Création de règles de stratégie NAT

Le traitement NAT est centré sur l’évaluation des ensembles et règles NAT. Un ensemble de règles détermine la direction globale du trafic à traiter. Une fois qu’un ensemble de règles correspondant au trafic est trouvé, chaque règle de l’ensemble de règles est évaluée pour une correspondance. Les règles NAT peuvent correspondre sur les informations de paquet suivantes :

Adresse source et destination
Port source (pour nat source et statique uniquement)
Port de destination

La première règle du jeu de règles correspondant au trafic est utilisée. Si un paquet correspond à une règle d’un ensemble de règles pendant l’établissement de session, le trafic est traité en fonction de l’action spécifiée par cette règle.

Pour créer une nouvelle règle NAT, cliquez sur le nom de la stratégie NAT. La Single NAT Policy page s’affiche et vous fournit des options pour configurer des règles NAT. Vous pouvez également cliquer sur le numéro de règle répertorié sous Règles par rapport à la stratégie pour créer une nouvelle règle. Vous pouvez configurer les types de règles NAT suivants :

Statique : pour ajouter une règle NAT statique, cliquez sur Ajouter une règle NAT statique ou cliquez sur Créer dans le coin supérieur droit et sélectionnez Statique.
Source : pour ajouter une règle NAT source, cliquez sur Ajouter une règle NAT source ou cliquez sur Créer dans le coin supérieur droit et sélectionnez Source.
Destination : pour ajouter une règle NAT de destination, cliquez sur Ajouter une règle NAT de destination ou cliquez sur Créer dans le coin supérieur droit et sélectionnez Destination.

Selon le type de règle que vous avez choisi, certains champs de la règle ne seront pas applicables. En plus de définir des règles entre les zones et les interfaces, vous pouvez définir des règles NAT avec des routeurs virtuels définis sur l’équipement. Ces règles peuvent être publiées et mises à jour avec succès sur l’équipement.

Pour créer une règle de stratégie NAT :

Sélectionnez Configuration > STRATÉGIES NAT > NAT.

La page Stratégies NAT s’affiche et affiche les stratégies NAT existantes.
Cliquez sur le nom de la stratégie NAT pour laquelle vous souhaitez créer des règles. Vous pouvez également cliquer sur le nombre répertorié sous Règles par rapport à une stratégie NAT.

La Single NAT Policy page s’affiche.
Cliquez sur Créer et sélectionnez source, statique ou destination. La page affiche des champs pour créer une règle NAT.
Complétez la configuration selon les consignes fournies dans le tableau 1.
Cliquez sur OK pour enregistrer les modifications. Si vous souhaitez ignorer vos modifications, cliquez sur Annuler à la place.

Une règle NAT avec la configuration que vous avez fournie est créée.

Le tableau 1 fournit des instructions sur l’utilisation des champs de la page stratégie NAT unique .

Tableau 1 : Champs de la page de stratégie NAT unique pour la création de règles NAT
Champ	Description
Source	Cliquez sur l’icône d’ajout (+) pour sélectionner les points de terminaison source sur lesquels s’applique la règle de stratégie NAT, dans la liste affichée d’adresses, de protocoles, d’interfaces, d’instances de routage, de zones ou de ports. Les points de terminaison possibles pour la source diffèrent selon que la règle NAT est une règle NAT source, destination ou statique. Les points de terminaison possibles pour la source d’une règle NAT source sont les suivants : Adresses Routage d’instances, d’interfaces ou de zones Protocoles Ports Groupes VRF Les points de terminaison possibles pour la source pour une règle NAT de destination sont : Adresses Routage d’instances, d’interfaces ou de zones Protocoles Groupes VRF Les points de terminaison possibles pour la source d’une règle NAT statique sont : Adresses Routage d’instances, d’interfaces ou de zones Ports Groupes VRF Vous pouvez également sélectionner un point de terminaison source à l’aide des méthodes décrites dans Sélection de la source NAT.
Destination	Cliquez sur l’icône d’ajout (+) pour sélectionner les points de terminaison de destination sur lesquels s’applique la règle de stratégie NAT, dans la liste affichée d’adresses, d’interfaces, de services, d’instances de routage, de zones ou de ports. Les points de terminaison possibles pour la destination diffèrent selon que la règle NAT est une règle de NAT source, de destination ou statique. Les points de terminaison possibles pour la destination d’une règle NAT source sont : Adresses Routage d’instances, d’interfaces ou de zones Services Ports Groupes VRF Les points de terminaison possibles pour une règle NAT de destination sont : Adresses Services Ports Les points de terminaison possibles pour la destination d’une règle NAT statique sont : Adresses Ports Vous pouvez sélectionner un point de terminaison de destination à l’aide des méthodes décrites dans Sélection de destination NAT. Note: Lorsque vous créez une règle NAT de destination pour le trafic arrivant sur une interface qui termine une liaison VPN, le processus de traduction peut interrompre la liaison VPN. Cela se produira si l’adresse de destination dans une règle NAT de destination est spécifiée uniquement en tant qu’adresse IP wan de cette interface. Par exemple, dans la règle NAT suivante, tout trafic destiné à Wan.IP sera traduit en pool de destination et interrompra la fonctionnalité des paquets de liaison VPN qui se terminent sur cette interface. `[Any.Address] --> [Wan.IP] :: [Dest-Pool-1]` Dans de tels cas, il est donc recommandé d’utiliser une règle NAT de destination avec le champ de destination comme `[Address + Port]`. Par exemple : `[Any.Address] --> [Wan.IP + Port] :: [Dest-Pool-1]`
Translation
Type de traduction	Spécifiez le type de traduction du trafic entrant. Les options de traduction varient selon que vous créez une règle NAT source, statique ou de destination. Choisissez l’un des types de traduction suivants pour une règle NAT source : Aucun : aucune traduction n’est nécessaire pour le trafic entrant. Interface : effectue des traductions basées sur l’interface sur le paquet source ou de destination. Pool : effectue des traductions basées sur des pools sur le paquet source ou de destination. Cliquez sur l’icône d’ajout (+) dans le champ Sélectionner un pool pour choisir le pool de traduction. Vous pouvez également créer un nouveau pool en cliquant sur Ajouter un nouveau pool. Voir Création de pools NAT. Choisissez l’un des types de traduction suivants pour une règle NAT statique : Adresse : effectue des traductions basées sur l’adresse sur le paquet source ou de destination. Cliquez sur l’icône d’ajout (+) dans le champ Select Address (Select Address ) pour choisir l’adresse de traduction. Vous pouvez également créer une nouvelle adresse en cliquant sur Ajouter une nouvelle adresse. Voir Création d’adresses ou de groupes d’adresses. Note: Dans un environnement SD-WAN, il est obligatoire de sélectionner l’instance de routage correspondant à l’adresse de traduction. Vous pouvez sélectionner l’instance de routage pour une adresse de traduction à l’aide de la page Paramètres avancés . Pour plus d’informations sur les paramètres avancés, voir le tableau 3. IPv4 correspondant : utilise l’adresse IPv4 correspondante pour effectuer des traductions sur le paquet source ou de destination. Choisissez l’un des types de traduction suivants pour une règle NAT de destination : Aucun : aucune traduction n’est nécessaire pour le trafic entrant. Pool : effectue des traductions basées sur des pools sur le paquet source ou de destination. Cliquez sur l’icône d’ajout (+) dans le champ Sélectionner un pool pour choisir le pool de traduction. Vous pouvez également créer un nouveau pool en cliquant sur Ajouter un nouveau pool. Voir Création de pools NAT. Note: Dans un environnement SD-WAN, le pool NAT de destination sélectionné doit être configuré avec un site et une instance de routage correspondant à l’adresse du pool. Par exemple, un serveur Web avec adresse IP1 est en cours d’exécution dans le service RH. Pour créer un pool NAT de destination correspondant à cette adresse IP du serveur Web, vous devez spécifier les champs obligatoires suivants lors de la création du pool NAT : `Address - IP1` `Site - the site hosting the webserver` `Routing instance - natVR_HR`
Paramètres avancés (facultatif)	Cliquez sur Configurer pour configurer les paramètres avancés d’une règle NAT source ou statique. Pour plus d’informations sur les paramètres avancés pour les types de traduction Interface et Pool pour une règle NAT source, reportez-vous au tableau 2. Pour plus d’informations sur les paramètres avancés des types de traduction Interface et Pool pour une règle NAT statique, voir le tableau 3
Détails
Nom	Saisissez une chaîne unique de caractères alphanumériques, de points, de points, de tirets et de soulignements. Aucun espace n’est autorisé et la longueur maximale est de 255 caractères.
Description	Saisissez une description de l’intention de la stratégie ; la longueur maximale est de 1 024 caractères.
Points de fin	Créez des points de terminaison source et de destination tels que des adresses et des services. Pour créer une adresse, cliquez sur l’icône d’ajout (+) et sélectionnez Adresse. Voir Création d’adresses ou de groupes d’adresses pour configurer les paramètres de l’adresse. Pour créer un service, cliquez sur l’icône d’ajout (+) et sélectionnez Service. Voir Création de services et de groupes de services pour configurer les paramètres du service. Pour modifier les paramètres configurés d’une adresse ou d’un service, passez la souris dessus et cliquez sur l’icône de modification (symbole du crayon).

Le tableau 2 fournit des instructions sur l’utilisation des champs de la page Paramètres avancés pour une règle NAT source.

Tableau 2 : Champs de la page Paramètres avancés pour la règle NAT source
Champ	Description
Persistante	Activez la case à cocher pour vous assurer que toutes les demandes provenant de la même adresse de transport interne sont mappées à la même adresse de transport réflexive. Note: Pour que la persistance soit applicable à la stratégie NAT, assurez-vous que la surcharge de port est désactivée pour l’équipement auquel la stratégie NAT est applicable. Utilisez la commande suivante pour désactiver la surcharge de port d’un équipement : [Edit mode] set security nat source interface port-overloading off
Type NAT persistant	Configurez les mappages NAT persistants. Autoriser n’importe quel hôte distant : toutes les requêtes provenant d’une adresse IP et d’un port internes spécifiques sont mappées à la même adresse de transport réflexive. (L’adresse de transport réflexive est l’adresse IP publique et le port créés par l’équipement NAT le plus proche du serveur STUN.) N’importe quel hôte externe peut envoyer un paquet à l’hôte interne en l’envoyant à l’adresse de transport réflexive. Autoriser l’hôte cible : toutes les demandes provenant d’une adresse IP et d’un port internes spécifiques sont mappées à la même adresse de transport réflexive. Un hôte externe peut envoyer un paquet à un hôte interne en l’envoyant à l’adresse de transport réflexive. L’hôte interne doit avoir précédemment envoyé un paquet à l’adresse IP de l’hôte externe. Autoriser le port de l’hôte cible : toutes les demandes provenant d’une adresse IP et d’un port internes spécifiques sont mappées à la même adresse de transport réflexive. Un hôte externe peut envoyer un paquet à un hôte interne en l’envoyant à l’adresse de transport réflexive. L’hôte interne doit avoir précédemment envoyé un paquet à l’adresse IP et au port de l’hôte externe.
Délai d’inactivité	Le temps, en quelques secondes, que la liaison NAT persistante reste dans la mémoire du site lorsque toutes les sessions de l’entrée de liaison ont pris fin. Lorsque le délai configuré est atteint, la liaison est supprimée de la mémoire. Le délai d’inactivité peut varier de 60 à 7 200 secondes. La valeur par défaut du délai d’inactivité est de 60 secondes.
Nombre maximal de sessions	Nombre maximal de sessions : nombre maximal de sessions auxquelles une liaison NAT persistante peut être associée. Par exemple, si le nombre maximal de session de la règle NAT persistante est 65 536, il est impossible d’établir une session 65 537e si cette session utilise la liaison NAT persistante créée à partir de la règle NAT persistante. La gamme est de 8 à 65 536. La valeur par défaut est de 30 sessions.
Mappage d’adresses	Sélectionnez une adresse dans la liste disponible.
Adresse du pool	Affiche l’adresse du pool NAT.
Base d’adresses d’hôte	Affiche l’adresse de base de la plage d’adresses IP source d’origine. La base d’adresses des hôtes est utilisée pour le changement d’adresse IP.
Traduction de ports	Affiche si la traduction de port est activée ou désactivée pour cette règle NAT.
Type de pool de débordement	Affiche le pool source à utiliser lorsque le pool d’adresses actuel est épuisé.
Nom du pool de débordement	Affiche le nom du pool de débordement.
Type de port mappé	Spécifiez le type de mappage de ports : Port : saisissez une valeur pour port, allant de 0 à 65 535. Plage : saisissez les valeurs de la plage de ports dans les champs de début et de fin , allant de 0 à 65 535.

Le tableau 3 fournit des instructions sur l’utilisation des champs de la page Paramètres avancés pour une règle NAT statique.

Tableau 3 : Champs de la page Paramètres avancés pour la règle NAT statique
Champ	Description
Type de port mappé	Spécifiez le type de mappage de ports : Port : saisissez une valeur pour port, allant de 0 à 65 535. Plage : saisissez les valeurs de la plage de ports dans les champs de début et de fin , allant de 0 à 65 535.
Instance de routage	Sélectionnez l’instance de routage pour la règle NAT statique.

Création de règles de stratégie NAT

Documentation connexe