sobrecarga de nat usa para rastrear vários hosts internos usam um endereço global interno CCNA respostas CCNA v7 PDF

O que a sobrecarga de NAT usa para rastrear vários hosts internos que usam um endereço global interno?

Configuração de pools de endereços para uma visão geral da tradução da porta de endereço de rede (NAPT)

Com a tradução de porta de endereço de rede (NAPT), você pode configurar até 32 faixas de endereços com até 65.536 endereços cada.

A port declaração especifica a atribuição de porta para os endereços traduzidos. Para configurar a atribuição automática de portas, inclua a port automatic declaração no nível de [edit services nat pool nat-pool-name] hierarquia. Por padrão, ocorre a alocação sequencial de portas.

A partir do Junos OS Release 14.2, você pode incluir a opção sequential com a port automatic declaração no nível de [edit services nat pool nat-pool-name] hierarquia para alocação seqüenciada de portas a partir da faixa especificada. Para configurar uma faixa específica de números de porta, inclua a port range low minimum-value high maximum-value declaração no nível de [edit services nat pool nat-pool-name] hierarquia.

Nota:

Quando 99% do total de portas disponíveis no pool para napt-44, nenhum novo fluxo é permitido naquele pool de NAT.

Começando com o Junos OS Release 14.2, a opção auto está escondida e está preterida, e só é mantida para compatibilidade retrógrada. Ele pode ser removido completamente em um lançamento de software futuro.

O Junos OS oferece várias alternativas para alocação de portas:

  • Alocação de Round-Robin para NAPT
  • Alocação sequencial para NAPT
  • Preservar a paridade e preservar o alcance para o NAPT
  • Agrupamento de endereços e mapeamento independente de Endpoint para NAPT
  • Alocação segura de blocos de porta para NAPT
  • Comparação de métodos de implementação NAPT

Alocação de Round-Robin para NAPT

Para configurar a alocação de round-robin para pools NAT, inclua a declaração de configuração de round-robin de alocação de endereços no nível de [edit services nat pool pool-name] hierarquia. Quando você usa a alocação redonda, uma porta é alocada de cada endereço em uma faixa antes de repetir o processo para cada endereço na próxima faixa. Após as portas terem sido alocadas para todos os endereços da última faixa, o processo de alocação envolve e aloca a próxima porta não utilizada para endereços na primeira faixa.

  • A primeira conexão é alocada no endereço:porta 100.0.0.1:3333.

  • A segunda conexão é alocada no endereço:porta 100.0.0.2:3333.

  • A terceira conexão é alocada no endereço:porta 100.0.0.3:3333.

  • A quarta conexão é alocada no endereço:porta 100.0.0.4:3333.

  • A quinta conexão é alocada no endereço:porta 100.0.0.5:3333.

  • A sexta conexão é alocada no endereço:porta 100.0.0.6:3333.

  • A sétima conexão é alocada no endereço:porta 100.0.0.7:3333.

  • A oitava conexão é alocada no endereço:porta 100.0.0.8:3333.

  • A nona conexão é alocada no endereço:porta 100.0.0.9:3333.

  • A décima conexão está alocada no endereço:porta 100.0.0.10:3333.

  • A décima primeira conexão está alocada no endereço:porta 100.0.0.11:3333.

  • A décima segunda conexão está alocada no endereço:porta 100.0.0.12:3333.

  • O envoltório ocorre e a décima terceira conexão é alocada para o endereço:porta 100.0.0.1:3334.

Alocação sequencial para NAPT

Com alocação sequencial, o próximo endereço disponível no pool NAT só é selecionado quando todas as portas disponíveis em um endereço estiverem exaustas.

A alocação sequencial só pode ser configurada para o MS-DPC e o PICS MS-100, MS-400 e MS-500 multiservices. As placas MS-MPC e MS-MIC usam apenas a abordagem de alocação de round-robin.

Nota:

  • Essa implementação legada oferece compatibilidade atrasada e não é mais uma abordagem recomendada.

O pool de NAT chamado napt no seguinte exemplo de configuração usa a implementação sequencial:

pool napt { address-range low 100.0.0.1 high 100.0.0.3; address-range low 100.0.0.4 high 100.0.0.6; address-range low 100.0.0.8 high 100.0.0.10; address-range low 100.0.0.12 high 100.0.0.13; port { range low 3333 high 3334; } }

Neste exemplo, as portas são alocadas a partir do primeiro endereço na primeira faixa de endereço, e a alocação continua a partir deste endereço até que todas as portas disponíveis tenham sido usadas. Quando todas as portas disponíveis tiverem sido usadas, o próximo endereço (na mesma faixa de endereço ou na faixa de endereço a seguir) é alocado e todas as suas portas são selecionadas conforme necessário. No caso do pool de navegação por exemplo, o endereço tuple, porta 100.0.0.4:3333, só é alocado quando todas as portas para todos os endereços da primeira faixa tiverem sido usadas.

  • A primeira conexão é alocada no endereço:porta 100.0.0.1:3333.

  • A segunda conexão é alocada no endereço:porta 100.0.0.1:3334.

  • A terceira conexão é alocada no endereço:porta 100.0.0.2:3333.

  • A quarta conexão é alocada no endereço:porta 100.0.0.2:3334 e assim por diante.

Preservar a paridade e preservar o alcance para o NAPT

Preservam a paridade e as opções de alcance de preservação estão disponíveis para NAPT, e são suportadas em PICS MS-DPCs e MS-100, MS-400 e MS-500 MultiServices. O suporte para MS-MPCs e MS-MICs começa no Junos OS Release 15.1R1. As seguintes opções estão disponíveis para NAPT:

  • Preservando a paridade — Use o preserve-parity comando para alocar até portas para pacotes com até portas de origem e portas estranhas para pacotes com portas de origem estranhas.

  • Preservação do alcance — Use o preserve-range comando para alocar portas em uma faixa de 0 a 1023, assumindo que o pacote original contenha uma porta de origem na faixa reservada. Isso se aplica a sessões de controle, não a sessões de dados.

Agrupamento de endereços e mapeamento independente de Endpoint para NAPT

  • Agrupamento de endereços
  • Mapeamento independente de Endpoint e filtragem independente de endpoint

Agrupamento de endereços

O agrupamento de endereços ou o agrupamento de endereços em conjunto (APP) garante a atribuição do mesmo endereço IP externo para todas as sessões originárias do mesmo host interno. Você pode usar esse recurso ao atribuir endereços IP externos de um pool. Essa opção não afeta a utilização da porta

O agrupamento de endereços resolve os problemas de um aplicativo que abre várias conexões. Por exemplo, quando o cliente do Protocolo de Iniciação de Sessão (SIP) envia pacotes de protocolo de transporte em tempo real (RTP) e protocolo de controle em tempo real (RTCP), o servidor SIP geralmente exige que eles venham do mesmo endereço IP, mesmo que tenham sido sujeitos a NAT. Se os endereços IP RTP e RTCP forem diferentes, o endpoint receptor pode derrubar pacotes. Qualquer protocolo ponto a ponto (P2P) que negocie portas (assumindo a estabilidade do endereço) benefícios do agrupamento de endereços emparelhados.

Os seguintes são casos de uso para agrupamento de endereços:

  • Um site que oferece serviços de mensagens instantâneas exige que o bate-papo e suas sessões de controle venham do mesmo endereço de origem pública. Quando o usuário se inscreve para conversar, uma sessão de controle autentica o usuário. Uma sessão diferente começa quando o usuário inicia uma sessão de bate-papo. Se a sessão de bate-papo se originar de um endereço de origem diferente da sessão de autenticação, o servidor de mensagens instantâneas rejeita a sessão de bate-papo, porque ela se origina de um endereço não autorizado.

  • Determinados sites, como sites bancários on-line, exigem que todas as conexões de um determinado host venham do mesmo endereço IP.

Nota:

A partir do Junos OS Release 14.1, quando você desativa um conjunto de serviços que contém agrupamento de endereços emparelhado (APP) para esse conjunto de serviços, as mensagens são exibidas no console PIC e os mapeamentos são liberados para esse conjunto de serviços. Essas mensagens são acionadas quando a exclusão de um conjunto de serviços começa e é novamente gerada quando a exclusão do conjunto de serviços é concluída. As mensagens de amostra a seguir são exibidas quando a exclusão começa e termina:

  • 15 de novembro 08:33:13.974 LOG: Crítico] SVC-SET ss1 (iid 5) desativar/excluir: mapeamentos NAT e exclusão de fluxo iniciados

  • 15 de novembro 08:33:14.674 LOG: Crítico] SVC-SET ss1 (iid 5) desativar/excluir: mapeamentos NAT e exclusão de fluxos concluídos

Em um ambiente escalonado que contém um grande número de APP em um conjunto de serviços, um volume pesado de mensagens é gerado e esse processo leva algum tempo. Recomendamos que você aguarde até que as mensagens do console que indicam a conclusão da exclusão do conjunto de serviços sejam concluídas antes de reativar o conjunto de serviços novamente.

Mapeamento independente de Endpoint e filtragem independente de endpoint

O mapeamento independente de Endpoint (EIM) garante a atribuição do mesmo endereço e porta externo para todas as conexões de um determinado host se eles usarem a mesma porta interna. Isso significa que, se eles vêm de uma porta de origem diferente, você pode atribuir um endereço externo diferente.

EIM e APP diferem da seguinte forma:

  • O APP garante a atribuição do mesmo endereço IP externo.

  • O EIM oferece um endereço e porta IP externos estáveis (por um período de tempo) aos quais hosts externos podem se conectar. A filtragem independente de Endpoint (EIF) controla quais hosts externos podem se conectar a um host interno.

Nota:

Começando com o Junos OS Release 14.1, quando você desativa um conjunto de serviços que contém mapeamento independente de endpoint (EIM) para esse conjunto de serviços, as mensagens são exibidas no console PIC e os mapeamentos são liberados para esse conjunto de serviços. Essas mensagens são acionadas quando a exclusão de um conjunto de serviços começa e é novamente gerada quando a exclusão do conjunto de serviços é concluída. As mensagens de amostra a seguir são exibidas quando a exclusão começa e termina:

  • 15 de novembro 08:33:13.974 LOG: Crítico] SVC-SET ss1 (iid 5) desativar/excluir: mapeamentos NAT e exclusão de fluxo iniciados

  • 15 de novembro 08:33:14.674 LOG: Crítico] SVC-SET ss1 (iid 5) desativar/excluir: mapeamentos NAT e exclusão de fluxos concluídos

Em um ambiente escalonado que contém um grande número de mapeamentos de EIM em um conjunto de serviços, um volume pesado de mensagens é gerado e esse processo leva algum tempo. Recomendamos que você aguarde até que as mensagens do console que indicam a conclusão da exclusão do conjunto de serviços sejam concluídas antes de reativar o conjunto de serviços novamente.

Alocação segura de blocos de porta para NAPT

A alocação de blocos de porta é suportada em roteadores da série MX com MS-DPCs e roteadores da Série M com PICS MS-100, MS-400 e MS-500 MultiServices. A alocação de blocos de porta é suportada em roteadores da série MX com MS-MPCs e MS-MICs a partir do lançamento do Junos OS 14.2R2.

As operadoras rastreiam assinantes usando o log de endereço IP (RADIUS ou DHCP). Se eles usam o NAPT, um endereço IP é compartilhado por vários assinantes, e a operadora deve rastrear o endereço IP e a porta, que fazem parte do log NAT. Como as portas são usadas e reutilizados a uma taxa muito alta, o rastreamento de assinantes usando o log torna-se difícil devido ao grande número de mensagens, que são difíceis de arquivar e correlacionar. Ao habilitar a alocação de portas em blocos, a alocação de blocos de porta pode reduzir significativamente o número de logs, tornando mais fácil rastrear assinantes.

  • Alocação segura de blocos de porta para NAPT
  • Registro intermediário para alocação de blocos de porta

Alocação segura de blocos de porta para NAPT

A alocação segura de blocos de porta pode ser usada para tipos napt-44 de tradução e stateful-nat64.

Ao alocar blocos de portas, o bloco alocado mais recentemente é o bloco ativo atual. Novas solicitações para portas NAT são atendidas no bloco ativo. As portas são alocadas aleatoriamente do bloco ativo atual.

Ao configurar a alocação segura de blocos de porta, você pode especificar o seguinte:

  • block-size

  • max-blocks-per-address

  • active-block-timeout

Registro intermediário para alocação de blocos de porta

Com a alocação de blocos de porta, geramos um log de syslog por conjunto de portas alocadas para um assinante. Esses logs são baseados em UDP e podem ser perdidos na rede, especialmente para fluxos de longo prazo. O registro intermediário aciona o re-envio dos logs acima em um intervalo configurado para blocos ativos que têm tráfego em pelo menos uma das portas do bloco.

O registro intermediário é ativado incluindo a pba-interim-logging-interval declaração em services-options sp-interfaces.

Comparação de métodos de implementação NAPT

A Tabela 1 fornece uma comparação de recursos dos métodos de implementação de NAPT disponíveis.

Tabela 1: Comparação dos métodos de implementação do NAPT

Recurso/função

Alocação dinâmica de portas

Alocação segura de blocos de porta

Alocação determinística de blocos de porta

Usuários por IP

Alta

Médio

Baixo

Risco de segurança

Baixo

Médio

Médio

Utilização de log

Alta

Baixo

Nenhum (sem necessidade de logs)

Redução de risco de segurança

Alocação aleatória

recurso active-block-timeout

n/a

Aumento de usuários por IP

n/a

Configure vários blocos de porta menores para maximizar usuários/IP público

Alocação de porta baseada em algoritmos

Configuração de NAPT em redes IPv4

A tradução de porta de endereço de rede (NAPT) é um método pelo qual muitos endereços de rede e suas portas TCP/UDP são traduzidos em um único endereço de rede e suas portas TCP/UDP. Essa tradução pode ser configurada em redes IPv4 e IPv6. Esta seção descreve as etapas para configurar o NAPT em redes IPv4.

Para configurar o NAPT, você deve configurar uma regra no nível de [edit services nat] hierarquia para traduzir dinamicamente os endereços IPv4 de origem.

Para configurar o NAPT em redes IPv4:

  1. No modo de configuração, vá para o nível de [edit services] hierarquia.

    [edit] user@host# edit services

  2. Configure o conjunto de serviços e a regra do NAT.

    [edit services] user@host# set service-set service-set-name nat-rules rule-name

    No exemplo a seguir, o nome do conjunto de serviços é s1 e o nome da regra NAT é regra-napt-44.

    [edit services] user@host# set service-set s1 nat-rules rule-napt-44

  3. Vá para o [interface-service] nível de hierarquia do conjunto de serviços.

    [edit services] user@host# edit service-set s1 interface-service

  4. Configure a interface de serviço.

    [edit services service-set s1 interface service] user@host# set service-interface service-interface-name

    No exemplo a seguir, o nome da interface de serviço é ms-0/1/0.

    Nota:

    Se a interface de serviço não estiver presente no roteador ou a interface especificada não estiver funcional, o seguinte comando pode resultar em um erro.

    [edit services service-set s1 interface service] user@host# set service-interface ms-0/1/0

  5. Vá para o nível de [edit services nat] hierarquia. Emite o comando do topo da hierarquia de serviços ou use a palavra-chave superior .

    [edit services service-set s1 interface service] user@host# top edit services nat

  6. Configure o pool de NAT com um endereço.

    [edit services nat] user@host# set pool pool-name address address

    No exemplo a seguir, o nome do pool é pool de napta e o endereço 10.10.10.0.

    [edit services nat] user@host# set pool napt-pool address 10.10.10.0

  7. Configure a porta.

    [edit services nat] user@host# set pool pool-name port port-type

    No exemplo a seguir, o tipo de porta é selecionado como sequencial ou auto.

    [edit services nat] user@host# set pool napt-pool port automatic

    Nota:

    A partir do Junos OS Release 14.2, a opção sequential é introduzida para permitir que você configure a alocação sequencial de portas. As sequential opções disponíveis random-allocation com a port automatic declaração no nível hierárquico [edit services nat pool nat-pool-name] são mutuamente exclusivas. Você pode incluir a opção sequential de alocação sequencial e a opção random-allocation de delegação aleatória de portas. Por padrão, a alocação sequencial de portas ocorre se você incluir apenas a port automatic declaração no nível de [edit services nat pool nat-pool- name] hierarquia. A opção auto está oculta e está preterida no Junos OS Release 14.2 e posterior, e só é mantida para retrocompatibilidade. Ele pode ser removido completamente em um lançamento de software futuro.

  8. Configure a regra e a direção de correspondência.

    [edit services nat] user@host# set rule rule-name match-direction match-direction

    No exemplo a seguir, o nome da regra é regra-napt-44 e a direção de correspondência é a entrada.

    [edit services nat] user@host# set rule rule-napt-44 match-direction input

  9. Configure o termo, a ação para o tráfego traduzido e o tipo de tradução.

    [edit services nat] user@host# set rule rule-name term term-name then translated translated-action translation-type napt-44

    No exemplo a seguir, o nome do termo é t1, a ação para o tráfego traduzido é traduzida, o nome do pool de origem é napt-pool, e o tipo de tradução é napt-44.

    [edit services nat] user@host# set rule rule-napt-44 match-direction input term t1 then translated source-pool napt-pool translation-type napt-44

  10. Vá para o nível de [edit services adaptive-services-pics] hierarquia. No comando, a palavra-chave superior garante que o comando seja executado a partir do topo da hierarquia.

    [edit services nat] user@host# top edit services adaptive-services-pics

  11. Configure as opções de rastreamento.

    [edit services adaptive-services-pics] user@host# set traceoptions flag tracing parameter

    No exemplo a seguir, o parâmetro de rastreamento está configurado como todos.

    [edit services adaptive-services-pics] user@host# set traceoptions flag all

  12. Verifique a configuração usando o show comando no nível de [edit services] hierarquia.

    [edit services] user@host# show service-set s1 { nat-rules rule-napt-44; interface-service { service-interface ms-0/1/0; } } nat { pool napt-pool { address 10.10.10.0/32; port { automatic; } } rule rule-napt-44 { match-direction input; term t1 { then { translated { source-pool napt-pool; translation-type { napt-44; } } } } } } adaptive-services-pics { traceoptions { flag all; } }

O exemplo a seguir configura o tipo de tradução como umpta-44.

[edit services] user@host# show service-set s1 { nat-rules rule-napt-44; interface-service { service-interface ms-0/1/0; } } nat { pool napt-pool { address 10.10.10.0/32; port { automatic auto; } } rule rule-napt-44 { match-direction input; term t1 { then { translated { source-pool napt-pool; translation-type { napt-44; } } } } } } adaptive-services-pics { traceoptions { flag all; } }

Tradução dinâmica de endereço para um pequeno pool com fallback para NAT

A configuração a seguir mostra a tradução dinâmica de endereços de um grande prefixo para um pequeno pool, traduzindo uma sub-rede /24 para um pool de 10 endereços. Quando os endereços no pool de origem (src-pool) são esgotados, o NAT é fornecido pelo pool de sobrecarga NAPT (pat-pool).

[edit services nat] pool src-pool { address-range low 192.16.2.1 high 192.16.2.10; } pool pat-pool { address-range low 192.16.2.11 high 192.16.2.12; port automatic auto; rule myrule { match-direction input; term myterm { from { source-address 10.150.1.0/24; } then { translated { source-pool src-pool; overload-pool pat-pool; translation-type napt-44; } } } }

Tradução dinâmica de endereços com pool pequeno

A configuração a seguir mostra a tradução dinâmica de endereços de um grande prefixo para um pequeno pool, traduzindo uma sub-rede /24 para um pool de 10 endereços. As sessões das primeiras 10 sessões de hospedagem são atribuídas a um endereço da piscina por várias etapas, e quaisquer solicitações adicionais são rejeitadas. Cada host com um NAT atribuído pode participar de várias sessões.

[edit services nat] pool my-pool { address-range low 10.10.10.1 high 10.10.10.10; } rule src-nat { match-direction input; term t1 { from { source-address 192.168.1.0/24; } then { translated { translation-type dynamic-nat44; source-pool my-pool; } } } }

Configuração de NAPT em redes IPv6

A tradução de porta de endereço de rede (NAPT) é um método pelo qual muitos endereços de rede e suas portas TCP/UDP são traduzidos em um único endereço de rede e suas portas TCP/UDP. Essa tradução pode ser configurada em redes IPv4 e IPv6. Esta seção descreve as etapas para configurar o NAPT em redes IPv6. A configuração do NAPT em redes IPv6 não é suportada se você estiver usando MS-MPCs ou MS-MICs. Para obter informações sobre a configuração do NAPT em redes IPv4, consulte a configuração do NAPT na IPv4 Networks.

Para configurar o NAPT, você deve configurar uma regra no nível de [edit services nat] hierarquia para traduzir dinamicamente os endereços IPv6 de origem.

Para configurar o NAPT em redes IPv6:

  1. No modo de configuração, vá para o nível de [edit services nat] hierarquia.

    [edit] user@host# edit services nat

  2. Defina o pool de endereços de origem IPv6 que devem ser usados para tradução dinâmica. Para o NAPT, especifique também os números de porta ao configurar o pool de origem. 

    [edit services nat] user@host# set pool pool name address IPv6 source addresses user@host# set pool pool name port source ports

    Por exemplo:

    [edit services nat] user@host# set pool IPV6-NAPT-Pool address 2002::1/96 user@host# set pool IPV6-NAPT-Pool port automatic sequential

  3. Defina uma regra de NAT para traduzir os endereços de origem. Para fazer isso, defina a match-direction declaração da regra como input. Além disso, defina um termo que usa napt-66 como o tipo de tradução para traduzir os endereços do pool definidos na etapa anterior. Observe que o napt-66 tipo de tradução é suportado apenas nas placas de linha MS-DPC, MS-100, MS-400 e MS-500.

    [edit services nat] user@host# set rule rule name match-direction input user@host# set rule rule name term term name then translated source-pool pool name user@host# set rule rule name term term name then translated translation-type napt-66

    Por exemplo:

    [edit services nat] user@host# set rule IPV6-NAPT-Rule match-direction input user@host# set rule IPV6-NAPT-Rule term t1 then translated source-pool IPV6-NAPT-Pool user@host# set rule IPV6-NAPT-Rule term t1 then translated translation-type napt-66

  4. Insira o up comando para navegar até o nível de [edit services] hierarquia.

    [edit services nat] user@host# up

  5. Defina um conjunto de serviços para especificar a interface de serviços que deve ser usada e referenciar a regra NAT implementada para tradução de NAPT.

    [edit services] user@host# set service-set service-set name interface- service service-interface services interface user@host# set service-set service-set name nat-rules rule name

    Por exemplo:

    [edit services] user@host# set service-set IPV6-NAPT-ServiceSet interface-service service-interface sp-0/1/0 user@host# set service-set IPV6-NAPT-ServiceSet nat-rules IPV6-NAPT-Rule

  6. Defina as opções de rastreamento para os serviços adaptativos PIC.

    [edit services] user@host# set adaptive-services-pics traceoptions flag tracing parameter

    Por exemplo:

    [edit services] user@host# set adaptive-services-pics traceoptions flag all

O exemplo a seguir configura a tradução dinâmica de origem (endereço e porta) ou NAPT para uma rede IPv6.

[edit services] user@host# show service-set IPV6-NAPT-ServiceSet { nat-rules IPV6-NAPT-Rule; interface-service { service-interface sp-0/1/0; } } nat { pool IPV6-NAPT-Pool { address 2002::1/96; port automatic sequential; } rule IPV6-NAPT-Rule { match-direction input; term term1 { then { translated { source-pool IPV6-NAPT-Pool; translation-type { napt-66; } } } } } } adaptive-services-pics { traceoptions { flag all; } } }

Exemplo: configurar o NAT com tradução de porta

Este exemplo mostra como configurar o NAT com a tradução de portas.

  • Requisitos
  • Visão geral
  • Configuração de NAT com tradução de porta

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Uma plataforma de roteamento universal 5G da Série MX com um DPC de serviços ou um roteador de borda multisserviço da Série M com um PIC de serviços

  • Servidor de nome de domínio (DNS)

  • Junos OS Versão 11.4 ou superior

Visão geral

Este exemplo mostra uma configuração CGN NAT44 completa e opções avançadas.

Configuração de NAT com tradução de porta

Procedimento

  • Procedimento passo a passo
  • Resultados

Procedimento passo a passo

Para configurar o conjunto de serviços:

  1. Configure um conjunto de serviços.

    user@host# edit services service-set ss2

  2. No modo de configuração, vá para o nível de [edit services nat] hierarquia.

    [edit] user@host# edit services nat

  3. Defina o pool de endereços de origem que devem ser usados para tradução dinâmica. Para o NAPT, especifique também os números de porta ao configurar o pool de origem.

    [edit services nat] user@host# set pool pool name address source addresses user@host# set pool pool name port source ports

    Por exemplo:

    [edit services nat] user@host# set pool NAPT-Pool address 192.168.2.1/24; user@host# set pool NAPT-Pool port automatic

  4. Especifique a regra do NAT a ser usada.

    [edit services service-set ss2] host# set nat-rules r1
  5. Defina uma regra de NAT para traduzir os endereços de origem. Para fazer isso, defina a match-direction declaração da regra como input. Além disso, defina um termo que usa napt-44 como o tipo de tradução para traduzir os endereços do pool definidos na etapa anterior. [edit services nat] user@host# set rule rule name match-direction input user@host# set rule rule name term term name from source-address source-address user@host# set rule rule name term term name then translated source-pool pool name user@host# set rule rule name term term name then translated translation-type napt-44

    Por exemplo:

    [edit services nat] user@host# set rule r1 match-direction input user@host# set rule r1 term t1 from source-address 10.10.10.1 user@host# set rule r1 term t1 then translated source-pool NAPT-Pool user@host# set rule r1 term t1 then translated translation-type napt-44

  6. Especifique o serviço de interface.

    [edit services service-set ss2] host# set interface-service service-interface sp-5/0/0

Resultados user@host# show services service-sets sset2 service-set ss2 { nat-rules r1; interface-service { service-interface sp-5/0/0; } } nat { pool NAPT-Pool { address 192.168.2.1/24; port automatic; } rule r1 { match-direction input; term t1 { from { source-address { 10.10.10.1/32; } } then { translated { source-pool NAPT-Pool; translation-type { napt-44; } } } } } }

Exemplo: configuração de NAPT no MS-MPC com um conjunto de serviços de interface

Este exemplo mostra como configurar a tradução de endereços de rede com tradução de porta (NAPT) em um roteador da série MX usando um Concentrador modular de portas (MS-MPC) como uma placa de interface de serviços.

  • Requisitos
  • Visão geral
  • Configuração

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Roteador da série MX

  • Concentrador modular de portas multisserviços (MS-MPC)

  • Versão do Junos OS 13.2R1 ou superior

Visão geral

Um provedor de serviços escolheu um MS-MPC como uma plataforma para fornecer serviços NAT para acomodar novos assinantes.

Configuração

Para configurar o NAPT44 usando o MS-MPC como uma placa de interface de serviços, execute essas tarefas:

  • Configuração rápida de CLI
  • Configuração de interfaces
  • Configure um conjunto de aplicativos de tráfego aceitável de aplicativos
  • Configuração de uma regra de firewall stateful
  • Configuração do pool e da regra do NAT
  • Configuração do conjunto de serviços

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia [editar].

set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24 set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1 set interfaces ms-3/0/0 unit 0 family inet set applications application-set accept-algs application junos-http set applications application-set accept-algs application junos-ftp set applications application-set accept-algs application junos-tftp set applications application-set accept-algs application junos-telnet set applications application-set accept-algs application junos-sip set applications application-set accept-algs application junos-rtcp set services stateful-firewall rule sf-rule1 match-direction input-output set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs set services stateful-firewall rule sf-rule1 term sf-term1 then accept set services nat pool napt-pool address 1.1.1.0/24 set services nat pool napt-pool port automatic * nat rule for napt set services nat rule nat-rule1 match-direction input set services nat rule nat-rule1 term nat-term1 from source-address 10.255.247.0/24 set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44 * nat rule for basic nat set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0

Configuração de interfaces

Procedimento passo a passo

Configure as interfaces necessárias para o processamento de NAT. Você precisará das seguintes interfaces:

  • Uma interface voltada para o cliente que lida com o tráfego de e para o cliente.

  • Uma interface voltada para a internet.

  • Uma interface de serviços que fornece serviços de FIREWALL com estado e NAT para a interface voltada para o cliente

  1. Configure a interface para a interface voltada para o cliente.

    user@host# edit [edit ] user@host# set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 user@host# set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 user@host# set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1

  2. Configure a interface para a interface voltada para a Internet.

    [edit ] set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24

  3. Configure a interface para o conjunto de serviços que conectará serviços à interface voltada para o cliente. Em nosso exemplo, a interface reside em um MS-MPC.

    [edit ] user@host# set interfaces ms-3/0/0 unit 0 family inet

Configure um conjunto de aplicativos de tráfego aceitável de aplicativos

  • Procedimento passo a passo
  • Resultados

Procedimento passo a passo

Identifique os aplicativos aceitáveis para o tráfego recebido.

  1. Especifique um conjunto de aplicativos que contenha tráfego de aplicativos de entrada aceitável.

    user@host# set applications application-set accept-algs application junos-http user@host# set applications application-set accept-algs application junos-ftp user@host# set applications application-set accept-algs application junos-tftp user@host# set applications application-set accept-algs application junos-telnet user@host# set applications application-set accept-algs application junos-sip user@host# set applications application-set accept-algs application junos-rtcp

Resultados user@host#edit services applications application-set accept-algs user@host#show application junos-http; application junos-ftp; application junos-tftp; application junos-telnet; application junos-sip; application junos-

Configuração de uma regra de firewall stateful

  • Procedimento passo a passo
  • Resultados

Procedimento passo a passo

Configure uma regra de firewall stateful que aceitará todo o tráfego recebido.

  1. Especifique a correspondência de firewall para todas as entradas e saídas

    user@hos#t set services stateful-firewall rule sf-rule1 match-direction input-output

  2. Identifique o tráfego de endereço de origem e aplicativos aceitáveis a partir da interface voltada para o cliente.

    user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs user@host# set services stateful-firewall rule sf-rule1 term sf-term1 then accept

Resultados user@host# edit services stateful-firewall user@host# show rule sf-rule1 { match-direction input-output; term sf-term1 { from { source-address { 10.255.247.0/24; } application-sets accept-algs; } then { accept; } } }

Configuração do pool e da regra do NAT

  • Procedimento passo a passo
  • Resultados

Procedimento passo a passo

Configure um pool de NAT e uma regra para a tradução de endereços com atribuição automática de porta.

  1. Configure o pool NAT com atribuição automática de porta.

    user@host# set services nat pool napt-pool address 1.1.1.0/24 user@host# set services nat pool napt-pool port automatic auto

  2. Configure uma regra de NAT que aplica o tipo napt-44 de tradução usando o pool NAT definido.

    user@host# set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs user@host# set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool user@host# set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44

Resultados user@host#edit services nat user@host#show pool napt-pool { address 1.1.1.0/24; port { automatic; } } rule nat-rule1 { match-direction input; term nat-term1 { from { source-address { 10.255.247.0/24; } application-sets accept-algs; } then { translated { source-pool napt-pool; translation-type { napt-44; } } } } }

Configuração do conjunto de serviços

  • Procedimento passo a passo
  • Resultados

Procedimento passo a passo

Configure um conjunto de serviços do tipo interface.

  1. Especifique as regras de NAT e firewall stateful aplicáveis ao tráfego do cliente.

    user@host set services service-set sset1 stateful-firewall-rules sf-rule1 user@host set services service-set sset1 nat-rules bat-rule1

  2. Especifique a interface de serviços que aplica as regras ao tráfego do cliente.

    set services service-set sset1 interface-service service-interface ms-3/0/0

Resultados user@host# edit services service-set sset1 user@host# show set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0

Tabela de histórico de lançamento

14.2

A partir do Junos OS Release 14.2, você pode incluir a opção sequential com a port automatic declaração no nível de [edit services nat pool nat-pool-name] hierarquia para alocação seqüenciada de portas a partir da faixa especificada.

14.2

Começando com o Junos OS Release 14.2, a opção auto está escondida e está preterida, e só é mantida para compatibilidade retrógrada.

14.2

A partir do Junos OS Release 14.2, a opção sequential é introduzida para permitir que você configure a alocação sequencial de portas.

14.1

A partir do Junos OS Release 14.1, quando você desativa um conjunto de serviços que contém agrupamento de endereços emparelhado (APP) para esse conjunto de serviços, as mensagens são exibidas no console PIC e os mapeamentos são liberados para esse conjunto de serviços.

14.1

Começando com o Junos OS Release 14.1, quando você desativa um conjunto de serviços que contém mapeamento independente de endpoint (EIM) para esse conjunto de serviços, as mensagens são exibidas no console PIC e os mapeamentos são liberados para esse conjunto de serviços.

 

Qual versão do NAT permite que muitos hosts dentro de uma rede privada usem simultaneamente um único endereço global interno para se conectar à Internet?

PAT – Port Address Translation O método PAT ou NAT Overload (sobrecarga) permite que mais endereços privados usem os endereços públicos simultaneamente através de um sistema de portas para identificar as conversas (mesma numeração de portas da camada de transporte – 1 a 65535).

Que característica descreve uma VPN?

VPN significa “Virtual Private Network” (Rede Privada Virtual) e descreve a oportunidade de estabelecer uma conexão de rede protegida ao usar redes públicas. As VPNs criptografam seu tráfego de Internet e disfarçam sua identidade online.

Qual comando seria usado como parte da configuração do NAT ou PAT para exibir todas as traduções estáticas que foram configuradas?

Verificar PAT O comando show ip nat translations exibe as traduções de dois hosts diferentes para servidores da web diferentes.

Quais dois endereços são especificados em uma configuração NAT estática?

O NAT estático é um mapeamento um-para-um entre um endereço interno e um endereço externo. O NAT estático permite que dispositivos externos iniciem conexões com dispositivos internos usando o endereço público atribuído estaticamente.

Postagens relacionadas

Onde tirar o titulo de eleitor df
Panela de pudim meia pressão
Versículo se deus é por nós quem será contra nós
Qual o valor da faculdade de psicologia
Qual o resultado da Conferência de Berlim 1885 para o continente africano?
Quais foram as principais consequências da Conferência de Berlim realizada entre 1884?
Maratona Internacional de SP 2022 resultados
Como se chama a cama dobrável para ver?
Pode tomar Torsilax de 6 em 6 horas?
Tipos de cobertura para bolo de chocolate

Toplist

Última postagem

Tag

Q&a Tips O que Como Tecnologia Eth Crio Ios Que é qual Por que Popular Onde Por que quantos Comparar Quando Oppo Quem Importância quanto Comparação Melhor Apple Top List Diferença entre Média Excel Cryto Google Lg Top Iphone List Monitor Máquina Teclado Mais popular cujo Dicas Guia Ipad Samsung Sinal Arquivo