TDR de origen

TDR de origen es la traducción de la dirección IP de origen de un paquete que sale del dispositivo de Juniper Networks. La TDR de origen se utiliza para permitir que los hosts con direcciones IP privadas accedan a una red pública.

La TDR de origen permite que las conexiones se inicien solo para conexiones de red salientes, por ejemplo, desde una red privada a Internet. La NAT de origen se utiliza comúnmente para realizar las siguientes traducciones:

• Traduzca una sola dirección IP a otra dirección (por ejemplo, para proporcionar acceso a Internet a un único dispositivo de una red privada).

• Traducir un bloque contiguo de direcciones a otro bloque de direcciones del mismo tamaño.

• Traducir un bloque contiguo de direcciones a otro bloque de direcciones de menor tamaño.

• Traduzca un bloque contiguo de direcciones a una sola dirección IP o a un bloque más pequeño de direcciones mediante la traducción de puertos.

• Traducir un bloque contiguo de direcciones a la dirección de la interfaz de salida.

La traducción a la dirección de la interfaz de salida no requiere un grupo de direcciones; todas las demás traducciones NAT de origen requieren la configuración de un grupo de direcciones. Las traducciones uno a uno y muchas a varias para bloques de direcciones del mismo tamaño no requieren traducción de puertos porque hay una dirección disponible en el grupo para cada dirección que se traducirá.

Si el tamaño del grupo de direcciones es menor que el número de direcciones que se traducirían, el número total de direcciones simultáneas que se pueden traducir está limitado por el tamaño del grupo de direcciones o se debe usar la traducción de puertos. Por ejemplo, si un bloque de 253 direcciones se traduce a un grupo de direcciones de 10 direcciones, se puede conectar un máximo de 10 dispositivos simultáneamente a menos que se utilice la traducción de puertos.

Se admiten los siguientes tipos de TDR de origen:

• Traducción de la dirección IP de origen original a la dirección IP de la interfaz de salida (también denominada interfaz NAT). Siempre se realiza la traducción de direcciones de puertos.

• Traducción de la dirección IP de origen original a una dirección IP desde un grupo de direcciones definido por el usuario sin traducción de direcciones de puerto. La asociación entre la dirección IP de origen original y la dirección IP de origen traducida es dinámica. Sin embargo, una vez que hay una asociación, se utiliza la misma asociación para la misma dirección IP de origen original para el tráfico nuevo que coincida con la misma regla NAT.

• Traducción de la dirección IP de origen original a una dirección IP desde un grupo de direcciones definido por el usuario con traducción de direcciones de puerto. La asociación entre la dirección IP de origen original y la dirección IP de origen traducida es dinámica. Incluso si existe una asociación, la misma dirección IP de origen original puede traducirse a una dirección diferente para el tráfico nuevo que coincida con la misma regla NAT.

• Traducción de la dirección IP de origen original a una dirección IP desde un grupo de direcciones definido por el usuario mediante el desplazamiento de las direcciones IP. Este tipo de traducción es individual, estática y sin traducción de direcciones de puerto. Si el intervalo de direcciones IP de origen original es mayor que el intervalo de direcciones IP del grupo definido por el usuario, se descartarán los paquetes no traducidos.

• La arquitectura de punto central ya no admite sesiones de puntos centrales. Por lo tanto, NAT necesita mantener un rastreador NAT para rastrear la dirección IP o la asignación y el uso del puerto. El rastreador NAT es una matriz global para ID de sesión de SPU a IP NAT o mapeo de puertos que se utiliza para administrar los recursos de NAT.

• De forma predeterminada, se envía una alarma de regla NAT y un mensaje de actualización del contador de estadísticas de captura desde la unidad de procesamiento de servicios (SPU) al punto central a intervalos de 1 segundo, en lugar de actualizar las estadísticas en función de cada desencadenador de sesión en el sistema de puntos centrales.

• Para admitir una dirección IP NAT específica o un puerto asignado de manera que el hash de 5 tuplas después de NAT sea el mismo que el hash original de 5 tuplas antes de NAT, seleccione un puerto NAT que dé como resultado el mismo hash que el hash original según el cálculo específico. Por lo tanto, la sesión de reenvío se reduce. Cuando se usa NAT, el ala inversa se aplica a una SPU diferente. Se debe instalar una sesión de reenvío para reenviar el tráfico inverso a una SPU de sesión. NAT intenta seleccionar un puerto que pueda ser utilizado por el algoritmo hash para hacer que el ala inversa se hashee a la misma SPU que el ala inicial. Por lo tanto, tanto el rendimiento como el rendimiento de NAT se mejoran con este enfoque.

• Para mejorar el rendimiento de NAT, la administración del grupo de desplazamiento de IP (grupo que no es PAT) se mueve del punto central a la SPU para que todos los recursos NAT locales de ese grupo se administren localmente en lugar de enviar la solicitud NAT al punto central. Por lo tanto, se mejoran las conexiones por segundo y el rendimiento del conjunto NAT que cambian la dirección IP.

El modo de ráfaga de desbordamiento de puertos le permite utilizar los puertos más allá de los bloques de puertos asignados. Puede configurar un grupo de ráfagas con un rango de puertos en una dirección IP que se reservará para ráfagas.

Hay tipos de grupo primario y ráfaga, el dispositivo utiliza el grupo de ráfaga una vez que los suscriptores alcanzan el límite configurado en el grupo principal.

El modo Brust es compatible con:

1. Conjunto NAT de origen NAT determinista con conjunto de ráfagas tipo PBA.

2. Conjunto de NAT de origen determinista con grupo de ráfagas de traducción dinámica de puertos de direcciones de red (NAPT).

3. Pool NAT de fuente PBA regular con pool de ráfagas tipo PBA.

4. Conjunto NAT de origen PBA regular con grupo de ráfagas dinámicas de tipo NAPT.

Método de tipo de ráfaga PBA: PBA admite el modo de operaciones APP y no APP.

• Modo APP: los puertos se asignan desde el grupo principal. Cuando el límite de suscriptores supera el grupo principal, si hay puertos disponibles para la misma dirección IP del grupo de ráfagas, se crean nuevas sesiones.

• Modo que no es APP: los puertos se asignan desde el grupo principal. Cuando el límite de suscriptores supera el grupo principal, se crean nuevas sesiones desde el grupo de ráfagas con cualquier dirección IP y puerto disponibles.

Método de tipo de ráfaga DetNAT: los puertos se asignan desde el grupo principal. Si la misma dirección IP del grupo de ráfagas o todos los puertos disponibles no están disponibles desde la misma dirección IP, se crea una nueva sesión con otra dirección IP. Si el grupo de ráfagas está configurado con una IP diferente de la agrupación principal, utilizará otra IP de la agrupación de ráfagas.

• Modo de aleatorización de puertos (predeterminado)
• Modo Round-Robin
• Modo de afinidad de sesión

• Propósito
• Acción

En este ejemplo se describe cómo configurar una asignación NAT de origen de direcciones privadas a la dirección pública de una interfaz de salida.

En este ejemplo se describe cómo configurar una asignación NAT de origen de una sola dirección privada a una dirección pública.

En este ejemplo se describe cómo configurar asignaciones NAT de origen y destino.

Las reglas NAT de origen especifican dos capas de condiciones de coincidencia:

• Dirección del tráfico: permite especificar combinaciones de from interface, , o from routing-instance y to interface, o to routing-instance. to zonefrom zone No puede configurar los mismos from contextos y to para conjuntos de reglas diferentes.

• Información de paquetes: pueden ser direcciones o subredes IP de origen y destino, números o rangos de puertos de origen, números de puertos de destino o rangos de puertos, protocolos o aplicaciones.

Para todo el tráfico ALG, excepto FTP, se recomienda no utilizar la opción de source-port regla. La creación de la sesión de datos puede fallar si se usa esta opción, ya que es posible que la dirección IP y el valor del puerto de origen, que es un valor aleatorio, no coincidan con la regla.

Además, se recomienda no usar la opción o la application opción como condiciones coincidentes para el destination-port tráfico de ALG. Si se utilizan estas opciones, es posible que se produzca un error en la traducción porque es posible que el valor de puerto de la carga de la aplicación no coincida con el valor de puerto de la dirección IP.

Si varias reglas NAT de origen se superponen en las condiciones de coincidencia, se elige la regla más específica. Por ejemplo, si las reglas A y B especifican las mismas direcciones IP de origen y destino, pero la regla A especifica el tráfico de la zona 1 a la zona 2 y la regla B especifica el tráfico de la zona 1 a la interfaz ge-0/0/0, la regla B se utiliza para realizar el NAT de origen. Se considera que una coincidencia de interfaz es más específica que una coincidencia de zona, que es más específica que una coincidencia de instancia de enrutamiento.

Las acciones que puede especificar para una regla NAT de origen son:

• desactivado: no realice NAT de origen.

• pool: utilice el grupo de direcciones definido por el usuario especificado para realizar el NAT de origen.

• interfaz: utilice la dirección IP de la interfaz de salida para realizar el NAT de origen.

Las reglas NAT de origen se aplican al tráfico en el primer paquete que se procesa para el flujo o en la ruta rápida para la ALG. Las reglas NAT de origen se procesan después de reglas NAT estáticas, reglas NAT de destino y asignación inversa de reglas NAT estáticas y después de la búsqueda de políticas de ruta y seguridad.

Cuando las zonas no están configuradas bajo el conjunto de reglas y cuando la NAT de origen activa está configurada con la instrucción obligatoria faltante "from", se muestra el siguiente mensaje al realizar la confirmación "Falta la instrucción obligatoria: error 'from': error de desprotección de configuración" y se produce un error en la desprotección de la configuración.

En este ejemplo se describe cómo configurar asignaciones NAT de origen con varias reglas.

Un grupo NAT es un conjunto definido por el usuario de direcciones IP que se utilizan para la traducción. A diferencia de NAT estática, donde hay una asignación uno a uno que incluye la traducción de la dirección IP de destino en una dirección y la traducción de la dirección IP de origen en la dirección inversa, con NAT de origen, se traduce la dirección IP de origen original a una dirección IP en el grupo de direcciones.

Para los grupos de direcciones de traducción de direcciones de red (NAT) de origen, especifique lo siguiente:

• Nombre del grupo de direcciones NAT de origen.

• Hasta 64 rangos de direcciones.

  Nota:

  No superponga direcciones NAT para NAT de origen, NAT de destino y NAT estática dentro de una instancia de enrutamiento.

• Instancia de enrutamiento: instancia de enrutamiento a la que pertenece el grupo (el valor predeterminado es la instancia de enrutamiento inet.0 principal).

• Puerto: la traducción de direcciones de puerto (PAT) para un grupo de origen. De forma predeterminada, PAT se realiza con NAT de origen. Si especifica la opción sin traducción , el número de hosts que puede admitir el grupo NAT de origen se limita al número de direcciones del grupo. Si especifica block-allocation, se asigna un bloque de puertos para la traducción, en lugar de asignar puertos individuales. Si especifica deterministic, una dirección IP entrante (origen) y un puerto siempre se asignan a la dirección de destino específica y al bloque de puertos, según un algoritmo NAT determinista y predefinido. Si especifica port-overloading, puede configurar la capacidad de sobrecarga de puertos en NAT de origen. Si especifica range, puede proporcionar el intervalo de números de puerto adjunto a cada dirección del grupo y el intervalo de puertos gemelos para los grupos NAT de origen.

• Grupo de desbordamiento (opcional): los paquetes se descartan si no hay direcciones disponibles en el grupo NAT de origen designado. Para evitar que esto ocurra cuando se configura la opción de puerto sin traducción , puede especificar un grupo de desbordamiento. Una vez que se agotan las direcciones del grupo NAT de origen original, las direcciones IP y los números de puerto se asignan desde el grupo de desbordamiento. Se puede usar un grupo NAT de origen definido por el usuario o una interfaz de salida como grupo de desbordamiento. (Cuando se usa el grupo de desbordamiento, se devuelve el ID del grupo con la dirección).

• Cambio de dirección IP (opcional): un rango de direcciones IP de origen originales se puede asignar a otro rango de direcciones IP, o a una sola dirección IP, cambiando las direcciones IP. Especifique la opción host-address-base con la dirección base del intervalo de direcciones IP de origen original.

• Uso compartido de direcciones (opcional): se pueden asignar varias direcciones IP internas a la misma dirección IP externa. Esta opción solo se puede usar cuando el grupo NAT de origen está configurado sin traducción de puertos. Especifique la address-shared opción cuando un grupo NAT de origen tenga pocas direcciones IP externas disponibles o solo una dirección IP externa. Con una asignación varios a uno, el uso de esta opción aumenta los recursos NAT y mejora el tráfico.

• Agrupación de direcciones (opcional): la agrupación de direcciones se puede configurar como emparejada o no emparejada. Especifique address-pooling paired para las aplicaciones que requieren que todas las sesiones asociadas con una dirección IP interna se asignen a la misma dirección IP externa durante la duración de una sesión. Esto difiere de la persistent-address opción, en la que la misma dirección interna se traduce a la misma dirección externa cada vez. Especifique address-pooling no-paired para las aplicaciones que se pueden asignar direcciones IP de forma rotativa. Si está address-pooling paired address-pooling no-paired configurado para un grupo NAT de origen con PAT, la opción de dirección persistente está deshabilitada. Si address-shared está configurado en un grupo NAT de origen sin PAT, la persistent-address opción está habilitada. Ambos address-shared y address-pooling paired se pueden configurar en el mismo grupo NAT de origen sin PAT.

• Alarma de utilización de agrupación (opcional): cuando la opción de umbral de elevación está configurada para NAT de origen, se activa una captura SNMP si la utilización de la agrupación NAT de origen supera este umbral. Si se configura la opción opcional de umbral claro , se activa una captura SNMP si la utilización del grupo NAT de origen cae por debajo de este umbral. Si no se configura el umbral claro , se establece de forma predeterminada en el 80 por ciento del valor del umbral de elevación .

Puede usar el comando show security nat resource usage source pool para ver el uso de direcciones en un grupo NAT de origen sin PAT y para ver el uso de puertos en un pool NAT de origen con PAT.

Las capacidades máximas de los grupos de origen y las direcciones IP en dispositivos SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX5400, SRX5600 y SRX5800 son las siguientes:

Aumentar el número total de direcciones IP utilizadas para el NAT de origen, ya sea aumentando el número de agrupaciones en la configuración o aumentando la capacidad o las direcciones IP por agrupación, consume la memoria necesaria para la asignación de puertos. Cuando se alcanzan los límites del grupo NAT de origen y de direcciones IP, se deben reasignar los intervalos de puertos. Es decir, el número de puertos para cada dirección IP debe reducirse cuando aumenta el número de direcciones IP y grupos NAT de origen. Esto garantiza que NAT no consuma demasiada memoria.

Por ejemplo, en un grupo NAT de origen para dispositivos SRX5000, cuando el número de direcciones IP que admiten la traducción de puertos alcanza el límite de 1 M, el número total de puertos PAT es de 64 G, lo que supera la limitación de 384 M. Esto se debe a que, de forma predeterminada, cada dirección IP admite 64.512 puertos. Para garantizar que los números de puerto PAT estén dentro de su capacidad, es necesario configurar el intervalo de puertos para cada IP a fin de reducir el número total de puertos PAT.

Use las range opciones y range twin-port en el nivel de [edit security nat source pool port] jerarquía para asignar un nuevo rango de puertos o un intervalo de puertos dobles para un grupo específico. Use las pool-default-port-range opciones y en pool-default-twin-port-range el nivel de [edit security nat source] jerarquía para especificar el rango de puertos predeterminados global o el rango de puertos gemelos para todos los grupos NAT de origen.

La configuración de la sobrecarga de puertos también debe hacerse con cuidado cuando se aumentan los grupos NAT de origen.

Para un grupo de fuentes con PAT dentro del rango (de 63.488 a 65.535), se asignan dos puertos a la vez para aplicaciones RTP/RTCP, como SIP, H.323 y RTSP. En estos escenarios, cada dirección IP admite PAT, ocupando 2048 puertos (63.488 a 65.535) para el uso del módulo ALG.

De forma predeterminada, la traducción de direcciones de puerto se realiza con NAT de origen. Sin embargo, es posible que una dirección de origen original no se traduzca a la misma dirección IP para un tráfico diferente que se origine en el mismo host. La opción NAT address-persistent de origen garantiza que se asigne la misma dirección IP desde el grupo NAT de origen a un host específico para varias sesiones simultáneas.

Esta opción difiere de la opción emparejada de agrupación de direcciones, en la que la dirección interna se asigna a una dirección externa dentro del grupo por orden de llegada, y puede asignarse a una dirección externa diferente para cada sesión.

En este ejemplo se describe cómo configurar la capacidad de los grupos NAT de origen con la traducción de direcciones de puerto (PAT) si no se establece un intervalo de puertos predeterminado o se desea invalidarlo. Las traducciones se establecen para cada dirección IP. Cuando se aumenta el grupo de origen, los puertos deben reasignarse si el número de puerto actual supera las limitaciones.

Cuando un host inicia varias sesiones que coinciden con una directiva que requiere NAT y se le asigna una dirección IP de un grupo de origen que tiene habilitada la traducción de direcciones de puerto, se utiliza una dirección IP de origen diferente para cada sesión.

Dado que algunas aplicaciones requieren la misma dirección IP de origen para cada sesión, puede utilizar la address-pooling paired función para permitir que todas las sesiones asociadas con una dirección IP interna se asignen a la misma dirección IP externa durante la duración de las sesiones. Cuando finalizan las sesiones, cesa la asignación entre la dirección IP interna y la dirección IP externa. La próxima vez que el host inicie una sesión, es posible que se le asigne una dirección IP diferente del grupo.

Esto difiere de la función NAT address-persistent de origen, que mantiene la asignación estática; la misma dirección IP interna se asigna a la misma dirección IP externa cada vez. También difiere de la address-persistent característica en que address-pooling paired está configurada para un grupo específico. La address-persistent característica es una configuración global que se aplica a todos los grupos de origen.

Las condiciones de coincidencia para un conjunto de reglas NAT de origen no permiten especificar un intervalo de direcciones; Sólo se pueden especificar prefijos de dirección en una regla. Al configurar un grupo NAT de origen, puede especificar la host-base-address opción; esta opción especifica la dirección IP donde comienza el intervalo de direcciones IP de origen original.

El intervalo de direcciones IP de origen originales que se traducen viene determinado por el número de direcciones del grupo NAT de origen. Por ejemplo, si el grupo NAT de origen contiene un intervalo de diez direcciones IP, se pueden traducir hasta diez direcciones IP de origen originales, empezando por una dirección base especificada. Este tipo de traducción es individual, estática y sin traducción de direcciones de puerto.

La condición de coincidencia en una regla NAT de origen puede definir un intervalo de direcciones mayor que el especificado en el grupo NAT de origen. Por ejemplo, una condición de coincidencia puede especificar un prefijo de dirección que contenga 256 direcciones, pero el grupo NAT de origen puede contener un intervalo de solo unas pocas direcciones IP o solo una dirección IP. La dirección IP de origen de un paquete puede coincidir con una regla NAT de origen, pero si la dirección IP de origen no está dentro del intervalo de direcciones especificado en el grupo NAT de origen, la dirección IP de origen no se traduce.

En este ejemplo se describe cómo configurar una asignación NAT de origen de un intervalo de direcciones privadas a direcciones públicas, con desplazamiento de dirección opcional. Esta asignación es uno a uno entre las direcciones IP de origen originales y las direcciones IP traducidas.

Mediante el uso del grupo de origen con traducción de direcciones de puerto (PAT), Junos OS traduce tanto la dirección IP de origen como el número de puerto de los paquetes. Cuando se utiliza PAT, varios hosts pueden compartir la misma dirección IP.

Junos OS mantiene una lista de números de puerto asignados para distinguir qué sesión pertenece a cada host. Cuando PAT está habilitado, hasta 63.488 hosts pueden compartir una sola dirección IP. Cada grupo de origen puede contener varias direcciones IP, varios intervalos de direcciones IP o ambos. Para un grupo de orígenes con PAT, Junos OS puede asignar diferentes direcciones a un único host para diferentes sesiones simultáneas, a menos que el grupo de origen o Junos OS tengan habilitada la función de dirección persistente o la función de agrupación de direcciones emparejadas.

Para el grupo de orígenes de interfaz y el grupo de orígenes con PAT, el rango (1024, 65535) está disponible para la asignación de número de puerto por dirección IP. Dentro del rango (1024, 63487) se asigna un puerto a la vez, para un total de 62.464 puertos. Dentro del rango (63488, 65535), se asignan dos puertos a la vez para aplicaciones RTP/RTCP como SIP, H.323 y RTSP, para un total de 2.048 puertos.

Cuando un host inicia varias sesiones que coinciden con una política que requiere traducción de direcciones de red y se le asigna una dirección de un grupo de origen que tiene PAT habilitado, el dispositivo asigna una dirección IP de origen diferente para cada sesión. Dicha asignación aleatoria de direcciones puede ser problemática para los servicios que crean varias sesiones que requieren la misma dirección IP de origen para cada sesión. Por ejemplo, es importante tener la misma dirección IP para varias sesiones cuando se utiliza el cliente de mensajería instantánea de AOL (AIM).

Para asegurarse de que el enrutador asigna la misma dirección IP de un grupo de origen a un host para varias sesiones simultáneas, puede habilitar una dirección IP persistente por enrutador. Para asegurarse de que el dispositivo asigna la misma dirección IP de un grupo de origen a un host durante una sola sesión, puede habilitar la agrupación de direcciones emparejadas.

En este ejemplo se describe cómo configurar una asignación NAT de origen de un bloque de direcciones privadas a un bloque de direcciones públicas más pequeño mediante la traducción de direcciones de puerto.

Cuando se define un grupo de origen, Junos OS habilita PAT de forma predeterminada. Para deshabilitar PAT, no debe especificar ninguna traducción de puertos al definir un grupo de origen.

Cuando se utiliza un grupo de origen sin PAT, Junos OS realiza la traducción de direcciones de red de origen para la dirección IP sin realizar PAT para el número de puerto de origen. Para las aplicaciones que requieren que un número de puerto de origen determinado permanezca fijo, debe usar el grupo de orígenes sin PAT.

El grupo de origen puede contener varias direcciones IP, varios intervalos de direcciones IP o ambos. Para el grupo de orígenes sin PAT, Junos OS asigna una dirección de origen traducida al mismo host para todas sus sesiones simultáneas, a menos que la opción de agrupación de direcciones sin pares esté habilitada.

El número de hosts que puede admitir un grupo NAT de origen sin PAT está limitado al número de direcciones del grupo. Cuando tiene un grupo con una sola dirección IP, solo se puede admitir un host y el tráfico de otros hosts se bloquea porque no hay recursos disponibles. Si se configura una sola dirección IP para un grupo NAT de origen sin PAT cuando la asignación de recursos NAT no está en modo de copia de seguridad activa en un clúster de chasis, se bloqueará el tráfico que pase por el nodo 1.

Se calcula la utilización del grupo para cada grupo de origen sin PAT. Puede activar la alarma de utilización del grupo configurando umbrales de alarma. Se activa una captura SNMP cada vez que la utilización del grupo supera un umbral y pasa por debajo de un umbral.

En este ejemplo se describe cómo configurar un bloque de direcciones privadas para una única dirección pública en un grupo NAT de origen sin traducción de direcciones de puerto.

En este ejemplo se describe cómo configurar una asignación NAT de origen de un bloque de direcciones privadas a un bloque de direcciones públicas más pequeño sin traducción de direcciones de puerto.

Los grupos NAT de origen sin traducción de direcciones de puerto realizan asignaciones estáticas uno a uno desde una dirección IP de origen a una dirección IP externa. Cuando solo hay una dirección IP externa, o muy pocas disponibles en un grupo sin pat de origen, la address-shared opción le permite asignar muchas direcciones IP de origen a una dirección IP externa siempre que el tráfico provenga de puertos de origen diferentes.

Por ejemplo, si hay un grupo NAT de origen sin traducción de puertos que contiene solo dos direcciones IP, IP 1 e IP 2, cuando llega un paquete desde

1. IP fuente 1, puerto 1, se traduce a IP 1, puerto 1.

2. IP fuente 2, puerto 2, se traduce a IP 2, puerto 2.

3. IP fuente 3, puerto 1, se traduce a IP 2, puerto 1. (No se puede traducir al puerto IP 1 1 porque ese puerto ya se está utilizando.

   Sin embargo, si llega otro paquete desde la IP de origen 3, puerto 1 para una IP de destino y un puerto diferentes, no se puede traducir a IP 1, puerto 1 o IP 2, puerto 1 porque el puerto 1 ya se usa para ambas direcciones IP disponibles. Se producirá un error en la sesión.

Esta opción aumenta los recursos NAT y mejora la posibilidad de configurar correctamente el tráfico traducido. No se puede usar en grupos NAT de origen con traducción de direcciones de puerto porque el uso compartido de direcciones ya es su comportamiento predeterminado.

La persistencia de la sesión de traducción de direcciones de red (NAT) proporciona un medio para conservar las sesiones existentes, en lugar de borrarlas, cuando hay cambios en la configuración de NAT. Si la persistencia de la sesión está habilitada, las sesiones retenidas continúan procesando y reenviando paquetes a medida que el tiempo y los recursos se utilizan de manera óptima para reconstruir las sesiones afectadas. Por lo tanto, el reenvío de paquetes no se detiene incluso si se cambia la configuración NAT para algunas o todas las sesiones.

A partir de la versión 18.3R1 de Junos OS, con la compatibilidad con la persistencia de sesiones NAT, el motor de reenvío de paquetes analiza las sesiones y decide si desea mantener las sesiones o borrarlas. En versiones anteriores a Junos OS versión 18.3R1, las sesiones NAT se borran si hay un cambio en la configuración de NAT.

El motor de reenvío de paquetes realiza los dos tipos de exámenes siguientes para decidir si se deben conservar o descartar sesiones:

• Source NAT pool session persistence scan: el motor de reenvío de paquetes compara la dirección IP de la sesión existente con el intervalo de direcciones del grupo de origen. Si la dirección IP de la sesión existente se encuentra en el intervalo de direcciones del grupo de origen especificado, la sesión se mantiene activa y, de lo contrario, la sesión se borra.

• Source NAT rule session persistence scan: el motor de reenvío de paquetes utiliza el ID de regla para comparar la dirección IP de origen, el puerto de origen, la dirección IP de destino y el puerto de destino entre las configuraciones antigua y nueva. Si las configuraciones nuevas y antiguas son las mismas, la sesión se mantiene viva; de lo contrario, la sesión se borra.

La persistencia de sesión NAT solo se admite para NAT de origen en los siguientes escenarios:

• Grupo de origen: cambio en un intervalo de direcciones en un grupo de traducción de direcciones de puerto (PAT).

• Regla de origen: cambio en las condiciones de coincidencia para la libreta de direcciones, la aplicación, la dirección IP de destino, el puerto de destino, la dirección IP de origen y la información del puerto de destino.

Para habilitar el análisis de persistencia de la sesión NAT, incluya la session-persistence-scan instrucción en el nivel jerárquico [edit security nat source] .

También puede configurar un valor de tiempo de espera para conservar las sesiones durante el período de tiempo especificado mediante el comando de la set security nat source session-drop-hold-down CLI. El valor de la session-drop-hold-down opción oscila entre 30 y 28.800 segundos (ocho horas). La sesión expira después del período de tiempo de espera configurado.

La configuración de traducción de direcciones de red (NAT) suele cambiar para dar cabida a más usuarios y mejorar la ruta más corta para transferir el tráfico. Si se produce un cambio en la interfaz de salida debido al reenrutamiento del tráfico, puede usar el set security flow enable-reroute-uniform-link-check nat comando para conservar la configuración y la regla de NAT existentes.

Cuando el enable-reroute-uniform-link-check nat comando está habilitado:

• La sesión se conserva con la regla NAT existente si la nueva interfaz de salida y la interfaz de salida anterior se encuentran en la misma zona de seguridad y no hay ningún cambio en la regla NAT coincidente o si no se aplica ninguna regla antes y después del reenrutamiento.

• La sesión expira si la nueva interfaz de salida y la interfaz de salida anterior se encuentran en la misma zona de seguridad y se cambia la regla NAT coincidente.

Cuando el enable-reroute-uniform-link-check nat comando está deshabilitado:

• El tráfico se reenvía a la nueva interfaz de salida si la nueva interfaz de salida y la interfaz de salida anterior se encuentran en la misma zona de seguridad.

Configuration

Para habilitar la configuración de NAT para una sesión existente cuando hay un cambio en la interfaz de salida debido al reenrutamiento, utilice el siguiente comando:

[edit] user@host# set security flow enable-reroute-uniform-link-check natLa nueva configuración se aplica cuando se confirman los cambios de configuración.

El enable-reroute-uniform-link-check nat command está deshabilitado de forma predeterminada.

Limitations

Conservar la configuración de NAT mediante el set security flow enable-reroute-uniform-link-check nat comando tiene las siguientes limitaciones:

• La sincronización TCP no permite que la nueva sesión transfiera el tráfico. Debe deshabilitar la sincronización TCP para permitir la transferencia de tráfico en nuevas sesiones.

• La información del paquete podría perderse si se inicia el reenrutamiento después de un protocolo de enlace de tres vías para inicializar la comunicación. Debe deshabilitar Junos OS Services Framework (JSF) como Application Layer Gateway (ALG) para permitir la transferencia de tráfico en nuevas sesiones.