EN ESTA PÁGINA
Descripción de los servicios públicos de recorrido de sesión para el protocolo TDR (STUN)
Descripción de la traducción persistente de prefijo IPv6 a dirección IPv4 de NAT64
Descripción general de la configuración de TDR y NAT64 persistente
Ejemplo: Configuración de grupos de NAT64 persistentes de direcciones
Ejemplo: Configuración del filtrado dependiente de la dirección para clientes IPv6
Ejemplo: Configuración del filtrado independiente del punto de conexión para clientes IPv6
Ejemplo: Establecer el número máximo de enlaces TDR persistentes
Comportamiento de soporte de enlace TDR persistente específico de la plataforma
TDR y NAT64 persistentes
Se sabe que los traductores de direcciones de red (NAT) causan problemas muy importantes con las aplicaciones que llevan direcciones IP en la carga útil. Las aplicaciones que sufren este problema incluyen VoIP y Multimedia Over IP. El TDR persistente mejora el comportamiento de NAT y define un conjunto de comportamientos de requisitos de TDR que son útiles para el funcionamiento de las aplicaciones de VOIP. NAT64 es un mecanismo de traducción que se utiliza para traducir paquetes IPv6 a paquetes IPv4 y viceversa mediante la traducción de los encabezados de los paquetes de acuerdo con el algoritmo de traducción IP/ICMP.
Descripción de TDR y NAT64 persistentes
La TDR persistente permite que las aplicaciones usen el protocolo de Servicios públicos de recorrido de sesión para TDR (STUN) al pasar por firewalls TDR. La TDR persistente garantiza que todas las solicitudes desde la misma dirección de transporte interno (dirección IP interna y puerto) se asignen a la misma dirección de transporte reflexivo (la dirección IP pública y el puerto creados por el dispositivo TDR más cercano al servidor STUN).
NAT64 es un mecanismo para traducir paquetes IPv6 a paquetes IPv4 y viceversa que permite a los clientes IPv6 ponerse en contacto con servidores IPv4 mediante UDP de unidifusión, TCP o ICMP. Es una mejora de la Traducción de direcciones de red-Traducción de protocolos (TDR-PT).
NAT64 admite lo siguiente:
-
Asignaciones independientes de puntos de conexión
-
Filtrado independiente del punto de conexión y filtrado dependiente de la dirección
Los comportamientos de mapeo y filtrado de NAT64 y TDR persistente son idénticos.
Se pueden configurar los siguientes tipos de TDR persistente en el dispositivo de Juniper Networks:
-
Cualquier host remoto: todas las solicitudes de un puerto y una dirección IP internos específicos se asignan a la misma dirección de transporte reflexivo. Cualquier host externo puede enviar un paquete al host interno enviando el paquete a la dirección de transporte reflexiva.
-
Host de destino: todas las solicitudes de una dirección IP y un puerto internos específicos se asignan a la misma dirección de transporte reflexivo. Un host externo puede enviar un paquete a un host interno enviando el paquete a la dirección de transporte reflexivo. El host interno debe haber enviado previamente un paquete a la dirección IP del host externo.
-
Puerto host de destino: todas las solicitudes de una dirección IP interna específica y un puerto se asignan a la misma dirección de transporte reflexivo. Un host externo puede enviar un paquete a un host interno enviando el paquete a la dirección de transporte reflexivo. El host interno debe haber enviado previamente un paquete a la dirección IP y al puerto del host externo.
La configuración target-host-port no se admite para NAT64 cuando se configura con dirección IPv6.
Puede configurar cualquiera de los tipos de TDR persistentes con reglas de TDR de origen. La acción de la regla TDR de origen puede utilizar un grupo TDR de origen (con o sin traducción de puertos) o una interfaz de salida. El TDR persistente no se aplica al TDR de destino, ya que los enlaces de TDR persistentes se basan en sesiones salientes de internas a externas.
La sobrecarga de puertos se utiliza en Junos OS solo para el tráfico TDR de interfaz normal. La TDR persistente no admite la sobrecarga de puertos y debe deshabilitar explícitamente la sobrecarga de puertos con una de las siguientes opciones en el nivel de jerarquía [edit security nat source]:
-
Sobrecarga de puerto desactivada
-
factor de sobrecarga de puerto 1
Para configurar políticas de seguridad a fin de permitir o denegar el tráfico TDR persistente, puede utilizar dos nuevos servicios predefinidos:junos-stun y junos-persistent-nat.
La TDR persistente es diferente de la función de dirección persistente (consulte Descripción de direcciones persistentes para grupos de TDR de origen). La función de dirección persistente se aplica a las asignaciones de direcciones para grupos de TDR de origen configurados en el dispositivo. La función TDR persistente se aplica a las asignaciones de direcciones en un dispositivo TDR externo y está configurada para un grupo TDR de origen específico o una interfaz de salida. Además, el TDR persistente está diseñado para usarse con aplicaciones cliente/servidor STUN.
Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas.
Revise la sección Comportamiento de soporte de enlace de TDR persistente específico de la plataforma para obtener notas relacionadas con su plataforma.
Descripción de los servicios públicos de recorrido de sesión para el protocolo TDR (STUN)
Muchas aplicaciones de video y voz no funcionan correctamente en un entorno TDR. Por ejemplo, el protocolo de inicio de sesión (SIP), utilizado con VoIP, codifica direcciones IP y números de puerto dentro de los datos de la aplicación. Si existe un firewall TDR entre el solicitante y el receptor, la traducción de la dirección IP y el número de puerto en los datos invalida la información.
Además, un firewall TDR no mantiene un orificio para los mensajes SIP entrantes. Esto obliga a la aplicación SIP a actualizar constantemente el orificio con mensajes SIP o usar un ALG para rastrear el registro, una función que puede o no ser compatible con el dispositivo de puerta de enlace.
El protocolo de Servicios públicos de recorrido de sesión para TDR (STUN), definido por primera vez en RFC 3489, Recorrido simple del protocolo de datagramas de usuario (UDP) a través de traductores de direcciones de red (NAT) y luego en RFC 5389, Servicios públicos de recorrido de sesión para TDR, es un protocolo cliente/servidor simple. Un cliente STUN envía solicitudes a un servidor STUN, que devuelve respuestas al cliente. Un cliente STUN suele formar parte de una aplicación que requiere una dirección IP pública o un puerto. Los clientes STUN pueden residir en un sistema final, como una PC o en un servidor de red, mientras que los servidores STUN generalmente están conectados a la Internet pública.
Tanto el cliente STUN como el servidor STUN deben ser proporcionados por la aplicación. Juniper Networks no proporciona un cliente o servidor STUN.
El protocolo STUN permite a un cliente:
Descubra si la aplicación está detrás de un firewall TDR.
Determine el tipo de enlace de TDR que se está utilizando.
Aprenda la dirección de transporte reflexiva, que es la dirección IP y el enlace de puerto asignados por el dispositivo TDR más cercano al servidor STUN. (Puede haber varios niveles de TDR entre el cliente STUN y el servidor STUN).
La aplicación cliente puede usar la información de enlace de direcciones IP dentro de protocolos como SIP y H.323.
Descripción de la traducción persistente de prefijo IPv6 a dirección IPv4 de NAT64
El mecanismo NAT64 permite que los clientes IPv6 se comuniquen con servidores IPv4 traduciendo direcciones IPv6 a direcciones IPv4 (y viceversa). Sin embargo, algunas aplicaciones y servicios IPv4 no pueden funcionar correctamente en redes solo IPv6 con NAT64 estándar en un escenario de doble traducción, como 464XLAT. En esos escenarios, se requiere una traducción persistente de direcciones.
La Figura 1 ilustra la arquitectura 464XLAT, mediante la cual los paquetes IPv4 se traducen a paquetes IPv6 en el traductor del lado del cliente (CLAT), luego pasan por la red solo IPv6 y se traducen nuevamente a paquetes IPv4 en el traductor del lado del proveedor (PLAT) para acceder a contenido global solo IPv4 en la red central. Esta arquitectura utiliza una combinación de traducción sin estado en el CLAT y traducción con estado en el PLAT.
del 464XLAT
Cuando un dispositivo funciona como PLAT, es responsable de mantener la relación de asignación fija entre un prefijo IPv6 específico y una dirección IPv4 traducida. El dispositivo trata el prefijo IPv6 como un único usuario. Esta asignación se logra configurando la longitud específica del prefijo IPv6 en un grupo TDR de origen IPv4 mediante la address-persistent función.
La figura 2 ilustra una regla TDR configurada en la CLAT, la cual traduce una dirección IPv4 a una dirección IPv6 con un prefijo de dirección persistente. Con la traducción de NAT46 sin estado en el CLAT y la traducción de NAT64 con estado en el PLAT, el tráfico del host IPv4 192.168.1.2 llega al servidor global 198.51.100.1 a través de una red solo IPv6.
En la tabla 1 se enumeran otras características de TDR y su compatibilidad con la característica de dirección persistente.
| Reportaje |
Compatible |
||
|---|---|---|---|
| Conjuntos de PAT |
IPv4 |
TDR IPv4 a IPv6 |
No |
| TDR IPv6 a IPv4 |
Sí |
||
| IPv6 |
TDR IPv4 a IPv6 |
No |
|
| TDR IPv6 a IPv4 |
No |
||
| Agrupaciones que no son PAT |
No |
||
| Sobrecarga de puertos |
Sí |
||
| TDR persistente en conjunto de PAT |
Sí |
||
| Asignación de bloques de puerto |
Sí |
||
| TDR determinista |
No |
||
| Agrupación de direcciones emparejada |
No |
||
| ALG (Traducciones ALG TDR existentes, como FTP/PPTP/RTSP/DNS/SIP de clientes IPv6 nativos.) |
Sí |
||
Descripción general de la configuración de TDR y NAT64 persistente
Para configurar TDR persistente, especifique las siguientes opciones con la acción de la regla TDR de origen (ya sea para un grupo TDR de origen o una interfaz de salida):
El tipo de TDR persistente: uno de los siguientes: cualquier puerto de host remoto, host de destino o host de destino.
(Opcional) Asignación de direcciones: esta opción permite que las solicitudes de una dirección IP interna específica se asignen a la misma dirección IP reflexiva; Los puertos internos y reflexivos pueden ser cualquier puerto. Un host externo que use cualquier puerto puede enviar un paquete al host interno enviando el paquete a la dirección IP reflexiva (con una política entrante configurada que permita el tráfico externo al interno). Si esta opción no está configurada, el enlace TDR persistente es para direcciones de transporte internas y reflexivas específicas.
Solo puede especificar la
address-mappingopción cuando el tipo de TDR persistente es cualquier host remoto y la acción de la regla de TDR de origen es una de las siguientes acciones:Conjunto TDR de origen con cambio de dirección IP
Conjunto TDR de origen sin traducción de puertos y sin grupo adicional
(Opcional) Tiempo de espera de inactividad: tiempo, en segundos, que el enlace TDR persistente permanece en la memoria del dispositivo cuando han caducado todas las sesiones de la entrada de enlace. Cuando se alcanza el tiempo de espera configurado, el enlace se elimina de la memoria. El valor predeterminado es 300 segundos. Configure un valor entre 60 y 7200 segundos.
Cuando han caducado todas las sesiones de un enlace TDR persistente, el enlace permanece en estado de consulta en la memoria del dispositivo durante el período de tiempo de espera de inactividad especificado. El enlace de consulta se elimina automáticamente de la memoria cuando caduca el período de tiempo de espera de inactividad (el valor predeterminado es de 300 segundos). Puede eliminar explícitamente todos los enlaces de consulta TDR persistentes o específicos con el
clear security nat source persistent-nat-tablecomando.(Opcional) Número máximo de sesión: número máximo de sesiones con las que se puede asociar un enlace TDR persistente. El valor predeterminado es 30 sesiones. Configure un valor del 8 al 100.
Para la interfaz TDR, debe deshabilitar explícitamente la sobrecarga de puertos con una de las siguientes opciones en el nivel de jerarquía [edit security nat source]:
Sobrecarga de puerto desactivada
factor de sobrecarga de puerto 1
Por último, hay dos servicios predefinidos que puede utilizar en las políticas de seguridad para permitir o denegar el tráfico STUN y TDR persistente:
junos-stun—Tráfico del protocolo STUN.junos-persistent-nat—Tráfico TDR persistente.
junos-persistent-nat secuencia de políticas de seguridad. Como alternativa, confirme que ninguna política posterior coincida con el tráfico TDR persistente que se encuentra por debajo de la
junos-persistent-nat política.
Para cualquier tipo de TDR persistente de host remoto, host de destino o puerto de host de destino, la dirección de la política de seguridad es de interna a externa.
Ejemplo: Configuración de grupos de NAT64 persistentes de direcciones
En este ejemplo, se muestra cómo configurar grupos de direcciones NAT64 persistentes para garantizar una relación de asignación fija entre un prefijo IPv6 específico, que se calcula mediante la longitud del prefijo IPv6 configurado, y una dirección IPv4 traducida.
Requisitos
Antes de comenzar, asegúrese de que las reglas de TDR existentes y la configuración del grupo no entren en conflicto con la nueva.
Descripción general
En este ejemplo, se configura una longitud de prefijo IPv6 de /64 en un grupo TDR de origen IPv4 para traducciones de IPv6 a IPv4 de TDR. El tráfico que coincide con la regla TDR y el grupo TDR realiza una traducción persistente de direcciones entre el prefijo IPv6 y la dirección traducida IPv4. Esta configuración se puede usar en el traductor del lado del proveedor (PLAT) en un escenario de traducción dual, 464XLAT, para permitir que los servicios IPv4 funcionen en redes solo IPv6.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security nat source pool NAT64 address 198.51.100.240/32 to 198.51.100.254/32 set security nat source pool NAT64 address-persistent subscriber ipv6-prefix-length 64 set security nat source rule-set RS1 from zone trust set security nat source rule-set RS1 to zone untrust set security nat source rule-set RS1 rule R1 match source-address 2001:db8::/32 set security nat source rule-set RS1 rule R1 match destination-address 198.51.100.198/32 set security nat source rule-set RS1 rule R1 then source-nat pool NAT64
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Cree un grupo de TDR de origen.
[edit security nat source] user@host# set pool NAT64 address 198.51.100.240/32 to 198.51.100.254/32
Especifique la longitud del prefijo IPv6 para el conjunto de TDR de origen.
[edit security nat source] user@host# set pool NAT64 address-persistent subscriber ipv6-prefix-length 64
Cree un conjunto de reglas.
[edit security nat source] user@host# set rule-set RS1 from zone trust user@host# set rule-set RS1 to zone untrust
Hacer coincidir la regla.
[edit security nat source] user@host# set rule-set RS1 rule R1 match source-address 2001:db8::/32 user@host# set rule-set RS1 rule R1 match destination-address 198.51.100.198/32
Proporcione la acción que se realizará cuando la regla coincida.
[edit security nat source] user@host# set security nat source rule-set RS1 rule R1 then source-nat pool NAT64
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show security nat
source {
pool NAT64 {
address {
198.51.100.240/32 to 198.51.100.254/32;
}
address-persistent subscriber ipv6-prefix-length 64;
}
rule-set RS1 {
from zone trust;
to zone untrust;
rule R1 {
match {
source-address 2001:db8::/32;
destination-address 198.51.100.198/32;
}
then {
source-nat {
pool {
NAT64;
}
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Ejemplo: Compatibilidad con la configuración de red mediante la configuración de TDR persistente con interfaz TDR
Puede configurar cualquiera de los tipos de TDR persistentes con reglas de TDR de origen. En este ejemplo, se muestra cómo aplicar TDR persistente con una dirección IP de interfaz y cómo usar una dirección IP de interfaz como dirección IP TDR para realizar TDR persistente para un host interno específico. También se muestra cómo mantener el comportamiento persistente de asignación de puertos de direcciones y el comportamiento persistente del filtro TDR para el host. Debe deshabilitar la sobrecarga de puertos para la interfaz TDR.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
1 Firewall
4 piezas
Antes de empezar:
Comprender los conceptos de TDR persistente. Consulte Descripción general de la configuración de TDR y NAT64 persistentes.
Descripción general
En una implementación de red TDR de grado de operador (CGN), puede configurar la dirección IP de la interfaz como una dirección TDR para llevar a cabo la traducción de direcciones de red persistente. De esta manera, el host interno puede crear una relación de mapeo TDR de origen por el tráfico saliente iniciado desde interno a externo. A continuación, el host externo envía tráfico de vuelta a este host interno mediante el envío del tráfico a esta dirección TDR de interfaz a través de la relación de asignación TDR compartida.
En este ejemplo, primero configure la interfaz TDR rule set int1 para que coincida con el tráfico de la interfaz ge-0/0/1 con la interfaz ge-0/0/2 y, luego, configure la regla TDR in1 para que coincida con las direcciones de origen y destino específicas a fin de realizar TDR persistente. El tipo de TDR persistente se configura cuando se realiza la any remote host interfaz TDR.
Para paquetes con dirección de origen 192.0.2.0/24 (teléfonos internos) y dirección de destino 198.51.100.0/24 (incluido el servidor STUN , el servidor proxy SIP y teléfonos externos), configure la interfaz TDR con el any remote host tipo TDR persistente. A continuación, deshabilite la sobrecarga de puertos para la interfaz TDR.
A continuación, configure una política de seguridad para permitir el tráfico TDR persistente desde la red externa (zona externa) a la red interna (zona interna) para cualquiera de los tipos de TDR persistente de host remoto.
Topología
La Figura 3 muestra una topología TDR persistente de interfaz.
TDR persistente de interfaz
En la tabla 2 se muestran los parámetros configurados en este ejemplo.
Parámetro |
Descripción |
|---|---|
Zona externa |
Red externa |
Zona interna |
Red interna |
External_phones2 |
Dirección de teléfono2 de la red externa |
Internal_phone1 |
Teléfono1 dirección de la red interna |
servidor SIP_proxy |
Dirección del servidor proxy SIP de la red externa |
Servidor STUN |
Dirección del servidor STUN de la red externa |
Subred 198.51.100.1/32 |
Dirección IP de destino |
Subred 192.0.2.2/32 |
Dirección IP de origen |
ge-0/0/1 y ge-0/0/2 |
Interfaces TDR para la dirección del tráfico |
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security nat source rule-set int1 from interface ge-0/0/1.0 set security nat source rule-set int1 to interface ge-0/0/2.0 set security nat source rule-set int1 rule in1 match source-address 192.0.2.0/24 set security nat source rule-set int1 rule in1 match destination-address 198.51.100.0/24 set security nat source rule-set int1 rule in1 then source-nat interface persistent-nat permit any-remote-host set security nat source interface port-overloading off set security policies from-zone internal to-zone external policy stun_traffic match source-address internal_phones destination-address stun_server application junos-stun set security policies from-zone internal to-zone external policy sip_proxy_traffic match source-address internal_phones destination-address sip_proxy_server application junos-sip set security policies from-zone internal to-zone external policy sip_traffic match source-address internal_phones destination-address external_phones application junos-persistent-nat set security policies from-zone internal to-zone external policy sip_traffic then permit set security policies from-zone internal to-zone external policy stun_traffic then permit set security policies from-zone internal to-zone external policy sip_proxy_traffic then permit
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar un conjunto de reglas TDR de interfaz:
Cree una regla TDR persistente para una interfaz TDR.
[edit security nat source rule-set int1] user@host# set from interface ge-0/0/1.0 user@host# set to interface ge-0/0/2.0 user@host# set rule in1 match source-address 192.0.2.0/24 user@host# set rule in1 match destination-address 198.51.100.0/24 user@host# set rule in1 then source-nat interface persistent-nat permit any-remote-host
Deshabilite la sobrecarga de puertos para la interfaz TDR.
[edit security] user@host# set nat source interface port-overloading off
Configure una política de seguridad para permitir el tráfico STUN desde teléfonos SIP internos a un servidor STUN externo.
[edit security policies] user@host# set from-zone internal to-zone external policy stun_traffic match source-address internal_phones destination-address stun_server application junos-stun
Configure una política de seguridad para permitir el tráfico de proxy SIP desde teléfonos SIP internos a un servidor proxy SIP externo.
[edit security policies] user@host# set from-zone internal to-zone external policy sip_proxy_traffic match source-address internal_phones destination-address sip_proxy_server application junos-sip
Configure una política de seguridad para permitir el tráfico SIP desde teléfonos SIP externos a teléfonos SIP internos.
[edit security policies] user@host# set from-zone internal to-zone external policy sip_traffic match source-address internal_phones destination-address external_phones application junos-persistent-nat user@host# set from-zone internal to-zone external policy sip_traffic then permit user@host#set from-zone internal to-zone external policy stun_traffic then permit user@host#set from-zone internal to-zone external policy sip_proxy_traffic then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.
[edit]
user@host# show security nat
source {
interface {
port-overloading off;
}
rule-set int1 {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule in1 {
match {
source-address 192.0.2.0/24;
destination-address 198.51.100.0/24;
}
then {
source-nat {
interface {
persistent-nat {
permit any-remote-host;
}
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone internal to-zone external {
policy stun_traffic {
match {
source-address internal_phones;
destination-address stun_server;
application junos-stun;
}
then {
permit;
}
}
policy sip_proxy_traffic {
match {
source-address internal_phones;
destination-address sip_proxy_server;
application junos-sip;
}
then {
permit;
}
}
policy sip_traffic {
match {
source-address internal_phones;
destination-address external_phones;
application junos-persistent-nat;
}
then {
permit;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Verificar que las reglas coincidan y se usen
- Verificar que se han establecido sesiones de tráfico TDR
Verificar que las reglas coincidan y se usen
Propósito
Verifique que todas las reglas coincidan y se utilicen.
Acción
Desde el modo operativo, introduzca el show security nat source persistent-nat-table all comando.
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/Curr_Sess_Num/ Source
In_IP In_Port I_Proto Ref_IP Ref_Port R_Proto NAT Pool Conf_time Max_Sess_Num NAT Rule
192.0.2.12 17012 udp 198.51.100.1 28153 udp interface any-remote-host 3528/3600 -/- in1
192.0.2.12 7078 udp 198.51.100.1 6133 udp interface any-remote-host -/300 1/30 in1
Significado
El resultado muestra un resumen de la información persistente de TDR.
Verificar que se han establecido sesiones de tráfico TDR
Propósito
Verifique que las sesiones se hayan establecido en el dispositivo.
Acción
Desde el modo operativo, introduzca el show security flow session comando.
user@host>show security flow session Session ID: 6992, Policy name: sip_proxy_traffic/5, Timeout: 16, Valid In: 192.0.2.12/17012 --> 198.51.100.45/5060;udp, If: ge-0/0/1.0, Pkts: 4, Bytes: 1850 Out: 198.51.100.45/5060 --> 198.51.100.1/28153;udp, If: ge-0/0/2.0, Pkts: 5, Bytes: 2258 Session ID: 7382, Policy name: stun_traffic/4, Timeout: 16, Valid In: 192.0.2.12/7078 --> 198.51.100.49/3478;udp, If: ge-0/0/1.0, Pkts: 20, Bytes: 1040 Out: 198.51.100.49/3478 --> 198.51.100.1/6133;udp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0
Significado
El show security flow session comando muestra las sesiones activas en el dispositivo y la política de seguridad asociada de cada sesión. El resultado muestra el tráfico que entra en el dispositivo con la dirección de origen privada 192.0.2.12 destinada a un host público en 198.51.100.45. El tráfico de retorno de este flujo viaja a la dirección pública traducida 198.51.100.1.
Session ID: número que identifica la sesión. Utilice este ID para obtener más información acerca de la sesión, como el nombre de la política o el número de paquetes que entran y salen.
sip_proxy_traffic— Nombre de la política que permitió el tráfico SIP desde los teléfonos SIP internos al servidor proxy SIP externo.
In: flujo entrante (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino). La sesión es UDP y la interfaz de origen de esta sesión es ge-0/0/1.0).
Out—Flujo inverso (direcciones IP de origen y destino con sus respectivos números de puerto de origen y destino. La sesión es UDP y la interfaz de destino de esta sesión es ge-0/0/2.0).
stun_traffic: nombre de la política que permitió el tráfico STUN desde los teléfonos SIP internos al servidor STUN externo.
Ejemplo: Configuración del filtrado dependiente de la dirección para clientes IPv6
En este ejemplo, se muestra cómo configurar el filtrado dependiente de la dirección para clientes IPv6 mediante NAT64.
Requisitos
Antes de empezar:
Asegúrese de que IPv6 esté habilitado en el dispositivo.
Asegúrese de que la regla de TDR existente y la configuración del grupo no entren en conflicto con las nuevas.
Descripción general
En este ejemplo, se utiliza NAT64 para enviar paquetes desde el host interno IPv6 al host externo IPv4 y desde el host externo IPv4 al host interno IPv4.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::/128 set security nat static rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit target-host
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el filtrado dependiente de la dirección para clientes IPv6:
Cree un conjunto de reglas para NAT64.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Hacer coincidir la regla.
[edit security nat static] user@host# set rule-set test_rs rule test_rule match destination-address 2001:db8::/128
Proporcione la acción que se realizará cuando la regla coincida.
[edit security nat static] user@host# set rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32
Defina un grupo de direcciones de origen y agregue la dirección al grupo.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2
Cree otro conjunto de reglas para NAT64.
[edit security nat] user@host# set source rule-set myipv4_rs from interface ge-0/0/1
Haga coincidir la regla con la dirección de origen.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96
Haga coincidir la regla con la dirección de destino.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15
Proporcione la acción que se realizará cuando las reglas coincidan.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Configure la TDR persistente.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit target-host
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show nat source configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit security]
user@host#show nat source
pool myipv4 {
address {
203.0.113.2/32;
}
}
rule-set test_rs {
rule test_rule {
match {
destination-address 2001:db8::/128;
}
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
persistent-nat {
permit target-host;
}
}
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente:
- Verificar que la configuración esté habilitada y funcionando
- Verificar que las reglas coincidan y se usen
Verificar que la configuración esté habilitada y funcionando
Propósito
Compruebe que la configuración esté habilitada y que funcione.
Acción
Desde el modo operativo, ingrese los siguientes comandos:
show security nat static rule test_ruleshow security nat source rule ipv4_ruleshow security nat source pool myipv4
Ejemplo: Configuración del filtrado independiente del punto de conexión para clientes IPv6
En este ejemplo, se muestra cómo configurar el filtrado independiente del punto de conexión para clientes IPv6 mediante NAT64.
Requisitos
Antes de empezar:
Asegúrese de que IPv6 esté habilitado en el dispositivo
Asegúrese de que las reglas de TDR existentes y la configuración del grupo no entren en conflicto con las nuevas.
Descripción general
En este ejemplo, se utiliza NAT64 para enviar paquetes desde el host interno IPv6 al host externo IPv4 y desde el host externo IPv4 al host interno IPv4.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::/128 set security nat static rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit any-remote-host
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el filtrado independiente del punto de conexión para clientes IPv6:
Cree un conjunto de reglas para NAT64.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Hacer coincidir la regla.
[edit security nat static] user@host# set rule-set test_rs rule test_rule match destination-address 2001:db8::/128
Proporcione la acción que se realizará cuando la regla coincida.
[edit security nat static] user@host# set rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32
Defina un grupo de direcciones de origen y agregue la dirección al grupo.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2
Cree otro conjunto de reglas para NAT64.
[edit security nat] user@host# set source rule-set myipv4_rs from interface ge-0/0/1
Haga coincidir la regla con la dirección de origen.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96
Haga coincidir la regla con la dirección de destino.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15
Proporcione la acción que se realizará cuando las reglas coincidan.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Configure la TDR persistente.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit any-remote-host
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit security]
user@host#show security nat
source {
pool myipv6_prefix {
address {
2001:db8::/64;
}
}
pool myipv4 {
address {
203.0.113.2/32;
}
}
rule-set myipv6_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv6_rule {
match {
source-address 10.1.1.0/30;
destination-address 2001:db8::2/96;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
persistent-nat {
permit target-host;
}
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::/128;
}
then {
static-nat {
prefix {
10.2.2.15/32;
}
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente:
- Verificar que la configuración esté habilitada y funcionando
- Verificar que las reglas coincidan y se usen
Verificar que la configuración esté habilitada y funcionando
Propósito
Compruebe que la configuración esté habilitada y que funcione.
Acción
Desde el modo operativo, ingrese los siguientes comandos.
show security nat static rule test_ruleshow security nat source rule ipv4_ruleshow security nat source pool myipv4
Ejemplo: Establecer el número máximo de enlaces TDR persistentes
En este ejemplo, se muestra cómo aumentar la capacidad de TDR persistente.
Requisitos
Antes de comenzar, consulte Descripción de TDR y NAT64 persistentes.
Descripción general
En este ejemplo, habilita la opción Maximizar capacidad TDR persistente. Para habilitar esta opción, la capacidad máxima de vinculación del punto central admitida se puede aumentar aproximadamente a 1/8 de la capacidad de sesión del punto central hasta 2 M y la capacidad máxima de vinculación de la SPU admitida se puede aumentar aproximadamente a 1/4 de la capacidad de cada sesión de SPU. En consecuencia, la capacidad de la sesión de flujo disminuirá en 1/4 tanto en el CP como en cada una de las SPU.
En este ejemplo, habilita la capacidad de sesión en un máximo de 20 000 000 en el punto central y un máximo de 1 100 000 en cada una de las SPU con una configuración de sesión máxima. Use el maximize-persistent-nat-capacity comando.
Configuración
Procedimiento
Procedimiento paso a paso
Para aumentar la capacidad de TDR persistente:
Establezca la opción Maximizar la capacidad de TDR persistente.
[edit] user@host# set security forwarding-process application-services maximize-persistent-nat-capacity
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Reinicie el sistema desde el modo operativo.
[edit] user@host# request system reboot
Cuando cambie al modo de capacidad TDR persistente maximizada o vuelva al modo normal, debe reiniciar el dispositivo.
Si desea volver al modo normal del dispositivo, elimine la configuración del modo maximizar capacidad TDR persistente.
[edit] user@host# delete security forwarding-process application-services maximize-persistent-nat-capacity
Descripción general de la horquilla TDR persistente
Cuando se envía tráfico entre dos hosts, es posible que el host de origen del tráfico solo conozca el host de destino por su dirección IP pública. En realidad, el host de destino puede estar en el mismo espacio de direcciones privadas que el host de origen. La horquilla es el proceso de devolver el tráfico en la dirección de donde vino como una forma de llevarlo a su host de destino en una subred privada.
Por lo general, un host de origen en una subred puede no reconocer que el tráfico está destinado a un host de destino dentro de la misma subred, ya que identifica al host de destino únicamente por su dirección IP pública. El TDR analiza los paquetes IP y los enruta de vuelta al host correcto.
Se requiere compatibilidad con horquillas de TDR si dos hosts de la red interna desean comunicarse entre sí mediante un enlace en el dispositivo TDR. En este caso, el dispositivo TDR recibe un paquete de la red interna y lo reenvía de vuelta a la red interna. Si no se admite la horquilla, se producirá un error en el reenvío del paquete y se descartará.
La fijación permite que dos puntos de conexión (host 1 y host 2) en la red privada se comuniquen, incluso si solo usan las direcciones IP y puertos externos del otro. Cuando el host 1 envía tráfico al host 3, un enlace TDR entre la dirección IP de origen interna del host 1 y el puerto se asocia en la tabla TDR con su dirección IP y puerto externos. Lo mismo sucede cuando el host 2 envía tráfico al host 3. De esta manera, cuando el host 1 y el host 2 quieran comunicarse, pueden identificar las direcciones IP externas del otro.
Por ejemplo, si el host 1 se comunica con el host 2, se utiliza TDR (con soporte para fijar puntos de acceso) para enrutar los paquetes, que contienen la dirección externa del host 2, de vuelta a la dirección interna del host 2.
TDR persistentes
En la Figura 4, se utilizan los siguientes parámetros:
Dirección IP del host 1 -
10.10.10.2/24Dirección IP del host 2 -
10.10.10.10/24Dirección IP dentro de la zona -
10.10.10.254/24Dirección IP del host 3 -
198.51.100.2/24Dirección IP entre zonas -
198.51.100.254/24El host 1 y el host 2 están en la zona
reht0zy el host 3 está en lareth1zzona
En la tabla 3 se muestra la tabla de enlace utilizada en este ejemplo.
Dirección IP de origen original |
Dirección IP de origen traducida |
|---|---|
Del 10.10.10.2/24 al 10.10.10.11/24 |
De 192.0.2.1/32 a 192.0.2.10/32 |
La fijación de horquillas TDR persistente solo se aplica a cualquier tipo de TDR persistente de host remoto. Para permitir la fijación, debe configurar una política de seguridad que permita el tráfico entre puntos de conexión de la misma zona. En realidad, los dos puntos de conexión se pueden ubicar en dos zonas diferentes, siempre y cuando cualquiera de los dos hosts solo pueda ver la dirección pública del par. El comportamiento de fijación de puntos de conexión TDR no es compatible con la TDR persistente del host de destino ni con la TDR persistente del puerto del host de destino. Solo cualquier TDR persistente de host remoto admite el comportamiento de horquilla.
Ejemplo: Configuración de horquillas TDR persistentes con conjunto TDR de origen con cambio de dirección
En este ejemplo, se muestra cómo configurar la horquilla TDR persistente.
Requisitos
Antes de empezar:
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Cree zonas de seguridad y asígneles interfaces. Consulte Descripción de las zonas de seguridad.
Descripción general
La horquilla permite que los paquetes de la red privada se traduzcan y luego se envíen de vuelta a la red privada, en lugar de pasar a la red pública. La función de fijación permite usar un registro correspondiente en la tabla TDR para reconocer que un paquete está dirigido a un host en la red local. A continuación, traduce la dirección IP de destino y envía el paquete de vuelta a la red local (así como en caso de asignación de puertos). Esto garantiza que el tráfico entre los dos hosts funcione correctamente.
Topología
La fijación permite que dos puntos de conexión (host 1 y host 2) en la red privada se comuniquen, incluso si solo usan las direcciones IP y puertos externos del otro. Esto se explica en la Figura 5.
Cuando el host 1 envía tráfico al host 3, un enlace TDR entre la dirección IP de origen interna del host 1 y el puerto se asocia en la tabla TDR con su dirección IP y puerto externos. Lo mismo sucede cuando el host 2 envía tráfico al host 3. De esta manera, cuando el host 1 y el host 2 quieran comunicarse, pueden identificar las direcciones IP externas del otro.
Por ejemplo, si el host 1 se comunica con el host 2, se utiliza TDR (con soporte para fijar puntos de acceso) para enrutar los paquetes, que contienen la dirección externa del host 2, de vuelta a la dirección interna del host 2.
TDR persistente
En la Figura 5, se utilizan los siguientes parámetros:
Dirección IP del host 1 -
10.10.10.2/24Dirección IP del host 2 -
10.10.10.10/24Dirección IP dentro de la zona -
10.10.10.254/24Dirección IP del host 3 -
198.51.100.2/24Dirección IP entre zonas -
198.51.100.254/24El host 1 y el host 2 están en la zona
reht0zy el host 3 está en lareth1zzona
En la tabla 4 se muestra la tabla de enlace utilizada en este ejemplo.
Dirección IP de origen original |
Dirección IP de origen traducida |
|---|---|
Del 10.10.10.2/24 al 10.10.10.11/24 |
De 192.0.2.1/32 a 192.0.2.10/32 |
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar la fijación de puntos de acceso TDR persistente:
Configure interfaces.
[edit] user@host# set interfaces ge-11/0/0 unit 0 family inet address 10.10.10.254/24 user@host# set interfaces ge-11/0/1 unit 0 family inet address 198.51.100.254/24
Cree zonas (reth0z y reth1z).
[edit] user@host# set security zones security-zone reth0z host-inbound-traffic system-services all user@host# set security zones security-zone reth0z host-inbound-traffic protocols all user@host# set security zones security-zone reth0z interfaces ge-11/0/0.0 user@host# set security zones security-zone reth1z host-inbound-traffic system-services all user@host# set security zones security-zone reth1z host-inbound-traffic protocols all user@host# set security zones security-zone reth1z interfaces ge-11/0/1.0
Cree políticas para las zonas reth0z y reth1z.
[edit] user@host# set security address-book global address subnet10 10.10.10.0/24 user@host# set security address-book global address subnet20 198.51.100.0/24 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match source-address subnet10 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match destination-address subnet20 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match application any user@host# set security policies from-zone reth0z to-zone reth1z policy p1 then permit user@host# set security policies default-policy deny-all
Agregue la misma política de zona para realizar horquillas TDR persistentes.
user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match source-address subnet10 user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match destination-address subnet10 user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match application any user@host# set security policies from-zone reth0z to-zone reth0z policy p2 then permit
Cree un grupo TDR de origen para el host 1 y el host 2 (src1).
[edit] user@host# set security nat source pool src1 address 192.0.2.1/32 to 192.0.2.10/32
Especifique el principio del intervalo de direcciones IP de origen original para el host 1 y el host 2 (src1).
[edit] user@host# set security nat source pool src1 host-address-base 10.10.10.2/24
Configure el conjunto de reglas de TDR de origen r1.
[edit] user@host# set security nat source rule-set r1 from zone reth0z user@host# set security nat source rule-set r1 to zone reth1z user@host# set security nat source rule-set r1 to zone reth0z user@host# set security nat source rule-set r1 rule rule1 match source-address 10.10.10.0/24 user@host# set security nat source rule-set r1 rule rule1 match destination-address 10.10.10.0/24 user@host# set security nat source rule-set r1 rule rule1 match destination-address 198.51.100.0/24 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool src1 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat permit any-remote-host user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat inactivity-timeout 900 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat max-session-number 20
Resultados
En el modo de configuración, escriba el show security nat comando para confirmar su configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show security nat
source {
pool src1 {
address {
192.0.2.1/32 to 192.0.2.10/32;
}
host-address-base 10.10.10.2/24;
}
rule-set r1 {
from zone reth0z;
to zone [ reth0z reth1z ];
rule rule1 {
match {
source-address 10.10.10.0/24;
destination-address [10.10.10.0/24 198.51.100.0/24];
}
then {
source-nat {
pool {
src1;
persistent-nat {
permit any-remote-host;
inactivity-timeout 900;
max-session-number 20;
}
}
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
- Tráfico enviado entre los hosts que crean el enlace 1
- Tráfico enviado entre los hosts que crean el enlace 2
- Tráfico enviado entre dos hosts
Tráfico enviado entre los hosts que crean el enlace 1
Propósito
Compruebe el tráfico enviado entre los hosts (host 1 y host 3) creando el enlace 1.
Acción
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.2 -id 198.51.100.2 -p udp -us 69 -ud 69 198.51.100.2
Source-IP: 10.10.10.2
Source-port: 69
Dst-IP: 198.51.100.2
Dst-port: 69
Binding1 is below:
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source
In_IP In_Port Ref_IP Ref_Port NAT Pool Conf_time Max_Sess_Num NAT Rule
10.10.10.2 69 192.0.2.1 69 src1 any-remote-host -/900 1/20 rule1
Tráfico enviado entre los hosts que crean el enlace 2
Propósito
Compruebe el tráfico enviado entre los hosts (host 2 y host 3) creando el enlace 2.
Acción
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.10 -id 198.51.100.2 -p udp -us 69 -ud 69 198.51.100.2
Source-IP: 10.10.10.10
Source-port: 69
Dst-IP: 198.51.100.2
Dst-port: 69
Binding2 is below:
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source
In_IP In_Port Ref_IP Ref_Port NAT Pool Conf_time Max_Sess_Num NAT Rule
10.10.10.2 69 192.0.2.1 69 src1 any-remote-host -/900 1/20 rule1
10.10.10.10 69 192.0.2.9 69 src1 any-remote-host -/900 1/20 rule1
Tráfico enviado entre dos hosts
Propósito
Compruebe el tráfico enviado del host 1 al host 2:
Acción
user@host>show security flow session
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.2 -id 192.0.2.9 -p udp -us 69 -ud 69 192.0.2.9
Session ID: 100007628, Policy name: default-policy/2, Timeout: 52, Valid
In: 10.10.10.2/69 --> 192.0.2.9/69;udp, If: ge-0/0/0.0, Pkts: 2, Bytes: 112
Out: 10.10.10.10/69 --> 192.0.2.1/69;udp, If: ge-0/0/0.0, Pkts: 0, Bytes: 0
Total sessions: 1
Comportamiento de soporte de enlace TDR persistente específico de la plataforma
Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas.
Utilice la siguiente tabla para revisar los comportamientos específicos de la plataforma para su plataforma:
| Diferencia de | plataforma |
|---|---|
| serie SRX |
|