NAT64 dinâmico
Configuração do NAT64 stateful
Para configurar o NAT64 stateful, você deve configurar uma regra no nível da [edit services nat] hierarquia para converter o endereço de origem dinamicamente e o endereço de destino estaticamente.
Ao configurar o conjunto de serviços que inclui sua regra NAT, inclua o set stateful-nat64 clear-dont-fragment-bit no nível da [edit services service-set service-set-name] hierarquia. Isso limpa o bit DF (não fragmentar) para evitar a criação desnecessária de um cabeçalho de fragmentação IPv6 ao traduzir pacotes IPv4 com menos de 1280 bytes. O RFC 6145, Algoritmo de Tradução IP/ICMP, fornece uma discussão completa sobre o uso do sinalizador DF para controlar a geração de cabeçalhos de fragmentação. Para obter mais informações sobre conjuntos de serviços para NAT, consulte Configurando conjuntos de serviços para Network Address Translation.
Para configurar o NAT64 stateful:
O exemplo a seguir configura a conversão de endereço de origem dinâmico (IPv6 para IPv4) e endereço de destino estático (IPv6 para IPv4).
[edit services]
user@host# show
nat {
pool src-pool-nat64 {
address 203.0.113.0/24;
port {
automatic;
}
}
rule stateful-nat64 {
match-direction input;
term t1 {
from {
source-address {
2001:db8::0/96;
}
destination-address {
64:ff9b::/96;
}
}
then {
translated {
source-pool src-pool-nat64;
destination-prefix 64:ff9b::/96;
translation-type {
stateful-nat64;
}
}
}
}
}
}
service-set sset-nat64 {
nat-options {
stateful-nat64 {
clear-dont-fragment-bit;
}
}
service-set-options;
nat-rules stateful-nat64;
interface-service {
service-interface ms-0/1/0;
}
}
Se você configurar duas regras NAT64 e associá-las ao mesmo conjunto de serviços, juntamente com regras de firewall stateful, e aplicar o conjunto de serviços em duas interfaces marcadas por VLAN, para o tráfego transmitido que corresponde a ambas as regras NAT, o tráfego destinado à segunda regra NAT será descartado. Nesse cenário, os fluxos de tráfego não são descartados no Mecanismo de Roteamento. Esse comportamento de queda de tráfego pela segunda regra NAT é esperado. Com pacotes de provedores de extensão do Junos OS instalados em um dispositivo, porque o mapeamento independente de endpoint (EIM) não é suportado, EIM por VLAN ou por termo de regra NAT. A segunda sessão, que é descartada pela segunda regra NAT no cenário de configuração descrito aqui, não é criada devido à seguinte sequência de eventos:
O primeiro pacote que corresponde a qualquer uma das regras cria um EIM e uma sessão.
O segundo pacote corresponde à entrada EIM porque o segundo pacote é enviado com o mesmo endereço IP de origem e porta que o primeiro pacote (mas com um endereço de destino diferente).
Essa condição causa alocação (reutilização) do mesmo endereço IP público e porta para o segundo pacote que o primeiro pacote. O fluxo reverso para esta sessão tem os mesmos dados de 5 tuplas que o fluxo reverso da primeira sessão. Esse comportamento causa falha na adição de fluxo porque um fluxo duplicado no mesmo conjunto de serviços não é permitido.
Para contornar esse problema, desabilite o EIM em ambas as regras NAT, o que faz com que as sessões sejam estabelecidas e processadas corretamente. Como alternativa, para evitar esse problema, especifique as regras de NAT em diferentes conjuntos de serviços configurados em diferentes unidades da interface de mídia com o EIM habilitado para estabelecer com êxito ambas as sessões.
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.
sequential opção para permitir que você configure a alocação sequencial de portas.