Configuración de NAT dos veces dinámica para servicios de próxima generación
Configuración de los grupos de origen y destino para una TDR dos veces dinámica
Para configurar los grupos de origen y destino para NAT dos veces dinámicos:
- Cree un grupo de origen.
user@host# edit services nat source pool nat-pool-name
- Defina las direcciones o subredes a las que se traducen las direcciones de origen.
[edit services nat source pool nat-pool-name] user@host# set address address-prefix
o
[edit services nat source pool nat-pool-name] user@host# set address address-prefix to address address-prefix
- Desactive la traducción de puertos.
[edit services nat destination pool nat-pool-name] user@host# set port no-translation
- Defina los niveles de utilización del grupo NAT que activan las capturas SNMP. El
raise-thresholdes el porcentaje de utilización del grupo que activa la captura y el intervalo es de 50 a 100. Elclear-thresholdes el porcentaje de utilización del grupo que elimina la trampa y el intervalo es de 40 a 100. La utilización se basa en el número de direcciones que se utilizan.[edit services nat source pool nat-pool-name] user@host# set pool-utilization-alarm raise-threshold value user@host# set pool-utilization-alarm clear-threshold value
Si no configura
pool-utilization-alarm, no se crearán capturas. - Cree un grupo de destinos. No utilice el mismo nombre que utilizó para el grupo de origen.
user@host# edit services nat destination pool nat-pool-name
- Defina las direcciones o subredes a las que se traducen las direcciones de destino.
[edit services nat destination pool nat-pool-name] user@host# set address address-prefix
- Para permitir que las direcciones IP de un grupo de origen o de destino NAT se superpongan con las direcciones IP de los grupos utilizados en otros conjuntos de servicios, configure
allow-overlapping-pools.[edit services nat] user@host# set allow-overlapping-pools
Configuración de reglas NAT para NAT dos veces dinámicas
Para configurar las reglas NAT de origen y destino para NAT dos veces dinámicas:
- Configure el nombre de la regla NAT de origen.
[edit services nat source] user@host# set rule-set rule-set-name rule rule-name
- Especifique la dirección del tráfico a la que se aplica el conjunto de reglas NAT.
[edit services nat source rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- Especifique las direcciones que traduce la regla NAT de origen.
Para especificar un valor de dirección o prefijo:
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address address
Para especificar un intervalo de direcciones, configure una dirección global de libreta de direcciones con el intervalo de direcciones deseado y asigne la dirección global a la regla NAT:
[edit services address-book global] user@host# set address address-name range-address lower-limit to upper-limit [edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address-name address-name
Para especificar cualquier dirección de unidifusión:
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match source-address any-unicast
- Especifique uno o varios protocolos de aplicación a los que se aplica la regla NAT de origen. El número de solicitudes enumeradas en la regla no debe exceder de 3072.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match application [application-name]
- Configure la característica emparejada de agrupación de direcciones si desea garantizar la asignación de la misma dirección IP externa para todas las sesiones que se originan en el mismo host interno.
[edit services nat source rule-set rule-set-name rule rule-name then source-nat mapping-type] user@host# set address-pooling-paired
- Especifique el período de tiempo de espera para
address-pooling-pairedlas asignaciones que usan el grupo NAT. El intervalo es de 120 a 86.400 segundos y el valor predeterminado es 300. Las asignaciones que están inactivas durante este período de tiempo se eliminan.[edit services nat source pool nat-pool-name] user@host# set mapping-timeout mapping-timeout
Si no configura
ei-mapping-timeouttraducciones independientes de extremos, el valor se utiliza para traducciones independientes demapping-timeoutextremos. - Especifique el grupo NAT de origen que contiene las direcciones del tráfico traducido.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set then source-nat pool nat-pool-name
- Configure la generación de un syslog cuando el tráfico coincida con las condiciones de la regla NAT.
[edit services nat source rule-set rule-set-name rule rule-name then] user@host# set syslog
- Configure el nombre de la regla NAT de destino.
[edit services nat destination] user@host# set rule-set rule-set-name rule rule-name
- Especifique la dirección del tráfico a la que se aplica el conjunto de reglas NAT de destino.
[edit services nat destination rule-set rule-set-name] user@host# set match-direction (in | out | in-out)
- Especifique las direcciones de destino del tráfico al que se aplica la regla NAT de destino.
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match destination-address address
Para especificar un intervalo de direcciones, configure una dirección global de libreta de direcciones con el intervalo de direcciones deseado y asigne la dirección global a la regla NAT:
[edit services address-book global] user@host# set address address-name range-address lower-limit to upper-limit [edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match destination-address-name address-name
Para especificar cualquier dirección de unidifusión:
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set match destination-address any-unicast
- Especifique uno o varios protocolos de aplicación a los que se aplica la regla NAT de destino. El número de solicitudes enumeradas en la regla no debe exceder de 3072.
[edit services nat source rule-set rule-set-name rule rule-name] user@host# set match application [application-name]
- Especifique el grupo NAT de destino que contiene las direcciones de destino para el tráfico traducido.
[edit services nat destination rule-set rule-set-name rule rule-name] user@host# set then destination-nat pool nat-pool-name
- Configure la generación de un syslog cuando el tráfico coincida con las condiciones de coincidencia de la regla NAT de destino.
[edit services nat destination rule-set rule-set-name rule rule-name then] user@host# set syslog
Configuración del conjunto de servicios para TDR dos veces dinámica
Para configurar el conjunto de servicios para NAT dos veces dinámico:
- Defina el conjunto de servicios.
[edit services] user@host# edit service-set service-set-name
- Configure un servicio de interfaz, que requiere una sola interfaz de servicio, o un servicio de salto siguiente, que requiere una interfaz de servicio interna y externa.
[edit services service-set service-set-name] user@host# set interface-service service-interface interface-name
o
[edit services service-set service-set-name] user@host# set next-hop-service inside-service-interface interface-name outside-service-interface interface-name
- Especifique los conjuntos de reglas NAT que se usarán con el conjunto de servicios. Incluya el conjunto de reglas NAT de origen y el conjunto de reglas NAT de destino.
[edit services service-set service-set-name] user@host# set nat-rule-sets rule-set-name