NESTA PÁGINA
Entender as Concessionárias de Passagem de Sessão para o Protocolo NAT (STUN)
Entendendo o prefixo IPv6 NAT64 para a tradução persistente de endereço IPv4
Exemplo: configuração de pools NAT64 persistentes de endereço
Exemplo: Suporte à configuração de rede configurando NAT persistente com interface NAT
Exemplo: configurar a filtragem dependente de endereço para clientes IPv6
Exemplo: configurar a filtragem independente de endpoint para clientes IPv6
Comportamento de suporte à associação de NAT persistente específica da plataforma
NAT e NAT64 persistentes
Os Network Address Translators (NATs) são bem conhecidos por causar problemas muito significativos com aplicativos que transportam endereços IP na carga útil. Os aplicativos que sofrem com esse problema incluem VoIP e multimídia sobre IP. O NAT persistente melhora o comportamento dos NATs e define um conjunto de comportamentos de requisitos de NAT que é útil para aplicativos VOIP que funcionam. O NAT64 é um mecanismo de tradução usado para traduzir pacotes IPv6 em pacotes IPv4 e vice-versa, traduzindo os cabeçalhos dos pacotes de acordo com o algoritmo de tradução IP/ICMP.
Entendendo o NAT persistente e o NAT64
O NAT persistente permite que os aplicativos usem o protocolo STUN (Session Traversal Concessionárias for NAT) ao passar por firewalls NAT. O NAT persistente garante que todas as solicitações do mesmo endereço de transporte interno (endereço IP interno e porta) sejam mapeadas para o mesmo endereço de transporte reflexivo (o endereço IP público e a porta criados pelo dispositivo NAT mais próximo do servidor STUN).
O NAT64 é um mecanismo para traduzir pacotes IPv6 em pacotes IPv4 e vice-versa que permite que clientes IPv6 entrem em contato com servidores IPv4 usando UDP, TCP ou ICMP unicast. É um aprimoramento da Network Address Translation-Protocol Translation (NAT-PT).
O NAT64 suporta o seguinte:
-
Mapeamentos independentes de endpoint
-
Filtragem independente de endpoint e filtragem dependente de endereço
Os comportamentos de mapeamento e filtragem do NAT64 e do NAT persistente são idênticos.
Os seguintes tipos de NAT persistente podem ser configurados no dispositivo da Juniper Networks:
-
Qualquer host remoto — todas as solicitações de um endereço IP interno e porta específicos são mapeadas para o mesmo endereço de transporte reflexivo. Qualquer host externo pode enviar um pacote para o host interno enviando o pacote para o endereço de transporte reflexivo.
-
Host de destino — todas as solicitações de um endereço IP interno e porta específicos são mapeadas para o mesmo endereço de transporte reflexivo. Um host externo pode enviar um pacote para um host interno enviando o pacote para o endereço de transporte reflexivo. O host interno deve ter enviado anteriormente um pacote para o endereço IP do host externo.
-
Porta de host de destino — Todas as solicitações de um endereço IP interno e porta específicos são mapeadas para o mesmo endereço de transporte reflexivo. Um host externo pode enviar um pacote para um host interno enviando o pacote para o endereço de transporte reflexivo. O host interno deve ter enviado anteriormente um pacote para o endereço IP e a porta do host externo.
A configuração target-host-port não é suportada para NAT64 quando configurada com endereço IPv6.
Você configura qualquer um dos tipos de NAT persistentes com regras de NAT de origem. A ação de regra NAT de origem pode usar um pool NAT de origem (com ou sem tradução de porta) ou uma interface de saída. O NAT persistente não é aplicável ao NAT de destino, pois as associações de NAT persistentes são baseadas em sessões de saída internas para externas.
A sobrecarga de porta é usada no Junos OS apenas para tráfego NAT de interface normal. O NAT persistente não oferece suporte à sobrecarga de porta e você deve desabilitar explicitamente aedit security nat source sobrecarga de porta com uma das seguintes opções no nível de [] hierarquia:
-
Sobrecarga de porta desativada
-
fator de sobrecarga de porta 1
Para configurar políticas de segurança para permitir ou negar tráfego NAT persistente, você pode usar dois novos serviços predefinidos —junos-stun e junos-persistent-nat.
O NAT persistente é diferente do recurso de endereço persistente (consulte Noções básicas sobre endereços persistentes para pools de NAT de origem). O recurso de endereço persistente se aplica a mapeamentos de endereço para pools NAT de origem configurados no dispositivo. O recurso NAT persistente se aplica a mapeamentos de endereço em um dispositivo NAT externo e é configurado para um pool NAT de origem ou interface de saída específico. Além disso, o NAT persistente destina-se ao uso com aplicativos cliente/servidor STUN.
Use o Explorador de Recursos para confirmar o suporte à plataforma e à versão para recursos específicos.
Examine a seção Comportamento de suporte de associação de NAT persistente específica da plataforma para obter notas relacionadas à sua plataforma.
Entender as Concessionárias de Passagem de Sessão para o Protocolo NAT (STUN)
Muitos aplicativos de vídeo e voz não funcionam corretamente em um ambiente NAT. Por exemplo, o Session Initiation Protocol (SIP), usado com VoIP, codifica endereços IP e números de porta nos dados do aplicativo. Se existir um firewall NAT entre o solicitante e o destinatário, a tradução do endereço IP e do número da porta nos dados invalidará as informações.
Além disso, um firewall NAT não mantém um orifício para mensagens SIP recebidas. Isso força o aplicativo SIP a atualizar constantemente o orifício com mensagens SIP ou usar um ALG para rastrear o registro, uma função que pode ou não ser suportada pelo dispositivo de gateway.
O protocolo Session Traversal Concessionárias for NAT (STUN), definido pela primeira vez no RFC 3489, Simple Traversal of Protocolo de datagrama de usuário (UDP) Through Network Address Translators (NATs) e , posteriormente, no RFC 5389, Session Traversal Concessionárias for NAT, é um protocolo cliente/servidor simples. Um cliente STUN envia solicitações a um servidor STUN, que retorna respostas ao cliente. Um cliente STUN geralmente faz parte de um aplicativo que requer um endereço IP público e/ou porta. Os clientes STUN podem residir em um sistema final, como um PC ou em um servidor de rede, enquanto os servidores STUN geralmente são conectados à Internet pública.
O cliente STUN e o servidor STUN devem ser fornecidos pelo aplicativo. A Juniper Networks não oferece um cliente ou servidor STUN.
O protocolo STUN permite que um cliente:
Descubra se o aplicativo está protegido por um firewall NAT.
Determine o tipo de associação NAT que está sendo usada.
Aprenda o endereço de transporte reflexivo, que é o endereço IP e a associação de porta alocados pelo dispositivo NAT mais próximo do servidor STUN. (Pode haver vários níveis de NAT entre o cliente STUN e o servidor STUN.)
O aplicativo cliente pode usar as informações de associação de endereço IP em protocolos como SIP e H.323.
Entendendo o prefixo IPv6 NAT64 para a tradução persistente de endereço IPv4
O mecanismo NAT64 permite que clientes IPv6 entrem em contato com servidores IPv4 convertendo endereços IPv6 em endereços IPv4 (e vice-versa). No entanto, alguns aplicativos e serviços IPv4 não podem funcionar corretamente em redes somente IPv6 com NAT64 padrão em um cenário de tradução dupla, como 464XLAT. Nesses cenários, a tradução persistente de endereço é necessária.
A Figura 1 ilustra a arquitetura 464XLAT, na qual os pacotes IPv4 são convertidos em pacotes IPv6 no tradutor do lado do cliente (CLAT), depois atravessam a rede somente IPv6 e são convertidos de volta em pacotes IPv4 no tradutor do lado do provedor (PLAT) para acessar o conteúdo global somente IPv4 na rede principal. Essa arquitetura usa uma combinação de tradução stateless no CLAT e tradução stateful no PLAT.
464XLAT
Quando um dispositivo funciona como um PLAT, ele é responsável por manter a relação de mapeamento fixo entre um prefixo IPv6 específico e um endereço IPv4 traduzido. O dispositivo trata o prefixo IPv6 como um único usuário. Esse mapeamento é realizado configurando o comprimento do prefixo IPv6 específico em um pool NAT de origem IPv4 usando o address-persistent recurso.
A Figura 2 ilustra uma regra NAT configurada no CLAT, que converte um endereço IPv4 em um endereço IPv6 com um prefixo persistente de endereço. Com a tradução NAT46 stateless no CLAT e a tradução NAT64 stateful no PLAT, o tráfego do host IPv4 192.168.1.2 chega ao servidor global 198.51.100.1 em uma rede somente IPv6.
A Tabela 1 lista outros recursos NAT e sua compatibilidade com o recurso persistente de endereço.
| Característica |
Compatível |
||
|---|---|---|---|
| Pools de PAT |
IPv4 |
NAT IPv4 para IPv6 |
Não |
| NAT IPv6 a IPv4 |
Sim |
||
| IPv6 |
NAT IPv4 para IPv6 |
Não |
|
| NAT IPv6 a IPv4 |
Não |
||
| Pools não PAT |
Não |
||
| Sobrecarga de porta |
Sim |
||
| NAT persistente no pool de PAT |
Sim |
||
| Alocação de blocos de porta |
Sim |
||
| NAT determinístico |
Não |
||
| Pool de endereços emparelhado |
Não |
||
| ALG (Traduções ALG NAT existentes, como FTP/PPTP/RTSP/DNS/SIP de clientes IPv6 nativos.) |
Sim |
||
Visão geral da configuração de NAT persistente e NAT64
Para configurar o NAT persistente, especifique as seguintes opções com a ação de regra NAT de origem (para um pool NAT de origem ou uma interface de saída):
O tipo de NAT persistente — Um dos seguintes: qualquer host remoto, host de destino ou porta de host de destino.
(Opcional) Mapeamento de endereço — Esta opção permite que as solicitações de um endereço IP interno específico sejam mapeadas para o mesmo endereço IP reflexivo; As portas internas e reflexivas podem ser quaisquer portas. Um host externo usando qualquer porta pode enviar um pacote para o host interno enviando o pacote para o endereço IP reflexivo (com uma política de entrada configurada que permite tráfego externo para interno). Se essa opção não estiver configurada, a associação NAT persistente será para endereços de transporte internos e reflexivos específicos.
Você só pode especificar a
address-mappingopção quando o tipo de NAT persistente é qualquer host remoto e a ação de regra NAT de origem é uma das seguintes ações:Pool de NAT de origem com mudança de endereço IP
Pool de NAT de origem sem tradução de porta e sem pool de estouro
(Opcional) Tempo limite de inatividade — Tempo, em segundos, que a ligação NAT persistente permanece na memória do dispositivo quando todas as sessões da entrada de ligação expiraram. Quando o tempo limite configurado é atingido, a associação é removida da memória. O valor padrão é 300 segundos. Configure um valor de 60 a 7200 segundos.
Quando todas as sessões de uma associação NAT persistente expiram, a associação permanece em um estado de consulta na memória do dispositivo pelo período de tempo limite de inatividade especificado. A associação de consulta é removida automaticamente da memória quando o período de tempo limite de inatividade expira (o padrão é 300 segundos). Você pode remover explicitamente todas as associações de consulta NAT persistentes ou específicas com o
clear security nat source persistent-nat-tablecomando.(Opcional) Número máximo da sessão — Número máximo de sessões às quais uma ligação NAT persistente pode ser associada. O padrão é 30 sessões. Configure um valor de 8 a 100.
Para aedit security nat source interface NAT, você precisa desabilitar explicitamente a sobrecarga de porta com uma das seguintes opções no nível de [] hierarquia:
Sobrecarga de porta desativada
fator de sobrecarga de porta 1
Por fim, há dois serviços predefinidos que você pode usar em políticas de segurança para permitir ou negar STUN e tráfego NAT persistente:
junos-stun— tráfego de protocolo STUN.junos-persistent-nat— Tráfego NAT persistente.
junos-persistent-nat política no final da sequência da política de segurança. Como alternativa, confirme se nenhuma política subsequente corresponde ao tráfego NAT persistente abaixo da
junos-persistent-nat política.
Para qualquer tipo de NAT persistente de host remoto ou host de destino ou porta de host de destino, a direção da política de segurança é de interna para externa.
Exemplo: configuração de pools NAT64 persistentes de endereço
Este exemplo mostra como configurar pools NAT64 persistentes de endereço para garantir uma relação de mapeamento fixa entre um prefixo IPv6 específico, que é calculado pelo comprimento do prefixo IPv6 configurado, e um endereço IPv4 traduzido.
Requerimentos
Antes de começar, verifique se as regras de NAT existentes e a configuração do pool não entram em conflito com a nova.
Visão geral
Neste exemplo, você configura um comprimento de prefixo IPv6 de /64 em um pool NAT de origem IPv4 para traduções de NAT IPv6 para IPv4. O tráfego que corresponde à regra NAT e ao pool NAT executa a conversão persistente de endereço entre o prefixo IPv6 e o endereço traduzido IPv4. Essa configuração pode ser usada no tradutor do lado do provedor (PLAT) em um cenário de tradução dupla, 464XLAT, para permitir que os serviços IPv4 funcionem em redes somente IPv6.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set security nat source pool NAT64 address 198.51.100.240/32 to 198.51.100.254/32 set security nat source pool NAT64 address-persistent subscriber ipv6-prefix-length 64 set security nat source rule-set RS1 from zone trust set security nat source rule-set RS1 to zone untrust set security nat source rule-set RS1 rule R1 match source-address 2001:db8::/32 set security nat source rule-set RS1 rule R1 match destination-address 198.51.100.198/32 set security nat source rule-set RS1 rule R1 then source-nat pool NAT64
Tramitação processual
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Crie um pool NAT de origem.
[edit security nat source] user@host# set pool NAT64 address 198.51.100.240/32 to 198.51.100.254/32
Especifique o comprimento do prefixo IPv6 para o pool NAT de origem.
[edit security nat source] user@host# set pool NAT64 address-persistent subscriber ipv6-prefix-length 64
Crie um conjunto de regras.
[edit security nat source] user@host# set rule-set RS1 from zone trust user@host# set rule-set RS1 to zone untrust
Corresponda à regra.
[edit security nat source] user@host# set rule-set RS1 rule R1 match source-address 2001:db8::/32 user@host# set rule-set RS1 rule R1 match destination-address 198.51.100.198/32
Forneça a ação a ser executada quando a regra corresponder.
[edit security nat source] user@host# set security nat source rule-set RS1 rule R1 then source-nat pool NAT64
Resultados
No modo de configuração, confirme sua configuração digitando o show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
source {
pool NAT64 {
address {
198.51.100.240/32 to 198.51.100.254/32;
}
address-persistent subscriber ipv6-prefix-length 64;
}
rule-set RS1 {
from zone trust;
to zone untrust;
rule R1 {
match {
source-address 2001:db8::/32;
destination-address 198.51.100.198/32;
}
then {
source-nat {
pool {
NAT64;
}
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Verificando o aplicativo NAT para o tráfego
Finalidade
Verifique se o mesmo prefixo IPv6 é convertido no endereço IPv4 persistente.
Ação
Do modo operacional, insira o show security flow session comando.
Exemplo: Suporte à configuração de rede configurando NAT persistente com interface NAT
Você pode configurar qualquer um dos tipos de NAT persistentes com regras de NAT de origem. Este exemplo ilustra como aplicar NAT persistente com um endereço IP de interface e como usar um endereço IP de interface como um endereço IP NAT para executar NAT persistente para um host interno específico. Ele também mostra como manter o comportamento persistente de mapeamento de porta de endereço e o comportamento persistente do filtro NAT para o host. Você deve desabilitar a sobrecarga de porta para a interface NAT.
Requerimentos
Este exemplo usa os seguintes componentes de hardware e software:
1 Firewall
4 PCs
Antes de começar:
Entenda os conceitos de NAT persistente. Consulte Visão geral da configuração de NAT persistente e NAT64.
Visão geral
Em uma implantação de rede Carrier Grade NAT (CGN), você pode configurar o endereço IP da interface como um endereço NAT para realizar a conversão de endereço de rede persistente. Dessa forma, o host interno pode criar uma relação de mapeamento NAT de origem pelo tráfego de saída iniciado de interno para externo. Em seguida, o host externo envia o tráfego de volta para esse host interno, enviando o tráfego para esse endereço NAT da interface por meio da relação de mapeamento NAT compartilhada.
Neste exemplo, primeiro você configura a regra NAT da interface definida int1 para corresponder ao tráfego da interface ge-0/0/1 com a interface ge-0/0/2 e, em seguida, configura a regra NAT in1 para corresponder aos endereços de origem e destino específicos para executar NAT persistente. Você configura o tipo NAT persistente quando a any remote host interface NAT é executada.
Para pacotes com endereço de origem 192.0.2.0/24 (telefones internos) e endereço de destino 198.51.100.0/24 (incluindo servidor STUN , servidor proxy SIP e telefones externos), você configura a interface NAT com o any remote host tipo NAT persistente. Em seguida, desative a sobrecarga de porta para a interface NAT.
Em seguida, você configura uma política de segurança para permitir o tráfego NAT persistente da rede externa (zona externa) para a rede interna (zona interna) para qualquer um dos tipos de NAT persistentes do host remoto.
Topologia
A Figura 3 mostra uma topologia NAT persistente de interface.
de NAT persistente da interface
A Tabela 2 mostra os parâmetros configurados neste exemplo.
Parâmetro |
Descrição |
|---|---|
Zona externa |
Rede externa |
Zona Interna |
Rede interna |
External_phones2 |
Endereço Phone2 da rede externa |
Internal_phone1 |
Telefone1 endereço da rede interna |
SIP_proxy servidor |
Endereço do servidor proxy SIP da rede externa |
Servidor STUN |
Endereço do servidor STUN da rede externa |
Sub-rede 198.51.100.1/32 |
Endereço IP de destino |
Sub-rede 192.0.2.2/32 |
Endereço IP de origem |
ge-0/0/1 e ge-0/0/2 |
Interfaces NAT para direcionamento de tráfego |
Configuração
Tramitação processual
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set security nat source rule-set int1 from interface ge-0/0/1.0 set security nat source rule-set int1 to interface ge-0/0/2.0 set security nat source rule-set int1 rule in1 match source-address 192.0.2.0/24 set security nat source rule-set int1 rule in1 match destination-address 198.51.100.0/24 set security nat source rule-set int1 rule in1 then source-nat interface persistent-nat permit any-remote-host set security nat source interface port-overloading off set security policies from-zone internal to-zone external policy stun_traffic match source-address internal_phones destination-address stun_server application junos-stun set security policies from-zone internal to-zone external policy sip_proxy_traffic match source-address internal_phones destination-address sip_proxy_server application junos-sip set security policies from-zone internal to-zone external policy sip_traffic match source-address internal_phones destination-address external_phones application junos-persistent-nat set security policies from-zone internal to-zone external policy sip_traffic then permit set security policies from-zone internal to-zone external policy stun_traffic then permit set security policies from-zone internal to-zone external policy sip_proxy_traffic then permit
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI.
Para configurar um conjunto de regras NAT de interface:
Crie uma regra NAT persistente para um NAT de interface.
[edit security nat source rule-set int1] user@host# set from interface ge-0/0/1.0 user@host# set to interface ge-0/0/2.0 user@host# set rule in1 match source-address 192.0.2.0/24 user@host# set rule in1 match destination-address 198.51.100.0/24 user@host# set rule in1 then source-nat interface persistent-nat permit any-remote-host
Desative a sobrecarga de porta para a interface NAT.
[edit security] user@host# set nat source interface port-overloading off
Configure uma política de segurança para permitir o tráfego STUN de telefones SIP internos para um servidor STUN externo.
[edit security policies] user@host# set from-zone internal to-zone external policy stun_traffic match source-address internal_phones destination-address stun_server application junos-stun
Configure uma política de segurança para permitir o tráfego de proxy SIP de telefones SIP internos para um servidor proxy SIP externo.
[edit security policies] user@host# set from-zone internal to-zone external policy sip_proxy_traffic match source-address internal_phones destination-address sip_proxy_server application junos-sip
Configure uma política de segurança para permitir o tráfego SIP de telefones SIP externos para telefones SIP internos.
[edit security policies] user@host# set from-zone internal to-zone external policy sip_traffic match source-address internal_phones destination-address external_phones application junos-persistent-nat user@host# set from-zone internal to-zone external policy sip_traffic then permit user@host#set from-zone internal to-zone external policy stun_traffic then permit user@host#set from-zone internal to-zone external policy sip_proxy_traffic then permit
Resultados
No modo de configuração, confirme sua configuração digitando os show security nat comandos e show security policies . Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@host# show security nat
source {
interface {
port-overloading off;
}
rule-set int1 {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule in1 {
match {
source-address 192.0.2.0/24;
destination-address 198.51.100.0/24;
}
then {
source-nat {
interface {
persistent-nat {
permit any-remote-host;
}
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone internal to-zone external {
policy stun_traffic {
match {
source-address internal_phones;
destination-address stun_server;
application junos-stun;
}
then {
permit;
}
}
policy sip_proxy_traffic {
match {
source-address internal_phones;
destination-address sip_proxy_server;
application junos-sip;
}
then {
permit;
}
}
policy sip_traffic {
match {
source-address internal_phones;
destination-address external_phones;
application junos-persistent-nat;
}
then {
permit;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando se as regras são correspondidas e usadas
- Verificando se as sessões de tráfego NAT são estabelecidas
Verificando se as regras são correspondidas e usadas
Finalidade
Verifique se todas as regras são correspondidas e usadas.
Ação
Do modo operacional, insira o show security nat source persistent-nat-table all comando.
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/Curr_Sess_Num/ Source
In_IP In_Port I_Proto Ref_IP Ref_Port R_Proto NAT Pool Conf_time Max_Sess_Num NAT Rule
192.0.2.12 17012 udp 198.51.100.1 28153 udp interface any-remote-host 3528/3600 -/- in1
192.0.2.12 7078 udp 198.51.100.1 6133 udp interface any-remote-host -/300 1/30 in1
Significado
A saída exibe um resumo das informações de NAT persistentes.
Verificando se as sessões de tráfego NAT são estabelecidas
Finalidade
Verifique se as sessões estão estabelecidas no dispositivo.
Ação
Do modo operacional, insira o show security flow session comando.
user@host>show security flow session Session ID: 6992, Policy name: sip_proxy_traffic/5, Timeout: 16, Valid In: 192.0.2.12/17012 --> 198.51.100.45/5060;udp, If: ge-0/0/1.0, Pkts: 4, Bytes: 1850 Out: 198.51.100.45/5060 --> 198.51.100.1/28153;udp, If: ge-0/0/2.0, Pkts: 5, Bytes: 2258 Session ID: 7382, Policy name: stun_traffic/4, Timeout: 16, Valid In: 192.0.2.12/7078 --> 198.51.100.49/3478;udp, If: ge-0/0/1.0, Pkts: 20, Bytes: 1040 Out: 198.51.100.49/3478 --> 198.51.100.1/6133;udp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0
Significado
O show security flow session comando exibe sessões ativas no dispositivo e a política de segurança associada a cada sessão. A saída mostra o tráfego que entra no dispositivo usando o endereço de origem privada 192.0.2.12 destinado a um host público em 198.51.100.45. O tráfego de retorno desse fluxo viaja para o endereço público traduzido 198.51.100.1.
Session ID— Número que identifica a sessão. Use esse ID para obter mais informações sobre a sessão, como o nome da política ou o número de pacotes que entram e saem.
sip_proxy_traffic— Nome da política que permitiu o tráfego SIP dos telefones SIP internos para o servidor proxy SIP externo.
In— Fluxo de entrada (endereços IP de origem e destino com seus respectivos números de porta de origem e destino. A sessão é UDP e a interface de origem para esta sessão é ge-0/0/1.0).
Out— Fluxo reverso (endereços IP de origem e destino com seus respectivos números de porta de origem e destino. A sessão é UDP e a interface de destino para esta sessão é ge-0/0/2.0).
stun_traffic— Nome da política que permitia o tráfego STUN dos telefones SIP internos para o servidor STUN externo.
Exemplo: configurar a filtragem dependente de endereço para clientes IPv6
Este exemplo mostra como configurar a filtragem dependente de endereço para clientes IPv6 usando NAT64.
Requerimentos
Antes de começar:
Certifique-se de que o IPv6 esteja habilitado no dispositivo.
Certifique-se de que a regra NAT existente e a configuração do pool não entrem em conflito com as novas.
Visão geral
Neste exemplo, você usa o NAT64 para enviar pacotes do host interno IPv6 para o host externo IPv4 e do host externo IPv4 para o host interno IPv4.
Topologia
Configuração
Tramitação processual
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::/128 set security nat static rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit target-host
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Para configurar a filtragem dependente de endereço para clientes IPv6:
Crie um conjunto de regras para NAT64.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Corresponda à regra.
[edit security nat static] user@host# set rule-set test_rs rule test_rule match destination-address 2001:db8::/128
Forneça a ação a ser executada quando a regra corresponder.
[edit security nat static] user@host# set rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32
Defina um pool de endereços de origem e adicione o endereço ao pool.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2
Crie outro conjunto de regras para NAT64.
[edit security nat] user@host# set source rule-set myipv4_rs from interface ge-0/0/1
Combine a regra com o endereço de origem.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96
Combine a regra com o endereço de destino.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15
Forneça a ação a ser executada quando as regras corresponderem.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Configure o NAT persistente.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit target-host
Resultados
No modo de configuração, confirme sua configuração digitando o show nat source comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit security]
user@host#show nat source
pool myipv4 {
address {
203.0.113.2/32;
}
}
rule-set test_rs {
rule test_rule {
match {
destination-address 2001:db8::/128;
}
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
persistent-nat {
permit target-host;
}
}
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente:
- Verificando se a configuração está habilitada e funcionando
- Verificando se as regras são correspondidas e usadas
Verificando se a configuração está habilitada e funcionando
Finalidade
Verifique se a configuração está habilitada e funcionando.
Ação
Do modo operacional, insira os seguintes comandos:
show security nat static rule test_ruleshow security nat source rule ipv4_ruleshow security nat source pool myipv4
Verificando se as regras são correspondidas e usadas
Finalidade
Verifique se todas as regras são correspondidas e usadas.
Ação
Do modo operacional, insira o show security nat source persistent-nat-table all comando.
Exemplo: configurar a filtragem independente de endpoint para clientes IPv6
Este exemplo mostra como configurar a filtragem independente de endpoint para clientes IPv6 usando NAT64.
Requerimentos
Antes de começar:
Verifique se o IPv6 está habilitado no dispositivo
Certifique-se de que as regras NAT existentes e a configuração do pool não entrem em conflito com as novas.
Visão geral
Neste exemplo, você usa o NAT64 para enviar pacotes do host interno IPv6 para o host externo IPv4 e do host externo IPv4 para o host interno IPv4.
Topologia
Configuração
Tramitação processual
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para corresponder à sua configuração de rede, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre commit no modo de configuração.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::/128 set security nat static rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit any-remote-host
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Para configurar a filtragem independente de endpoint para clientes IPv6:
Crie um conjunto de regras para NAT64.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Corresponda à regra.
[edit security nat static] user@host# set rule-set test_rs rule test_rule match destination-address 2001:db8::/128
Forneça a ação a ser executada quando a regra corresponder.
[edit security nat static] user@host# set rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32
Defina um pool de endereços de origem e adicione o endereço ao pool.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2
Crie outro conjunto de regras para NAT64.
[edit security nat] user@host# set source rule-set myipv4_rs from interface ge-0/0/1
Combine a regra com o endereço de origem.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96
Combine a regra com o endereço de destino.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15
Forneça a ação a ser executada quando as regras corresponderem.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Configure o NAT persistente.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit any-remote-host
Resultados
No modo de configuração, confirme sua configuração digitando o show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit security]
user@host#show security nat
source {
pool myipv6_prefix {
address {
2001:db8::/64;
}
}
pool myipv4 {
address {
203.0.113.2/32;
}
}
rule-set myipv6_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv6_rule {
match {
source-address 10.1.1.0/30;
destination-address 2001:db8::2/96;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
persistent-nat {
permit target-host;
}
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::/128;
}
then {
static-nat {
prefix {
10.2.2.15/32;
}
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente:
- Verificando se a configuração está habilitada e funcionando
- Verificando se as regras são correspondidas e usadas
Verificando se a configuração está habilitada e funcionando
Finalidade
Verifique se a configuração está habilitada e funcionando.
Ação
Do modo operacional, insira os seguintes comandos.
show security nat static rule test_ruleshow security nat source rule ipv4_ruleshow security nat source pool myipv4
Verificando se as regras são correspondidas e usadas
Finalidade
Verifique se todas as regras são correspondidas e usadas.
Ação
Do modo operacional, insira o show security nat source persistent-nat-table all comando.
Exemplo: configuração de ligações NAT persistentes máximas
Este exemplo mostra como aumentar a capacidade de NAT persistente.
Requerimentos
Antes de começar, consulte Noções básicas sobre NAT persistente e NAT64.
Visão geral
Neste exemplo, você habilita a opção maximizar a capacidade de NAT persistente. Para habilitar essa opção, a capacidade máxima de associação do ponto central suportada pode ser aumentada aproximadamente para 1/8 da capacidade da sessão do ponto central até 2M e a capacidade máxima de ligação da SPU suportada pode ser aumentada aproximadamente para 1/4 da capacidade de cada sessão da SPU. Consequentemente, a capacidade da sessão de fluxo diminuirá em 1/4 tanto no CP quanto em cada uma das SPUs.
Neste exemplo, você habilita a capacidade da sessão para no máximo 20.000.000 no ponto central e no máximo 1.100.000 em cada uma das SPUs com configuração máxima de sessão. Use o maximize-persistent-nat-capacity comando.
Configuração
Tramitação processual
Procedimento passo a passo
Para aumentar a capacidade de NAT persistente:
Defina a opção maximizar a capacidade de NAT persistente.
[edit] user@host# set security forwarding-process application-services maximize-persistent-nat-capacity
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Reinicie o sistema a partir do modo operacional.
[edit] user@host# request system reboot
Ao alternar para o modo de capacidade de NAT persistente ou voltar ao modo normal, você deve reiniciar o dispositivo.
Se você quiser alternar o dispositivo de volta para o modo normal, exclua a configuração do modo maximizar capacidade de NAT persistente.
[edit] user@host# delete security forwarding-process application-services maximize-persistent-nat-capacity
Verificação
Verificando o aumento da capacidade de NAT persistente
Finalidade
Verifique se você aumentou a capacidade de NAT persistente.
Ação
Do modo operacional, insira o show security forwarding-process application-services comando.
Visão geral do hairpinning de NAT persistente
Quando o tráfego é enviado entre dois hosts, o host de origem do tráfego pode conhecer apenas o host de destino por seu endereço IP público. Na realidade, o host de destino pode estar no mesmo espaço de endereço privado que o host de origem. Hairpinning é o processo de retornar o tráfego na direção de onde ele veio como uma forma de levá-lo ao host de destino em uma sub-rede privada.
Geralmente, um host de origem em uma sub-rede pode não reconhecer que o tráfego se destina a um host de destino dentro da mesma sub-rede, porque ele identifica o host de destino apenas por seu endereço IP público. O NAT analisa os pacotes IP e roteia o pacote de volta para o host correto.
O suporte a hairpinning NAT será necessário se dois hosts na rede interna quiserem se comunicar entre si usando uma associação no dispositivo NAT. Nesse caso, o dispositivo NAT recebe um pacote da rede interna e o encaminha de volta para a rede interna. Se não houver suporte para hairpinning, o encaminhamento do pacote falhará e ele será descartado.
O hairpinning permite que dois endpoints (Host 1 e Host 2) na rede privada se comuniquem, mesmo que usem apenas os endereços IP e portas externos um do outro. Quando o Host 1 envia tráfego para o Host 3, uma ligação NAT entre o endereço IP de origem interno e a porta do Host 1 é associada na tabela NAT com seu endereço IP externo e porta. A mesma coisa acontece quando o Host 2 envia tráfego para o Host 3. Dessa forma, quando o Host 1 e o Host 2 quiserem se comunicar, eles poderão identificar os endereços IP externos um do outro.
Por exemplo, se o Host 1 se comunicar com o Host 2, o NAT (com suporte a hairpinning) será usado para rotear os pacotes, que contêm o endereço externo do Host 2, de volta ao endereço interno do Host 2.
de NAT persistente
Na Figura 4, os seguintes parâmetros são usados:
Endereço IP do host 1 -
10.10.10.2/24Endereço IP do host 2 -
10.10.10.10/24Endereço IP intrazona -
10.10.10.254/24Endereço IP do Host 3 -
198.51.100.2/24Endereço IP entre zonas -
198.51.100.254/24O Host 1 e o Host 2 estão na zona
reht0ze o Host 3 está nareth1zzona
A Tabela 3 mostra a tabela de associação usada neste exemplo.
Endereço IP da fonte original |
Endereço IP de origem traduzido |
|---|---|
10.10.10.2/24 a 10.10.10.11/24 |
192.0.2.1/32 a 192.0.2.10/32 |
O hairpinning NAT persistente se aplica apenas a qualquer tipo de NAT persistente do host remoto. Para permitir o hairpinning, você deve configurar uma política de segurança para permitir o tráfego entre endpoints na mesma zona. Na verdade, os dois endpoints podem estar localizados em duas zonas diferentes, desde que qualquer um dos dois hosts possa ver apenas o endereço público do peer. O comportamento de hairpinning de NAT não é suportado pelo NAT persistente do host de destino e pelo NAT persistente da porta do host de destino. Somente qualquer NAT persistente de host remoto dá suporte ao comportamento de hairpinning.
Exemplo: configuração de hairpinning de NAT persistente com pool de NAT de origem com deslocamento de endereço
Este exemplo mostra como configurar o hairpinning NAT persistente.
Requerimentos
Antes de começar:
Configure as interfaces de rede no dispositivo. Consulte o Guia do Usuário de Interfaces para Dispositivos de Segurança.
Crie zonas de segurança e atribua interfaces a elas. Consulte Noções Básicas Sobre Zonas de Segurança.
Visão geral
O hairpinning permite que os pacotes da rede privada sejam traduzidos e, em seguida, devolvidos à rede privada em vez de serem passados para a rede pública. O recurso hairpinning permite o uso de um registro correspondente na tabela NAT para reconhecer que um pacote está endereçado a um host na rede local. Em seguida, ele traduz o endereço IP de destino e envia o pacote de volta para a rede local (bem como no caso de mapeamento de porta). Isso garante que o tráfego entre os dois hosts funcione corretamente.
Topologia
O hairpinning permite que dois endpoints (Host 1 e Host 2) na rede privada se comuniquem, mesmo que usem apenas os endereços IP e portas externos um do outro. Isso é explicado na Figura 5.
Quando o Host 1 envia tráfego para o Host 3, uma ligação NAT entre o endereço IP de origem interno e a porta do Host 1 é associada na tabela NAT com seu endereço IP externo e porta. A mesma coisa acontece quando o Host 2 envia tráfego para o Host 3. Dessa forma, quando o Host 1 e o Host 2 quiserem se comunicar, eles poderão identificar os endereços IP externos um do outro.
Por exemplo, se o Host 1 se comunicar com o Host 2, o NAT (com suporte a hairpinning) será usado para rotear os pacotes, que contêm o endereço externo do Host 2, de volta ao endereço interno do Host 2.
de NAT persistente
Na Figura 5, os seguintes parâmetros são usados:
Endereço IP do host 1 -
10.10.10.2/24Endereço IP do host 2 -
10.10.10.10/24Endereço IP intrazona -
10.10.10.254/24Endereço IP do Host 3 -
198.51.100.2/24Endereço IP entre zonas -
198.51.100.254/24O Host 1 e o Host 2 estão na zona
reht0ze o Host 3 está nareth1zzona
A Tabela 4 mostra a tabela de associação usada neste exemplo.
Endereço IP da fonte original |
Endereço IP de origem traduzido |
|---|---|
10.10.10.2/24 a 10.10.10.11/24 |
192.0.2.1/32 a 192.0.2.10/32 |
Configuração
Tramitação processual
Procedimento passo a passo
Para configurar o hairpinning NAT persistente:
Configure interfaces.
[edit] user@host# set interfaces ge-11/0/0 unit 0 family inet address 10.10.10.254/24 user@host# set interfaces ge-11/0/1 unit 0 family inet address 198.51.100.254/24
Crie zonas (reth0z e reth1z).
[edit] user@host# set security zones security-zone reth0z host-inbound-traffic system-services all user@host# set security zones security-zone reth0z host-inbound-traffic protocols all user@host# set security zones security-zone reth0z interfaces ge-11/0/0.0 user@host# set security zones security-zone reth1z host-inbound-traffic system-services all user@host# set security zones security-zone reth1z host-inbound-traffic protocols all user@host# set security zones security-zone reth1z interfaces ge-11/0/1.0
Crie políticas para as zonas reth0z e reth1z.
[edit] user@host# set security address-book global address subnet10 10.10.10.0/24 user@host# set security address-book global address subnet20 198.51.100.0/24 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match source-address subnet10 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match destination-address subnet20 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match application any user@host# set security policies from-zone reth0z to-zone reth1z policy p1 then permit user@host# set security policies default-policy deny-all
Adicione a mesma política de zona para fazer hairpinning NAT persistente.
user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match source-address subnet10 user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match destination-address subnet10 user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match application any user@host# set security policies from-zone reth0z to-zone reth0z policy p2 then permit
Crie um pool NAT de origem para o Host 1 e o Host 2 (src1).
[edit] user@host# set security nat source pool src1 address 192.0.2.1/32 to 192.0.2.10/32
Especifique o início do intervalo de endereços IP de origem original para o Host 1 e o Host 2 (src1).
[edit] user@host# set security nat source pool src1 host-address-base 10.10.10.2/24
Configure o conjunto de regras NAT de origem r1.
[edit] user@host# set security nat source rule-set r1 from zone reth0z user@host# set security nat source rule-set r1 to zone reth1z user@host# set security nat source rule-set r1 to zone reth0z user@host# set security nat source rule-set r1 rule rule1 match source-address 10.10.10.0/24 user@host# set security nat source rule-set r1 rule rule1 match destination-address 10.10.10.0/24 user@host# set security nat source rule-set r1 rule rule1 match destination-address 198.51.100.0/24 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool src1 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat permit any-remote-host user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat inactivity-timeout 900 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat max-session-number 20
Resultados
No modo de configuração, insira o show security nat comando para confirmar sua configuração. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
source {
pool src1 {
address {
192.0.2.1/32 to 192.0.2.10/32;
}
host-address-base 10.10.10.2/24;
}
rule-set r1 {
from zone reth0z;
to zone [ reth0z reth1z ];
rule rule1 {
match {
source-address 10.10.10.0/24;
destination-address [10.10.10.0/24 198.51.100.0/24];
}
then {
source-nat {
pool {
src1;
persistent-nat {
permit any-remote-host;
inactivity-timeout 900;
max-session-number 20;
}
}
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
- Tráfego enviado entre os hosts Criando associação 1
- Tráfego enviado entre os hosts criando associação 2
- Tráfego enviado entre dois hosts
Tráfego enviado entre os hosts Criando associação 1
Finalidade
Verifique o tráfego enviado entre os hosts (Host 1 e Host 3) criando associação 1.
Ação
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.2 -id 198.51.100.2 -p udp -us 69 -ud 69 198.51.100.2
Source-IP: 10.10.10.2
Source-port: 69
Dst-IP: 198.51.100.2
Dst-port: 69
Binding1 is below:
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source
In_IP In_Port Ref_IP Ref_Port NAT Pool Conf_time Max_Sess_Num NAT Rule
10.10.10.2 69 192.0.2.1 69 src1 any-remote-host -/900 1/20 rule1
Tráfego enviado entre os hosts criando associação 2
Finalidade
Verifique o tráfego enviado entre os hosts (Host 2 e Host 3) criando a associação 2.
Ação
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.10 -id 198.51.100.2 -p udp -us 69 -ud 69 198.51.100.2
Source-IP: 10.10.10.10
Source-port: 69
Dst-IP: 198.51.100.2
Dst-port: 69
Binding2 is below:
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source
In_IP In_Port Ref_IP Ref_Port NAT Pool Conf_time Max_Sess_Num NAT Rule
10.10.10.2 69 192.0.2.1 69 src1 any-remote-host -/900 1/20 rule1
10.10.10.10 69 192.0.2.9 69 src1 any-remote-host -/900 1/20 rule1
Tráfego enviado entre dois hosts
Finalidade
Verifique o tráfego enviado do Host 1 para o Host 2:
Ação
user@host>show security flow session
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.2 -id 192.0.2.9 -p udp -us 69 -ud 69 192.0.2.9
Session ID: 100007628, Policy name: default-policy/2, Timeout: 52, Valid
In: 10.10.10.2/69 --> 192.0.2.9/69;udp, If: ge-0/0/0.0, Pkts: 2, Bytes: 112
Out: 10.10.10.10/69 --> 192.0.2.1/69;udp, If: ge-0/0/0.0, Pkts: 0, Bytes: 0
Total sessions: 1
Comportamento de suporte à associação de NAT persistente específica da plataforma
Use o Explorador de Recursos para confirmar o suporte à plataforma e à versão para recursos específicos.
Use a tabela a seguir para analisar os comportamentos específicos da plataforma:
| Diferença de | plataforma |
|---|---|
| Série SRX |
|