciona una dirección IP externa estable y un puerto (durante un período de tiempo) al que se pueden conectar hosts externos. El filtrado independiente del punto de conexión (EIF) controla qué hosts externos pueden conectarse a un host interno.
A partir de Junos OS versión 14.1, cuando desactive un conjunto de servicios que contenga la asignación de asignación independiente de puntos de conexión (EIM) para ese conjunto de servicios, se muestran mensajes en la consola de PIC y las asignaciones se borran para ese conjunto de servicios. Estos mensajes se activan cuando comienza la eliminación de un conjunto de servicios y se vuelven a generar cuando se completa la eliminación del conjunto de servicios. Los siguientes mensajes de ejemplo se muestran cuando se inicia y finaliza la eliminación:
Nov 15 08:33:13.974 LOG: Crítico] SVC-SET ss1 (iid 5) desactivar/eliminar: Se inicia la eliminación de mapeos y flujos de TDR
Nov 15 08:33:14.674 REGISTRO: Crítico] SVC-SET ss1 (iid 5) desactivar/eliminar: Eliminación de mapeos y flujos de TDR completada
En un entorno escalado que contiene un gran número de asignaciones de EIM en un conjunto de servicios, se genera un gran volumen de mensajes y este proceso tarda algún tiempo. Le recomendamos que espere hasta que se completen los mensajes de la consola que indican que se completó la eliminación del conjunto de servicios antes de volver a activar el conjunto de servicios.
Asignación segura de bloques de puerto para NAPT
La asignación de bloques de puerto se admite en enrutadores serie MX con MS-DPC y en enrutadores serie M con PIC multiservicios MS-100, MS-400 y MS-500. La asignación de bloques de puerto se admite en enrutadores serie MX con MS-MPC y MS-MIC a partir de la versión 14.2R2 de Junos OS.
Los operadores rastrean a los suscriptores mediante el registro de la dirección IP (RADIUS o DHCP). Si usan NAPT, una dirección IP es compartida por varios suscriptores, y el operador debe rastrear la dirección IP y el puerto, que son parte del registro de TDR. Debido a que los puertos se usan y reutilizan a una velocidad muy alta, el seguimiento de los suscriptores mediante el registro se vuelve difícil debido a la gran cantidad de mensajes, que son difíciles de archivar y correlacionar. Al habilitar la asignación de puertos en bloques, la asignación de bloques de puerto puede reducir significativamente la cantidad de registros, lo que facilita el seguimiento de los suscriptores.
- Asignación segura de bloques de puerto para NAPT
- Registro provisional para la asignación de bloques de puerto
Asignación segura de bloques de puerto para NAPT
La asignación de bloques de puerto segura se puede usar para los tipos napt-44 de traducción y stateful-nat64.
Cuando se asignan bloques de puertos, el bloque asignado más recientemente es el bloque activo actual. Las nuevas solicitudes de puertos TDR se atienden desde el bloque activo. Los puertos se asignan aleatoriamente desde el bloque activo actual.
Cuando configure la asignación de bloques de puerto seguros, puede especificar lo siguiente:
block-sizemax-blocks-per-addressactive-block-timeout
Registro provisional para la asignación de bloques de puerto
Con la asignación de bloques de puertos, generamos un registro syslog por cada conjunto de puertos asignados para un suscriptor. Estos registros se basan en UDP y pueden perderse en la red, particularmente para flujos de larga duración. El registro provisional activa el reenvío de los registros anteriores en un intervalo configurado para los bloques activos que tienen tráfico en al menos uno de los puertos del bloque.
El registro provisional se activa incluyendo la pba-interim-logging-interval instrucción en services-options for sp- interfaces.
Ver también
Comparación de los métodos de implementación de NAPT
La Tabla 1 proporciona una comparación de características de los métodos de implementación de NAPT disponibles.
Característica/función |
Asignación dinámica de puertos |
Asignación segura de bloques de puertos |
Asignación determinista de bloques de puertos |
|---|---|---|---|
Usuarios por IP |
Alto |
Medio |
Bajo |
Riesgo de seguridad |
Bajo |
Medio |
Medio |
Utilización de registros |
Alto |
Bajo |
Ninguno (no se necesitan registros) |
Reducción de riesgos de seguridad |
Asignación aleatoria |
función de tiempo de espera de bloqueo activo |
N/A |
Aumento de usuarios por IP |
N/A |
Configure múltiplos de bloques de puertos más pequeños para maximizar los usuarios/IP públicas |
Asignación de puertos basada en algoritmos |
Configuración de NAPT en redes IPv4
La traducción de puertos de direcciones de red (NAPT) es un método mediante el cual muchas direcciones de red y sus puertos TCP/UDP se traducen en una sola dirección de red y sus puertos TCP/UDP. Esta traducción se puede configurar en redes IPv4 e IPv6. En esta sección se describen los pasos para configurar NAPT en redes IPv4.
Para configurar NAPT, debe configurar una regla en el nivel de [edit services nat] jerarquía para traducir dinámicamente las direcciones IPv4 de origen.
Para configurar el NAPT en redes IPv4:
En el ejemplo siguiente se configura el tipo de traducción como napt-44.
[edit services]
user@host# show
service-set s1 {
nat-rules rule-napt-44;
interface-service {
service-interface ms-0/1/0;
}
}
nat {
pool napt-pool {
address 10.10.10.0/32;
port {
automatic auto;
}
}
rule rule-napt-44 {
match-direction input;
term t1 {
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Traducción dinámica de direcciones a un grupo pequeño con respaldo a TDR
En la siguiente configuración, se muestra la traducción dinámica de direcciones de un prefijo grande a un conjunto pequeño, traduciendo una subred /24 en un conjunto de 10 direcciones. Cuando se agotan las direcciones del conjunto de origen (src-pool), el conjunto de sobrecarga de NAPT proporciona TDR (pat-pool).
[edit services nat]
pool src-pool {
address-range low 192.16.2.1 high 192.16.2.10;
}
pool pat-pool {
address-range low 192.16.2.11 high 192.16.2.12;
port automatic auto;
rule myrule {
match-direction input;
term myterm {
from {
source-address 10.150.1.0/24;
}
then {
translated {
source-pool src-pool;
overload-pool pat-pool;
translation-type napt-44;
}
}
}
}
Traducción dinámica de direcciones con un grupo pequeño
En la siguiente configuración, se muestra la traducción dinámica de direcciones de un prefijo grande a un conjunto pequeño, traduciendo una subred /24 en un conjunto de 10 direcciones. A las sesiones de las primeras 10 sesiones de host se les asigna una dirección del grupo por orden de llegada y se rechaza cualquier solicitud adicional. Cada host con un TDR asignado puede participar en varias sesiones.
[edit services nat]
pool my-pool {
address-range low 10.10.10.1 high 10.10.10.10;
}
rule src-nat {
match-direction input;
term t1 {
from {
source-address 192.168.1.0/24;
}
then {
translated {
translation-type dynamic-nat44;
source-pool my-pool;
}
}
}
}
Configuración de NAPT en redes IPv6
La traducción de puertos de direcciones de red (NAPT) es un método mediante el cual muchas direcciones de red y sus puertos TCP/UDP se traducen en una sola dirección de red y sus puertos TCP/UDP. Esta traducción se puede configurar en redes IPv4 e IPv6. En esta sección se describen los pasos para configurar NAPT en redes IPv6. No se admite la configuración de NAPT en redes IPv6 si usa MS-MPC o MS-MIC. Para obtener información acerca de cómo configurar NAPT en redes IPv4, consulte Configurar NAPT en redes IPv4.
Para configurar NAPT, debe configurar una regla en el nivel de [edit services nat] jerarquía para traducir dinámicamente las direcciones IPv6 de origen.
Para configurar NAPT en redes IPv6:
En el siguiente ejemplo, se configura la traducción dinámica de origen (dirección y puerto) o NAPT para una red IPv6.
[edit services]
user@host# show
service-set IPV6-NAPT-ServiceSet {
nat-rules IPV6-NAPT-Rule;
interface-service {
service-interface sp-0/1/0;
}
}
nat {
pool IPV6-NAPT-Pool {
address 2002::1/96;
port automatic sequential;
}
rule IPV6-NAPT-Rule {
match-direction input;
term term1 {
then {
translated {
source-pool IPV6-NAPT-Pool;
translation-type {
napt-66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
}
Ejemplo: Configurar TDR con traducción de puertos
En este ejemplo, se muestra cómo configurar TDR con traducción de puertos.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Una plataforma de enrutamiento universal 5G de la serie MX con un CPC de servicios o un enrutador de borde multiservicio de la serie M con una PIC de servicios
Un servidor de nombres de dominio (DNS)
Junos OS versión 11.4 o superior
Descripción general
En este ejemplo, se muestra una configuración completa de CGN NAT44 y opciones avanzadas.
Configuración de TDR con traducción de puertos
Procedimiento
Procedimiento paso a paso
Para configurar el conjunto de servicios:
-
Configure un conjunto de servicios.
user@host# edit services service-set ss2 -
En el modo de configuración, vaya al nivel de
[edit services nat]jerarquía.[edit] user@host# edit services nat
-
Defina el conjunto de direcciones de origen que se deben utilizar para la traducción dinámica. En el caso de NAPT, especifique también los números de puerto al configurar el grupo de origen.
[edit services nat] user@host# set pool pool name address source addresses user@host# set pool pool name port source ports
Por ejemplo:
[edit services nat] user@host# set pool NAPT-Pool address 192.168.2.1/24; user@host# set pool NAPT-Pool port automatic
-
Especifique la regla TDR que se va a utilizar.
[edit services service-set ss2]host# set nat-rules r1 - Defina una regla TDR para traducir las direcciones de origen. Para ello, establezca la
match-directioninstrucción de la regla comoinput. Además, defina un término que utilicenapt-44como tipo de traducción para traducir las direcciones del grupo definido en el paso anterior.[edit services nat] user@host# set rule rule name match-direction input user@host# set rule rule name term term name from source-address source-address user@host# set rule rule name term term name then translated source-pool pool name user@host# set rule rule name term term name then translated translation-type napt-44
Por ejemplo:
[edit services nat] user@host# set rule r1 match-direction input user@host# set rule r1 term t1 from source-address 10.10.10.1 user@host# set rule r1 term t1 then translated source-pool NAPT-Pool user@host# set rule r1 term t1 then translated translation-type napt-44
-
Especifique el servicio de interfaz.
[edit services service-set ss2]host# set interface-service service-interface sp-5/0/0
Resultados
user@host# show services service-sets sset2
service-set ss2 {
nat-rules r1;
interface-service {
service-interface sp-5/0/0;
}
}
nat {
pool NAPT-Pool {
address 192.168.2.1/24;
port automatic;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.1/32;
}
}
then {
translated {
source-pool NAPT-Pool;
translation-type {
napt-44;
}
}
}
}
}
}
Ejemplo: Configuración de NAPT en la MS-MPC con un conjunto de servicios de interfaz
En este ejemplo, se muestra cómo configurar la traducción de direcciones de red con la traducción de puertos (NAPT) en un enrutador de la serie MX mediante un concentrador de puerto modular multiservicios (MS-MPC) como tarjeta de interfaz de servicios.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Enrutador serie MX
Concentrador de puerto modular multiservicios (MS-MPC)
Junos OS versión 13.2R1 o superior
Descripción general
Un operador de telecomunicaciones eligió una MS-MPC como plataforma para proporcionar servicios TDR y dar cabida a los nuevos suscriptores.
Configuración
Para configurar NAPT44 con la MS-MPC como tarjeta de interfaz de servicios, realice estas tareas:
- Configuración rápida de CLI
- Configuración de interfaces
- Configure un conjunto de aplicaciones de tráfico de aplicaciones aceptables
- Configuración de una regla de firewall de inspección de estado
- Configuración del grupo y la regla de TDR
- Configuración del conjunto de servicios
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit].
set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24 set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1 set interfaces ms-3/0/0 unit 0 family inet set applications application-set accept-algs application junos-http set applications application-set accept-algs application junos-ftp set applications application-set accept-algs application junos-tftp set applications application-set accept-algs application junos-telnet set applications application-set accept-algs application junos-sip set applications application-set accept-algs application junos-rtcp set services stateful-firewall rule sf-rule1 match-direction input-output set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs set services stateful-firewall rule sf-rule1 term sf-term1 then accept set services nat pool napt-pool address 1.1.1.0/24 set services nat pool napt-pool port automatic * nat rule for napt set services nat rule nat-rule1 match-direction input set services nat rule nat-rule1 term nat-term1 from source-address 10.255.247.0/24 set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44 * nat rule for basic nat set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
Configuración de interfaces
Procedimiento paso a paso
Configure las interfaces necesarias para el procesamiento de TDR. Necesitará las siguientes interfaces:
Una interfaz orientada al cliente que gestiona el tráfico desde y hacia el cliente.
Una interfaz orientada a Internet.
Una interfaz de servicios que proporciona servicios de firewall con estado y TDR a la interfaz orientada al cliente
Configure la interfaz para la interfaz orientada al cliente.
user@host# edit [edit ] user@host# set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 user@host# set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 user@host# set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1
Configure la interfaz para la interfaz orientada a Internet.
[edit ] set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24
Configure la interfaz para el conjunto de servicios que conectará los servicios a la interfaz orientada al cliente. En nuestro ejemplo, la interfaz reside en una MS-MPC.
[edit ] user@host# set interfaces ms-3/0/0 unit 0 family inet
Configure un conjunto de aplicaciones de tráfico de aplicaciones aceptables
Procedimiento paso a paso
Identificar las aplicaciones aceptables para el tráfico entrante.
Especifique un conjunto de aplicaciones que contenga tráfico de aplicaciones entrante aceptable.
user@host# set applications application-set accept-algs application junos-http user@host# set applications application-set accept-algs application junos-ftp user@host# set applications application-set accept-algs application junos-tftp user@host# set applications application-set accept-algs application junos-telnet user@host# set applications application-set accept-algs application junos-sip user@host# set applications application-set accept-algs application junos-rtcp
Resultados
user@host#edit services applications application-set accept-algs user@host#show application junos-http; application junos-ftp; application junos-tftp; application junos-telnet; application junos-sip; application junos-
Configuración de una regla de firewall de inspección de estado
Procedimiento paso a paso
Configure una regla de firewall con estado que acepte todo el tráfico entrante.
Especifique la coincidencia del firewall para todas las entradas y salidas
user@hos#t set services stateful-firewall rule sf-rule1 match-direction input-output
Identifique la dirección de origen y el tráfico aceptable de aplicaciones desde la interfaz orientada al cliente.
user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs user@host# set services stateful-firewall rule sf-rule1 term sf-term1 then accept
Resultados
user@host# edit services stateful-firewall
user@host# show
rule sf-rule1 {
match-direction input-output;
term sf-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
accept;
}
}
}
Configuración del grupo y la regla de TDR
Procedimiento paso a paso
Configure un grupo TDR y una regla para la traducción de direcciones con asignación automática de puertos.
Configure el grupo de TDR con asignación automática de puertos.
user@host# set services nat pool napt-pool address 1.1.1.0/24 user@host# set services nat pool napt-pool port automatic auto
Configure una regla TDR que aplique el tipo
napt-44de conversión utilizando el grupo de TDR definido.user@host# set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs user@host# set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool user@host# set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44
Resultados
user@host#edit services nat
user@host#show
pool napt-pool {
address 1.1.1.0/24;
port {
automatic;
}
}
rule nat-rule1 {
match-direction input;
term nat-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
Configuración del conjunto de servicios
Procedimiento paso a paso
Configure un conjunto de servicios de tipo de interfaz.
Especifique las reglas de firewall de estado y TDR que se aplican al tráfico del cliente.
user@host set services service-set sset1 stateful-firewall-rules sf-rule1 user@host set services service-set sset1 nat-rules bat-rule1
Especifique la interfaz de servicios que aplica las reglas al tráfico del cliente.
set services service-set sset1 interface-service service-interface ms-3/0/0
Resultados
user@host# edit services service-set sset1 user@host# show set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
sequential opción con la
port automatic instrucción en el nivel de jerarquía para la
[edit services nat pool nat-pool-name] asignación secuencial de puertos del rango especificado.
auto opción está oculta y está obsoleta, y solo se mantiene por compatibilidad con versiones anteriores.
sequential asignación secuencial de puertos.