- play_arrow Visão geral
- play_arrow Tipos de NAT
- play_arrow Declarações de configuração e comandos operacionais
NESTA PÁGINA
Entendendo o protocolo Session Traversal Utilities for NAT (COAX)
Entendendo o prefixo IPv6 do NAT64 para a tradução persistente do endereço IPv4
Exemplo: configuração de endereços de grupos NAT64 persistentes
Exemplo: Suporte à configuração de rede configurando NAT persistente com NAT de interface
Exemplo: configuração da filtragem dependente de endereços para clientes IPv6
Exemplo: configuração da filtragem independente de endpoint para clientes IPv6
Exemplo: configuração de grampos NAT persistentes com o grupo NAT de origem com mudança de endereço
Comportamento de suporte de ligação de NAT persistente específico da plataforma
NAT persistente e NAT64
Os tradutores de endereços de rede (NATs) são bem conhecidos por causar problemas muito significativos com aplicativos que transportam endereços IP na carga. Os aplicativos que sofrem com esse problema incluem VoIP e Multimídia sobre IP. O NAT persistente melhora o comportamento dos NATs e define um conjunto de comportamento de exigência de NAT que é útil para aplicativos VOIP em funcionamento. O NAT64 é um mecanismo de tradução usado para traduzir pacotes IPv6 para pacotes IPv4 e vice-versa, traduzindo os cabeçalhos de pacote de acordo com o algoritmo de tradução ip/ICMP.
Entendendo o NAT persistente e o NAT64
O NAT persistente permite que os aplicativos usem o protocolo Session Traversal Utilities for NAT (COAX) ao passar por firewalls NAT. O NAT persistente garante que todas as solicitações do mesmo endereço de transporte interno (endereço IP interno e porta) sejam mapeadas no mesmo endereço de transporte reflexivo (o endereço IP público e a porta criados pelo dispositivo NAT mais próximo do servidor TASER).
O NAT64 é um mecanismo para traduzir pacotes IPv6 para pacotes IPv4 e vice-versa que permite que os clientes IPv6 entrem em contato com servidores IPv4 usando UDP, TCP ou ICMP unicast. É um aprimoramento da tradução de protocolo de endereço de rede (NAT-PT).
O NAT64 oferece suporte ao seguinte:
Mapeamentos independentes de endpoint
Filtragem independente de endpoint e filtragem dependente de endereços
Os comportamentos de mapeamento e filtragem do NAT64 e do NAT persistente são idênticos.
Os seguintes tipos de NAT persistente podem ser configurados no dispositivo da Juniper Networks:
Qualquer host remoto — todas as solicitações de um endereço IP interno específico e uma porta são mapeadas no mesmo endereço de transporte reflexivo. Qualquer host externo pode enviar um pacote para o host interno enviando o pacote para o endereço de transporte reflexivo.
Host alvo — todas as solicitações de um endereço IP interno específico e uma porta são mapeadas no mesmo endereço de transporte reflexivo. Um host externo pode enviar um pacote para um host interno enviando o pacote para o endereço de transporte reflexivo. O host interno deve ter enviado anteriormente um pacote para o endereço IP do host externo.
Porta de host alvo — todas as solicitações de um endereço IP interno específico e uma porta são mapeadas no mesmo endereço de transporte reflexivo. Um host externo pode enviar um pacote para um host interno enviando o pacote para o endereço de transporte reflexivo. O host interno deve ter enviado anteriormente um pacote para o endereço e porta IP do host externo.
A configuração de porta de host-alvo não é suportada para o NAT64 quando configurada com endereço IPv6.
Você configura qualquer um dos tipos de NAT persistentes com regras de NAT de origem. A ação de regra de NAT de origem pode usar um pool NAT de origem (com ou sem tradução de porta) ou uma interface de saída. O NAT persistente não é aplicável ao NAT de destino, pois as ligações DE NAT persistentes são baseadas em sessões de saída de internas a externas.
A sobrecarga de portas é usada no Junos OS apenas para tráfego NAT de interface normal. O NAT persistente não oferece suporte a sobrecarga de porta, e você deve desabilitar explicitamente a sobrecarga de porta com uma das seguintes opções no nível [edit security nat source] de hierarquia:
sobrecarga de porta
fator de sobrecarga de porta 1
Para configurar políticas de segurança para permitir ou negar tráfego NAT persistente, você pode usar dois novos serviçosjunos-stun predefinidos e junos-persistent-nat.
O NAT persistente é diferente do recurso de endereço persistente (veja Entenda endereços persistentes para grupos de NAT de origem). O recurso de endereço persistente se aplica a mapeamentos de endereços para grupos NAT de origem configurados no dispositivo. O recurso NAT persistente se aplica a mapeamentos de endereços em um dispositivo NAT externo, e é configurado para um pool de NAT de origem específica ou interface de saída. Além disso, o NAT persistente destina-se a ser usado com aplicativos DESAS de cliente/servidor.
Use o Feature Explorer para confirmar o suporte de plataforma e versão para recursos específicos.
Analise a seção de comportamento de suporte de ligação de NAT persistente específico da plataforma para obter notas relacionadas à sua plataforma.
Entendendo o protocolo Session Traversal Utilities for NAT (COAX)
Muitos aplicativos de vídeo e voz não funcionam corretamente em um ambiente NAT. Por exemplo, o Session Initiation Protocol (SIP), usado com VoIP, codifica endereços IP e números de porta dentro dos dados do aplicativo. Se houver um firewall NAT entre o solicitante e o receptor, a tradução do endereço IP e do número de porta nos dados invalida as informações.
Além disso, um firewall NAT não mantém um buraco para mensagens SIP de entrada. Isso força o aplicativo SIP a atualizar constantemente o pinhole com mensagens SIP ou usar uma ALG para rastrear o registro, uma função que pode ou não ser suportada pelo dispositivo de gateway.
O protocolo Session Traversal Utilities for NAT (TASER), definido pela primeira vez na RFC 3489, Simple Traversal of User Datagram Protocol (UDP) por tradutores de endereços de rede (NATs) e depois na RFC 5389, Session Traversal Utilities para NAT, é um protocolo simples de cliente/servidor. Um cliente DOPE envia solicitações a um servidor DESAS, que devolve respostas ao cliente. Um cliente DESASE geralmente faz parte de um aplicativo que requer um endereço IP público e/ou porta. Os clientes DOMS podem residir em um sistema final, como um PC ou em um servidor de rede, enquanto os servidores TASER geralmente são anexados à Internet pública.
Tanto o cliente TASER quanto o servidor DESAS devem ser fornecidos pelo aplicativo. A Juniper Networks não oferece um cliente ou servidor DESAS.
O protocolo DESPES permite que um cliente:
Descubra se o aplicativo está por trás de um firewall NAT.
Determine o tipo de ligação de NAT que está sendo usada.
Saiba o endereço de transporte reflexivo, que é o endereço IP e a vinculação de porta alocada pelo dispositivo NAT mais próximo do servidor TASER. (Pode haver vários níveis de NAT entre o cliente TASER e o servidor TASER.)
O aplicativo do cliente pode usar as informações vinculativas de endereço IP em protocolos como SIP e H.323.
Entendendo o prefixo IPv6 do NAT64 para a tradução persistente do endereço IPv4
O mecanismo NAT64 permite que os clientes IPv6 entrem em contato com servidores IPv4, traduzindo endereços IPv6 para endereços IPv4 (e vice-versa). No entanto, alguns aplicativos e serviços IPv4 não podem funcionar corretamente em redes IPv6 somente com NAT64 padrão em um cenário de tradução dupla, como o 464XLAT. Nesses cenários, é necessária a tradução persistente do endereço.
A Figura 1 ilustra a arquitetura 464XLAT, pela qual os pacotes IPv4 são traduzidos para pacotes IPv6 no tradutor do lado do cliente (CLAT), depois atravessam a rede somente IPv6 e são traduzidos de volta para pacotes IPv4 no tradutor do lado do provedor (PLAT) para acessar conteúdo global somente IPv4 na rede central. Essa arquitetura usa uma combinação de tradução stateless no CLAT e tradução stateful no PLAT.
464XLAT
Quando um dispositivo funciona como um PLAT, ele é responsável por manter a relação de mapeamento pegajosa entre um prefixo IPv6 específico e um endereço IPv4 traduzido. O dispositivo trata o prefixo IPv6 como um único usuário. Este mapeamento é realizado configurando o comprimento de prefixo IPv6 específico em um pool de NAT de origem IPv4 usando o address-persistent recurso.
A Figura 2 ilustra uma regra de NAT configurada no CLAT, que traduz um endereço IPv4 em um endereço IPv6 com um prefixo persistente de endereço. Com a tradução stateless de NAT46 no CLAT e a tradução stateful NAT64 na PLAT, o tráfego do host IPv4 192.168.1.2 chega ao servidor global 198.51.100.1 em uma rede somente IPv6.
A Tabela 1 lista outros recursos de NAT e sua compatibilidade com o recurso persistente do endereço.
Característica | Compatível | ||
|---|---|---|---|
Piscinas pat | IPv4 | NAT IPv4 a IPv6 | Não |
NAT IPv6 a IPv4 | Sim | ||
IPv6 | NAT IPv4 a IPv6 | Não | |
NAT IPv6 a IPv4 | Não | ||
Piscinas não-PAT | Não | ||
Sobrecarga de porta | Sim | ||
NAT persistente na piscina de PAT | Sim | ||
Alocação de blocos de porta | Sim | ||
NAT determinístico | Não | ||
Agrupamento de endereços em conjunto | Não | ||
ALG (Tradução de NAT ALG existente, como FTP/PPTP/RTSP/DNS/SIP de clientes IPv6 nativos.) | Sim | ||
Visão geral persistente da configuração do NAT e do NAT64
Para configurar o NAT persistente, especifique as seguintes opções com a ação de regra de NAT de origem (para um pool de NAT de origem ou uma interface de saída):
O tipo de NAT persistente — um dos seguintes: qualquer host remoto, host alvo ou porta de host alvo.
(Opcional) Mapeamento de endereços — Essa opção permite que solicitações de um endereço IP interno específico sejam mapeadas no mesmo endereço IP reflexivo; portas internas e reflexivas podem ser quaisquer portas. Um host externo usando qualquer porta pode enviar um pacote para o host interno enviando o pacote para o endereço IP reflexivo (com uma política de entrada configurada que permite tráfego externo a interno). Se essa opção não estiver configurada, a ligação de NAT persistente é para endereços de transporte internos e reflexivos específicos.
Você só pode especificar a opção
address-mappingquando o tipo NAT persistente é qualquer host remoto e a ação de regra de NAT de origem é uma das seguintes ações:Pool de NAT de origem com mudança de endereço IP
Grupo NAT de origem sem tradução de porta e sem pool de transbordamento
(Opcional) Tempo de inatividade — Tempo, em segundos, de que a ligação DE NAT persistente permanece na memória do dispositivo quando todas as sessões da entrada vinculante expirarem. Quando o tempo limite configurado é alcançado, a ligação é removida da memória. O valor padrão é de 300 segundos. Configure um valor de 60 a 7200 segundos.
Quando todas as sessões de uma ligação NAT persistente expirarem, a ligação permanece em um estado de consulta na memória do dispositivo para o período de inatividade especificado. A ligação de consulta é removida automaticamente da memória quando o período de inatividade expira (o padrão é de 300 segundos). Você pode remover explicitamente todas ou específicas ligações de consulta de NAT persistentes com o
clear security nat source persistent-nat-tablecomando.(Opcional) Número máximo da sessão — Número máximo de sessões com as quais uma ligação NAT persistente pode ser associada. O padrão é de 30 sessões. Configure um valor de 8 a 100.
Para o NAT de interface, você precisa desabilitar explicitamente a sobrecarga de porta com uma das seguintes opções no nível de hierarquia:edit security nat source
sobrecarga de porta
fator de sobrecarga de porta 1
Por fim, existem dois serviços predefinidos que você pode usar em políticas de segurança para permitir ou negar o TRÁFEGO DE NAT persistente e o TASER:
junos-stun— TRÁFEGO DE PROTOCOLO DE DESDESP.junos-persistent-nat— Tráfego de NAT persistente.
Para qualquer host remoto ou host direcionado ou tipo de NAT persistente da porta de host alvo, a direção da política de segurança é interna a externa.
Exemplo: configuração de endereços de grupos NAT64 persistentes
Este exemplo mostra como configurar os grupos NAT64 persistentes para garantir uma relação de mapeamento pegajosa entre um prefixo IPv6 específico, calculado pelo comprimento de prefixo IPv6 configurado e um endereço IPv4 traduzido.
Requisitos
Antes de começar, certifique-se de que as regras de NAT existentes e a configuração do pool não entrarão em conflito com a nova.
Visão geral
Neste exemplo, você configura um comprimento de prefixo IPv6 de /64 em um pool de NAT de origem IPv4 para tradução nat IPv6 a IPv4. A correspondência de tráfego com a regra nat e o pool de NAT executam a tradução persistente do endereço entre o prefixo IPv6 e o endereço traduzido IPv4. Essa configuração pode ser usada no tradutor do lado do provedor (PLAT) em um cenário de tradução dupla, o 464XLAT, para permitir que os serviços IPv4 funcionem apenas em redes IPv6.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security nat source pool NAT64 address 198.51.100.240/32 to 198.51.100.254/32 set security nat source pool NAT64 address-persistent subscriber ipv6-prefix-length 64 set security nat source rule-set RS1 from zone trust set security nat source rule-set RS1 to zone untrust set security nat source rule-set RS1 rule R1 match source-address 2001:db8::/32 set security nat source rule-set RS1 rule R1 match destination-address 198.51.100.198/32 set security nat source rule-set RS1 rule R1 then source-nat pool NAT64
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Crie um pool de NAT de origem.
content_copy zoom_out_map[edit security nat source] user@host# set pool NAT64 address 198.51.100.240/32 to 198.51.100.254/32
Especifique o comprimento do prefixo IPv6 para o grupo NAT de origem.
content_copy zoom_out_map[edit security nat source] user@host# set pool NAT64 address-persistent subscriber ipv6-prefix-length 64
Crie um conjunto de regras.
content_copy zoom_out_map[edit security nat source] user@host# set rule-set RS1 from zone trust user@host# set rule-set RS1 to zone untrust
Combine com a regra.
content_copy zoom_out_map[edit security nat source] user@host# set rule-set RS1 rule R1 match source-address 2001:db8::/32 user@host# set rule-set RS1 rule R1 match destination-address 198.51.100.198/32
Forneça a ação a ser realizada quando a regra estiver em jogo.
content_copy zoom_out_map[edit security nat source] user@host# set security nat source rule-set RS1 rule R1 then source-nat pool NAT64
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
source {
pool NAT64 {
address {
198.51.100.240/32 to 198.51.100.254/32;
}
address-persistent subscriber ipv6-prefix-length 64;
}
rule-set RS1 {
from zone trust;
to zone untrust;
rule R1 {
match {
source-address 2001:db8::/32;
destination-address 198.51.100.198/32;
}
then {
source-nat {
pool {
NAT64;
}
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Exemplo: Suporte à configuração de rede configurando NAT persistente com NAT de interface
Você pode configurar qualquer um dos tipos de NAT persistentes com regras de NAT de origem. Este exemplo ilustra como aplicar NAT persistente com um endereço IP de interface e como usar um endereço IP de interface como endereço IP NAT para realizar NAT persistente para um host interno específico. Ele também mostra como manter o comportamento persistente de mapeamento da porta de endereços e o comportamento persistente do filtro NAT para o host. Você deve desativar a sobrecarga de porta para o NAT de interface.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
1 Firewall da Série SRX
4 PCs
Antes de começar:
Entenda os conceitos de NAT persistente. Veja a visão geral persistente da configuração do NAT e do NAT64.
Visão geral
Em uma implantação de rede NAT de nível de operadora (CGN), você pode configurar o endereço IP da interface como um endereço NAT para realizar a tradução persistente de endereços de rede. Dessa forma, o host interno pode criar uma relação de mapeamento nat de origem pelo tráfego de saída iniciado de interno para externo. Em seguida, o host externo envia o tráfego de volta para este host interno enviando o tráfego para este endereço NAT de interface através da relação de mapeamento nat compartilhada.
Neste exemplo, você configura primeiro a regra nat de interface definida em 1 para combinar tráfego da interface ge-0/0/1 para interface ge-0/0/2, e então você configura a regra NAT em 1 para combinar com os endereços de origem e destino específicos para realizar NAT persistente. Você configura o any remote host tipo NAT persistente quando o NAT da interface é executado.
Para pacotes com endereço fonte 192.0.2.0/24 (telefones internos) e endereço de destino 198.51.100.0/24 (incluindo servidor TASER , servidor proxy SIP e telefones externos), você configura o NAT de interface com o any remote host tipo NAT persistente. Em seguida, você desativa a sobrecarga de porta para NAT de interface.
Em seguida, você configura uma política de segurança para permitir o tráfego NAT persistente da rede externa (zona externa) até a rede interna (zona interna) para qualquer um dos tipos de NAT persistente de host remoto.
Topologia
A Figura 3 mostra uma topologia NAT persistente de interface.
A Tabela 2 mostra os parâmetros configurados neste exemplo.
Parâmetro | Descrição |
|---|---|
Zona externa | Rede externa |
Zona interna | Rede interna |
External_phones2 | Endereço de telefone2 de rede externa |
Internal_phone1 | Endereço phone1 de rede interna |
servidor SIP_proxy | Endereço de servidor proxy SIP de rede externa |
Servidor DESAS | Endereço de servidor DESAS de rede externa |
Sub-rede 198.51.100.1/32 | Endereço IP de destino |
Sub-rede 192.0.2.2/32 | Endereço IP de origem |
ge-0/0/1 e ge-0/0/2 | Interfaces de NAT para direção de tráfego |
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security nat source rule-set int1 from interface ge-0/0/1.0 set security nat source rule-set int1 to interface ge-0/0/2.0 set security nat source rule-set int1 rule in1 match source-address 192.0.2.0/24 set security nat source rule-set int1 rule in1 match destination-address 198.51.100.0/24 set security nat source rule-set int1 rule in1 then source-nat interface persistent-nat permit any-remote-host set security nat source interface port-overloading off set security policies from-zone internal to-zone external policy stun_traffic match source-address internal_phones destination-address stun_server application junos-stun set security policies from-zone internal to-zone external policy sip_proxy_traffic match source-address internal_phones destination-address sip_proxy_server application junos-sip set security policies from-zone internal to-zone external policy sip_traffic match source-address internal_phones destination-address external_phones application junos-persistent-nat set security policies from-zone internal to-zone external policy sip_traffic then permit set security policies from-zone internal to-zone external policy stun_traffic then permit set security policies from-zone internal to-zone external policy sip_proxy_traffic then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar um conjunto de regras de NAT de interface:
Crie uma regra NAT persistente para um NAT de interface.
content_copy zoom_out_map[edit security nat source rule-set int1] user@host# set from interface ge-0/0/1.0 user@host# set to interface ge-0/0/2.0 user@host# set rule in1 match source-address 192.0.2.0/24 user@host# set rule in1 match destination-address 198.51.100.0/24 user@host# set rule in1 then source-nat interface persistent-nat permit any-remote-host
Desativar a sobrecarga de porta para o NAT de interface.
content_copy zoom_out_map[edit security] user@host# set nat source interface port-overloading off
Configure uma política de segurança para permitir o tráfego DESAS de telefones SIP internos para um servidor FIREWALL externo.
content_copy zoom_out_map[edit security policies] user@host# set from-zone internal to-zone external policy stun_traffic match source-address internal_phones destination-address stun_server application junos-stun
Configure uma política de segurança para permitir o tráfego proxy SIP de telefones SIP internos para um servidor proxy SIP externo.
content_copy zoom_out_map[edit security policies] user@host# set from-zone internal to-zone external policy sip_proxy_traffic match source-address internal_phones destination-address sip_proxy_server application junos-sip
Configure uma política de segurança para permitir o tráfego SIP de telefones SIP externos para telefones SIP internos.
content_copy zoom_out_map[edit security policies] user@host# set from-zone internal to-zone external policy sip_traffic match source-address internal_phones destination-address external_phones application junos-persistent-nat user@host# set from-zone internal to-zone external policy sip_traffic then permit user@host#set from-zone internal to-zone external policy stun_traffic then permit user@host#set from-zone internal to-zone external policy sip_proxy_traffic then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat comandos e show security policies os comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@host# show security nat
source {
interface {
port-overloading off;
}
rule-set int1 {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule in1 {
match {
source-address 192.0.2.0/24;
destination-address 198.51.100.0/24;
}
then {
source-nat {
interface {
persistent-nat {
permit any-remote-host;
}
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone internal to-zone external {
policy stun_traffic {
match {
source-address internal_phones;
destination-address stun_server;
application junos-stun;
}
then {
permit;
}
}
policy sip_proxy_traffic {
match {
source-address internal_phones;
destination-address sip_proxy_server;
application junos-sip;
}
then {
permit;
}
}
policy sip_traffic {
match {
source-address internal_phones;
destination-address external_phones;
application junos-persistent-nat;
}
then {
permit;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificar se as regras são combinadas e usadas
- Verificando se as sessões de tráfego de NAT estão estabelecidas
Verificar se as regras são combinadas e usadas
Propósito
Verifique se todas as regras são compatíveis e usadas.
Ação
A partir do modo operacional, entre no show security nat source persistent-nat-table all comando.
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/Curr_Sess_Num/ Source
In_IP In_Port I_Proto Ref_IP Ref_Port R_Proto NAT Pool Conf_time Max_Sess_Num NAT Rule
192.0.2.12 17012 udp 198.51.100.1 28153 udp interface any-remote-host 3528/3600 -/- in1
192.0.2.12 7078 udp 198.51.100.1 6133 udp interface any-remote-host -/300 1/30 in1
Significado
A saída exibe um resumo das informações de NAT persistentes.
Verificando se as sessões de tráfego de NAT estão estabelecidas
Propósito
Verifique se as sessões estão estabelecidas no dispositivo.
Ação
A partir do modo operacional, entre no show security flow session comando.
user@host>show security flow session Session ID: 6992, Policy name: sip_proxy_traffic/5, Timeout: 16, Valid In: 192.0.2.12/17012 --> 198.51.100.45/5060;udp, If: ge-0/0/1.0, Pkts: 4, Bytes: 1850 Out: 198.51.100.45/5060 --> 198.51.100.1/28153;udp, If: ge-0/0/2.0, Pkts: 5, Bytes: 2258 Session ID: 7382, Policy name: stun_traffic/4, Timeout: 16, Valid In: 192.0.2.12/7078 --> 198.51.100.49/3478;udp, If: ge-0/0/1.0, Pkts: 20, Bytes: 1040 Out: 198.51.100.49/3478 --> 198.51.100.1/6133;udp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0
Significado
O show security flow session comando exibe sessões ativas no dispositivo e a política de segurança associada de cada sessão. A saída mostra o tráfego entrando no dispositivo usando o endereço de origem privada 192.0.2.12 destinado a um host público em 198.51.100.45. O tráfego de retorno desse fluxo viaja para o endereço público traduzido 198.51.100.1.
Session ID— Número que identifica a sessão. Use este ID para obter mais informações sobre a sessão, como nome da política ou número de pacotes dentro e fora.
sip_proxy_traffic— Nome da política que permitiu o tráfego SIP dos telefones SIP internos para o servidor proxy SIP externo.
In— Fluxo de entrada (endereços IP de origem e destino com seus respectivos números de porta de origem e destino. A sessão é UDP, e a interface de origem para esta sessão é ge-0/0/1,0).
Out— Fluxo reverso (endereços IP de origem e destino com seus respectivos números de porta de origem e destino. A sessão é UDP, e a interface de destino para esta sessão é ge-0/0/2.0).
stun_traffic— Nome da política que permitiu o tráfego DESAS dos telefones SIP internos para o servidor DESAS externo.
Exemplo: configuração da filtragem dependente de endereços para clientes IPv6
Este exemplo mostra como configurar a filtragem dependente de endereços para clientes IPv6 usando o NAT64.
Requisitos
Antes de começar:
Garanta que o IPv6 esteja habilitado no dispositivo.
Certifique-se de que a regra NAT e a configuração do pool existente não conflituam com as novas.
Visão geral
Neste exemplo, você usa o NAT64 para enviar pacotes do host interno IPv6 para o host externo IPv4 e do host externo IPv4 para o host interno IPv4.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::/128 set security nat static rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit target-host
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar a filtragem dependente de endereços para clientes IPv6:
Crie um conjunto de regras para o NAT64.
content_copy zoom_out_map[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Combine com a regra.
content_copy zoom_out_map[edit security nat static] user@host# set rule-set test_rs rule test_rule match destination-address 2001:db8::/128
Forneça a ação a ser realizada quando a regra estiver em jogo.
content_copy zoom_out_map[edit security nat static] user@host# set rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32
Defina um pool de endereços de origem e adicione o endereço ao pool.
content_copy zoom_out_map[edit security nat] user@host# set source pool myipv4 address 203.0.113.2
Crie outro conjunto de regras para o NAT64.
content_copy zoom_out_map[edit security nat] user@host# set source rule-set myipv4_rs from interface ge-0/0/1
Combine a regra com o endereço de origem.
content_copy zoom_out_map[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96
Combine a regra com o endereço de destino.
content_copy zoom_out_map[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15
Forneça a ação a ser realizada quando as regras corresponderem.
content_copy zoom_out_map[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Configure o NAT persistente.
content_copy zoom_out_map[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit target-host
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show nat source comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit security]
user@host#show nat source
pool myipv4 {
address {
203.0.113.2/32;
}
}
rule-set test_rs {
rule test_rule {
match {
destination-address 2001:db8::/128;
}
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
persistent-nat {
permit target-host;
}
}
}
}
}
}
}Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme que a configuração está funcionando corretamente:
- Verificando se a configuração está habilitada e funcionando
- Verificar se as regras são combinadas e usadas
Verificando se a configuração está habilitada e funcionando
Propósito
Verifique se a configuração está habilitada e funcionando.
Ação
A partir do modo operacional, insira os seguintes comandos:
show security nat static rule test_ruleshow security nat source rule ipv4_ruleshow security nat source pool myipv4
Exemplo: configuração da filtragem independente de endpoint para clientes IPv6
Este exemplo mostra como configurar a filtragem independente de endpoint para clientes IPv6 usando o NAT64.
Requisitos
Antes de começar:
Garanta que o IPv6 esteja habilitado no dispositivo
Certifique-se de que as regras de NAT existentes e a configuração do pool não entrarão em conflito com as novas.
Visão geral
Neste exemplo, você usa o NAT64 para enviar pacotes do host interno IPv6 para o host externo IPv4 e do host externo IPv4 para o host interno IPv4.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::/128 set security nat static rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit any-remote-host
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar a filtragem independente de endpoint para clientes IPv6:
Crie um conjunto de regras para o NAT64.
content_copy zoom_out_map[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Combine com a regra.
content_copy zoom_out_map[edit security nat static] user@host# set rule-set test_rs rule test_rule match destination-address 2001:db8::/128
Forneça a ação a ser realizada quando a regra estiver em jogo.
content_copy zoom_out_map[edit security nat static] user@host# set rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32
Defina um pool de endereços de origem e adicione o endereço ao pool.
content_copy zoom_out_map[edit security nat] user@host# set source pool myipv4 address 203.0.113.2
Crie outro conjunto de regras para o NAT64.
content_copy zoom_out_map[edit security nat] user@host# set source rule-set myipv4_rs from interface ge-0/0/1
Combine a regra com o endereço de origem.
content_copy zoom_out_map[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96
Combine a regra com o endereço de destino.
content_copy zoom_out_map[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15
Forneça a ação a ser realizada quando as regras corresponderem.
content_copy zoom_out_map[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Configure o NAT persistente.
content_copy zoom_out_map[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit any-remote-host
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit security]
user@host#show security nat
source {
pool myipv6_prefix {
address {
2001:db8::/64;
}
}
pool myipv4 {
address {
203.0.113.2/32;
}
}
rule-set myipv6_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv6_rule {
match {
source-address 10.1.1.0/30;
destination-address 2001:db8::2/96;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
persistent-nat {
permit target-host;
}
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::/128;
}
then {
static-nat {
prefix {
10.2.2.15/32;
}
}
}
}
}
} Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme que a configuração está funcionando corretamente:
- Verificando se a configuração está habilitada e funcionando
- Verificar se as regras são combinadas e usadas
Verificando se a configuração está habilitada e funcionando
Propósito
Verifique se a configuração está habilitada e funcionando.
Ação
A partir do modo operacional, insira os seguintes comandos.
show security nat static rule test_ruleshow security nat source rule ipv4_ruleshow security nat source pool myipv4
Exemplo: definir as ligações de NAT persistentes máximas
Este exemplo mostra como aumentar a capacidade de NAT persistente.
Requisitos
Antes de começar, veja Entendendo o NAT persistente e o NAT64.
Visão geral
Neste exemplo, você permite maximizar a opção de capacidade de NAT persistente. Essa opção é compatível apenas com placas de processamento de serviços (SPCs) para dispositivos SRX1400 com SRX1K-NPC-SPC-1-10-40, Linha SRX3000 com SRX3K-SPC-1-10-40 e dispositivos de linha SRX5000 com SRX5K-SPC-2-10-40SPC e SRX5K-SPC3. Observe que para os dispositivos de linha SRX5000 com SRX5K-SPC-2-10-40SPC e SPC3, o número de vinculação NAT persistente é maximizado ao custo de reduzir o número máximo de sessão.
Para habilitar essa opção, a capacidade máxima de ligação do ponto central suportada pode ser aproximadamente aumentada para 1/8 da capacidade de sessão de ponto central de até 2M e a capacidade de ligação máxima de SPU suportada pode ser aproximadamente aumentada para 1/4 de cada capacidade de sessão de SPU. Assim, a capacidade da sessão de fluxo diminuirá em 1/4 tanto no CP quanto em cada um dos SPU.
Por padrão, a capacidade de ligação de NAT persistente no ponto central e na SPU de um dispositivo de SRX5400, SRX5600 ou SRX5800 é de 64.000. Neste exemplo, você permite que a capacidade da sessão seja de no máximo 20.000.000 no ponto central e máximo de 1.100.000 em cada uma das SPUs com configuração máxima de sessão. Se você habilitar a opção maximize-persistent-nat-capacity , um dispositivo SRX5400, SRX5600 ou SRX5800 com 4 GB de memória pode suportar ligações de NAT persistentes de 2M no ponto central e 275.000 ligações em cada uma das SPUs.
Configuração
Procedimento
Procedimento passo a passo
Para aumentar a capacidade de NAT persistente:
Definir maximizar a opção de capacidade de NAT persistente.
content_copy zoom_out_map[edit] user@host# set security forwarding-process application-services maximize-persistent-nat-capacity
Se você terminar de configurar o dispositivo, confirme a configuração.
content_copy zoom_out_map[edit] user@host# commit
Reinicie o sistema do modo operacional.
content_copy zoom_out_map[edit] user@host# request system reboot
Ao mudar para maximizar o modo de capacidade de NAT persistente ou voltar ao modo regular, você deve reiniciar o dispositivo.
Se você quiser mudar o dispositivo de volta ao modo regular, exclua a configuração do modo de capacidade NAT persistente.
content_copy zoom_out_map[edit] user@host# delete security forwarding-process application-services maximize-persistent-nat-capacity
Visão geral persistente do nat hairpinning
Quando o tráfego é enviado entre dois hosts, o host de origem do tráfego só pode conhecer o host de destino pelo seu endereço IP público. Na realidade, o host de destino pode estar no mesmo espaço de endereço privado que o host de origem. Cabeamento capilar é o processo de devolver o tráfego na direção de onde ele veio como uma maneira de levá-lo ao seu host de destino em uma sub-rede privada.
Geralmente, um host de origem em uma sub-rede pode não reconhecer que o tráfego é destinado a um host de destino dentro da mesma sub-rede, pois identifica o host de destino apenas por seu endereço IP público. O NAT analisa os pacotes de IP e encaminha o pacote de volta para o host correto.
O suporte de cabeamento para cabeamento de NAT é necessário se dois hosts na rede interna quiserem se comunicar entre si usando uma ligação no dispositivo NAT. Neste caso, o dispositivo NAT recebe um pacote da rede interna e o encaminha de volta para a rede interna. Se o grampo de cabelo não for suportado, o encaminhamento do pacote falhará e ele será descartado.
O hairpinning permite que dois endpoints (Host 1 e Host 2) na rede privada se comuniquem, mesmo que usem apenas os endereços e portas IP externos um do outro. Quando o Host 1 envia tráfego para o Host 3, uma ligação DE NAT entre o endereço IP de origem interna do Host 1 e a porta está associada na tabela NAT com seu endereço IP e porta externos. A mesma coisa acontece quando o Host 2 envia tráfego para o Host 3. Dessa forma, quando o Host 1 e o Host 2 desejam se comunicar, eles podem identificar os endereços IP externos um do outro.
Por exemplo, se o Host 1 se comunicar com o Host 2, o NAT (com suporte para cabeamento) é usado para rotear os pacotes, que contêm o endereço externo do Host 2, de volta ao endereço interno do Host 2.
NAT
Na Figura 4, os seguintes parâmetros são usados:
Endereço IP do host 1 -
10.10.10.2/24Endereço IP do host 2 -
10.10.10.10/24Endereço IP intra-zona -
10.10.10.254/24Endereço IP do host 3 -
198.51.100.2/24Endereço IP entre zonas -
198.51.100.254/24Host 1 e Host 2 estão na zona
reht0z, e Host 3 está nareth1zzona
A Tabela 3 mostra a tabela vinculativa usada neste exemplo.
Endereço IP de origem original | Endereço IP de origem traduzida |
|---|---|
10.10.10.2/24 a 10.10.10.11/24 | 192,0,2,1/32 a 192,0,2,10/32 |
O cabeamento persistente de NAT aplica-se apenas a qualquer tipo de NAT persistente do host remoto. Para permitir o cabeamento, você deve configurar uma política de segurança para permitir o tráfego entre endpoints na mesma zona. Na verdade, os dois endpoints podem estar localizados em duas zonas diferentes, bem como desde que qualquer um dos dois hosts só possa ver o endereço público do peer. O comportamento de cabeamento de nat não é suportado pelo NAT persistente do host e pelo NAT persistente da porta de host alvo. Apenas qualquer NAT persistente de host remoto suporta o comportamento de grampo de cabelo.
Exemplo: configuração de grampos NAT persistentes com o grupo NAT de origem com mudança de endereço
Este exemplo mostra como configurar a base de cabelo NAT persistente.
Requisitos
Antes de começar:
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Crie zonas de segurança e atribua interfaces a elas. Veja a compreensão das zonas de segurança.
Visão geral
O cabeamento capilar permite traduzir pacotes da rede privada e depois voltar para a rede privada em vez de serem passados para a rede pública. O recurso hairpinning permite usar um registro correspondente na tabela NAT para reconhecer que um pacote é endereçado a um host na rede local. Em seguida, ele traduz o endereço IP de destino e envia o pacote de volta para a rede local (bem como em caso de mapeamento de portas). Isso garante que o tráfego entre os dois hosts funcione corretamente.
Topologia
O hairpinning permite que dois endpoints (Host 1 e Host 2) na rede privada se comuniquem, mesmo que usem apenas os endereços e portas IP externos um do outro. Isso é explicado na Figura 5.
Quando o Host 1 envia tráfego para o Host 3, uma ligação DE NAT entre o endereço IP de origem interna do Host 1 e a porta está associada na tabela NAT com seu endereço IP e porta externos. A mesma coisa acontece quando o Host 2 envia tráfego para o Host 3. Dessa forma, quando o Host 1 e o Host 2 desejam se comunicar, eles podem identificar os endereços IP externos um do outro.
Por exemplo, se o Host 1 se comunicar com o Host 2, o NAT (com suporte para cabeamento) é usado para rotear os pacotes, que contêm o endereço externo do Host 2, de volta ao endereço interno do Host 2.
persistente de NAT
Na Figura 5, os seguintes parâmetros são usados:
Endereço IP do host 1 -
10.10.10.2/24Endereço IP do host 2 -
10.10.10.10/24Endereço IP intra-zona -
10.10.10.254/24Endereço IP do host 3 -
198.51.100.2/24Endereço IP entre zonas -
198.51.100.254/24Host 1 e Host 2 estão na zona
reht0z, e Host 3 está nareth1zzona
A Tabela 4 mostra a tabela vinculativa usada neste exemplo.
Endereço IP de origem original | Endereço IP de origem traduzida |
|---|---|
10.10.10.2/24 a 10.10.10.11/24 | 192,0,2,1/32 a 192,0,2,10/32 |
Configuração
Procedimento
Procedimento passo a passo
Para configurar a base de cabelo NAT persistente:
Configure interfaces.
content_copy zoom_out_map[edit] user@host# set interfaces ge-11/0/0 unit 0 family inet address 10.10.10.254/24 user@host# set interfaces ge-11/0/1 unit 0 family inet address 198.51.100.254/24
Crie zonas (reth0z e reth1z).
content_copy zoom_out_map[edit] user@host# set security zones security-zone reth0z host-inbound-traffic system-services all user@host# set security zones security-zone reth0z host-inbound-traffic protocols all user@host# set security zones security-zone reth0z interfaces ge-11/0/0.0 user@host# set security zones security-zone reth1z host-inbound-traffic system-services all user@host# set security zones security-zone reth1z host-inbound-traffic protocols all user@host# set security zones security-zone reth1z interfaces ge-11/0/1.0
Crie políticas para zonas reth0z e reth1z.
content_copy zoom_out_map[edit] user@host# set security address-book global address subnet10 10.10.10.0/24 user@host# set security address-book global address subnet20 198.51.100.0/24 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match source-address subnet10 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match destination-address subnet20 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match application any user@host# set security policies from-zone reth0z to-zone reth1z policy p1 then permit user@host# set security policies default-policy deny-all
Adicione a mesma política de zona para fazer hairpinning NAT persistente.
content_copy zoom_out_mapuser@host# set security policies from-zone reth0z to-zone reth0z policy p2 match source-address subnet10 user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match destination-address subnet10 user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match application any user@host# set security policies from-zone reth0z to-zone reth0z policy p2 then permit
Crie um pool de NAT de origem para Host 1 e Host 2 (src1).
content_copy zoom_out_map[edit] user@host# set security nat source pool src1 address 192.0.2.1/32 to 192.0.2.10/32
Especifique o início da faixa de endereço IP de origem original para Host 1 e Host 2 (src1).
content_copy zoom_out_map[edit] user@host# set security nat source pool src1 host-address-base 10.10.10.2/24
Configure o conjunto de regras de NAT de origem r1.
content_copy zoom_out_map[edit] user@host# set security nat source rule-set r1 from zone reth0z user@host# set security nat source rule-set r1 to zone reth1z user@host# set security nat source rule-set r1 to zone reth0z user@host# set security nat source rule-set r1 rule rule1 match source-address 10.10.10.0/24 user@host# set security nat source rule-set r1 rule rule1 match destination-address 10.10.10.0/24 user@host# set security nat source rule-set r1 rule rule1 match destination-address 198.51.100.0/24 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool src1 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat permit any-remote-host user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat inactivity-timeout 900 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat max-session-number 20
Resultados
Desde o modo de configuração, entre no show security nat comando para confirmar sua configuração. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
source {
pool src1 {
address {
192.0.2.1/32 to 192.0.2.10/32;
}
host-address-base 10.10.10.2/24;
}
rule-set r1 {
from zone reth0z;
to zone [ reth0z reth1z ];
rule rule1 {
match {
source-address 10.10.10.0/24;
destination-address [10.10.10.0/24 198.51.100.0/24];
}
then {
source-nat {
pool {
src1;
persistent-nat {
permit any-remote-host;
inactivity-timeout 900;
max-session-number 20;
}
}
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
- Tráfego enviado entre os hosts criando a vinculação 1
- Tráfego enviado entre os hosts criando a vinculação 2
- Tráfego enviado entre dois hosts
Tráfego enviado entre os hosts criando a vinculação 1
Propósito
Verifique o tráfego enviado entre os hosts (Host 1 e Host 3) criando uma vinculação 1.
Ação
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.2 -id 198.51.100.2 -p udp -us 69 -ud 69 198.51.100.2
Source-IP: 10.10.10.2
Source-port: 69
Dst-IP: 198.51.100.2
Dst-port: 69
Binding1 is below:
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source
In_IP In_Port Ref_IP Ref_Port NAT Pool Conf_time Max_Sess_Num NAT Rule
10.10.10.2 69 192.0.2.1 69 src1 any-remote-host -/900 1/20 rule1
Tráfego enviado entre os hosts criando a vinculação 2
Propósito
Verifique o tráfego enviado entre os hosts (Host 2 e Host 3) criando a vinculação 2.
Ação
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.10 -id 198.51.100.2 -p udp -us 69 -ud 69 198.51.100.2
Source-IP: 10.10.10.10
Source-port: 69
Dst-IP: 198.51.100.2
Dst-port: 69
Binding2 is below:
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source
In_IP In_Port Ref_IP Ref_Port NAT Pool Conf_time Max_Sess_Num NAT Rule
10.10.10.2 69 192.0.2.1 69 src1 any-remote-host -/900 1/20 rule1
10.10.10.10 69 192.0.2.9 69 src1 any-remote-host -/900 1/20 rule1
Tráfego enviado entre dois hosts
Propósito
Verifique o tráfego enviado do Host 1 para o Host 2:
Ação
user@host>show security flow session
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.2 -id 192.0.2.9 -p udp -us 69 -ud 69 192.0.2.9
Session ID: 100007628, Policy name: default-policy/2, Timeout: 52, Valid
In: 10.10.10.2/69 --> 192.0.2.9/69;udp, If: ge-0/0/0.0, Pkts: 2, Bytes: 112
Out: 10.10.10.10/69 --> 192.0.2.1/69;udp, If: ge-0/0/0.0, Pkts: 0, Bytes: 0
Total sessions: 1
Comportamento de suporte de ligação de NAT persistente específico da plataforma
Use o Feature Explorer para confirmar o suporte de plataforma e versão para recursos específicos.
Use a tabela a seguir para revisar comportamentos específicos da plataforma para sua plataforma:
| Diferença de plataforma | |
|---|---|
| Série SRX |
|