TDR de origen

TDR de origen es la traducción de la dirección IP de origen de un paquete que sale del dispositivo de Juniper Networks. El TDR de origen se utiliza para permitir que los hosts con direcciones IP privadas accedan a una red pública.

El TDR de origen permite que las conexiones se inicien solo para conexiones de red de salida, por ejemplo, desde una red privada hasta Internet. El TDR fuente se utiliza comúnmente para realizar las siguientes traducciones:

• Traducir una sola dirección IP a otra dirección (por ejemplo, para proporcionar un solo dispositivo en una red privada con acceso a Internet).

• Traduzca un bloque contigua de direcciones a otro bloque de direcciones del mismo tamaño.

• Traduzca un bloque contigua de direcciones a otro bloque de direcciones de menor tamaño.

• Traduzca un bloque contigua de direcciones a una sola dirección IP o a un bloque más pequeño de direcciones mediante la traducción de puertos.

• Traduzca un bloque contigua de direcciones a la dirección de la interfaz de salida.

La traducción a la dirección de la interfaz de salida no requiere un conjunto de direcciones; el resto de las traducciones TDR de origen requieren la configuración de un conjunto de direcciones. Las traducciones uno a uno y muchas a muchas para bloques de direcciones del mismo tamaño no requieren traducción de puerto, ya que hay una dirección disponible en el grupo para cada dirección que se traduciría.

Si el tamaño del conjunto de direcciones es menor que el número de direcciones que se traducirían, el número total de direcciones simultáneas que se pueden traducir está limitado por el tamaño del conjunto de direcciones o la traducción de puertos que se deben utilizar. Por ejemplo, si un bloque de 253 direcciones se traduce a un conjunto de direcciones de 10 direcciones, se pueden conectar simultáneamente un máximo de 10 dispositivos, a menos que se utilice la traducción de puertos.

Se admiten los siguientes tipos de TDR de origen:

• Traducción de la dirección IP original de origen a la dirección IP de la interfaz de salida (también llamada TDR de interfaz). La traducción de direcciones de puerto siempre se realiza.

• Traducción de la dirección IP original a una dirección IP desde un conjunto de direcciones definidas por el usuario sin traducción de direcciones de puerto. La asociación entre la dirección IP de origen original con la dirección IP de origen traducida es dinámica. Sin embargo, una vez que hay una asociación, se utiliza la misma asociación para la misma dirección IP de origen original para el tráfico nuevo que coincide con la misma regla TDR.

• Traducción de la dirección IP original a una dirección IP desde un conjunto de direcciones definidas por el usuario con traducción de direcciones de puerto. La asociación entre la dirección IP de origen original con la dirección IP de origen traducida es dinámica. Incluso si existe una asociación, la misma dirección IP de origen original se puede traducir a una dirección diferente para tráfico nuevo que coincida con la misma regla TDR.

• Traducción de la dirección IP original a una dirección IP desde un conjunto de direcciones definidas por el usuario mediante el cambio de las direcciones IP. Este tipo de traducción es uno a uno, estática y sin traducción de direcciones de puerto. Si el rango de direcciones IP de origen original es mayor que el intervalo de direcciones IP del grupo definido por el usuario, se pierden los paquetes no traducidos.

• La arquitectura de punto central ya no admite sesiones de punto central. Por lo tanto, TDR necesita mantener un rastreador TDR para rastrear la dirección IP o la asignación y el uso de puertos. El rastreador TDR es una matriz global para el ID de sesión de SPU a la IP o a la asignación de puertos TDR que se utiliza para administrar los recursos de TDR.

• De forma predeterminada, se envía una alarma de regla TDR y un mensaje de actualización del contador de estadísticas de captura desde la Unidad de procesamiento de servicios (SPU) al punto central en intervalos de 1 segundo, en lugar de actualizar las estadísticas según cada desencadenador de sesión en el sistema de puntos central.

• Para admitir una dirección IP TDR específica o un puerto asignado de tal manera que el hash de 5-tupla después de TDR sea el mismo que el hash original de 5-tupla antes de TDR, seleccione un puerto TDR que resulte en el mismo hash que el hash original mediante el cálculo específico. Por lo tanto, se reduce la sesión de reenvío. Cuando se utiliza TDR, el ala inversa se hasha a una SPU diferente. Se debe instalar una sesión de reenvío para reenviar tráfico inverso a una SPU de sesión. TDR intenta seleccionar un puerto que puede usar el algoritmo hash para hacer que el ala inversa se hashe a la misma SPU que el ala inicial. Por lo tanto, tanto el rendimiento de TDR como la transferencia de datos mejoran con este enfoque.

• Para mejorar el rendimiento de TDR, la administración del conjunto de cambios de IP (conjunto que no es PAT) se mueve del punto central a la SPU, de modo que todos los recursos TDR locales para ese grupo se administren localmente en lugar de enviar la solicitud TDR al punto central. Por lo tanto, se mejoran las conexiones del grupo TDR que cambian de dirección IP por segundo y la transferencia de datos.

• Modo de aleatorización de puertos (predeterminado)
• Modo de 400 millones de personas
• Modo de afinidad de sesión

• Propósito
• Acción

En este ejemplo se describe cómo configurar una asignación TDR de origen de direcciones privadas a la dirección pública de una interfaz de salida.

En este ejemplo se describe cómo configurar una asignación TDR de origen de una única dirección privada a una dirección pública.

En este ejemplo se describe cómo configurar las asignaciones TDR de origen y destino.

Las reglas TDR de origen especifican dos capas de condiciones de coincidencia:

• Dirección de tráfico: le permite especificar combinaciones de from interface, from zoneo from routing-instance y to interface, to zone, o to routing-instance. No puede configurar los mismos contextos y to los contextos from para diferentes conjuntos de reglas.

• Información de paquetes: puede ser direcciones o subredes IP de origen y destino, números de puerto de origen o rangos de puertos, números de puerto de destino o rangos de puertos, protocolos o aplicaciones.

Para todo el tráfico ALG, excepto FTP, recomendamos no usar la source-port opción de regla. La creación de la sesión de datos puede fallar si se utiliza esta opción porque la dirección IP y el valor del puerto de origen, que es un valor aleatorio, pueden no coincidir con la regla.

Además, recomendamos que no utilice la opción o la destination-port opción como condiciones coincidentes para el application tráfico ALG. Si se utilizan estas opciones, la traducción puede fallar porque el valor de puerto en la carga de la aplicación puede no coincidir con el valor de puerto en la dirección IP.

Si varias reglas TDR de origen se superponen en las condiciones de coincidencia, se elige la regla más específica. Por ejemplo, si las reglas A y B especifican las mismas direcciones IP de origen y destino, pero la regla A especifica el tráfico de la zona 1 a la zona 2 y la regla B especifica el tráfico de la zona 1 a la interfaz ge-0/0/0, la regla B se utiliza para realizar TDR de origen. Se considera que una coincidencia de interfaz es más específica que una coincidencia de zona, que es más específica que una coincidencia de instancia de enrutamiento.

Las acciones que puede especificar para una regla TDR de origen son:

• off— No realice TDR de origen.

• agrupación: utilice el conjunto de direcciones definidas por el usuario especificado para realizar TDR de origen.

• interfaz: utilice la dirección IP de la interfaz de salida para realizar TDR de origen.

Las reglas TDR de origen se aplican al tráfico del primer paquete que se procesa para el flujo o en la ruta rápida para ALG. Las reglas de TDR de origen se procesan después de las reglas TDR estáticas, las reglas de TDR de destino y la asignación inversa de reglas TDR estáticas y después de la búsqueda de las políticas de ruta y seguridad.

Cuando las zonas no están configuradas bajo el conjunto de reglas y cuando el TDR de origen activo está configurado con la instrucción obligatoria "desde" faltante, se muestra el siguiente mensaje al realizar la confirmación "Falta instrucción obligatoria: 'desde' error: error: error de salida de configuración" y la desprotegida de configuración falla.

En este ejemplo se describe cómo configurar asignaciones TDR de origen con varias reglas.

Un conjunto TDR es un conjunto de direcciones IP definidas por el usuario que se utilizan para la traducción. A diferencia de la TDR estática, en la que hay una asignación uno a uno que incluye la traducción de la dirección IP de destino en una dirección y la traducción de la dirección IP de origen en la dirección inversa, con TDR de origen, se traduce la dirección IP original a una dirección IP del conjunto de direcciones.

Para los grupos de direcciones de traducción de direcciones de red (TDR) de origen, especifique lo siguiente:

• Nombre del conjunto de direcciones TDR de origen.

• Hasta ocho rangos de direcciones o direcciones.

  Nota:

  No superponga direcciones TDR de origen, TDR de destino y TDR estático dentro de una instancia de enrutamiento.

• Instancia de enrutamiento: instancia de enrutamiento a la que pertenece el grupo (el valor predeterminado es la instancia de enrutamiento principal inet.0 ).

• Puerto: la traducción de direcciones de puerto (PAT) para un grupo de origen. De forma predeterminada, PAT se realiza con TDR de origen. Si especifica la opción de no traducción , el número de hosts que puede admitir el grupo TDR de origen se limita al número de direcciones del grupo. Si especifica block-allocation, se asigna un bloque de puertos para la traducción, en lugar de puertos individuales. Si especifica deterministic, una dirección IP entrante (fuente) y un puerto siempre se asignan a la dirección de destino y el bloque de puerto específicos, según el algoritmo TDR predefinido y determinista. Si especifica port-overloading, puede configurar la capacidad de sobrecarga de puerto en TDR de origen. Si especifica range, puede proporcionar el intervalo de números de puerto adjunto a cada dirección del grupo y el intervalo de puertos gemelos para grupos TDR de origen.

• Grupo de desbordamiento (opcional): los paquetes se pierden si no hay direcciones disponibles en el grupo TDR de origen designado. Para evitar que eso suceda cuando se configura la opción de no traducción de puerto , puede especificar un conjunto de desbordamientos. Una vez que se agotan las direcciones del grupo TDR de origen original, las direcciones IP y los números de puerto se asignan desde el conjunto de desbordamiento. Se puede usar un grupo TDR de origen definido por el usuario o una interfaz de salida como agrupación de desbordamiento. (Cuando se utiliza el grupo de desbordamiento, el ID del grupo se devuelve con la dirección.)

• Cambio de dirección IP (opcional): un rango de direcciones IP de origen original se puede asignar a otro rango de direcciones IP o a una sola dirección IP, cambiando las direcciones IP. Especifique la opción host-address-base con la dirección base del intervalo de direcciones IP de origen original.

• Uso compartido de direcciones (opcional): se pueden asignar varias direcciones IP internas a la misma dirección IP externa. Esta opción solo se puede usar cuando el conjunto TDR de origen está configurado sin traducción de puerto. Especifique la address-shared opción cuando un grupo TDR de origen tenga pocas direcciones IP externas disponibles o solo una dirección IP externa. Con una asignación varios a uno, el uso de esta opción aumenta los recursos TDR y mejora el tráfico.

• Agrupación de direcciones (opcional): la agrupación de direcciones se puede configurar como emparejada o no emparejada. Especifique address-pooling paired para las aplicaciones que requieren que todas las sesiones asociadas con una dirección IP interna se asignen a la misma dirección IP externa durante la duración de una sesión. Esto difiere de la persistent-address opción, en la que la misma dirección interna se traduce a la misma dirección externa cada vez. Especifique address-pooling no-paired para las aplicaciones que se pueden asignar direcciones IP de forma rotativa. Si o address-pooling paired address-pooling no-paired está configurado para un grupo TDR de origen con PAT, la opción dirección persistente está deshabilitada. Si address-shared está configurado en un grupo TDR de origen sin PAT, la persistent-address opción está habilitada. Ambos address-shared y address-pooling paired se pueden configurar en el mismo grupo TDR de origen sin PAT.

• Alarma de utilización de la agrupación (opcional): cuando la opción de elevación de umbral está configurada para TDR de origen, se activa una captura SNMP si la utilización del grupo TDR de origen supera este umbral. Si se configura la opción de umbral de claridad opcional, se activa una captura SNMP si la utilización del grupo TDR de origen cae por debajo de este umbral. Si el umbral sin borrar no está configurado, se establece de forma predeterminada en el 80 % del valor del umbral elevado.

Puede usar el comando show security nat resource use source pool para ver el uso de dirección en un grupo TDR de origen sin PAT, y para ver el uso del puerto en un grupo de TDR de origen con PAT.

Las capacidades máximas para grupos de origen y direcciones IP en dispositivos SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX5400, SRX5600 y SRX5800 son las siguientes:

El aumento del número total de direcciones IP utilizadas para TDR de origen, ya sea aumentando el número de conjuntos en la configuración o aumentando la capacidad o las direcciones IP por agrupación, consume la memoria necesaria para la asignación de puertos. Cuando se alcancen los límites del grupo TDR de origen y de la dirección IP, se deben reasignar los rangos de puertos. Es decir, se debe reducir el número de puertos para cada dirección IP cuando aumenta el número de direcciones IP y grupos TDR de origen. Esto garantiza que TDR no consuma demasiada memoria.

Por ejemplo, en un conjunto TDR de origen para dispositivos SRX5000, cuando el número de direcciones IP que admiten la traducción de puertos alcanza el límite de 1M, el número total de puertos PAT es 64G, lo que supera la limitación de 384M. Esto se debe a que, de forma predeterminada, cada dirección IP admite 64 512 puertos. Para garantizar que los números de puerto PAT estén dentro de la capacidad, el rango de puertos para cada IP debe configurarse para reducir el número total de puertos PAT.

Use las range opciones y range twin-port en el [edit security nat source pool port] nivel de jerarquía para asignar un nuevo intervalo de puertos o un intervalo de puertos gemelos para un grupo específico. Use las pool-default-port-range opciones y las pool-default-twin-port-range del [edit security nat source] nivel jerárquico para especificar el intervalo de puertos predeterminado global o el intervalo de dos puertos para todos los grupos TDR de origen.

La configuración de la sobrecarga de puertos también se debe hacer con cuidado cuando se aumentan los grupos TDR de origen.

Para un grupo de origen con PAT en el rango (63,488 a 65,535), se asignan dos puertos a la vez para aplicaciones RTP/RTCP, como SIP, H.323 y RTSP. En estas situaciones, cada dirección IP admite PAT, que ocupa 2048 puertos (de 63,488 a 65,535) para el uso del módulo ALG.

De forma predeterminada, la traducción de direcciones de puerto se realiza con TDR de origen. Sin embargo, no es posible que una dirección de origen original se traduzca a la misma dirección IP para tráfico diferente que se origina en el mismo host. La opción TDR address-persistent de origen garantiza que la misma dirección IP se asigne desde el grupo TDR de origen a un host específico para varias sesiones simultáneas.

Esta opción difiere de la opción emparejada de agrupación de direcciones, en la que la dirección interna se asigna a una dirección externa del grupo por pedido, y se puede asignar a una dirección externa diferente para cada sesión.

En este ejemplo se describe cómo configurar la capacidad de los grupos TDR de origen con traducción de direcciones de puerto (PAT) si no se establece un rango de puerto predeterminado o si desea reemplazarlo. Las traducciones se establecen para cada dirección IP. Cuando se aumenta el grupo de origen, los puertos se deben reasignar si el número de puerto actual supera las limitaciones.

Cuando un host inicia varias sesiones que coincidan con una política que requiere TDR y se le asigna una dirección IP desde un grupo de origen que tiene habilitada la traducción de dirección de puerto, se utiliza una dirección IP de origen diferente para cada sesión.

Dado que algunas aplicaciones requieren la misma dirección IP de origen para cada sesión, puede usar la address-pooling paired función para habilitar que todas las sesiones asociadas con una dirección IP interna se asignen a la misma dirección IP externa durante la duración de las sesiones. Cuando finalizan las sesiones, la asignación entre la dirección IP interna y la dirección IP externa deja de ser. La próxima vez que el host inicie una sesión, es posible que se le asigne una dirección IP diferente del grupo.

Esto difiere de la función TDR address-persistent de origen, que mantiene la asignación estática; la misma dirección IP interna se asigna a la misma dirección IP externa cada vez. También difiere de la función en la address-persistent que address-pooling paired está configurada para un grupo específico. La address-persistent característica es una configuración global que se aplica a todos los grupos de origen.

Las condiciones de coincidencia para un conjunto de reglas de TDR de origen no permiten especificar un rango de direcciones; solo se pueden especificar prefijos de dirección en una regla. Al configurar un grupo TDR de origen, puede especificar la host-base-address opción; esta opción especifica la dirección IP donde comienza el intervalo de direcciones IP de origen original.

El intervalo de direcciones IP de origen originales que se traducen está determinado por el número de direcciones del grupo TDR de origen. Por ejemplo, si el grupo TDR de origen contiene un rango de diez direcciones IP, entonces se pueden traducir hasta diez direcciones IP de origen original, a partir de una dirección base especificada. Este tipo de traducción es uno a uno, estática y sin traducción de direcciones de puerto.

La condición de coincidencia en una regla TDR de origen puede definir un rango de direcciones mayor que el especificado en el grupo TDR de origen. Por ejemplo, una condición de coincidencia puede especificar un prefijo de dirección que contenga 256 direcciones, pero el conjunto TDR de origen puede contener un rango de solo unas pocas direcciones IP o solo una dirección IP. La dirección IP de origen de un paquete puede coincidir con una regla TDR de origen, pero si la dirección IP de origen no está dentro del intervalo de direcciones especificado en el conjunto TDR de origen, la dirección IP de origen no se traduce.

En este ejemplo, se describe cómo configurar una asignación TDR de origen de un intervalo de direcciones privadas a direcciones públicas, con un cambio de dirección opcional. Esta asignación es uno a uno entre las direcciones IP de origen originales y las direcciones IP traducidas.

Mediante el uso del grupo de origen con traducción de direcciones de puerto (PAT), Junos OS traduce tanto la dirección IP de origen como el número de puerto de los paquetes. Cuando se utiliza PAT, varios hosts pueden compartir la misma dirección IP.

Junos OS mantiene una lista de números de puerto asignados para distinguir qué sesión pertenece a qué host. Cuando pat está habilitado, hasta 63 488 hosts pueden compartir una sola dirección IP. Cada grupo de origen puede contener varias direcciones IP, varios rangos de direcciones IP o ambos. Para un grupo de origen con PAT, Junos OS puede asignar direcciones diferentes a un solo host para diferentes sesiones simultáneas, a menos que el grupo de origen o Junos OS tenga habilitada la característica de dirección persistente o la característica de agrupación de direcciones emparejada.

Para el grupo de origen de interfaz y el grupo de origen con PAT, el rango (1024, 65535) está disponible para la asignación de números de puerto por dirección IP. Dentro del rango (1024, 63487) se asigna un puerto a la vez, para un total de 62 464 puertos. En el rango (63488, 65535), se asignan dos puertos a la vez para aplicaciones RTP/RTCP, como SIP, H.323 y RTSP, para un total de 2048 puertos.

Cuando un host inicia varias sesiones que coincidan con una política que requiere traducción de direcciones de red y se le asigna una dirección de un grupo de origen que tiene PAT habilitado, el dispositivo asigna una dirección IP de origen diferente para cada sesión. Esta asignación aleatoria de direcciones puede ser problemática para los servicios que crean varias sesiones que requieren la misma dirección IP de origen para cada sesión. Por ejemplo, es importante tener la misma dirección IP para varias sesiones cuando se utiliza el cliente de mensaje instantáneo AOL (AIM).

Para asegurarse de que el enrutador asigne la misma dirección IP desde un grupo de origen a un host para varias sesiones simultáneas, puede habilitar una dirección IP persistente por enrutador. Para asegurarse de que el dispositivo asigne la misma dirección IP desde un grupo de origen a un host durante la duración de una sola sesión, puede habilitar la agrupación de direcciones emparejadas.

En este ejemplo, se describe cómo configurar una asignación TDR de origen de un bloque de dirección privada a un bloque de dirección pública más pequeño mediante la traducción de direcciones de puerto.

Cuando se define un grupo de origen, Junos OS habilita PAT de forma predeterminada. Para deshabilitar PAT, no debe especificar ninguna traducción de puerto cuando esté definiendo un grupo de origen.

Cuando se utiliza un grupo de origen sin PAT, Junos OS realiza la traducción de direcciones de red de origen para la dirección IP sin realizar PAT para el número de puerto de origen. En el caso de las aplicaciones que requieren que un número de puerto de origen determinado permanezca fijo, debe usar un grupo de origen sin PAT.

El grupo de origen puede contener varias direcciones IP, varios rangos de direcciones IP o ambos. Para el grupo de origen sin PAT, Junos OS asigna una dirección de origen traducida al mismo host para todas sus sesiones simultáneas, a menos que la opción de agrupación de direcciones sin emparejamiento esté habilitada.

El número de hosts que puede admitir un grupo TDR de origen sin PAT está limitado al número de direcciones del grupo. Cuando tiene un grupo con una única dirección IP, solo se puede admitir un host y el tráfico de otros hosts se bloquea porque no hay recursos disponibles. Si se configura una sola dirección IP para un grupo TDR de origen sin PAT cuando la asignación de recursos TDR no está en modo de copia de seguridad activa en un clúster de chasis, se bloqueará el tráfico a través del nodo 1.

La utilización del grupo para cada agrupación de origen sin PAT se calcula. Puede activar la alarma de uso de la agrupación configurando umbrales de alarma. Una captura SNMP se activa cada vez que la utilización del grupo supera un umbral y pasa por debajo de un umbral.

En este ejemplo, se describe cómo configurar un bloque de direcciones privadas en una única dirección pública en un grupo TDR de origen sin traducción de direcciones de puerto.

En este ejemplo se describe cómo configurar una asignación TDR de origen de un bloque de dirección privada a un bloque de dirección pública más pequeño sin traducción de dirección de puerto.

Los grupos TDR de origen sin traducción de direcciones de puerto realizan asignaciones estáticas uno a uno desde una dirección IP de origen a una dirección IP externa. Cuando solo hay una dirección IP externa o muy pocas disponibles en un conjunto sin patitas de origen, la address-shared opción le permite asignar muchas direcciones IP de origen a una dirección IP externa, siempre y cuando el tráfico provenga de puertos de origen diferentes.

Por ejemplo, si hay un conjunto TDR de origen sin traducción de puerto que contenga solo dos direcciones IP, IP 1 e IP 2, cuando un paquete llegue desde

1. Ip fuente 1, puerto 1, se traduce a IP 1, puerto 1.

2. Ip fuente 2, puerto 2, se traduce a IP 2, puerto 2.

3. IP fuente 3, puerto 1, se traduce a IP 2, puerto 1. (No se puede traducir al puerto IP 1 1 porque ese puerto ya está utilizado.

   Sin embargo, si otro paquete llega de la IP fuente 3, el puerto 1 para una IP y puerto de destino diferentes, no se puede traducir a IP 1, puerto 1 o IP 2, puerto 1, puerto 1, porque el puerto 1 ya se utiliza para las dos direcciones IP disponibles. La sesión fallará.

Esta opción aumenta los recursos TDR y mejora la posibilidad de configurar el tráfico traducido con éxito. No se puede usar en grupos TDR de origen con traducción de direcciones de puerto porque el uso compartido de direcciones ya es su comportamiento predeterminado.

La persistencia de sesión de traducción de direcciones de red (TDR) proporciona un medio para conservar las sesiones existentes, en lugar de borrarlas, cuando hay cambios en la configuración de TDR. Si se habilita la persistencia de sesión, las sesiones retenidas continúan procesando y reenviando paquetes a medida que el tiempo y los recursos se utilizan de manera óptima para reconstruir las sesiones afectadas. Por lo tanto, el reenvío de paquetes no se detiene incluso si la configuración de TDR cambia para algunas o todas las sesiones.

Desde la versión 18.3R1 de Junos OS en adelante, con la compatibilidad con la persistencia de sesión TDR, el motor de reenvío de paquetes escanea las sesiones y decide si mantener las sesiones o borrar las sesiones. En las versiones anteriores a Junos OS versión 18.3R1, las sesiones TDR se borran si hay un cambio en la configuración de TDR.

El motor de reenvío de paquetes realiza los dos tipos de análisis siguientes para decidir si se conservan o se pierden las sesiones:

• Source NAT pool session persistence scan— El motor de reenvío de paquetes compara la dirección IP de sesión existente con el rango de direcciones del grupo de origen. Si la dirección IP de la sesión existente se encuentra en el intervalo de direcciones del grupo de origen especificado, la sesión se mantiene viva, de lo contrario, la sesión se borra.

• Source NAT rule session persistence scan— El motor de reenvío de paquetes utiliza el ID de regla para comparar la dirección IP de origen, el puerto de origen, la dirección IP de destino y el puerto de destino entre las configuraciones antigua y nueva. Si las configuraciones nueva y antigua son las mismas, entonces la sesión se mantiene viva, de lo contrario, la sesión está despejada.

La persistencia de sesión TDR solo se admite para TDR de origen en los siguientes escenarios:

• Grupo de origen: cambia un intervalo de direcciones en un conjunto de traducción de direcciones de puerto (PAT).

• Regla de origen: cambia las condiciones de coincidencia para la libreta de direcciones, la aplicación, la dirección IP de destino, el puerto de destino, la dirección IP de origen y la información del puerto de destino.

Para habilitar el análisis de persistencia de sesión TDR, incluya la session-persistence-scan instrucción en el [edit security nat source] nivel jerárquico.

También puede configurar un valor de tiempo de espera para conservar las sesiones durante el período de tiempo especificado mediante el comando de CLI set security nat source session-drop-hold-down . El valor de la session-drop-hold-down opción oscila entre 30 y 28 800 segundos (ocho horas). La sesión caduca después del período de tiempo de espera configurado.

La configuración de la traducción de direcciones de red (TDR) suele cambiar para dar cabida a más usuarios y mejorar la ruta más corta para transferir el tráfico. Si se produce un cambio en la interfaz de salida debido al reenrutamiento del tráfico, puede usar el comando para conservar la set security flow enable-reroute-uniform-link-check nat configuración y la regla de TDR existentes.

Cuando el enable-reroute-uniform-link-check nat comando está habilitado:

• La sesión se mantiene con la regla TDR existente, si la nueva interfaz de salida y la interfaz de salida anterior se encuentran en la misma zona de seguridad y no se produce ningún cambio en la regla TDR coincidente o si no se aplica ninguna regla antes y después del reenrutamiento.

• La sesión caduca si la nueva interfaz de salida y la interfaz de salida anterior se encuentran en la misma zona de seguridad y se cambia la regla TDR coincidente.

Cuando el enable-reroute-uniform-link-check nat comando está deshabilitado:

• El tráfico se reenvía a la nueva interfaz de salida si la nueva interfaz de salida y la interfaz de salida anterior se encuentran en la misma zona de seguridad.

Configuration

Para habilitar la configuración TDR para una sesión existente cuando se produce un cambio en la interfaz de salida debido al reenrutamiento, utilice el siguiente comando:

[edit] user@host# set security flow enable-reroute-uniform-link-check natLa nueva configuración se aplica cuando confirma los cambios de configuración.

La enable-reroute-uniform-link-check nat command opción está deshabilitada de forma predeterminada.

Limitations

Conservar la configuración TDR mediante el set security flow enable-reroute-uniform-link-check nat comando tiene las siguientes limitaciones:

• La sincronización TCP no permite que la nueva sesión transfiera el tráfico. Debe deshabilitar la sincronización TCP para permitir la transferencia de tráfico en sesiones nuevas.

• La información del paquete podría perderse si se inicia el reenrutamiento después de un apretón de manos de tres vías para inicializar la comunicación. Debe deshabilitar el Marco de servicios (JSF) de Junos OS, como la puerta de enlace de capa de aplicación (ALG) para permitir la transferencia de tráfico en sesiones nuevas.