Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Fuente TDR

El TDR de origen se usa más comúnmente para traducir una dirección IP privada a una dirección enrutable pública para comunicarse con el host. TDR de origen cambia la dirección de origen de los paquetes que pasan a través del enrutador. Un conjunto de TDR es un conjunto de direcciones diseñadas para sustituir las direcciones IP de los clientes. Para obtener más información, consulte los temas siguientes:

Descripción de la TDR de origen

La TDR de origen es la traducción de la dirección IP de origen de un paquete que sale del dispositivo de Juniper Networks. El TDR de origen se utiliza para permitir que hosts con direcciones IP privadas accedan a una red pública.

La TDR de origen permite que las conexiones se inicien solo para conexiones de red salientes, por ejemplo, desde una red privada a Internet. El TDR de origen se usa comúnmente para realizar las siguientes traducciones:

  • Traducir una única dirección IP a otra dirección (por ejemplo, para proporcionar acceso a Internet a un único dispositivo de una red privada).

  • Traducir un bloque contiguo de direcciones a otro bloque de direcciones del mismo tamaño.

  • Traducir un bloque contiguo de direcciones a otro bloque de direcciones de menor tamaño.

  • Traduce un bloque contiguo de direcciones a una sola dirección IP o a un bloque más pequeño de direcciones mediante la traducción de puertos.

  • Traduce un bloque contiguo de direcciones a la dirección de la interfaz de salida.

La traducción a la dirección de la interfaz de salida no requiere un conjunto de direcciones; todas las demás traducciones de TDR de origen requieren la configuración de un conjunto de direcciones. Las traducciones uno a uno y varios a muchos para bloques de direcciones del mismo tamaño no requieren traducción de puerto porque hay una dirección disponible en el grupo para cada dirección que se traduciría.

Si el tamaño del conjunto de direcciones es menor que el número de direcciones que se traducirían, el número total de direcciones simultáneas que se pueden traducir está limitado por el tamaño del conjunto de direcciones o se debe utilizar la traducción de puertos. Por ejemplo, si un bloque de 253 direcciones se traduce a un conjunto de direcciones de 10 direcciones, se puede conectar un máximo de 10 dispositivos simultáneamente, a menos que se utilice la traducción de puertos.

Se admiten los siguientes tipos de TDR de origen:

  • Traducción de la dirección IP de origen original a la dirección IP de la interfaz de salida (también denominada interfaz TDR). La traducción de direcciones de puerto siempre se realiza.

  • Traducción de la dirección IP de origen original a una dirección IP desde un conjunto de direcciones definido por el usuario sin traducción de direcciones de puerto. La asociación entre la dirección IP de origen original y la dirección IP de origen traducida es dinámica. Sin embargo, una vez que hay una asociación, se utiliza la misma asociación para la misma dirección IP de origen original para el tráfico nuevo que coincida con la misma regla de TDR.

  • Traducción de la dirección IP de origen original a una dirección IP desde un conjunto de direcciones definido por el usuario con traducción de direcciones de puerto. La asociación entre la dirección IP de origen original y la dirección IP de origen traducida es dinámica. Incluso si existe una asociación, la misma dirección IP de origen original se puede traducir a una dirección diferente para el tráfico nuevo que coincida con la misma regla de TDR.

  • Traducción de la dirección IP de origen original a una dirección IP desde un conjunto de direcciones definido por el usuario mediante el desplazamiento de las direcciones IP. Este tipo de traducción es individual, estática y sin traducción de direcciones de puerto. Si el intervalo de direcciones IP de origen original es mayor que el intervalo de direcciones IP del conjunto definido por el usuario, se descartan los paquetes no traducidos.

En el dispositivo de la serie MX, si usa el TDR de origen en una interfaz de multiservicios agregados (AMS). El service set comando crea una entrada independiente para cada interfaz AMS. Por lo tanto, el uso de memoria se agota y, si configura una interfaz AMS adicional, se produce un error de confirmación de configuración.

Alarma de utilización del puerto del suscriptor

Puede usar la traducción de direcciones de red de nivel de operador (CGNAT) para monitorear y administrar la utilización de puertos. Use el set secuirty nat source subscriber-pool-utilization-alarm para configurar los límites de umbral para recibir notificaciones cuando el uso del puerto o del bloque de puerto supere los umbrales configurados.

Si un grupo está configurado como asignación de bloques de puerto (PBA) y un suscriptor utiliza más bloques de puerto que el umbral, se generará una notificación.

Para los grupos de TDR determinista (DETNAT), si un suscriptor utiliza más puertos que el umbral del bloque asignado, se genera una notificación.

Intervalo de amortiguación

Cuando se cruza el límite de umbral configurado, el sistema envía una RAISE_ALARM, seguida de un período de supresión, durante el cual no se envían más alarmas.

Utilice el temporizador configurable para evitar que el registro del sistema o los servidores SNMP se inunden con notificaciones de alarma frecuentes mediante la dampening-interval jerarquía at [set secuirty nat source subscriber-pool-utilization-alarm].

Si el CLEAR_ALARM no se activa, el período de supresión es continuo. Si el CLEAR_ALARM se recibe dentro del período de supresión, los registros del sistema se eliminarán del temporizador y se enviará CLEAR_ALARM.

Para obtener más información, consulte subscriber-pool-utilization-alarm y show security nat source port-block.

Descripción de las mejoras de la arquitectura de punto central para TDR

La capacidad de sesión del sistema y la velocidad de aceleración de sesiones están limitadas por la capacidad de memoria de punto central y la capacidad de CPU. En la siguiente lista se describen las mejoras de TDR para mejorar el rendimiento:

  • La arquitectura de punto central ya no admite sesiones de punto central. Por lo tanto, TDR necesita mantener un rastreador TDR para rastrear la dirección IP o la asignación y el uso de puertos. El rastreador de TDR es una matriz global para SPU, ID de sesión a IP de TDR o asignación de puertos que se utiliza para administrar los recursos de TDR.

  • De forma predeterminada, se envía una alarma de regla TDR y un mensaje de actualización del contador de estadísticas de trampas desde la unidad de procesamiento de servicios (SPU) al punto central a intervalos de 1 segundo en lugar de actualizar las estadísticas en función de cada desencadenador de sesión en el sistema de puntos centrales.

  • Para admitir una dirección IP TDR específica o un puerto asignado de tal manera que el hash de 5 tuplas después de TDR sea el mismo que el hash original de 5 tuplas antes de TDR, seleccione un puerto TDR que genere el mismo hash que el hash original según el cálculo específico. Por lo tanto, se reduce la sesión de reenvío. Cuando se usa TDR, el ala inversa se convierte en hash a una SPU diferente. Se debe instalar una sesión directa para reenviar el tráfico inverso a una SPU de sesión. TDR intenta seleccionar un puerto que pueda ser utilizado por el algoritmo hash para hacer que el ala inversa se convierta en hash a la misma SPU que el ala inicial. Por lo tanto, tanto el rendimiento como la transferencia de datos de la TDR mejoran con este enfoque.

  • Para mejorar el rendimiento de TDR, la administración del grupo de desplazamiento de IP (grupo que no es PAT) se mueve del punto central a la SPU para que todos los recursos TDR locales para ese grupo se administren localmente en lugar de enviar la solicitud TDR al punto central. Por lo tanto, se mejoran las conexiones del conjunto TDR de cambio de dirección IP por segundo y la transferencia de datos.

Modo de ráfaga de desbordamiento de puerto

El modo de ráfaga de desbordamiento de puertos le permite utilizar los puertos más allá de los bloques de puertos asignados. Puede configurar un conjunto de ráfagas con un rango de puertos en una dirección IP que se reservará para ráfagas.

Hay tipos de agrupación principal y de ráfaga. El dispositivo utiliza la agrupación de ráfaga una vez que los suscriptores alcanzan el límite configurado en la agrupación principal.

El modo Brust se admite en:

  1. Conjunto TDR de origen TDR determinista con conjunto de ráfagas de tipo PBA.

  2. Conjunto TDR de origen TDR determinista con conjunto de ráfaga dinámico del tipo Traducción de puertos de direcciones de red (NAPT).

  3. Conjunto de TDR de origen PBA regular con conjunto de ráfagas de tipo PBA.

  4. Conjunto de TDR de fuente PBA regular con conjunto de ráfaga de tipo NAPT dinámico.

Tabla 1: Operaciones en modo de ráfaga

Tipo de TDR

Antes de que el límite de bloque de puertos configurado no supere

Después de que el límite de bloque de puertos configurado no exceda

Conjunto TDR de origen TDR determinista con conjunto de ráfagas de tipo PBA

Se utilizan bloques de puerto del conjunto principal de DetNAT.

Bloque de puerto del conjunto de ráfagas configurado en PBA.

Conjunto de TDR de origen TDR determinista con conjunto de ráfaga dinámico del tipo de traducción de puertos de direcciones de red (NAPT)

Se utilizan bloques de puerto del conjunto principal de DetNAT.

Bloque de puerto del conjunto de ráfagas configurado en NAPT dinámico.

Conjunto de TDR de origen PBA regular con conjunto de ráfaga de tipo PBA

Se utilizan bloques de puerto del conjunto de PBA principal.

Bloque de puerto del conjunto de ráfagas configurado en PBA.

Conjunto de TDR de fuente PBA regular con conjunto de ráfaga de tipo NAPT dinámico

Se utilizan bloques de puerto del conjunto de PBA principal.

Bloque de puerto del conjunto de ráfagas configurado en NAPT dinámico.

Método de tipo de ráfaga PBA: PBA admite el modo de operaciones APP y no APP.

  • Modo APP: los puertos se asignan desde el grupo principal. Cuando, por tanto, el límite de suscriptores supera el del grupo principal, si hay puertos disponibles para la misma dirección IP del conjunto de ráfaga, se crean nuevas sesiones.

  • Modo que no es de APP: los puertos se asignan desde el grupo principal. Cuando el límite de suscriptores supera el del grupo principal, se crean nuevas sesiones desde el grupo de ráfagas con cualquier dirección IP y puerto disponibles.

Método de tipo de ráfaga DetNAT: los puertos se asignan desde el grupo principal. Si la misma dirección IP del conjunto de ráfagas o todos los puertos disponibles no están disponibles desde la misma dirección IP, se crea una nueva sesión con otra dirección IP. Si el conjunto de ráfagas está configurado con una dirección IP diferente a la del grupo principal, utilice otra dirección IP del conjunto de ráfagas.

Optimización del rendimiento de la fuente TDR

El TDR de origen se puede optimizar en función de las necesidades de funcionalidad y rendimiento.

Modo de aleatorización de puertos (predeterminado)

Para el TDR de origen basado en agrupaciones y el TDR de interfaz, el modo de aleatorización de puertos está habilitado y se utiliza de forma predeterminada.

En este modo, el dispositivo selecciona direcciones IP sobre una base de operación rotativa y la selección de puerto es aleatoria. Es decir, cuando el dispositivo realiza la traducción de TDR, primero elige la dirección IP por round robin y, a continuación, elige el puerto utilizado para esa dirección IP por aleatorización.

Aunque la asignación aleatoria de números de puerto puede proporcionar protección contra amenazas de seguridad como ataques de veneno de DNS, también puede afectar el rendimiento y el uso de memoria debido a los cálculos y los recursos de tabla TDR involucrados.

Modo Round-Robin

Un método de traducción de TDR que requiere menos recursos implica utilizar únicamente el método de asignación de operación rotativa. Mientras que la aleatorización requiere trabajo computacional para cada puerto asignado, el método round robin simplemente selecciona los puertos secuencialmente.

En este modo, el dispositivo selecciona tanto las direcciones IP como los puertos mediante operación rotativa. Es decir, cuando el dispositivo realiza la traducción de TDR, primero elige la dirección IP por round robin y, a continuación, elige el puerto utilizado para esa dirección IP por round robin.

Por ejemplo, si el grupo de origen contiene solo una dirección IP:

  • Cuando llega el primer paquete de un flujo (creando una sesión), se traduce a IP1, puerto N. Los paquetes subsiguientes de ese flujo se asignan a la misma IP o puerto.

  • Cuando llega el primer paquete de un nuevo flujo, se traduce a IP1, puerto N+1, etc.

Si el grupo de origen contiene dos direcciones IP:

  • Cuando llega el primer paquete de un flujo (creando una sesión), se traduce a IP1, puerto X. Los paquetes subsiguientes de ese flujo se asignan a la misma IP o puerto.

  • Cuando llega el primer paquete de un segundo flujo, se traduce a IP2, puerto X.

  • Cuando llega el primer paquete de un tercer flujo, se traduce a IP1, puerto X+1.

  • Con los primeros paquetes de un cuarto flujo, se traduce a IP2, puerto X+1, y así sucesivamente.

Configuración

El modo round-robin está habilitado de forma predeterminada, sin embargo, el modo de aleatorización de puertos (también habilitado) tiene mayor prioridad. Para utilizar el modo round-robin, desactive el modo de aleatorización de puertos de mayor prioridad como se indica a continuación:

Para deshabilitar el modo round-robin (y volver a habilitar la aleatorización de puertos), elimine la instrucción de configuración como se indica a continuación:

Modo de afinidad de sesión

Con los modos indicados anteriormente, la SPU entrante procesa una sesión determinada en función de un hash de 5 tuplas (IP de origen, IP de destino, puerto de origen, puerto de destino, protocolo). Cuando se trata de TDR, el hash de 5 tuplas será diferente para la parte de salida de la sesión frente a la parte de retorno de la sesión. Por lo tanto, la información saliente TDR de sesión puede estar ubicada en una SPU, mientras que la información de retorno (inversa) TDR sesión puede estar ubicada en otra SPU. El objetivo del modo de afinidad de sesión es mantener la información de la sesión de reenvío tanto para el tráfico saliente como para el de retorno en la misma SPU.

En este modo, el dispositivo utiliza un algoritmo de traducción de "mejora de TDR inversa" para la selección de IP y puerto, a fin de mejorar el rendimiento de las sesiones TDR y la transferencia de datos. El módulo TDR intenta seleccionar una dirección IP y un puerto que se puedan utilizar con el algoritmo hash para garantizar que la SPU seleccionada para los elementos de flujo de retorno y salida pueda ser idéntica.

Configuración

El modo de afinidad de sesión está habilitado de forma predeterminada, sin embargo, tanto la aleatorización de puertos como los modos round-robin (también habilitados) tienen mayor prioridad. Para utilizar el modo de afinidad de sesión, desactive los modos de aleatorización de puertos y operación rotativa de la siguiente manera:

Para deshabilitar el modo de afinidad de sesión y volver a activar el modo de operación rotativa o de aleatorización de puertos, elimine una o ambas instrucciones de configuración, como se indica a continuación:

Notas de uso

Las notas y directrices para el modo de afinidad de sesión incluyen:

  • Utilice grupos grandes de puertos TDR siempre que sea posible (consulte las consideraciones de seguridad a continuación)

  • El algoritmo elige un puerto dentro del rango de puertos configurados. Si no hay ningún puerto disponible, el puerto TDR se asignará en función de la selección aleatoria.

  • El TDR estático y el TDR de destino no pueden usar el modo de afinidad.

Consideraciones de seguridad

Aunque la afinidad de sesión mejora el rendimiento al consolidar las sesiones de reenvío, disminuye la seguridad hasta cierto punto, ya que el algoritmo selecciona la dirección IP y el puerto en función de un algoritmo predefinido con parámetros específicos, en lugar de pura aleatorización. Dicho esto, el hecho de que normalmente hay varios puertos elegibles para que el algoritmo elija y, por lo tanto, todavía hay cierto grado de aleatorización.

La mejor manera de mitigar el riesgo de seguridad es asegurarse de que el número de puerto de origen utilizado sea menos predecible. Es decir, cuanto mayor sea el rango de recursos del grupo de TDR del que se seleccionan los puertos efímeros, menores serán las posibilidades de que un atacante adivine el número de puerto seleccionado. Dado esto, se recomienda configurar grandes grupos de puertos TDR siempre que sea posible.

Monitorear la fuente de información de TDR

Propósito

Muestra información configurada sobre reglas de traducción de direcciones de red de red (TDR) de origen, grupos, TDR persistente y direcciones emparejadas.

Acción

Seleccione Monitor>TDR>Source TDR en la interfaz de usuario de J-Web o ingrese los siguientes comandos CLI:

  • mostrar seguridad resumen de origen nat

  • mostrar grupo de fuentes de NAT de seguridad pool-name

  • mostrar fuente de nat de seguridad tabla nat persistente

  • mostrar seguridad fuente de TDR dirección emparejada

En la Tabla 2 se describen las opciones disponibles para supervisar la TDR de origen.

Tabla 2: Página de monitoreo de TDR de origen

Campo

Descripción

Acción
Reglas

Nombre del conjunto de reglas

Nombre del conjunto de reglas.

Seleccione todos los conjuntos de reglas o un conjunto de reglas específico para mostrar en la lista.

Total de reglas

Número de reglas configuradas.

IDENTIFICACIÓN

Número de ID de regla.

Nombre

Nombre de la regla .

De

Nombre de la instancia o zona o interfaz de enrutamiento desde la que fluye el paquete.

Para

Nombre de la instancia o zona o interfaz de enrutamiento a la que fluye el paquete.

Rango de direcciones de origen

Intervalo de direcciones IP de origen en el conjunto de origen.

Rango de direcciones de destino

Intervalo de direcciones IP de destino en el conjunto de origen.

Puertos de origen

Números de puerto fuente.

Protocolo IP

Protocolo IP.

Acción

Acción realizada para un paquete que coincide con una regla.

Tipo de TDR persistente

Tipo TDR persistente.

Tiempo de espera de inactividad

Intervalo de tiempo de espera de inactividad para el enlace TDR persistente.

Umbral de alarma

Umbral de alarma de utilización.

Número máximo de sesiones

El número máximo de sesiones.

Sesiones (correctas/fallidas/actuales)

Sesiones exitosas, fallidas y actuales.

  • Succ: número de instalaciones de sesión correctas después de hacer coincidir la regla de TDR.

  • Error: número de instalaciones de sesión fallidas después de que coincida la regla TDR.

  • Actual: número de sesiones que hacen referencia a la regla especificada.

Resultados de la traducción

Número de veces que se utiliza una traducción de la tabla de traducción para una regla TDR de origen.

Piscinas

Nombre del grupo

Los nombres de las piscinas.

Seleccione todos los grupos o un grupo específico para mostrar de la lista.

Total de fondos

Total de grupos agregados.

IDENTIFICACIÓN

ID del grupo.

Nombre

Nombre del grupo de origen.

Rango de direcciones

Intervalo de direcciones IP en el conjunto de fuentes.

Puertos simples/gemelos

Número de puertos individuales y gemelos asignados.

Puerto

Número de puerto de origen en el grupo.

Asignación de direcciones

Muestra el tipo de asignación de dirección.

Umbral de alarma

Umbral de alarma de utilización.

Factor de sobrecarga de puertos

Capacidad de sobrecarga de puertos.

Instancia de enrutamiento

Nombre de la instancia de enrutamiento.

Total de direcciones

Dirección IP total, conjunto de direcciones IP o entrada en la libreta de direcciones.

Base de direcciones de host

Dirección base de host del rango de direcciones IP de origen original.

Resultados de la traducción

Número de veces que se utiliza una traducción de la tabla de traducción para la TDR de origen.

Los 10 principales resultados de la traducción

Gráfico

Muestra el gráfico de los 10 principales resultados de traducción.

TDR persistente
Estadísticas persistentes de la tabla TDR

total de encuadernación

Muestra el número total de enlaces TDR persistentes para la FPC.

Encuadernación en uso

Número de enlaces TDR persistentes que se utilizan para la FPC.

Enodo total

Número total de enodos TDR persistentes para la FPC.

Enode, en uso

Número de nodos TDR persistentes que están en uso para la FPC.

Tabla TDR persistente

Conjunto de TDR de origen

Nombre de la piscina.

Seleccione todos los grupos o un grupo específico para mostrar de la lista.

IP interna

Dirección IP interna.

Seleccione todas las direcciones IP o una dirección IP específica para mostrar en la lista.

Puerto interno

Muestra los puertos internos configurados en el sistema.

Seleccione el puerto que desea mostrar en la lista.

Protocolo interno

Protocolos internos .

Seleccione todos los protocolos o un protocolo específico para mostrar en la lista.

IP interna

Dirección IP de transporte interno de la sesión saliente de interna a externa.

Puerto interno

Número de puerto de transporte interno de la sesión saliente de la interna a la externa.

Protocolo interno

Protocolo interno de la sesión saliente de interna a externa.

IP reflectante

Dirección IP traducida de la dirección IP de origen.

Puerto reflectante

Muestra el número traducido del puerto.

Protocolo reflectante

Protocolo traducido.

Conjunto de TDR de origen

Nombre del grupo de TDR de origen en el que se utiliza la TDR persistente.

Tipo

Tipo TDR persistente.

Tiempo de izquierda/Tiempo de conf

Período de tiempo de espera de inactividad que queda y el valor de tiempo de espera configurado.

Número de sesión actual/Número de sesión máximo

Número de sesiones actuales asociadas con el enlace TDR persistente y número máximo de sesiones.

Regla TDR de origen

Nombre de la regla TDR de origen a la que se aplica este enlace TDR persistente.

Tabla de nodos externos

IP interna

Dirección IP de transporte interno de la sesión saliente de interna a externa.

Puerto interno

Número de puerto interno de la sesión saliente de interno a externo.

IP externa

Dirección IP externa de la sesión saliente de interna a externa.

Puerto externo

Puerto externo de la sesión saliente de interno a externo.

Zona

Zona externa de la sesión saliente de interna a externa.

Dirección emparejada

Nombre del grupo

Nombre de la piscina.

Seleccione todos los grupos o un grupo específico para mostrar de la lista.

Dirección especificada

Dirección IP.

Seleccione todas las direcciones o seleccione la dirección IP interna o externa que desea mostrar e ingrese la dirección IP.

Nombre del grupo

Muestra el grupo o los grupos seleccionados.

Dirección interna

Muestra la dirección IP interna.

Dirección externa

Muestra la dirección IP externa.

Uso de recursos
Utilización para todos los grupos de fuentes

Nombre del grupo

Nombre de la piscina.

Para ver información de uso adicional para los grupos de traducción de direcciones de puerto (PAT), seleccione un nombre de grupo. La información se muestra en Utilización detallada de puertos para un grupo especificado.

Tipo de piscina

Tipo de piscina: PAT o Non-PAT.

Factor de sobrecarga de puertos

Capacidad de sobrecarga de puertos para conjuntos de PAT.

Dirección

Direcciones en el grupo.

Usado

Número de recursos usados en el grupo.

En el caso de los grupos que no son PAT, se muestra el número de direcciones IP utilizadas.

En el caso de los grupos de PAT, se muestra el número de puertos utilizados.

Disponible

Número de recursos disponibles en el grupo.

En el caso de los grupos que no son PAT, se muestra el número de direcciones IP disponibles.

En el caso de los grupos de PAT, se muestra el número de puertos disponibles.

Total

Número de recursos usados y disponibles en el grupo.

En el caso de los grupos que no son PAT, se muestra el número total de direcciones IP utilizadas y disponibles.

En el caso de los grupos de PAT, se muestra el número total de puertos usados y disponibles.

Uso

Porcentaje de recursos utilizados.

En el caso de los grupos que no son PAT, se muestra el porcentaje de direcciones IP utilizadas.

En el caso de los conjuntos de PAT, se muestra el porcentaje de puertos, incluidos los puertos simples y gemelos.

Uso máximo

Porcentaje de recursos utilizados durante la fecha y hora pico.

Detalle de la utilización de puertos para un grupo especificado

Nombre de la dirección

Direcciones IP en el conjunto PAT.

Seleccione la dirección IP para la que desea mostrar información de uso detallada.

Factor-Índice

Número de índice.

Rango de puertos

Muestra el número de puertos asignados a la vez.

Usado

Muestra el número de puertos usados.

Disponible

Muestra la cantidad de puertos disponibles.

Total

Muestra la cantidad de puertos usados y disponibles.

Uso

Muestra el porcentaje de puertos utilizados durante la fecha y hora pico.

Monitoree la utilización del puerto suscriptor usando TDR de grado de operador

Antes de empezar:

Puede configurar límites de umbral para supervisar la utilización de puertos mediante la recepción de notificaciones cuando se supere el uso de puertos o bloques de puertos. Se admiten los modos de despliegue de asignación de bloques de puerto (PBA) y TDR determinista (DetNAT).

Los objetos MIB SNMP son:

Los mensajes de registro del sistema son:

  • RT_SRC_TDR_SUBS_POOL_ALARM_DAMPENINGRT_NAT: RT_SRC_NAT_SUBS_POOL_ALARM_RAISE: Subscriber ip: 10.0.0.1, Source NAT pool: pool-name, Pool type: PBA, threshold: 90%, current: 100%
  • RT_SRC_TDR_SUBS_POOL_ALARM_CLEARRT_NAT: RT_SRC_NAT_SUBS_POOL_ALARM_CLEAR: Subscriber ip: 10.0.0.1, Source NAT pool: pool-name, Pool type: PBA, threshold: 50%, current: 25%
  • RT_SRC_TDR_SUBS_POOL_ALARM_RAISERT_NAT: RT_SRC_NAT_SUBS_POOL_ALARM_DAMPENING: Subscriber IP: 10.1.1.2, NAT pool: pool-name, threshold alarm [raise, clear] suppressed for 2 times in last 10 seconds
  1. Configurar grupo Pool1 TDR de origen Dirección IP con subred, tamaño de bloque TDR determinista y dirección IP, umbral de alarma, registro del sistema, captura SNMP e información de tiempo de espera.
  2. Configurar grupo Pool2 TDR de origen Dirección IP con subred, tamaño de bloque TDR determinista y dirección IP, umbral de alarma, registro del sistema, captura SNMP e información de tiempo de espera.
  3. Configure el umbral de alarma de utilización del grupo de suscriptores, el intervalo de amortiguación, el registro del sistema y la información de captura de SNMP.
  4. Configure reglas TDR.
  5. Configure las traceoptions de TDR.
  6. Confirmar la configuración.
  7. Compruebe el valor de salida para la configuración de utilización del puerto del suscriptor.

Descripción general de la configuración de TDR de origen

Las principales tareas de configuración para el TDR de origen son las siguientes:

  1. Configure un conjunto de direcciones o una asignación TDR de interfaz de direcciones privadas a la dirección pública de una interfaz de salida.

    Para un grupo de direcciones, haga también lo siguiente:

    1. Especifique el nombre del grupo, las direcciones o rangos de direcciones, la instancia de enrutamiento y si desea realizar la traducción de direcciones de puerto (PAT).
    2. (Opcional) Configure opciones de agrupación de direcciones, como agrupación de desbordamiento, cambio de dirección IP, uso compartido de direcciones, agrupación de direcciones y alarmas de utilización de agrupación.
    3. Configure las entradas ARP del proxy TDR para las direcciones IP en la misma subred de la interfaz de entrada.
  2. (Opcional) Configure la dirección persistente.
  3. Configure reglas de TDR de origen que se alineen con sus requisitos de red y seguridad.

Ejemplo: Configuración de TDR de origen para traducción de interfaz de salida

En este ejemplo se describe cómo configurar una asignación TDR de origen de direcciones privadas a la dirección pública de una interfaz de salida.

Requisitos

Antes de empezar:

  1. Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.

Descripción general

En este ejemplo se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 1, los dispositivos con direcciones privadas en la zona de confianza acceden a una red pública a través de la interfaz de salida ge-0/0/0. Para los paquetes que ingresan al dispositivo de seguridad de Juniper Networks desde la zona de confianza con una dirección de destino en la zona de no confianza, la dirección IP de origen se traduce a la dirección IP de la interfaz de salida.

No se requiere ningún grupo de TDR de origen para el TDR de origen mediante una interfaz de salida. No es necesario configurar ARP de proxy para la interfaz de salida.

Figura 1: Traducción de la interfaz de salida TDR de origen Network topology with Juniper SRX performing NAT. Trust Zone: subnets 192.168.1.0/24, 192.168.2.0/24. Untrust Zone: Internet via ge-0/0/0, IP 203.0.113.0/24. NAT translates private IPs to public IP 203.0.113.63.

En este ejemplo, se describen las siguientes configuraciones:

  • Conjunto de reglas rs1 de TDR de origen con una regla r1 para hacer coincidir cualquier paquete de la zona de confianza a la zona de no confianza. En el caso de los paquetes coincidentes, la dirección origen se traduce a la dirección IP de la interfaz de salida.

  • Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar una traducción de TDR de origen a una interfaz de salida:

  1. Cree un conjunto de reglas TDR de origen.

  2. Configure una regla que coincida con los paquetes y traduzca la dirección de origen a la dirección de la interfaz de salida.

  3. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

Resultados

Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificar el uso de reglas TDR de origen

Propósito

Compruebe que hay tráfico que coincide con la regla TDR de origen.

Acción

Desde el modo operativo, introduzca el show security nat source rule all comando. Vea el campo Resultados de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar la aplicación de TDR al tráfico

Propósito

Compruebe que se está aplicando TDR al tráfico especificado.

Acción

Desde el modo operativo, introduzca el show security flow session comando.

Ejemplo: Configuración de TDR de origen para la traducción de una sola dirección

En este ejemplo se describe cómo configurar una asignación TDR de origen de una única dirección privada a una dirección pública.

Requisitos

Antes de empezar:

  1. Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.

Descripción general

En este ejemplo se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la figura 2, un dispositivo con la dirección privada 192.168.1.200 en la zona de confianza accede a una red pública. En el caso de los paquetes enviados por el dispositivo a una dirección de destino en la zona de no confianza, el dispositivo de seguridad de Juniper Networks traduce la dirección IP de origen a la dirección IP pública 203.0.113.200/32.

Figura 2: Traducción Juniper SRX device performs NAT, translating private IP 192.168.1.200 to public IP 203.0.113.200, connecting private network to Internet. de dirección única de TDR de origen

En este ejemplo, se describen las siguientes configuraciones:

  • Conjunto src-nat-pool-1 TDR de origen que contiene la dirección IP 203.0.113.200/32.

  • Conjunto de reglas rs1 TDR de origen con regla r1 para hacer coincidir los paquetes de la zona de confianza a la zona de no confianza con la dirección IP de origen 192.168.1.200/32. Para los paquetes coincidentes, la dirección de origen se traduce a la dirección IP del src-nat-pool-1 grupo.

  • ARP de proxy para la dirección 203.0.113.200 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esa dirección.

  • Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar una traducción TDR de origen para una sola dirección IP:

  1. Cree un grupo de TDR de origen.

  2. Cree un conjunto de reglas TDR de origen.

  3. Configure una regla que coincida con los paquetes y traduzca la dirección de origen a la dirección del grupo.

  4. Configure el ARP del proxy.

  5. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

Resultados

Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificar el uso del grupo de TDR de origen

Propósito

Verifique que haya tráfico mediante direcciones IP del grupo TDR de origen.

Acción

Desde el modo operativo, introduzca el show security nat source pool all comando. Vea el campo Hits de traducción para comprobar si hay tráfico utilizando direcciones IP del grupo.

Verificar el uso de reglas TDR de origen

Propósito

Compruebe que hay tráfico que coincide con la regla TDR de origen.

Acción

Desde el modo operativo, introduzca el show security nat source rule all comando. Vea el campo Resultados de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar la aplicación de TDR al tráfico

Propósito

Compruebe que se está aplicando TDR al tráfico especificado.

Acción

Desde el modo operativo, introduzca el show security flow session comando.

Ejemplo: Configurar MAP-E en firewalls de la serie SRX

Utilice este ejemplo de configuración para configurar la funcionalidad Asignación de dirección y puerto con encapsulación (MAP-E) en firewalls de la serie SRX.

Propina:
Tabla 3: Puntuación de legibilidad y estimaciones de tiempo

Tiempo de lectura

Menos de una hora

Tiempo de configuración

Menos de una hora

Ejemplo de requisitos previos

Tabla 4: Requisitos de hardware y software

Requisitos de hardware

® Firewall SRX1500 de Juniper Networks o modelos de dispositivos con números más bajos o Firewall virtual vSRX de Juniper Networks® (vSRX3.0)

Requisitos de software

Junos OS versión 19.4R1 o posterior.

Antes de empezar

Tabla 5: Beneficios, recursos e información adicional

Beneficios

  • Migración de IPv4 a IPv6

    MAP-E admite la migración de IPv4 a IPv6 al permitir que los proveedores de servicios transporten paquetes IPv4 a través de una red IPv6. Esto es útil durante los períodos de transición en los que solo está disponible la red IPv6.

  • Habilita el uso compartido de direcciones:

    MAP-E permite compartir direcciones IPv4 públicas entre varios dispositivos CE. Esto ayuda a gestionar grupos de direcciones IPv4 públicos limitados.

Saber más

 Descripción de la asignación de dirección y puerto con encapsulación (MAP-E)

Experiencia práctica

 Sandbox de vLab: TDR: fuente y destino

Aprende más

 Configuración de MAP-E en dispositivos de la serie NFXDescripción de la asignación de dirección y puerto con encapsulación (MAP-E)Asignación de dirección y puerto con encapsulación (MAP-E) para servicios de próxima generación

Descripción general funcional

MAP-E transporta paquetes IPv4 a través de una red IPv6. Una red MAP-E contiene dos tipos de dispositivos:

  • Borde de cliente (CE) de MAP-E: estos dispositivos CE de doble pila admiten IPv4 e IPv6. También pueden realizar la traducción de puertos de direcciones de red (NAPT).

  • Relé de borde MAP-E (BR): el dispositivo CE conecta un host IPv4 privado y un dispositivo BR en un dominio de red solo IPv6.

En la tabla 6 se proporciona un resumen rápido de los componentes de configuración implementados en este ejemplo.

Tabla 6: Descripción general funcional de MAP-E

Tecnologías utilizadas

  • MAP-E: los dispositivos MAP-E CE de doble pila pueden ejecutar NAPT. Estos dispositivos realizan una conexión a un dispositivo MAP-E BR a través de un dominio de red MAP-E solo IPv6. El dispositivo MAP-E BR de doble pila mantiene una conexión con una red pública IPv4 y una red MAP-E IPv6.

  • Border Relay (BR): dispositivo de borde de proveedor (PE) habilitado para MAP-E en un dominio de MAP. Un dispositivo BR tiene al menos una interfaz habilitada para IPv6 y una interfaz IPv4 conectada a la red IPv4 nativa.

  • MAP-E Customer Edge (CE)—Dispositivo de borde del cliente habilitado para MAP-E en un despliegue de MAP.

  • MAP domain: uno o más dispositivos MAP-E CE y dispositivos BR conectados al mismo vínculo virtual.

  • Softwire: túnel entre dos puntos de conexión IPv6 para transportar paquetes IPv4 o dos puntos de conexión IPv4 para transportar paquetes IPv6.

Tareas de verificación primaria

Después de completar la configuración de MAP-E en un firewall de la serie SRX, puede verificar el estado de la configuración de MAP-E.

Descripción general de la topología

Esta topología presenta el proceso de configuración para la funcionalidad CE-MAP-E en dispositivos de firewall de la serie SRX. También representa la encapsulación y el transporte de paquetes IPv4 que se originan en dispositivos MAP-E CE. La configuración mueve estos paquetes a través de un túnel IPv4 a través de IPv6 a dispositivos MAP-E, PE y BR. Luego, los paquetes se someten a tunelización en una topología de enrutamiento IPv6 para su posterior procesamiento. Un dispositivo de la serie MX de doble pila, conectado a una red IPv4 pública y a una red MAP-E IPv6, sirve como dispositivo MAP-E BR.

Tabla 7: Descripción general de la topología MAP-E

Nombre de host

Función

Función

Punto final de la LAN

Dispositivos de red de usuarios finales.

Se conecta a la red IPv4.

Firewall de la serie SRX

Conecta el enrutador BR y los dispositivos de red del usuario final.

Admite la conectividad a una gran cantidad de suscriptores IPv4 a través de la red de acceso IPv6 del ISP.

Enrutador BR

Conecta la red IPv4 y el dispositivo de firewall de la serie SRX.

Un dispositivo BR tiene al menos una interfaz habilitada para IPv6 y una interfaz IPv4 conectada a la red IPv4 nativa.

Ilustración de topología

Figura 3: Despliegue de MAP-E en el firewall Network architecture showing MAP-E for IPv4-over-IPv6 tunneling. IPv4 traffic encapsulated in IPv6 packets traverses an IPv6-only network. de la serie SRX

Configuración paso a paso en el firewall de la serie SRX como dispositivo MAP-E CE

Para obtener configuraciones de ejemplo completas en el DUT, consulte:

  1. Configure políticas y zonas de seguridad para aplicar diferentes medidas de seguridad en interfaces orientadas a IPv4 y a interfaces orientadas a IPv6. La siguiente configuración agrega una interfaz LAN (ge-1/0/1) y una interfaz WAN en el extremo del proveedor de servicios (ge-1/0/2) en las zonas de seguridad pertinentes y configura una política para permitir todo el tráfico entre estas zonas. La configuración también agrega las unidades de interfaz de túnel lógico (lt) interno correspondientes a las zonas de seguridad.
  2. Configure interfaces para proporcionar conectividad de red y flujo de datos. La siguiente configuración asigna una dirección IPv4 en el lado de la LAN y una dirección IPv6 en el lado de la WAN. La UMT en el lado IPv6 debe admitir la máxima UMT.
  3. Configure las interfaces de túnel lógico. Las interfaces de túnel lógico actúan como puntos de conexión internos para el bloque de encapsulador o desencapsulador de MAP-E en un dispositivo de firewall de la serie SRX. Esto separa el tráfico de red para IPv4 e IPv6. Aquí, la unidad 1 de lt-1/0/0 termina el tráfico IPv4 que se recibe en ge-1/0/1 y la unidad 2 de lt-1/0/0 inicia el tráfico IPv6 que se enviará a través de ge-1/0/2. A continuación, la unidad 2 lt-1/0/0 finaliza el tráfico IPv6 que se recibe en ge-1/0/2 y la unidad 1 lt-1/0/0 inicia el tráfico IPv4 que se enviará a través de ge-1/0/1.
  4. Configure las instancias de enrutamiento para los dominios de tráfico de red IPv4 e IPv6:
  5. Configure las reglas MAP-E BMR y FMR para proporcionar una asignación entre la red IPv4 y la red IPv6:
  6. Configure la regla TDR de origen y el grupo de TDR:
  7. Confirme la configuración:

Configuración paso a paso en un dispositivo de la serie MX como un dispositivo BR

Para configurar un dispositivo de la serie MX como un dispositivo BR:

  1. Configure el conjunto de servicios para MAP-E en el dispositivo de la serie MX:
  2. Configure el concentrador de softwire MAP-E y los parámetros asociados. Esto crea un túnel entre dos puntos de conexión IPv6 para transportar paquetes IPv4; o dos puntos de conexión IPv4 para transportar paquetes IPv6.
  3. Configure una regla de softwire para especificar la dirección del tráfico que se va a tunelizar y el concentrador de softwire MAP-E que se va a utilizar:
  4. Configure una interfaz de servicio dentro del dominio de doble pila:
  5. Configure una interfaz de servicio fuera del dominio de doble pila:
  6. Configure la UMT en la interfaz BR:
  7. Configure las interfaces lógicas y asigne las direcciones IPv4 e IPv6:
  8. Configure las instancias de enrutamiento:
  9. Confirme la configuración:

Verificación

En esta sección, se proporciona una lista de los comandos show que se pueden usar para comprobar la característica de este ejemplo.

Debe establecer una sesión SSH en los dispositivos terminales para generar la salida de la CLI.

Tabla 8: Tareas de verificación

Comando

Tarea de verificación
show security flow session

Verificar el flujo de la sesión
show security softwires map-e domain mapce1 Verifique el dominio MAP-E
show security nat source rule all

Verificar la regla de origen de TDR
show security nat source pool all

Verificar el conjunto de fuentes de TDR
show security nat source summary

Verificar el resumen de origen de TDR
show security nat source persistent-nat-table all

Verificar la tabla TDR persistente
show services inline softwire statistics mape

Verificar las estadísticas de softwire en el dispositivo de la serie MX

Verificar el flujo de la sesión

Propósito

Compruebe la sesión de flujo de paquetes.

Acción

Desde el modo operativo, escriba el show security flow session comando para ver el flujo de paquetes.

Significado

El resultado de prueba confirma que la sesión de flujo de paquetes está activa.

Verifique el dominio MAP-E

Propósito

Compruebe si las direcciones IPv4 e IPv6 están configuradas correctamente.

Acción

Desde el modo operativo, escriba el show security softwires map-e domain mapce1 comando para ver las direcciones IPv4 e IPv6.

Significado

El resultado de ejemplo muestra las direcciones IPv4 e IPv6 configuradas.

Verificar la regla de origen de TDR

Propósito

Vea los detalles de la regla de origen de TDR.

Acción

Desde el modo operativo, escriba el show security nat source rule all comando para ver las reglas de origen de TDR.

Significado

El resultado de ejemplo muestra las reglas de origen de TDR configuradas.

Verificar el conjunto de fuentes de TDR

Propósito

Vea detalles del conjunto de fuentes de TDR.

Acción

Desde el modo operativo, escriba el show security nat source pool all comando para ver el conjunto de fuentes de TDR.

Significado

El resultado de ejemplo muestra el conjunto de fuentes de TDR configurado.

Verificar el resumen de origen de TDR

Propósito

Vea el resumen de origen de TDR.

Acción

Desde el modo operativo, escriba el show security nat source summary comando para ver los detalles del origen de TDR.

Significado

El resultado de ejemplo muestra los detalles del origen TDR configurado.

Verificar la tabla TDR persistente

Propósito

Vea la tabla TDR persistente.

Acción

Desde el modo operativo, escriba el show security nat source persistent-nat-table all comando para ver la tabla TDR persistente.

Significado

El resultado de ejemplo muestra la tabla TDR persistente.

Verificar las estadísticas de softwire en el dispositivo de la serie MX

Propósito

Vea las estadísticas de softwire en el dispositivo de la serie MX.

Acción

Desde el modo operativo, escriba el show services inline softwire statistics mape comando para ver las estadísticas de softwire en el dispositivo de la serie MX.

Significado

La salida de ejemplo muestra las estadísticas de softwire en el dispositivo de la serie MX.

Apéndice 1: Establecer comandos en todos los dispositivos

Establezca la salida del comando en todos los dispositivos.

Establecer comandos en el dispositivo MAP-E CE

Establecer comandos en el dispositivo BR

Apéndice 2: Muestra los resultados de la configuración en todos los dispositivos

Muestra la salida del comando en todos los dispositivos.

Mostrar comandos en el dispositivo MAP-E CE

Desde el modo de configuración, escriba los comandos , show security zones, show interfaces, show security softwiresshow routing-instancesy show security nat source para confirmar la show security policiesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Mostrar comandos en el dispositivo BR

Desde el modo de configuración, ingrese los comandos , y show routing-options para confirmar la show servicesshow interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Ejemplo: Configuración de traducciones TDR de origen y destino

En este ejemplo, se describe cómo configurar las asignaciones de TDR de origen y destino.

Requisitos

Antes de empezar:

  1. Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.

Descripción general

En este ejemplo se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 4, se realizan las siguientes traducciones en el dispositivo de seguridad de Juniper Networks:

  • La dirección IP de origen en los paquetes enviados por el dispositivo con la dirección privada 192.168.1.200 en la zona de confianza a cualquier dirección de la zona de no confianza se traduce a una dirección pública en el intervalo de 203.0.113.10 a 203.0.113.14.

  • La dirección IP de destino 203.0.113.100/32 en paquetes enviados desde la zona de confianza a la zona de no confianza se traduce a la dirección 10.1.1.200/32.

Figura 4: Traducciones Network topology with an SRX Series firewall separating Untrust Zone (203.0.113.0/24) and Trust Zone (192.168.1.0/24) with traffic flow. de TDR de origen y destino

En este ejemplo, se describen las siguientes configuraciones:

  • Conjunto src-nat-pool-1 de TDR de origen que contiene el intervalo de direcciones IP 203.0.113.10 a 203.0.113.14.

  • Conjunto de reglas rs1 de TDR de origen con regla r1 para hacer coincidir cualquier paquete de la zona de confianza a la zona de no confianza. En el src-nat-pool-1 caso de los paquetes coincidentes, la dirección de origen se traduce a una dirección IP del grupo.

  • Conjunto dst-nat-pool-1 TDR de destino que contiene la dirección IP 10.1.1.200/32.

  • Conjunto de reglas rs1 TDR de destino con reglas r1 para hacer coincidir los paquetes de la zona de confianza con la dirección IP de destino 203.0.113.100. En el caso de los paquetes coincidentes, la dirección de destino se traduce a la dirección IP del dst-nat-pool-1 grupo.

  • ARP de proxy para las direcciones 203.0.113.10 a 203.0.113.14 y 203.0.113.100/32 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esas direcciones.

  • Política de seguridad para permitir tráfico desde la zona de confianza a la zona de no confianza.

  • Política de seguridad para permitir tráfico desde la zona de no confianza a las direcciones IP de destino traducidas en la zona de confianza.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar las traducciones de TDR de origen y destino:

  1. Cree un grupo de TDR de origen.

  2. Cree un conjunto de reglas TDR de origen.

  3. Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del conjunto TDR de origen.

  4. Cree un grupo de TDR de destino.

  5. Cree un conjunto de reglas TDR de destino.

  6. Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo TDR de destino.

  7. Configure el ARP del proxy.

  8. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

  9. Configure una dirección en la libreta de direcciones global.

  10. Configure una política de seguridad que permita el tráfico desde la zona de no confianza a la zona de confianza.

Resultados

Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificar el uso del grupo de TDR de origen

Propósito

Verifique que haya tráfico mediante direcciones IP del grupo TDR de origen.

Acción

Desde el modo operativo, introduzca el show security nat source pool all comando. Vea el campo Hits de traducción para comprobar si hay tráfico utilizando direcciones IP del grupo.

Verificar el uso de reglas TDR de origen

Propósito

Compruebe que hay tráfico que coincide con la regla TDR de origen.

Acción

Desde el modo operativo, introduzca el show security nat source rule all comando. Vea el campo Resultados de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar el uso del grupo de TDR de destino

Propósito

Verifique que haya tráfico mediante direcciones IP del grupo TDR de destino.

Acción

Desde el modo operativo, introduzca el show security nat destination pool all comando. Vea el campo Hits de traducción para comprobar si hay tráfico utilizando direcciones IP del grupo.

Verificar el uso de reglas TDR de destino

Propósito

Compruebe que hay tráfico que coincide con la regla TDR de destino.

Acción

Desde el modo operativo, introduzca el show security nat destination rule all comando. Vea el campo Resultados de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar la aplicación de TDR al tráfico

Propósito

Compruebe que se está aplicando TDR al tráfico especificado.

Acción

Desde el modo operativo, introduzca el show security flow session comando.

Descripción de las reglas de TDR de origen

Las reglas de TDR de origen especifican dos capas de condiciones de coincidencia:

  • Dirección del tráfico: le permite especificar combinaciones de from interface, from zoneo to interfacefrom routing-instance y , to zoneo to routing-instance. No puede configurar los mismos from contextos para to diferentes conjuntos de reglas.

  • Información de paquetes: pueden ser direcciones IP o subredes de origen y destino, números o rangos de puertos de origen, números de puerto o rangos de puertos, protocolos o aplicaciones.

Para todo el tráfico de ALG, excepto FTP, se recomienda no utilizar la opción de source-port regla. La creación de sesiones de datos puede fallar si se usa esta opción, ya que es posible que la dirección IP y el valor del puerto de origen, que es un valor aleatorio, no coincidan con la regla.

Además, recomendamos que no utilice la opción o la opción como condiciones coincidentes para el destination-port application tráfico de ALG. Si se usan estas opciones, la traducción puede fallar porque el valor del puerto de la carga de la aplicación podría no coincidir con el valor del puerto de la dirección IP.

Si varias reglas TDR de origen se superponen en las condiciones de coincidencia, se elige la regla más específica. Por ejemplo, si las reglas A y B especifican las mismas direcciones IP de origen y destino, pero la regla A especifica el tráfico de la zona 1 a la zona 2 y la regla B especifica el tráfico de la zona 1 a la interfaz ge-0/0/0, la regla B se utiliza para realizar la TDR de origen. Se considera que una coincidencia de interfaz es más específica que una coincidencia de zona, que es más específica que una coincidencia de instancia de enrutamiento.

Las acciones que puede especificar para una regla TDR de origen son:

  • desactivado: no realice la TDR de origen.

  • pool: utilice el conjunto de direcciones definido por el usuario especificado para realizar la TDR de origen.

  • interfaz: utilice la dirección IP de la interfaz de salida para realizar la TDR de origen.

Las reglas TDR de origen se aplican al tráfico en el primer paquete que se procesa para el flujo o en la ruta rápida para el ALG. Las reglas TDR de origen se procesan después de las reglas TDR estáticas, las reglas TDR de destino y la asignación inversa de reglas TDR estáticas, y después de la búsqueda de políticas de ruta y seguridad.

Cuando las zonas no están configuradas en el conjunto de reglas y cuando el TDR de origen activo está configurado con la instrucción obligatoria faltante "from", se muestra el siguiente mensaje al realizar la confirmación "Falta la instrucción obligatoria: error 'from': error de verificación de configuración" y se produce un error en la verificación de configuración.

Ejemplo: configurar TDR de origen con varias reglas

En este ejemplo se describe cómo configurar las asignaciones de TDR de origen con varias reglas.

Requisitos

Antes de empezar:

Descripción general

En este ejemplo se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 5, se realizan las siguientes traducciones en el dispositivo de seguridad de Juniper Networks para la asignación TDR de origen para el tráfico desde la zona de confianza a las zonas de no confianza:

  • La dirección IP de origen en los paquetes enviados por las subredes 10.1.1.0/24 y 10.1.2.0/24 a cualquier dirección en la zona de no confianza se traduce a una dirección pública en el intervalo de 192.0.2.1 a 192.0.2.24 con traducción de puerto.

  • La dirección IP de origen en los paquetes enviados por la subred 192.168.1.0/24 a cualquier dirección de la zona de no confianza se traduce a una dirección pública en el intervalo de 192.0.2.100 a 192.0.2.249 sin traducción de puerto.

  • La dirección IP de origen en los paquetes enviados por el dispositivo host 192.168.1.250/32 no se traduce.

Figura 5: TDR de origen con múltiples reglas Network diagram showing SRX Series device managing NAT between private addresses 10.1.1.0/24, 10.1.2.0/24, 192.168.1.0/24, and public space 192.0.2.0/24. de traducción

En este ejemplo, se describen las siguientes configuraciones:

  • Conjunto src-nat-pool-1 de TDR de origen que contiene el intervalo de direcciones IP de 192.0.2.1 a 192.0.2.24.

  • Conjunto src-nat-pool-2 de TDR de origen que contiene el intervalo de direcciones IP de 192.0.2.100 a 192.0.2.249 con la traducción de direcciones de puerto deshabilitada.

    Cuando la traducción de direcciones de puerto está deshabilitada, el número de traducciones que el grupo TDR de origen puede admitir simultáneamente se limita al número de direcciones del grupo, a menos que la address-shared opción esté habilitada. Los paquetes se descartan si no hay direcciones disponibles en el grupo TDR de origen. Opcionalmente, puede especificar un conjunto de desbordamiento desde el cual se asignen las direcciones IP y los números de puerto cuando no haya direcciones disponibles en el conjunto TDR de origen original.

  • Conjunto de reglas rs1 de TDR de origen para hacer coincidir los paquetes de la zona de confianza con los de la zona de no confianza. El conjunto rs1 de reglas contiene varias reglas:

    • Regla r1 para hacer coincidir los paquetes con una dirección IP de origen en las subredes 10.1.1.0/24 o 10.1.2.0/24. En el src-nat-pool-1 caso de los paquetes coincidentes, la dirección de origen se traduce a una dirección IP del grupo.

    • Regla r2 para hacer coincidir paquetes con una dirección IP de origen de 192.168.1.250/32. Para los paquetes coincidentes, no se realiza ninguna traducción TDR.

    • Regla r3 para hacer coincidir los paquetes con una dirección IP de origen en la subred 192.168.1.0/24. En el src-nat-pool-2 caso de los paquetes coincidentes, la dirección de origen se traduce a una dirección IP del grupo.

      El orden de las reglas en un conjunto de reglas es importante, ya que se utiliza la primera regla del conjunto de reglas que coincida con el tráfico. Por lo tanto, la regla r2 para que coincida con una dirección IP específica debe colocarse antes de la regla r3 que coincida con la subred en la que se encuentra el dispositivo.

  • ARP de proxy para las direcciones 192.0.2.1 a 192.0.2.24 y 192.0.2.100 a 192.0.2.249 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esas direcciones.

  • Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.

Cuando configure la regla o agrupación de TDR de origen con el nombre de regla o el nombre de agrupación como interfaz o conjunto de servicios, recibirá el siguiente mensaje de error: error de sintaxis, esperando <datos>.

  • Si hay una regla TDR de origen denominada interface, la regla no se puede ver mediante el show security nat source rule interface comando.

  • Si hay una regla TDR de origen denominada service-set, la regla no se puede ver mediante el show security nat source rule service-set comando.

  • Si hay un grupo de TDR de origen denominado interface, el grupo no se puede ver mediante el show security nat source pool interface comando.

  • Si hay un grupo de TDR de origen denominado service-set, el grupo no se puede ver mediante el show security nat source pool service-set comando.

  • Si hay un grupo de TDR de origen denominado interface, no se puede ver la dirección emparejada mediante el show security nat source paired-address pool-name interface comando.

  • Si hay un grupo de TDR de origen denominado service-set, no se puede ver la dirección emparejada mediante el show security nat source paired-address pool-name service-set comando.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar varias reglas TDR de origen en un conjunto de reglas:

  1. Cree un grupo de TDR de origen.

  2. Cree un grupo de TDR de origen sin traducción de puertos.

    Para configurar un grupo de desbordamiento para src-nat-pool-2 utilizar la interfaz de salida:

  3. Cree un conjunto de reglas TDR de origen.

  4. Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo.

  5. Configure una regla para que coincida con los paquetes para los que no se ha traducido la dirección de origen.

  6. Configure una regla para hacer coincidir los paquetes y traduzca la dirección de origen a una dirección del grupo sin traducción de puertos.

  7. Configure el ARP del proxy.

  8. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

Resultados

Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificar el uso del grupo de TDR de origen

Propósito

Verifique que haya tráfico mediante direcciones IP del grupo TDR de origen.

Acción

Desde el modo operativo, introduzca el show security nat source pool all comando. Vea el campo Hits de traducción para comprobar si hay tráfico utilizando direcciones IP del grupo.

Verificar el uso de reglas TDR de origen

Propósito

Compruebe que hay tráfico que coincide con la regla TDR de origen.

Acción

Desde el modo operativo, introduzca el show security nat source rule all comando. Vea el campo Resultados de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar la aplicación de TDR al tráfico

Propósito

Compruebe que se está aplicando TDR al tráfico especificado.

Acción

Desde el modo operativo, introduzca el show security flow session comando.

Descripción de los grupos de TDR de origen

Un conjunto de TDR es un conjunto definido por el usuario de direcciones IP que se utilizan para la traducción. A diferencia de la TDR estática, en la que existe una asignación uno a uno que incluye la traducción de direcciones IP de destino en una dirección y la traducción de direcciones IP de origen en la dirección inversa, con la TDR de origen se traduce la dirección IP de origen original a una dirección IP en el conjunto de direcciones.

Para los conjuntos de direcciones de traducción de direcciones de red de origen (TDR), especifique lo siguiente:

  • Nombre del conjunto de direcciones TDR de origen.

  • Hasta 64 rangos de dirección.

    No superponga direcciones TDR para TDR de origen, TDR de destino y TDR estático dentro de una instancia de enrutamiento.

  • Instancia de enrutamiento: instancia de enrutamiento a la que pertenece el grupo (el valor predeterminado es la instancia de enrutamiento principal inet.0 ).

  • Puerto: la traducción de direcciones de puerto (PAT) de un grupo de origen. De forma predeterminada, PAT se realiza con TDR de origen. Si especifica la opción sin traducción , el número de hosts que puede admitir el grupo TDR de origen se limita al número de direcciones del grupo. Si especifica block-allocation, se asigna un bloque de puertos para la traducción, en lugar de asignarse puertos individuales. Si especifica deterministic, una dirección IP y un puerto entrantes (origen) siempre se asignan a la dirección de destino y al bloque de puerto específicos, según el algoritmo TDR determinista y predefinido. Si especifica port-overloading, puede configurar la capacidad de sobrecarga de puertos en la TDR de origen. Si especifica range, puede proporcionar el intervalo de números de puerto asociados a cada dirección del conjunto y el intervalo de puertos gemelos para los conjuntos de TDR de origen.

  • Conjunto adicional (opcional): los paquetes se descartan si no hay direcciones disponibles en el grupo TDR de origen designado. Para evitar que esto ocurra cuando se configura la opción de no traducción de puertos , puede especificar una agrupación de desbordamiento. Una vez que se agotan las direcciones del conjunto TDR de origen original, las direcciones IP y los números de puerto se asignan desde el conjunto de desbordamiento. Se puede utilizar un conjunto de TDR de origen definido por el usuario o una interfaz de salida como grupo de desbordamiento. (Cuando se utiliza el pool de desbordamiento, el ID del pool se devuelve con la dirección).

  • Cambio de dirección IP (opcional): un rango de direcciones IP de origen original se puede asignar a otro rango de direcciones IP, o a una sola dirección IP, cambiando las direcciones IP. Especifique la opción host-address-base con la dirección base del rango de direcciones IP de origen original.

  • Uso compartido de direcciones (opcional): se pueden asignar varias direcciones IP internas a la misma dirección IP externa. Esta opción solo se puede utilizar cuando el conjunto de TDR de origen está configurado sin traducción de puerto. Especifique esta address-shared opción cuando un grupo TDR de origen tenga pocas direcciones IP externas disponibles o solo una dirección IP externa. Con una asignación varios a uno, el uso de esta opción aumenta los recursos de TDR y mejora el tráfico.

  • Agrupación de direcciones (opcional): la agrupación de direcciones se puede configurar como emparejada o no emparejada. Especifique address-pooling paired para las aplicaciones que requieren que todas las sesiones asociadas con una dirección IP interna se asignen a la misma dirección IP externa mientras dure una sesión. Esto difiere de la opción, en la persistent-address que la misma dirección interna se traduce a la misma dirección externa cada vez. Especifique address-pooling no-paired para las aplicaciones a las que se les pueden asignar direcciones IP de forma rotativa. Si o address-pooling paired address-pooling no-paired está configurado para un grupo de TDR de origen con PAT, la opción de dirección persistente está deshabilitada. Si address-shared está configurado en un grupo TDR de origen sin PAT, la persistent-address opción está habilitada. Ambos address-shared y address-pooling paired se pueden configurar en el mismo grupo TDR de origen sin PAT.

  • Alarma de utilización de agrupación (opcional): cuando la opción elevar umbral está configurada para TDR de origen, se activa una captura SNMP si la utilización de agrupación de TDR de origen supera este umbral. Si se configura la opción opcional clear-threshold , se activa una captura SNMP si la utilización del conjunto de TDR de origen cae por debajo de este umbral. Si clear-threshold no está configurado, se establece de forma predeterminada en el 80 por ciento del valor de raise-threshold .

Puede utilizar el comando show security nat resource usage source pool para ver el uso de direcciones en un pool TDR de origen sin PAT y para ver el uso de puertos en un pool TDR de origen con PAT.

Descripción de las capacidades del grupo de TDR de origen

El aumento del número total de direcciones IP utilizadas para la TDR de origen, ya sea aumentando el número de agrupaciones en la configuración o aumentando la capacidad o las direcciones IP por agrupación, consume la memoria necesaria para la asignación de puertos. Cuando se alcanzan los límites del conjunto de direcciones IP y del grupo de TDR de origen, se deben reasignar los intervalos de puertos. Es decir, el número de puertos para cada dirección IP debe reducirse cuando se aumenta el número de direcciones IP y los grupos de TDR de origen. Esto garantiza que TDR no consuma demasiada memoria.

Consulte la sección Información adicional de la plataforma para obtener más información.

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas. Es posible que se admitan plataformas adicionales.

Use las range opciones y range twin-port en el nivel de [edit security nat source pool port] jerarquía para asignar un nuevo intervalo de puertos o un intervalo de puertos gemelos para un grupo específico. Utilice las pool-default-port-range opciones y las pool-default-twin-port-range opciones en el nivel de [edit security nat source] jerarquía para especificar el intervalo de puertos predeterminado global o el intervalo de puertos gemelos para todos los grupos de TDR de origen.

La configuración de la sobrecarga de puertos también debe realizarse con cuidado cuando se aumentan los grupos de TDR de origen.

Para un conjunto de fuentes con PAT dentro del rango (63.488 a 65.535), se asignan dos puertos a la vez para aplicaciones RTP/RTCP, como SIP, H.323 y RTSP. En estos escenarios, cada dirección IP admite PAT, ocupando 2048 puertos (63.488 a 65.535) para el uso del módulo ALG.

Descripción de direcciones persistentes para grupos TDR de origen

De forma predeterminada, la traducción de direcciones de puerto se realiza con TDR de origen. Sin embargo, es posible que una dirección de origen original no se traduzca a la misma dirección IP para diferentes tráficos que se originen en el mismo host. La opción TDR address-persistent de origen garantiza que se asigne la misma dirección IP desde el grupo TDR de origen a un host específico para varias sesiones simultáneas.

Esta opción difiere de la opción emparejada de agrupación de direcciones, en la que la dirección interna se asigna a una dirección externa dentro del grupo por orden de llegada y se puede asignar a una dirección externa diferente para cada sesión.

Ejemplo: Configuración de la capacidad para grupos de TDR de origen con PAT

En este ejemplo, se describe cómo configurar la capacidad de los grupos de TDR de origen con la traducción de direcciones de puerto (PAT) si no se establece un intervalo de puertos predeterminado o si desea anularlo. Las traducciones se establecen para cada dirección IP. Cuando se aumenta el conjunto de origen, se deben reasignar puertos si el número de puerto actual supera las limitaciones.

Requisitos

Antes de empezar:

  1. Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.

Descripción general

En este ejemplo, se muestra cómo configurar un conjunto PAT de 2048 direcciones IP con 32 000 puertos para cada dirección IP.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar la capacidad de un grupo de TDR de origen con PAT:

  1. Especifique un grupo de TDR de origen con PAT y un rango de direcciones IP.

  2. Especifique un intervalo de puertos predeterminado para el grupo de origen.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security nat-source-summary configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Verificar la capacidad de los grupos de TDR de origen

Propósito

Vea la información del puerto y la piscina. Las limitaciones de puertos se comprueban automáticamente, por lo que la configuración no se confirmará si se superan las limitaciones de puertos.

Acción

Desde el modo operativo, escriba el comando para ver los detalles del puerto y del show security nat source summary grupo.

Descripción de grupos de TDR de origen con agrupación de direcciones

Cuando un host inicia varias sesiones que coinciden con una política que requiere TDR y se le asigna una dirección IP de un grupo de origen que tiene habilitada la traducción de direcciones de puerto, se utiliza una dirección IP de origen diferente para cada sesión.

Dado que algunas aplicaciones requieren la misma dirección IP de origen para cada sesión, puede utilizar la address-pooling paired función para permitir que todas las sesiones asociadas con una dirección IP interna se asignen a la misma dirección IP externa mientras duren las sesiones. Cuando finalizan las sesiones, cesa la asignación entre la dirección IP interna y la dirección IP externa. La próxima vez que el host inicie una sesión, es posible que se le asigne una dirección IP diferente de la del grupo.

Esto difiere de la función TDR address-persistent de origen, que mantiene la asignación estática; la misma dirección IP interna se asigna a la misma dirección IP externa cada vez. También difiere de la address-persistent función en que address-pooling paired está configurada para un grupo específico. La address-persistent función es una configuración global que se aplica a todos los grupos de origen.

Descripción de los grupos de TDR de origen con cambio de dirección

Las condiciones de coincidencia para un conjunto de reglas TDR de origen no permiten especificar un rango de direcciones; Solo se pueden especificar prefijos de dirección en una regla. Al configurar un grupo TDR de origen, puede especificar la host-base-address opción; esta opción especifica la dirección IP en la que comienza el intervalo de direcciones IP de origen original.

El rango de direcciones IP de origen originales que se traducen está determinado por el número de direcciones en el conjunto de TDR de origen. Por ejemplo, si el conjunto TDR de origen contiene un rango de diez direcciones IP, se pueden traducir hasta diez direcciones IP de origen originales, empezando por una dirección base especificada. Este tipo de traducción es individual, estática y sin traducción de direcciones de puerto.

La condición de coincidencia en una regla TDR de origen puede definir un rango de direcciones mayor que el especificado en el conjunto TDR de origen. Por ejemplo, una condición de coincidencia puede especificar un prefijo de dirección que contenga 256 direcciones, pero el grupo TDR de origen puede contener un intervalo de solo unas pocas direcciones IP o solo una dirección IP. La dirección IP de origen de un paquete puede coincidir con una regla TDR de origen, pero si la dirección IP de origen no está dentro del intervalo de direcciones especificado en el conjunto TDR de origen, la dirección IP de origen no se traduce.

Ejemplo: Configuración de grupos de TDR de origen con cambio de dirección

En este ejemplo se describe cómo configurar una asignación TDR de origen de un rango de direcciones privadas a direcciones públicas, con cambio de dirección opcional. Esta asignación es uno a uno entre las direcciones IP de origen originales y las direcciones IP traducidas.

Las condiciones de coincidencia para un conjunto de reglas TDR de origen no permiten especificar un rango de direcciones; Solo se pueden especificar prefijos de dirección en una regla. Al configurar un grupo de TDR de origen, puede especificar la opción; esta opción especifica la dirección IP en la que comienza el intervalo de direcciones IP de origen original y deshabilita la traducción de host-base-address puertos.

El rango de direcciones IP de origen originales que se traducen está determinado por el número de direcciones en el conjunto de TDR de origen. Por ejemplo, si el conjunto TDR de origen contiene un rango de diez direcciones IP, se pueden traducir hasta diez direcciones IP de origen originales, empezando por una dirección base especificada.

La condición de coincidencia en una regla TDR de origen puede definir un rango de direcciones mayor que el especificado en el conjunto TDR de origen. Por ejemplo, una condición de coincidencia puede especificar un prefijo de dirección que contenga 256 direcciones, pero el conjunto TDR de origen contiene un intervalo de solo diez direcciones IP. La dirección IP de origen de un paquete puede coincidir con una regla TDR de origen, pero si la dirección IP de origen no está dentro del intervalo de direcciones especificado en el conjunto TDR de origen, la dirección IP de origen no se traduce.

Requisitos

Antes de empezar:

Descripción general

En este ejemplo se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 6, un rango de direcciones privadas en la zona de confianza se asigna a un rango de direcciones públicas en la zona de no confianza. En el caso de los paquetes enviados desde la zona de confianza a la zona de no confianza, una dirección IP de origen en el intervalo de 192.168.1.10/32 a 192.168.1.20/32 se traduce a una dirección pública en el intervalo de 203.0.113.30/32 a 203.0.113.40/32.

Figura 6: TDR de origen con cambio de Network topology with Juniper SRX performing NAT: Internet cloud with public IPs, SRX device linking Trust Zone private IPs to public, and NAT table mapping private to public IPs. dirección

En este ejemplo, se describen las siguientes configuraciones:

  • Conjunto src-nat-pool-1 de TDR de origen que contiene el intervalo de direcciones IP 203.0.113.30/32 a 203.0.113.40/32. Para este grupo, el principio del intervalo de direcciones IP de origen original es 192.168.1.10/32 y se especifica con la host-address-base opción.

  • Conjunto de reglas rs1 de TDR de origen con regla r1 para hacer coincidir paquetes de la zona de confianza a la zona de no confianza con una dirección IP de origen en la subred 192.168.1.0/24. Para los paquetes coincidentes que se encuentran dentro del intervalo de direcciones IP de origen especificado por la src-nat-pool-1 configuración, la dirección de origen se traduce a la dirección IP del src-nat-pool-1 grupo.

  • ARP de proxy para las direcciones 203.0.113.30/32 a 203.0.113.40/32 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esa dirección.

  • Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar una asignación TDR de origen con cambio de dirección:

  1. Cree un grupo de TDR de origen.

  2. Especifique el principio del rango de direcciones IP de origen original.

  3. Cree un conjunto de reglas TDR de origen.

  4. Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo.

  5. Configure el ARP del proxy.

  6. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

Resultados

Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificar el uso del grupo de TDR de origen

Propósito

Verifique que haya tráfico mediante direcciones IP del grupo TDR de origen.

Acción

Desde el modo operativo, introduzca el show security nat source pool all comando. Vea el campo Hits de traducción para comprobar si hay tráfico utilizando direcciones IP del grupo.

Verificar el uso de reglas TDR de origen

Propósito

Compruebe que hay tráfico que coincide con la regla TDR de origen.

Acción

Desde el modo operativo, introduzca el show security nat source rule all comando. Vea el campo Resultados de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar la aplicación de TDR al tráfico

Propósito

Compruebe que se está aplicando TDR al tráfico especificado.

Acción

Desde el modo operativo, introduzca el show security flow session comando.

Descripción de grupos de TDR de origen con PAT

Con el uso del grupo de origen con traducción de direcciones de puerto (PAT), Junos OS traduce tanto la dirección IP de origen como el número de puerto de los paquetes. Cuando se usa PAT, varios hosts pueden compartir la misma dirección IP.

Junos OS mantiene una lista de números de puerto asignados para distinguir qué sesión pertenece a qué host. Cuando PAT está habilitado, hasta 63.488 hosts pueden compartir una sola dirección IP. Cada grupo de fuentes puede contener varias direcciones IP, varios rangos de direcciones IP o ambos. Para un grupo de fuentes con PAT, Junos OS puede asignar direcciones diferentes a un único host para diferentes sesiones simultáneas, a menos que el grupo de origen o Junos OS tengan habilitada la función de direcciones persistentes o la función de agrupación de direcciones emparejadas.

Para el conjunto de fuentes de interfaces y el conjunto de fuentes con PAT, el intervalo (1024, 65535) está disponible para la asignación de números de puerto por dirección IP. Dentro del alcance (1024, 63487) se asigna un puerto a la vez, para un total de 62.464 puertos. En el rango (63488, 65535), se asignan dos puertos a la vez para aplicaciones RTP/RTCP como SIP, H.323 y RTSP, para un total de 2.048 puertos.

Cuando un host inicia varias sesiones que coinciden con una política que requiere traducción de direcciones de red y se le asigna una dirección de un grupo de origen que tiene PAT habilitada, el dispositivo asigna una dirección IP de origen diferente para cada sesión. Esta asignación aleatoria de direcciones puede ser problemática para los servicios que crean varias sesiones y que requieren la misma dirección IP de origen para cada sesión. Por ejemplo, es importante tener la misma dirección IP para varias sesiones cuando se utiliza el cliente de mensajes instantáneos de AOL (AIM).

Para asegurarse de que el enrutador asigna la misma dirección IP de un grupo de origen a un host para varias sesiones simultáneas, puede habilitar una dirección IP persistente por enrutador. Para asegurarse de que el dispositivo asigna la misma dirección IP de un grupo de origen a un host durante una sola sesión, puede habilitar la agrupación de direcciones emparejada.

Ejemplo: Configuración de TDR de origen para varias direcciones con PAT

En este ejemplo se describe cómo configurar una asignación TDR de origen de un bloque de direcciones privado a un bloque de direcciones públicas más pequeño mediante la traducción de direcciones de puerto.

Requisitos

Antes de empezar:

  1. Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.

Descripción general

En este ejemplo se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 7, la dirección IP de origen en los paquetes enviados desde la zona de confianza a la zona de no confianza se asigna a un bloque más pequeño de direcciones públicas en el intervalo comprendido entre 203.0.113.1/32 y 203.0.113.24/32. Dado que el tamaño del conjunto de direcciones TDR de origen es menor que el número de direcciones potenciales que podrían necesitar traducirse, se utiliza la traducción de direcciones de puerto.

La traducción de direcciones de puerto incluye un número de puerto de origen con la asignación de direcciones IP de origen. Esto permite que varias direcciones en una red privada se asignen a una cantidad menor de direcciones IP públicas. La traducción de direcciones de puerto está habilitada de forma predeterminada para los grupos de TDR de origen.

Figura 7: Múltiples direcciones de TDR de origen con PAT Network topology with Juniper SRX device performing NAT: Internet via ge-0/0/0, public IP 203.0.113.0/24. Trust Zone subnets 10.1.1.0/24, 10.1.2.0/24, 192.168.2.0/24. NAT translates to 203.0.113.1 using PAT.

En este ejemplo, se describen las siguientes configuraciones:

  • Conjunto src-nat-pool-1 de TDR de origen que contiene el intervalo de direcciones IP 203.0.113.1/32 a 203.0.113.24/32.

  • Regla TDR de origen establecida rs1 para hacer coincidir todos los paquetes de la zona de confianza a la zona de no confianza. Para los paquetes coincidentes, la dirección IP de origen se traduce a una dirección IP en el src-nat-pool-1 grupo.

  • ARP de proxy para las direcciones 203.0.113.1/32 a 203.0.113.24/32 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esas direcciones.

  • Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar una asignación de TDR de origen desde un bloque de direcciones privado a un bloque de direcciones públicas más pequeño mediante PAT:

  1. Cree un grupo de TDR de origen.

  2. Cree un conjunto de reglas TDR de origen.

  3. Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo.

  4. Configure el ARP del proxy.

  5. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

Resultados

Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificar el uso del grupo de TDR de origen

Propósito

Verifique que haya tráfico mediante direcciones IP del grupo TDR de origen.

Acción

Desde el modo operativo, introduzca el show security nat source pool all comando. Vea el campo Hits de traducción para comprobar si hay tráfico utilizando direcciones IP del grupo.

Verificar el uso de reglas TDR de origen

Propósito

Compruebe que hay tráfico que coincide con la regla TDR de origen.

Acción

Desde el modo operativo, introduzca el show security nat source rule all comando. Vea el campo Resultados de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar la aplicación de TDR al tráfico

Propósito

Compruebe que se está aplicando TDR al tráfico especificado.

Acción

Desde el modo operativo, introduzca el show security flow session comando.

Descripción de los grupos de TDR de origen sin PAT

Cuando se define un grupo de fuentes, Junos OS habilita la PAT de forma predeterminada. Para deshabilitar la PAT, no debe especificar ninguna traducción de puerto al definir un grupo de origen.

Cuando se utiliza un grupo de fuentes sin PAT, Junos OS realiza la traducción de direcciones de red de origen para la dirección IP sin realizar PAT para el número de puerto de origen. En el caso de las aplicaciones que requieren que un número de puerto de origen determinado permanezca fijo, debe usar el grupo de origen sin PAT.

El grupo de origen puede contener varias direcciones IP, varios rangos de direcciones IP o ambos. Para el grupo de fuentes sin PAT, Junos OS asigna una dirección de origen traducida al mismo host para todas sus sesiones simultáneas, a menos que la opción agrupación de direcciones sin emparejamiento esté habilitada.

El número de hosts que puede admitir un grupo de TDR de origen sin PAT se limita al número de direcciones del grupo. Cuando tiene un grupo con una sola dirección IP, solo se puede admitir un host y el tráfico de otros hosts se bloquea porque no hay recursos disponibles. Si se configura una sola dirección IP para un grupo TDR de origen sin PAT cuando la asignación de recursos TDR no está en modo de copia de seguridad activa en un clúster de chasis, se bloqueará el tráfico que pasa por el nodo 1.

Se calcula la utilización del grupo para cada grupo de origen sin PAT. Puede activar la alarma de utilización del grupo configurando umbrales de alarma. Se activa una trampa de SNMP cada vez que la utilización del conjunto supera un umbral y desciende por debajo de un umbral.

Si una regla TDR estática es para la traducción de IP uno a uno, evite dividir la regla en una regla de destino y una regla de origen cuando se utilice un conjunto sin PAT de origen sin uso compartido de direcciones. Si elige dividir la regla, tendrá que usar pat-pool de origen con IP única o grupo de origen sin pat con IP múltiple.

Ejemplo: Configuración de una única dirección IP en un conjunto de TDR de origen sin PAT

En este ejemplo se describe cómo configurar un bloque de direcciones privado para una única dirección pública en un conjunto TDR de origen sin traducción de direcciones de puerto.

PAT está habilitada de forma predeterminada para los grupos de TDR de origen. Cuando PAT está deshabilitado, el número de traducciones que el grupo TDR de origen puede admitir simultáneamente se limita al número de direcciones del grupo. Los paquetes se descartan si no hay direcciones disponibles en el grupo TDR de origen. Sin embargo, al usar esta address-shared opción, puede asignar más de una dirección IP privada a una única dirección IP pública, siempre que el tráfico provenga de diferentes puertos de origen.

Requisitos

Antes de empezar:

  1. Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.

Descripción general

En este ejemplo se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. La dirección IP de origen de los paquetes enviados desde la zona de confianza a la zona de no confianza se asignan a una única dirección pública.

En este ejemplo, se describen las siguientes configuraciones:

  • Conjunto src-nat-pool-1 TDR de origen que contiene la dirección IP 203.0.113.1/30. La port no-translation opción y la address shared opción se especifican para el grupo.

  • Regla TDR de origen establecida rs1 para hacer coincidir todos los paquetes de la zona de confianza a la zona de no confianza. Para los paquetes coincidentes, la dirección IP de origen se traduce a una dirección IP en el src-nat-pool-1 grupo.

  • Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar una asignación de TDR de origen desde un bloque de direcciones privado a una única dirección pública sin PAT:

  1. Cree un grupo de TDR de origen con una única dirección IP para la dirección compartida.

    Especifique la port no-translation opción.

  2. Especifique la address-shared opción.

  3. Cree un conjunto de reglas TDR de origen.

  4. Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo.

  5. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

Resultados

Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security nat source pool configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificar dirección compartida

Propósito

Verifique que dos direcciones IP internas, con diferentes puertos de origen, comparten una dirección IP externa.

Acción

Desde el modo operativo, introduzca el show security nat source pool comando. Vea el campo Asignación de dirección para comprobar que se comparte.

Verificar la aplicación de direcciones compartidas al tráfico

Propósito

Verifique que dos sesiones estén usando la misma dirección IP.

Acción

Desde el modo operativo, introduzca el show security flow session comando.

Ejemplo: Configuración de varias direcciones en un grupo TDR de origen sin PAT

En este ejemplo se describe cómo configurar una asignación TDR de origen de un bloque de direcciones privado a un bloque de direcciones públicas más pequeño sin traducción de direcciones de puerto.

La traducción de direcciones de puerto está habilitada de forma predeterminada para los grupos de TDR de origen. Cuando la traducción de direcciones de puerto está deshabilitada, la cantidad de traducciones que el grupo de TDR de origen puede admitir simultáneamente se limita a la cantidad de direcciones en el grupo. Los paquetes se descartan si no hay direcciones disponibles en el grupo TDR de origen. Opcionalmente, puede especificar un conjunto de desbordamiento desde el cual se asignen las direcciones IP y los números de puerto cuando no haya direcciones disponibles en el conjunto TDR de origen original.

Requisitos

Antes de empezar:

  1. Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.

Descripción general

En este ejemplo se utiliza la zona de seguridad de confianza para el espacio de direcciones privadas y la zona de seguridad de no confianza para el espacio de direcciones públicas. En la Figura 8, la dirección IP de origen en los paquetes enviados desde la zona de confianza a la zona de no confianza se asigna a un bloque más pequeño de direcciones públicas en el intervalo de 203.0.113.1/32 a 203.0.113.24/32.

Figura 8: Múltiples direcciones de TDR de origen sin PAT Network topology with SRX Series device connecting a Trust zone to the Untrust zone. Internet cloud labeled Internet with public IP 203.0.113.0/24. SRX performs NAT translating Trust zone subnets 10.1.1.0/24, 10.1.2.0/24, and 192.168.1.0/24 to public IP 203.0.113.1.

En este ejemplo, se describen las siguientes configuraciones:

  • Conjunto src-nat-pool-1 de TDR de origen que contiene el intervalo de direcciones IP 203.0.113.1/32 a 203.0.113.24/32. La port no-translation opción se especifica para el grupo.

  • Regla TDR de origen establecida rs1 para hacer coincidir todos los paquetes de la zona de confianza a la zona de no confianza. Para los paquetes coincidentes, la dirección IP de origen se traduce a una dirección IP en el src-nat-pool-1 grupo.

  • ARP de proxy para las direcciones 203.0.113.1/32 a 203.0.113.24/32 en la interfaz ge-0/0/0.0. Esto permite que el dispositivo de seguridad de Juniper Networks responda a las solicitudes ARP recibidas en la interfaz para esas direcciones.

  • Políticas de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar una asignación de TDR de origen desde un bloque de direcciones privado a un bloque de direcciones públicas más pequeño sin PAT:

  1. Cree un grupo de TDR de origen.

  2. Especifique la port no-translation opción.

  3. Cree un conjunto de reglas TDR de origen.

  4. Configure una regla que coincida con los paquetes y traduzca la dirección de origen a una dirección del grupo.

  5. Configure el ARP del proxy.

  6. Configure una política de seguridad que permita el tráfico desde la zona de confianza a la zona de no confianza.

Resultados

Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificar el uso del grupo de TDR de origen

Propósito

Verifique que haya tráfico mediante direcciones IP del grupo TDR de origen.

Acción

Desde el modo operativo, introduzca el show security nat source pool all comando. Vea el campo Hits de traducción para comprobar si hay tráfico utilizando direcciones IP del grupo.

Verificar el uso de reglas TDR de origen

Propósito

Compruebe que hay tráfico que coincide con la regla TDR de origen.

Acción

Desde el modo operativo, introduzca el show security nat source rule all comando. Vea el campo Resultados de traducción para comprobar si hay tráfico que coincida con la regla.

Verificar la aplicación de TDR al tráfico

Propósito

Compruebe que se está aplicando TDR al tráfico especificado.

Acción

Desde el modo operativo, introduzca el show security flow session comando.

Descripción de direcciones compartidas en grupos de TDR de origen sin PAT

Los grupos de TDR de origen sin traducción de direcciones de puerto realizan asignaciones estáticas uno a uno desde una dirección IP de origen a una dirección IP externa. Cuando solo hay una dirección IP externa, o muy pocas disponibles en un grupo de origen sin PAT , la address-shared opción le permite asignar muchas direcciones IP de origen a una dirección IP externa, siempre y cuando el tráfico provenga de diferentes puertos de origen.

Por ejemplo, si hay un grupo TDR de origen sin traducción de puertos que contiene solo dos direcciones IP, IP 1 e IP 2, cuando un paquete llega desde

  1. Origen IP 1, puerto 1, se traduce a IP 1, puerto 1.

  2. IP fuente 2, puerto 2, se traduce a IP 2, puerto 2.

  3. Origen IP 3, puerto 1, se traduce a IP 2, puerto 1. (No se puede traducir al puerto IP 1 porque ese puerto ya se usa.

    Sin embargo, si otro paquete llega desde el puerto IP 3 de origen para una IP y puerto de destino diferentes, no se puede traducir a IP 1, puerto 1 o IP 2, puerto 1 porque el puerto 1 ya se usa para ambas direcciones IP disponibles. Se producirá un error en la sesión.

Esta opción aumenta los recursos de TDR y mejora la posibilidad de configurar correctamente el tráfico traducido. No se puede utilizar en grupos TDR de origen con traducción de direcciones de puerto, ya que el uso compartido de direcciones ya es su comportamiento predeterminado.

Descripción de la persistencia de la sesión de TDR

Traducción de direcciones de red (TDR) La persistencia de la sesión proporciona un medio para conservar las sesiones existentes, en lugar de borrarlas, cuando hay cambios en la configuración de TDR. Si la persistencia de sesión está habilitada, las sesiones retenidas seguirán procesando y reenviando paquetes a medida que el tiempo y los recursos se utilicen de forma óptima para reconstruir las sesiones afectadas. Por lo tanto, el reenvío de paquetes no se detiene incluso si se cambia la configuración de TDR para algunas o todas las sesiones.

A partir de la versión 18.3R1 de Junos OS, con el soporte para la persistencia de sesión TDR, el motor de reenvío de paquetes analiza las sesiones y decide si las mantiene o las borra. En las versiones anteriores a Junos OS versión 18.3R1, las sesiones TDR se borran si hay un cambio en la configuración de TDR.

El motor de reenvío de paquetes realiza los dos tipos siguientes de análisis para decidir si se conservan o se descartan las sesiones:

  • Source NAT pool session persistence scan: el motor de reenvío de paquetes compara la dirección IP de sesión existente con el intervalo de direcciones del grupo de origen. Si la dirección IP de la sesión existente se encuentra en el intervalo de direcciones del grupo de origen especificado, la sesión se mantiene viva, de lo contrario, la sesión se borra.

  • Source NAT rule session persistence scan: el motor de reenvío de paquetes utiliza el ID de regla para comparar la dirección IP de origen, el puerto de origen, la dirección IP de destino y el puerto de destino entre las configuraciones antigua y nueva. Si las configuraciones nuevas y antiguas son las mismas, la sesión se mantiene viva, de lo contrario, la sesión se borra.

La persistencia de sesión de TDR no se admite para TDR estático y TDR de destino.

La persistencia de la sesión TDR no se admite si el conjunto de PAT está configurado con los campos dirección persistente, agrupación de direcciones emparejada, dirección de origen persistente, asignación de bloque de puerto, determinista de puerto, NAT persistente y factor de sobrecarga de puerto.

La persistencia de la sesión TDR solo se admite para la TDR de origen en los siguientes escenarios:

  • Grupo de origen: cambio en un rango de direcciones en un grupo de traducción de direcciones de puerto (PAT).

  • Regla de origen: cambio en las condiciones de coincidencia de la libreta de direcciones, la aplicación, la dirección IP de destino, el puerto de destino, la dirección IP de origen y la información del puerto de destino.

Para habilitar el análisis de persistencia de sesión TDR, incluya la session-persistence-scan instrucción en el nivel de [edit security nat source] jerarquía.

También puede configurar un valor de tiempo de espera para conservar las sesiones durante el período de tiempo especificado mediante el comando de la set security nat source session-drop-hold-down CLI. El valor de la session-drop-hold-down opción oscila entre 30 y 28.800 segundos (ocho horas). La sesión caduca después del período de tiempo de espera configurado.

Limitaciones de la persistencia de la sesión de TDR

  • Cuando hay un cambio en las direcciones IP en el grupo de origen de TDR, las direcciones IP recién configuradas se anexan al grupo de origen de TDR. Después de volver a generar el conjunto de fuentes TDR, las nuevas direcciones IP no son las mismas que las direcciones IP existentes. Las diferencias en las direcciones IP del grupo de origen de TDR afectan al modo round-robin de selección de direcciones IP del grupo de origen de TDR.

  • Si los tipos de análisis identifican sesiones que nunca se agotarán el tiempo de espera (es decir, las sesiones para las que el session-drop-hold-down valor no está configurado o está configurado como 8 horas), el motor de reenvío de paquetes omite esas sesiones y las sesiones se conservan.

Configure el tamaño de asignación de bloques de puerto

Antes de empezar:

Puede configurar la asignación segura de bloques de puertos, que asigna bloques de puertos a un suscriptor de TDR. Con la asignación de bloques de puertos, generamos un registro syslog por cada conjunto de puertos asignados para un suscriptor. Utilice este procedimiento para configurar el tamaño de asignación de bloques de puertos.

  1. Configure las direcciones IPv4.
  2. Configure el valor del puerto inicial y final.
  3. Configure el tamaño de asignación de bloques de puerto.

    Si configura un tamaño de asignación de bloque de puerto superior a 8, el sistema mostrará el mensaje warning: To save system memory, the block size is recommended to be no less than 8de advertencia.

  4. Configure el tiempo del intervalo de registro provisional.
  5. Configure el valor de tiempo de espera del último bloque de puerto.
  6. Confirmar la configuración
  7. Compruebe el valor de salida para configured block-size.

Configuración del tiempo de espera de la sesión de TDR y del análisis de persistencia de la sesión de TDR

En esta configuración, se muestra cómo configurar el tiempo de espera de la sesión TDR y la persistencia de la sesión TDR.

Configuring NAT Session Hold Timeout

En la siguiente configuración, se muestra cómo configurar el tiempo de espera de retención de sesión de TDR.

  • Para establecer el período de tiempo de espera de retención de sesión de TDR:

    El valor de la variable de tiempo oscila entre 30 y 28.800 segundos (ocho horas). La sesión caduca después del período de tiempo de espera configurado.

Results

Desde el modo de configuración, ingrese el comando para confirmar la show security configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Configuring NAT Session Persistence Scan

En la siguiente configuración, se muestra cómo configurar el análisis de persistencia de sesión de TDR.

  • Para habilitar el análisis de persistencia de sesión de TDR:

Results

Desde el modo de configuración, ingrese el comando para confirmar la show security configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Descripción de la comprobación de la configuración de TDR en interfaces de salida después del reenrutamiento

La configuración de la traducción de direcciones de red (TDR) a menudo cambia para dar cabida a más usuarios y mejorar la ruta más corta para transferir el tráfico. Si se produce un cambio en la interfaz de salida debido al reenrutamiento del tráfico, puede utilizar el set security flow enable-reroute-uniform-link-check nat comando para conservar la configuración y la regla de TDR existentes.

Cuando el enable-reroute-uniform-link-check nat comando está habilitado:

  • La sesión se conserva con la regla TDR existente si la interfaz de salida nueva y la interfaz de salida anterior se encuentran en la misma zona de seguridad y no hay ningún cambio en la regla TDR coincidente o si no se aplica ninguna regla antes y después del reenrutamiento.

  • La sesión caduca si la interfaz de salida nueva y la interfaz de salida anterior se encuentran en la misma zona de seguridad y se cambia la regla TDR coincidente.

Cuando el enable-reroute-uniform-link-check nat comando está deshabilitado:

  • El tráfico se reenvía a la nueva interfaz de salida si la nueva interfaz de salida y la interfaz de salida anterior se encuentran en la misma zona de seguridad.

Configuration

Para habilitar la configuración TDR para una sesión existente cuando hay un cambio en la interfaz de salida debido al reenrutamiento, utilice el siguiente comando:

[edit] user@host# set security flow enable-reroute-uniform-link-check natLa nueva configuración se aplica cuando se confirman los cambios de configuración.

Está enable-reroute-uniform-link-check nat command deshabilitado de forma predeterminada.

Limitations

Conservar la configuración de TDR mediante el set security flow enable-reroute-uniform-link-check nat comando tiene las siguientes limitaciones:

  • La sincronización TCP no permite que la nueva sesión transfiera el tráfico. Debe deshabilitar la sincronización TCP para permitir la transferencia de tráfico en sesiones nuevas.

  • La información del paquete podría perderse si se inicia el reenrutamiento después de un apretón de manos de tres vías para inicializar la comunicación. Debe deshabilitar el marco de servicios de Junos OS (JSF) como puerta de enlace de capa de aplicación (ALG) para permitir la transferencia de tráfico en sesiones nuevas.

Información adicional de la plataforma

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas. Es posible que se admitan plataformas adicionales.

Pool/PAT, capacidad máxima de dirección , SRX300, SRX320, SRX650 , SRX340, SRX345

SRX1400, SRX1500

SRX3400, SRX3600,SRX4100, SRX4200

SRX4700

SRX5400, SRX5600,SRX5800

Grupos TDR de origen

1024

2048

8192

10,240

30720

12,288

Direcciones IP que admiten traducción de puertos

1024

2048

8192

12,288

1048576

1 millón

Número de puerto PAT

64 millones

64 millones

256 millones

384 millones

2576 millones

384 millones

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
20.3R1
A partir de Junos OS versión 20.3R1, puede configurar el tamaño de asignación de bloques de puerto en SRX300, SRX320, SRX340, SRX345, SRX380, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600. Para ahorrar memoria del sistema, el tamaño recomendado de asignación de bloques de puerto es 64. Si configura un tamaño de asignación de bloque de puerto inferior a 64, el sistema mostrará el mensaje warning: To save system memory, the block size is recommended to be no less than 64de advertencia.
17.4R1
A partir de la versión 17.4R1 de Junos OS, los recursos TDR de origen gestionados por la arquitectura de punto central se descargaron en las SPU cuando el número de SPC es superior a cuatro, lo que da como resultado una asignación de recursos más eficaz.
15,1 X 49-D30
A partir de Junos OS versión 15.1X49-D30 y Junos OS versión 17.3R1, la arquitectura de punto central para TDR se mejoró para manejar una mayor capacidad de sesión del sistema y una mayor velocidad de aceleración de sesiones para la línea SRX5000. Por lo tanto, la carga de trabajo en el punto central se reduce para aumentar la capacidad de la sesión y admitir más sesiones para lograr conexiones por segundo (CPS) más altas.
15,1 X 49-D30
A partir de Junos OS versión 15.1X49-D30 y Junos OS versión 17.3R1, puede mejorar aún más el rendimiento y la transferencia de datos de TDR en dispositivos de la línea SRX5000 mediante el modo de "afinidad de sesión".
12,3 X 48-D40
En la versión 12.3X48-D40 y en la versión 15.1X49-D60 y versiones posteriores, puede aumentar la capacidad del puerto TDR de origen a 2,4G en dispositivos SRX5400, SRX5600 y SRX5800 con tarjetas de procesamiento de servicios (SPC) de última generación mediante la port-scaling-enlargement instrucción en el nivel de jerarquía [ edit security nat source] admitido