EN ESTA PÁGINA
Descripción de las utilidades de recorrido de sesión para el protocolo NAT (STUN)
Descripción del prefijo IPv6 NAT64 para la traducción persistente de direcciones IPv4
Descripción general de la configuración de NAT persistente y NAT64
Ejemplo: configuración de grupos NAT64 persistentes de direcciones
Ejemplo: configuración del filtrado dependiente de la dirección para clientes IPv6
Ejemplo: configuración de un filtrado independiente del punto de conexión para clientes IPv6
Ejemplo: establecer un número máximo de enlaces NAT persistentes
Comportamiento de compatibilidad con enlaces NAT persistentes específicos de la plataforma
NAT persistente y NAT64
Los traductores de direcciones de red (NAT) son bien conocidos por causar problemas muy importantes con las aplicaciones que llevan direcciones IP en la carga útil. Las aplicaciones que sufren de este problema incluyen VoIP y Multimedia Over IP. NAT persistente mejora el comportamiento de los NAT y define un conjunto de comportamientos de requisitos de NAT que es útil para las aplicaciones VOIP que funcionan. NAT64 es un mecanismo de traducción utilizado para traducir paquetes IPv6 a paquetes IPv4 y viceversa traduciendo los encabezados de paquete de acuerdo con el algoritmo de traducción IP/ICMP.
Descripción de NAT persistente y NAT64
La NAT persistente permite que las aplicaciones utilicen el protocolo Session Traversal Utilities for NAT (STUN) al pasar a través de firewalls NAT. La NAT persistente garantiza que todas las solicitudes de la misma dirección de transporte interna (dirección IP interna y puerto) se asignen a la misma dirección de transporte reflexiva (la dirección IP pública y el puerto creado por el dispositivo NAT más cercano al servidor STUN).
NAT64 es un mecanismo para traducir paquetes IPv6 a paquetes IPv4 y viceversa que permite a los clientes IPv6 ponerse en contacto con servidores IPv4 mediante UDP, TCP o ICMP de unidifusión. Es una mejora de la traducción de protocolos de traducción de direcciones de red (NAT-PT).
NAT64 admite lo siguiente:
-
Mapeos independientes del punto de conexión
-
Filtrado independiente del punto de conexión y filtrado dependiente de la dirección
Los comportamientos de mapeo y filtrado de NAT64 y NAT persistente son idénticos.
Los siguientes tipos de NAT persistente se pueden configurar en el dispositivo de Juniper Networks:
-
Cualquier host remoto: todas las solicitudes de una dirección IP interna y un puerto específicos se asignan a la misma dirección de transporte reflexiva. Cualquier host externo puede enviar un paquete al host interno enviando el paquete a la dirección de transporte reflexiva.
-
Host de destino: todas las solicitudes de una dirección IP interna específica y un puerto se asignan a la misma dirección de transporte reflexiva. Un host externo puede enviar un paquete a un host interno enviando el paquete a la dirección de transporte reflexiva. El host interno debe haber enviado previamente un paquete a la dirección IP del host externo.
-
Puerto de host de destino: todas las solicitudes de una dirección IP interna específica y un puerto se asignan a la misma dirección de transporte reflexiva. Un host externo puede enviar un paquete a un host interno enviando el paquete a la dirección de transporte reflexiva. El host interno debe haber enviado previamente un paquete a la dirección IP y al puerto del host externo.
La configuración destino-host-puerto no es compatible con NAT64 cuando se configura con dirección IPv6.
Configure cualquiera de los tipos de NAT persistente con reglas NAT de origen. La acción de la regla NAT de origen puede usar un grupo NAT de origen (con o sin traducción de puertos) o una interfaz de salida. La NAT persistente no es aplicable para NAT de destino, ya que los enlaces NAT persistentes se basan en sesiones salientes de internas a externas.
La sobrecarga de puertos se utiliza en Junos OS solo para el tráfico NAT de interfaz normal. La NAT persistente no admite la sobrecarga de puertos y debe deshabilitar explícitamente la sobrecarga de puertos con una de las siguientes opciones en el nivel de jerarquía [edit security nat source]:
-
sobrecarga de puertos desactivada
-
Factor de sobrecarga de puertos 1
Para configurar políticas de seguridad que permitan o denieguen tráfico NAT persistente, puede utilizar dos nuevos servicios predefinidos:junos-stun y junos-persistent-nat.
La TDR persistente es diferente de la característica de dirección persistente (consulte Descripción de direcciones persistentes para grupos NAT de origen). La función de dirección persistente se aplica a las asignaciones de direcciones para los grupos NAT de origen configurados en el dispositivo. La característica NAT persistente se aplica a las asignaciones de direcciones en un dispositivo NAT externo y está configurada para un grupo NAT de origen específico o una interfaz de salida. Además, la NAT persistente está diseñada para usarse con aplicaciones cliente/servidor STUN.
Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas.
Revise la sección Comportamiento de compatibilidad con enlaces de NAT persistentes específicos de la plataforma para obtener notas relacionadas con su plataforma.
Descripción de las utilidades de recorrido de sesión para el protocolo NAT (STUN)
Muchas aplicaciones de vídeo y voz no funcionan correctamente en un entorno NAT. Por ejemplo, el protocolo de inicio de sesión (SIP), utilizado con VoIP, codifica direcciones IP y números de puerto dentro de los datos de la aplicación. Si existe un firewall NAT entre el solicitante y el receptor, la traducción de la dirección IP y el número de puerto en los datos invalida la información.
Además, un firewall NAT no mantiene un agujero para los mensajes SIP entrantes. Esto obliga a la aplicación SIP a actualizar constantemente el agujero con mensajes SIP o a utilizar un ALG para realizar un seguimiento del registro, una función que puede o no ser compatible con el dispositivo de puerta de enlace.
El protocolo de utilidades de recorrido de sesión para NAT (STUN), definido por primera vez en RFC 3489, Recorrido simple del protocolo de datagramas de usuario (UDP) a través de traductores de direcciones de red (NAT) y, posteriormente , en RFC 5389, Utilidades de recorrido de sesión para NAT, es un protocolo simple de cliente/servidor. Un cliente STUN envía solicitudes a un servidor STUN, que devuelve respuestas al cliente. Un cliente STUN suele ser parte de una aplicación que requiere una dirección IP pública y/o un puerto. Los clientes STUN pueden residir en un sistema final, como un PC o en un servidor de red, mientras que los servidores STUN generalmente están conectados a la Internet pública.
Tanto el cliente STUN como el servidor STUN deben ser proporcionados por la aplicación. Juniper Networks no proporciona un cliente ni servidor STUN.
El protocolo STUN permite a un cliente:
Descubra si la aplicación está detrás de un firewall NAT.
Determine el tipo de enlace NAT que se está utilizando.
Aprenda la dirección de transporte reflexiva, que es la dirección IP y el enlace de puerto asignados por el dispositivo NAT más cercano al servidor STUN. (Puede haber varios niveles de NAT entre el cliente STUN y el servidor STUN).
La aplicación cliente puede utilizar la información de enlace de dirección IP dentro de protocolos como SIP y H.323.
Descripción del prefijo IPv6 NAT64 para la traducción persistente de direcciones IPv4
El mecanismo NAT64 permite a los clientes IPv6 ponerse en contacto con servidores IPv4 traduciendo direcciones IPv6 a direcciones IPv4 (y viceversa). Sin embargo, algunas aplicaciones y servicios IPv4 no pueden funcionar correctamente en redes de solo IPv6 con NAT64 estándar en un escenario de traducción dual, como 464XLAT. En esos escenarios, se requiere una traducción de dirección persistente.
La figura 1 ilustra la arquitectura 464XLAT, mediante la cual los paquetes IPv4 se traducen a paquetes IPv6 en el traductor del lado del cliente (CLAT), luego pasan por la red solo IPv6 y se traducen de nuevo a paquetes IPv4 en el traductor del lado proveedor (PLAT) para acceder a contenido global solo IPv4 en la red principal. Esta arquitectura utiliza una combinación de traducción sin estado en la CLAT y traducción con estado en la PLAT.
de 464XLAT
Cuando un dispositivo funciona como un PLAT, es responsable de mantener la relación de mapeo adhesivo entre un prefijo IPv6 específico y una dirección IPv4 traducida. El dispositivo trata el prefijo IPv6 como un solo usuario. Esta asignación se logra configurando la longitud específica del prefijo IPv6 en un grupo NAT de origen IPv4 mediante la address-persistent característica.
La figura 2 ilustra una regla NAT configurada en la CLAT, que traduce una dirección IPv4 a una dirección IPv6 con un prefijo de dirección persistente. Con la traducción NAT46 sin estado en la CLAT y la traducción NAT64 con estado en el PLAT, el tráfico del host IPv4 192.168.1.2 llega al servidor global 198.51.100.1 a través de una red solo IPv6.
En la tabla 1 se enumeran otras características de NAT y su compatibilidad con la función de dirección persistente.
Característica |
Compatible |
||
|---|---|---|---|
Grupos de PAT |
IPv4
|
NAT IPv4 a IPv6 |
No |
NAT IPv6 a IPv4 |
Sí |
||
IPv6
|
NAT IPv4 a IPv6 |
No |
|
NAT IPv6 a IPv4 |
No |
||
Piscinas sin PAT |
No |
||
Sobrecarga de puertos |
Sí |
||
NAT persistente en conjunto de PAT |
Sí |
||
Asignación de bloques de puertos |
Sí |
||
NAT determinista |
No |
||
Agrupación de direcciones emparejada |
No |
||
ALG (Traducciones NAT de ALG existentes, como FTP/PPTP/RTSP/DNS/SIP de clientes IPv6 nativos.) |
Sí |
||
Descripción general de la configuración de NAT persistente y NAT64
Para configurar NAT persistente, especifique las siguientes opciones con la acción de la regla NAT de origen (para un grupo NAT de origen o una interfaz de salida):
El tipo de NAT persistente: uno de los siguientes: cualquier host remoto, host de destino o puerto de host de destino.
(Opcional) Asignación de direcciones: esta opción permite asignar solicitudes de una dirección IP interna específica a la misma dirección IP reflexiva; Los puertos internos y reflexivos pueden ser cualquier puerto. Un host externo que utilice cualquier puerto puede enviar un paquete al host interno enviando el paquete a la dirección IP reflexiva (con una política de entrada configurada que permite el tráfico externo al interno). Si esta opción no está configurada, el enlace NAT persistente es para direcciones de transporte internas y reflexivas específicas.
Solo puede especificar la
address-mappingopción cuando el tipo de NAT persistente es cualquier host remoto y la acción de la regla NAT de origen es una de las siguientes acciones:Grupo TDR de origen con cambio de dirección IP
Grupo NAT de origen sin traducción de puertos ni grupo de desbordamiento
(Opcional) Tiempo de espera de inactividad: tiempo, en segundos, que el enlace NAT persistente permanece en la memoria del dispositivo cuando han expirado todas las sesiones de la entrada del enlace. Cuando se alcanza el tiempo de espera configurado, el enlace se quita de la memoria. El valor predeterminado es 300 segundos. Configure un valor de 60 a 7200 segundos.
Cuando todas las sesiones de un enlace NAT persistente han expirado, el enlace permanece en un estado de consulta en la memoria del dispositivo durante el período de tiempo de espera de inactividad especificado. El enlace de consulta se quita automáticamente de la memoria cuando expira el período de tiempo de espera de inactividad (el valor predeterminado es 300 segundos). Puede quitar explícitamente todos los enlaces de consulta NAT persistentes o específicos con el
clear security nat source persistent-nat-tablecomando.(Opcional) Número máximo de sesión: número máximo de sesiones a las que se puede asociar un enlace NAT persistente. El valor predeterminado es 30 sesiones. Configure un valor del 8 al 100.
Para la interfaz NAT, debe deshabilitar explícitamente la sobrecarga de puertos con una de las siguientes opciones en el nivel de jerarquía [edit security nat source]:
sobrecarga de puertos desactivada
Factor de sobrecarga de puertos 1
Por último, hay dos servicios predefinidos que puede usar en las políticas de seguridad para permitir o denegar el tráfico STUN y NAT persistente:
junos-stun—Tráfico de protocolo STUN.junos-persistent-nat: tráfico NAT persistente.
Para cualquier tipo de NAT persistente de host remoto o host de destino o puerto de host de destino, la dirección de la política de seguridad es de interna a externa.
Ejemplo: configuración de grupos NAT64 persistentes de direcciones
En este ejemplo se muestra cómo configurar grupos NAT64 persistentes de direcciones para garantizar una relación de asignación adhesiva entre un prefijo IPv6 específico, que se calcula según la longitud del prefijo IPv6 configurado, y una dirección IPv4 traducida.
Requisitos
Antes de comenzar, asegúrese de que las reglas NAT existentes y la configuración del grupo no entren en conflicto con la nueva.
Visión general
En este ejemplo, se configura una longitud de prefijo IPv6 de /64 en un grupo NAT de origen IPv4 para traducciones NAT IPv6 a IPv4. El tráfico que coincide con la regla NAT y el grupo NAT realiza la traducción persistente de direcciones entre el prefijo IPv6 y la dirección traducida IPv4. Esta configuración se puede usar en el traductor del lado proveedor (PLAT) en un escenario de traducción dual, 464XLAT, para permitir que los servicios IPv4 funcionen en redes solo IPv6.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security nat source pool NAT64 address 198.51.100.240/32 to 198.51.100.254/32 set security nat source pool NAT64 address-persistent subscriber ipv6-prefix-length 64 set security nat source rule-set RS1 from zone trust set security nat source rule-set RS1 to zone untrust set security nat source rule-set RS1 rule R1 match source-address 2001:db8::/32 set security nat source rule-set RS1 rule R1 match destination-address 198.51.100.198/32 set security nat source rule-set RS1 rule R1 then source-nat pool NAT64
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles de la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Cree un grupo NAT de origen.
[edit security nat source] user@host# set pool NAT64 address 198.51.100.240/32 to 198.51.100.254/32
Especifique la longitud del prefijo IPv6 para el grupo NAT de origen.
[edit security nat source] user@host# set pool NAT64 address-persistent subscriber ipv6-prefix-length 64
Cree un conjunto de reglas.
[edit security nat source] user@host# set rule-set RS1 from zone trust user@host# set rule-set RS1 to zone untrust
Cumple con la regla.
[edit security nat source] user@host# set rule-set RS1 rule R1 match source-address 2001:db8::/32 user@host# set rule-set RS1 rule R1 match destination-address 198.51.100.198/32
Proporcione la acción que se realizará cuando la regla coincida.
[edit security nat source] user@host# set security nat source rule-set RS1 rule R1 then source-nat pool NAT64
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security nat comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security nat
source {
pool NAT64 {
address {
198.51.100.240/32 to 198.51.100.254/32;
}
address-persistent subscriber ipv6-prefix-length 64;
}
rule-set RS1 {
from zone trust;
to zone untrust;
rule R1 {
match {
source-address 2001:db8::/32;
destination-address 198.51.100.198/32;
}
then {
source-nat {
pool {
NAT64;
}
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Ejemplo: Compatibilidad con la configuración de red mediante la configuración de TDR persistente con TDR de interfaz
Puede configurar cualquiera de los tipos de NAT persistentes con reglas NAT de origen. En este ejemplo se muestra cómo aplicar TDR persistente con una dirección IP de interfaz y cómo utilizar una dirección IP de interfaz como dirección IP NAT para realizar TDR persistente para un host interno específico. También muestra cómo mantener el comportamiento de asignación de puertos de direcciones persistentes y el comportamiento de filtro NAT persistente para el host. Debe deshabilitar la sobrecarga de puertos para la interfaz NAT.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
1 Firewall serie SRX
4 PC
Antes de empezar:
Comprender los conceptos de NAT persistente. Consulte Descripción general de la configuración de NAT persistente y NAT64.
Visión general
En una implementación de red NAT de grado de operador (CGN), puede configurar la dirección IP de la interfaz como una dirección NAT para realizar la traducción de direcciones de red persistentes. De esta manera, el host interno puede crear una relación de asignación NAT de origen mediante el tráfico saliente iniciado de interno a externo. A continuación, el host externo envía el tráfico de vuelta a este host interno enviando el tráfico a esta dirección NAT de interfaz a través de la relación de asignación NAT compartida.
En este ejemplo, primero se configura el conjunto de reglas NAT de interfaz int1 para que coincida con el tráfico de la interfaz ge-0/0/1 a la interfaz ge-0/0/2 y, a continuación, se configura la regla NAT in1 para que coincida con las direcciones de origen y destino específicas para realizar NAT persistente. El tipo de NAT persistente se configura cuando se realiza la any remote host NAT de interfaz.
Para los paquetes con la dirección de origen 192.0.2.0/24 (teléfonos internos) y la dirección de destino 198.51.100.0/24 (incluidos el servidor STUN , el servidor proxy SIP y los teléfonos externos), configure la NAT de interfaz con el tipo de any remote host NAT persistente. A continuación, deshabilite la sobrecarga de puertos para la interfaz NAT.
A continuación, configure una directiva de seguridad para permitir el tráfico NAT persistente desde la red externa (zona externa) a la red interna (zona interna) para cualquiera de los tipos de NAT persistente del host remoto.
Topología
La figura 3 muestra una topología NAT persistente de interfaz.
NAT persistente de interfaz
En la tabla 2 se muestran los parámetros configurados en este ejemplo.
Parámetro |
Descripción |
|---|---|
Zona externa |
Red externa |
Zona interna |
Red interna |
External_phones2 |
Teléfono2 dirección de red externa |
Internal_phone1 |
Teléfono1 dirección de la red interna |
SIP_proxy servidor |
Dirección del servidor proxy SIP de la red externa |
Servidor STUN |
Dirección del servidor STUN de la red externa |
Subred 198.51.100.1/32 |
Dirección IP de destino |
Subred 192.0.2.2/32 |
Dirección IP de origen |
GE-0/0/1 y GE-0/0/2 |
Interfaces NAT para la dirección del tráfico |
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security nat source rule-set int1 from interface ge-0/0/1.0 set security nat source rule-set int1 to interface ge-0/0/2.0 set security nat source rule-set int1 rule in1 match source-address 192.0.2.0/24 set security nat source rule-set int1 rule in1 match destination-address 198.51.100.0/24 set security nat source rule-set int1 rule in1 then source-nat interface persistent-nat permit any-remote-host set security nat source interface port-overloading off set security policies from-zone internal to-zone external policy stun_traffic match source-address internal_phones destination-address stun_server application junos-stun set security policies from-zone internal to-zone external policy sip_proxy_traffic match source-address internal_phones destination-address sip_proxy_server application junos-sip set security policies from-zone internal to-zone external policy sip_traffic match source-address internal_phones destination-address external_phones application junos-persistent-nat set security policies from-zone internal to-zone external policy sip_traffic then permit set security policies from-zone internal to-zone external policy stun_traffic then permit set security policies from-zone internal to-zone external policy sip_proxy_traffic then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar un conjunto de reglas NAT de interfaz:
Cree una regla NAT persistente para un NAT de interfaz.
[edit security nat source rule-set int1] user@host# set from interface ge-0/0/1.0 user@host# set to interface ge-0/0/2.0 user@host# set rule in1 match source-address 192.0.2.0/24 user@host# set rule in1 match destination-address 198.51.100.0/24 user@host# set rule in1 then source-nat interface persistent-nat permit any-remote-host
Deshabilite la sobrecarga de puertos para la interfaz NAT.
[edit security] user@host# set nat source interface port-overloading off
Configure una política de seguridad para permitir el tráfico STUN desde teléfonos SIP internos a un servidor STUN externo.
[edit security policies] user@host# set from-zone internal to-zone external policy stun_traffic match source-address internal_phones destination-address stun_server application junos-stun
Configure una política de seguridad para permitir el tráfico de proxy SIP desde teléfonos SIP internos a un servidor proxy SIP externo.
[edit security policies] user@host# set from-zone internal to-zone external policy sip_proxy_traffic match source-address internal_phones destination-address sip_proxy_server application junos-sip
Configure una política de seguridad para permitir el tráfico SIP de teléfonos SIP externos a teléfonos SIP internos.
[edit security policies] user@host# set from-zone internal to-zone external policy sip_traffic match source-address internal_phones destination-address external_phones application junos-persistent-nat user@host# set from-zone internal to-zone external policy sip_traffic then permit user@host#set from-zone internal to-zone external policy stun_traffic then permit user@host#set from-zone internal to-zone external policy sip_proxy_traffic then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security nat comandos y show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show security nat
source {
interface {
port-overloading off;
}
rule-set int1 {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule in1 {
match {
source-address 192.0.2.0/24;
destination-address 198.51.100.0/24;
}
then {
source-nat {
interface {
persistent-nat {
permit any-remote-host;
}
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone internal to-zone external {
policy stun_traffic {
match {
source-address internal_phones;
destination-address stun_server;
application junos-stun;
}
then {
permit;
}
}
policy sip_proxy_traffic {
match {
source-address internal_phones;
destination-address sip_proxy_server;
application junos-sip;
}
then {
permit;
}
}
policy sip_traffic {
match {
source-address internal_phones;
destination-address external_phones;
application junos-persistent-nat;
}
then {
permit;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Verificar que las reglas coincidan y se usen
- Comprobación de que se han establecido sesiones de tráfico NAT
Verificar que las reglas coincidan y se usen
Propósito
Compruebe que todas las reglas coinciden y se utilizan.
Acción
Desde el modo operativo, ingrese el show security nat source persistent-nat-table all comando.
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/Curr_Sess_Num/ Source
In_IP In_Port I_Proto Ref_IP Ref_Port R_Proto NAT Pool Conf_time Max_Sess_Num NAT Rule
192.0.2.12 17012 udp 198.51.100.1 28153 udp interface any-remote-host 3528/3600 -/- in1
192.0.2.12 7078 udp 198.51.100.1 6133 udp interface any-remote-host -/300 1/30 in1
Significado
El resultado muestra un resumen de la información NAT persistente.
Comprobación de que se han establecido sesiones de tráfico NAT
Propósito
Compruebe que las sesiones se hayan establecido en el dispositivo.
Acción
Desde el modo operativo, ingrese el show security flow session comando.
user@host>show security flow session Session ID: 6992, Policy name: sip_proxy_traffic/5, Timeout: 16, Valid In: 192.0.2.12/17012 --> 198.51.100.45/5060;udp, If: ge-0/0/1.0, Pkts: 4, Bytes: 1850 Out: 198.51.100.45/5060 --> 198.51.100.1/28153;udp, If: ge-0/0/2.0, Pkts: 5, Bytes: 2258 Session ID: 7382, Policy name: stun_traffic/4, Timeout: 16, Valid In: 192.0.2.12/7078 --> 198.51.100.49/3478;udp, If: ge-0/0/1.0, Pkts: 20, Bytes: 1040 Out: 198.51.100.49/3478 --> 198.51.100.1/6133;udp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0
Significado
El show security flow session comando muestra las sesiones activas en el dispositivo y la política de seguridad asociada de cada sesión. La salida muestra el tráfico que ingresa al dispositivo utilizando la dirección de fuente privada 192.0.2.12 destinada a un host público en 198.51.100.45. El tráfico de retorno de este flujo viaja a la dirección pública traducida 198.51.100.1.
Session ID: número que identifica la sesión. Utilice este ID para obtener más información acerca de la sesión, como el nombre de la directiva o el número de paquetes de entrada y salida.
sip_proxy_traffic— Nombre de la política que permitía el tráfico SIP desde los teléfonos SIP internos al servidor proxy SIP externo.
In: flujo entrante (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino). La sesión es UDP y la interfaz de origen para esta sesión es ge-0/0/1.0).
Out: flujo inverso (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino. La sesión es UDP y la interfaz de destino para esta sesión es ge-0/0/2.0).
stun_traffic: nombre de la política que permitía el tráfico STUN desde los teléfonos SIP internos al servidor STUN externo.
Ejemplo: configuración del filtrado dependiente de la dirección para clientes IPv6
En este ejemplo se muestra cómo configurar el filtrado dependiente de direcciones para clientes IPv6 mediante NAT64.
Requisitos
Antes de empezar:
Asegúrese de que IPv6 esté habilitado en el dispositivo.
Asegúrese de que la regla NAT existente y la configuración del grupo no entren en conflicto con las nuevas.
Visión general
En este ejemplo, se utiliza NAT64 para enviar paquetes desde el host interno IPv6 al host externo IPv4 y desde el host externo IPv4 al host interno IPv4.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::/128 set security nat static rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit target-host
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar el filtrado dependiente de direcciones para clientes IPv6:
Cree un conjunto de reglas para NAT64.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Cumple con la regla.
[edit security nat static] user@host# set rule-set test_rs rule test_rule match destination-address 2001:db8::/128
Proporcione la acción que se realizará cuando la regla coincida.
[edit security nat static] user@host# set rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32
Defina un grupo de direcciones de origen y agregue la dirección al grupo.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2
Cree otro conjunto de reglas para NAT64.
[edit security nat] user@host# set source rule-set myipv4_rs from interface ge-0/0/1
Haga coincidir la regla con la dirección de origen.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96
Haga coincidir la regla con la dirección de destino.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15
Proporcione la acción que se realizará cuando las reglas coincidan.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Configure NAT persistente.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit target-host
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show nat source comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit security]
user@host#show nat source
pool myipv4 {
address {
203.0.113.2/32;
}
}
rule-set test_rs {
rule test_rule {
match {
destination-address 2001:db8::/128;
}
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
persistent-nat {
permit target-host;
}
}
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente:
- Comprobación de que la configuración está habilitada y funciona
- Verificar que las reglas coincidan y se usen
Comprobación de que la configuración está habilitada y funciona
Propósito
Compruebe que la configuración está habilitada y funciona.
Acción
Desde el modo operativo, ingrese los siguientes comandos:
show security nat static rule test_ruleshow security nat source rule ipv4_ruleshow security nat source pool myipv4
Ejemplo: configuración de un filtrado independiente del punto de conexión para clientes IPv6
En este ejemplo se muestra cómo configurar el filtrado independiente del extremo para clientes IPv6 mediante NAT64.
Requisitos
Antes de empezar:
Asegúrese de que IPv6 esté habilitado en el dispositivo
Asegúrese de que las reglas NAT existentes y la configuración del grupo no entren en conflicto con las nuevas.
Visión general
En este ejemplo, se utiliza NAT64 para enviar paquetes desde el host interno IPv6 al host externo IPv4 y desde el host externo IPv4 al host interno IPv4.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::/128 set security nat static rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit any-remote-host
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar el filtrado independiente del punto de conexión para clientes IPv6:
Cree un conjunto de reglas para NAT64.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Cumple con la regla.
[edit security nat static] user@host# set rule-set test_rs rule test_rule match destination-address 2001:db8::/128
Proporcione la acción que se realizará cuando la regla coincida.
[edit security nat static] user@host# set rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32
Defina un grupo de direcciones de origen y agregue la dirección al grupo.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2
Cree otro conjunto de reglas para NAT64.
[edit security nat] user@host# set source rule-set myipv4_rs from interface ge-0/0/1
Haga coincidir la regla con la dirección de origen.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96
Haga coincidir la regla con la dirección de destino.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15
Proporcione la acción que se realizará cuando las reglas coincidan.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Configure NAT persistente.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit any-remote-host
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security nat comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit security]
user@host#show security nat
source {
pool myipv6_prefix {
address {
2001:db8::/64;
}
}
pool myipv4 {
address {
203.0.113.2/32;
}
}
rule-set myipv6_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv6_rule {
match {
source-address 10.1.1.0/30;
destination-address 2001:db8::2/96;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
persistent-nat {
permit target-host;
}
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::/128;
}
then {
static-nat {
prefix {
10.2.2.15/32;
}
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente:
- Comprobación de que la configuración está habilitada y funciona
- Verificar que las reglas coincidan y se usen
Comprobación de que la configuración está habilitada y funciona
Propósito
Compruebe que la configuración está habilitada y funciona.
Acción
Desde el modo operativo, introduzca los siguientes comandos.
show security nat static rule test_ruleshow security nat source rule ipv4_ruleshow security nat source pool myipv4
Ejemplo: establecer un número máximo de enlaces NAT persistentes
En este ejemplo se muestra cómo aumentar la capacidad de NAT persistente.
Requisitos
Antes de comenzar, consulte Descripción de NAT persistente y NAT64.
Visión general
En este ejemplo, habilita la opción Maximizar capacidad NAT persistente. Esta opción solo se admite en tarjetas de procesamiento de servicios (SPC) para dispositivos SRX1400 con SRX1K-NPC-SPC-1-10-40, Línea SRX3000 con SRX3K-SPC-1-10-40 y dispositivos de línea SRX5000 con SRX5K-SPC-2-10-40SPC y SRX5K-SPC3. Tenga en cuenta que para los dispositivos de línea SRX5000 con SRX5K-SPC-2-10-40SPC y SPC3, el número de enlace NAT persistente se maximiza a costa de reducir el número máximo de sesión.
Para habilitar esta opción, la capacidad de enlace máxima del punto central admitido se puede aumentar aproximadamente a 1/8 de la capacidad de la sesión del punto central hasta 2 M y la capacidad de enlace máxima de SPU admitida se puede aumentar aproximadamente a 1/4 de cada capacidad de sesión de SPU. En consecuencia, la capacidad de la sesión de flujo disminuirá en 1/4 tanto en el CP como en cada una de las SPU.
De forma predeterminada, la capacidad de enlace NAT persistente tanto en el punto central como en la SPU de un dispositivo SRX5400, SRX5600 o SRX5800 es de 64.000. En este ejemplo, habilita la capacidad de la sesión en un máximo de 20.000.000 en el punto central y un máximo de 1.100.000 en cada una de las SPU con configuración de sesión máxima. Si habilita la maximize-persistent-nat-capacity opción, un dispositivo SRX5400, SRX5600 o SRX5800 con 4 GB de memoria puede admitir un máximo de 2 m de enlaces NAT persistentes en el punto central y 275.000 enlaces en cada una de las SPU.
Configuración
Procedimiento
Procedimiento paso a paso
Para aumentar la capacidad de NAT persistente:
Establezca la opción Maximizar capacidad NAT persistente.
[edit] user@host# set security forwarding-process application-services maximize-persistent-nat-capacity
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Reinicie el sistema desde el modo operativo.
[edit] user@host# request system reboot
Cuando cambie para maximizar el modo de capacidad NAT persistente o vuelva al modo normal, debe reiniciar el dispositivo.
Si desea volver a poner el dispositivo en modo normal, elimine la configuración del modo de maximizar capacidad NAT persistente.
[edit] user@host# delete security forwarding-process application-services maximize-persistent-nat-capacity
Descripción general de la hairpinning NAT persistente
Cuando el tráfico se envía entre dos hosts, es posible que el host de origen del tráfico solo conozca el host de destino por su dirección IP pública. En realidad, el host de destino puede estar en el mismo espacio de direcciones privadas que el host de origen. La hairpinning es el proceso de devolver el tráfico en la dirección de donde proviene como una forma de llevarlo a su host de destino en una subred privada.
Generalmente, un host de origen en una subred puede no reconocer que el tráfico está destinado a un host de destino dentro de la misma subred, ya que identifica el host de destino solo por su dirección IP pública. La NAT analiza los paquetes IP y enruta el paquete de vuelta al host correcto.
La compatibilidad con la fijación de NAT es necesaria si dos hosts de la red interna desean comunicarse entre sí mediante un enlace en el dispositivo NAT. En este caso, el dispositivo NAT recibe un paquete de la red interna y lo reenvía a la red interna. Si no se admite la hairpinning, se producirá un error en el reenvío del paquete y se eliminará.
Hairpinning permite que dos puntos finales (host 1 y host 2) en la red privada se comuniquen, incluso si solo usan las direcciones IP y los puertos externos del otro. Cuando el host 1 envía tráfico al host 3, un enlace NAT entre la dirección IP de origen interna del host 1 y el puerto se asocia en la tabla NAT con su dirección IP externa y su puerto. Lo mismo sucede cuando el host 2 envía tráfico al host 3. De esta manera, cuando el host 1 y el host 2 desean comunicarse, pueden identificar las direcciones IP externas del otro.
Por ejemplo, si el host 1 se comunica con el host 2, se utiliza NAT (con soporte de hairpinning) para enrutar los paquetes, que contienen la dirección externa del host 2, de vuelta a la dirección interna del host 2.
NAT persistente
En la figura 4, se utilizan los siguientes parámetros:
Dirección IP del host 1:
10.10.10.2/24Dirección IP del host 2 -
10.10.10.10/24Dirección IP dentro de la zona -
10.10.10.254/24Dirección IP del host 3:
198.51.100.2/24Dirección IP entre zonas -
198.51.100.254/24El host 1 y el host 2 están en la zona
reht0z, y el host 3 está en lareth1zzona
En la tabla 3 se muestra la tabla de enlace utilizada en este ejemplo.
Dirección IP de origen original |
Dirección IP de origen traducida |
|---|---|
10.10.10.2/24 a 10.10.10.11/24 |
192.0.2.1/32 a 192.0.2.10/32 |
La fijación de NAT persistente solo se aplica a cualquier tipo de NAT persistente de host remoto. Para permitir la hairpinning, debe configurar una política de seguridad que permita el tráfico entre puntos de conexión de la misma zona. En realidad, los dos puntos de conexión se pueden ubicar en dos zonas diferentes, siempre y cuando cualquiera de los dos hosts solo pueda ver la dirección pública del par. El comportamiento de fijación de pelo NAT no es compatible con NAT persistente del host de destino ni con el NAT persistente del puerto del host de destino. Solo cualquier NAT persistente de host remoto admite el comportamiento de hairpinning.
Ejemplo: configuración de la fijación de NAT persistente con un grupo de NAT de origen con desplazamiento de direcciones
En este ejemplo se muestra cómo configurar la fijación de pelo NAT persistente.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Visión general
La hairpinning permite que los paquetes de la red privada se traduzcan y luego se vuelvan a la red privada en lugar de pasarse a través de la red pública. La función de hairancning permite utilizar un registro correspondiente en la tabla NAT para reconocer que un paquete está dirigido a un host en la red local. Luego traduce la dirección IP de destino y envía el paquete de vuelta a la red local (así como en caso de asignación de puertos). Esto garantiza que el tráfico entre los dos hosts funcione correctamente.
Topología
Hairpinning permite que dos puntos finales (host 1 y host 2) en la red privada se comuniquen, incluso si solo usan las direcciones IP y los puertos externos del otro. Esto se explica en la Figura 5.
Cuando el host 1 envía tráfico al host 3, un enlace NAT entre la dirección IP de origen interna del host 1 y el puerto se asocia en la tabla NAT con su dirección IP externa y su puerto. Lo mismo sucede cuando el host 2 envía tráfico al host 3. De esta manera, cuando el host 1 y el host 2 desean comunicarse, pueden identificar las direcciones IP externas del otro.
Por ejemplo, si el host 1 se comunica con el host 2, se utiliza NAT (con soporte de hairpinning) para enrutar los paquetes, que contienen la dirección externa del host 2, de vuelta a la dirección interna del host 2.
NAT persistente
En la figura 5, se utilizan los siguientes parámetros:
Dirección IP del host 1:
10.10.10.2/24Dirección IP del host 2 -
10.10.10.10/24Dirección IP dentro de la zona -
10.10.10.254/24Dirección IP del host 3:
198.51.100.2/24Dirección IP entre zonas -
198.51.100.254/24El host 1 y el host 2 están en la zona
reht0z, y el host 3 está en lareth1zzona
En la tabla 4 se muestra la tabla de enlace utilizada en este ejemplo.
Dirección IP de origen original |
Dirección IP de origen traducida |
|---|---|
10.10.10.2/24 a 10.10.10.11/24 |
192.0.2.1/32 a 192.0.2.10/32 |
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar la fijación de pelo NAT persistente:
Configurar interfaces.
[edit] user@host# set interfaces ge-11/0/0 unit 0 family inet address 10.10.10.254/24 user@host# set interfaces ge-11/0/1 unit 0 family inet address 198.51.100.254/24
Crear zonas (reth0z y reth1z).
[edit] user@host# set security zones security-zone reth0z host-inbound-traffic system-services all user@host# set security zones security-zone reth0z host-inbound-traffic protocols all user@host# set security zones security-zone reth0z interfaces ge-11/0/0.0 user@host# set security zones security-zone reth1z host-inbound-traffic system-services all user@host# set security zones security-zone reth1z host-inbound-traffic protocols all user@host# set security zones security-zone reth1z interfaces ge-11/0/1.0
Crear políticas para las zonas reth0z y reth1z.
[edit] user@host# set security address-book global address subnet10 10.10.10.0/24 user@host# set security address-book global address subnet20 198.51.100.0/24 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match source-address subnet10 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match destination-address subnet20 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match application any user@host# set security policies from-zone reth0z to-zone reth1z policy p1 then permit user@host# set security policies default-policy deny-all
Agregue la misma directiva de zona para realizar la hairpinning NAT persistente.
user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match source-address subnet10 user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match destination-address subnet10 user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match application any user@host# set security policies from-zone reth0z to-zone reth0z policy p2 then permit
Cree un grupo NAT de origen para el host 1 y el host 2 (src1).
[edit] user@host# set security nat source pool src1 address 192.0.2.1/32 to 192.0.2.10/32
Especifique el principio del intervalo de direcciones IP de origen original para el host 1 y el host 2 (src1).
[edit] user@host# set security nat source pool src1 host-address-base 10.10.10.2/24
Configure el conjunto de reglas NAT de origen r1.
[edit] user@host# set security nat source rule-set r1 from zone reth0z user@host# set security nat source rule-set r1 to zone reth1z user@host# set security nat source rule-set r1 to zone reth0z user@host# set security nat source rule-set r1 rule rule1 match source-address 10.10.10.0/24 user@host# set security nat source rule-set r1 rule rule1 match destination-address 10.10.10.0/24 user@host# set security nat source rule-set r1 rule rule1 match destination-address 198.51.100.0/24 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool src1 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat permit any-remote-host user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat inactivity-timeout 900 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat max-session-number 20
Resultados
Desde el modo de configuración, escriba el show security nat comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security nat
source {
pool src1 {
address {
192.0.2.1/32 to 192.0.2.10/32;
}
host-address-base 10.10.10.2/24;
}
rule-set r1 {
from zone reth0z;
to zone [ reth0z reth1z ];
rule rule1 {
match {
source-address 10.10.10.0/24;
destination-address [10.10.10.0/24 198.51.100.0/24];
}
then {
source-nat {
pool {
src1;
persistent-nat {
permit any-remote-host;
inactivity-timeout 900;
max-session-number 20;
}
}
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
- Tráfico enviado entre los hosts que crean el enlace 1
- Tráfico enviado entre los hosts que crean el enlace 2
- Tráfico enviado entre dos hosts
Tráfico enviado entre los hosts que crean el enlace 1
Propósito
Verifique el tráfico enviado entre los hosts (host 1 y host 3) creando el enlace 1.
Acción
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.2 -id 198.51.100.2 -p udp -us 69 -ud 69 198.51.100.2
Source-IP: 10.10.10.2
Source-port: 69
Dst-IP: 198.51.100.2
Dst-port: 69
Binding1 is below:
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source
In_IP In_Port Ref_IP Ref_Port NAT Pool Conf_time Max_Sess_Num NAT Rule
10.10.10.2 69 192.0.2.1 69 src1 any-remote-host -/900 1/20 rule1
Tráfico enviado entre los hosts que crean el enlace 2
Propósito
Verifique el tráfico enviado entre los hosts (host 2 y host 3) creando el enlace 2.
Acción
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.10 -id 198.51.100.2 -p udp -us 69 -ud 69 198.51.100.2
Source-IP: 10.10.10.10
Source-port: 69
Dst-IP: 198.51.100.2
Dst-port: 69
Binding2 is below:
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source
In_IP In_Port Ref_IP Ref_Port NAT Pool Conf_time Max_Sess_Num NAT Rule
10.10.10.2 69 192.0.2.1 69 src1 any-remote-host -/900 1/20 rule1
10.10.10.10 69 192.0.2.9 69 src1 any-remote-host -/900 1/20 rule1
Tráfico enviado entre dos hosts
Propósito
Verifique el tráfico enviado del host 1 al host 2:
Acción
user@host>show security flow session
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.2 -id 192.0.2.9 -p udp -us 69 -ud 69 192.0.2.9
Session ID: 100007628, Policy name: default-policy/2, Timeout: 52, Valid
In: 10.10.10.2/69 --> 192.0.2.9/69;udp, If: ge-0/0/0.0, Pkts: 2, Bytes: 112
Out: 10.10.10.10/69 --> 192.0.2.1/69;udp, If: ge-0/0/0.0, Pkts: 0, Bytes: 0
Total sessions: 1
Comportamiento de compatibilidad con enlaces NAT persistentes específicos de la plataforma
Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas.
Use la tabla siguiente para revisar los comportamientos específicos de la plataforma para su plataforma:
| Diferencia de | plataforma |
|---|---|
| Serie SRX |
|