NAT en ligne
Présentation de la traduction d’adresses réseau en ligne
Le NAT en ligne utilise les capacités de la carte de ligne MPC, éliminant ainsi le besoin d’une carte de services pour le NAT. Par conséquent, vous pouvez obtenir des traductions d’adresses à faible latence et sans ralentissement (jusqu’à 120 Gbit/s par emplacement). L’implémentation actuelle fournit :
-
Mappage d’adresses statiques 1:1.
-
Mappage bidirectionnel : NAT source pour le trafic sortant et NAT de destination pour le trafic entrant.
-
Pas de limite sur le nombre de flux.
-
Prise en charge du NAT source, destination et deux fois, comme illustré sur la Figure 1. Inline NAT prend en charge le type
basic-nat44de traduction . À partir de la version 15.1R1 de Junos OS, le NAT en ligne prend également en chargetwice-basic-nat-44. -
Prise en charge de l’épinglage à cheveux.
de NAT en ligne pris en charge
Pour configurer le NAT en ligne, vous définissez votre interface de service en tant qu’interface de type si- (service-inline). Vous devez également réserver une bande passante adéquate à l’interface en ligne. Cela vous permet de configurer à la fois l’interface ou les ensembles de services de saut suivant utilisés pour le NAT. L’interface si- sert de « PIC de service virtuel ».
-
Seul le NAT statique est pris en charge. La traduction de ports, le NAT dynamique et les ALG ne sont pas pris en charge. Par conséquent, les applications telles que SIP ou FTP Active Mode qui nécessitent un traitement avancé pour le NAT ne fonctionnent pas. Un MS-MPC, MS-MIC, MS-DPC ou MS-PIC est toujours nécessaire pour tout traitement de pare-feu dynamique, la prise en charge d’ALG et la traduction dynamique des ports.
-
Le NAT en ligne ne prend pas en charge l’échantillonnage ou la journalisation des paquets.
Avantages du NAT en ligne
-
Élimine le besoin de carte de services
-
Prend en charge plus de flux NAT qu’une carte de services
Voir aussi
Exemple : configuration de la traduction d’adresses réseau en ligne - méthode basée sur une interface
Cet exemple de configuration illustre comment configurer la traduction d’adresses réseau (NAT) en ligne basée sur une interface sur des équipements MX Series à l’aide d’interfaces si- (service-inline) avec des ensembles de services de type interface.
Cette rubrique couvre :
- Exigences
- Vue d’ensemble et topologie
- Configuration pour la traduction d’adresses réseau en ligne
- Vérification
- Configuration pour deux fois NAT
- Configuration pour le NAT de destination
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
-
Routeur MX Series avec une carte de ligne MPC (Modular Port Concentrator)
-
Junos OS version 11.4R1 ou supérieure
Vue d’ensemble et topologie
Depuis Junos OS version 11.4R1, les cartes de ligne MPC peuvent exécuter certains services sans avoir besoin d’une carte de services dédiée, telle qu’une MS-MPC. Les services en ligne offrent généralement de meilleures performances que l’utilisation d’une carte de services, mais leurs fonctionnalités ont tendance à être plus basiques. Par exemple, le NAT en ligne prend uniquement en charge le NAT statique.
Dans cet exemple, un équipement MX Series avec une carte de ligne MPC fournit des services NAT source en ligne au trafic circulant entre deux hôtes finaux. La topologie de ce scénario est illustrée à la Figure 2
Comme le montre la figure, l’hôte H1 envoie du trafic vers le serveur S1. Le périphérique MX Series effectue des NAT source pour traduire l’adresse IP source de H1 de 10.1.1.2 à 192.0.2.2. Le serveur S1 envoie ensuite le trafic de retour à l’hôte H1 à l’aide de l’adresse IP de destination 192.0.2.2, et l’appareil MX Series rétablit l’adresse IP de H1 vers 10.1.1.2.
Les éléments de configuration suivants sont utilisés dans ce scénario :
-
Interface de service en ligne : interface virtuelle qui réside sur le moteur de transfert de paquets de la MPC. Pour accéder aux services, le trafic entre et sort de ces
si-interfaces (service-inline). -
Ensemble de services : définit le ou les services à exécuter et identifie la ou les interfaces en ligne qui alimenteront le trafic vers et depuis l’ensemble de services. Il existe deux façons d’implémenter des ensembles de services :
-
Style d’interface : méthode basée sur une interface dans laquelle les paquets arrivant à une interface sont transférés via le service en ligne.
-
Style de saut suivant : méthode basée sur le routage, où des routes statiques sont utilisées pour transférer des paquets destinés à une destination spécifique via le service en ligne.
Cet exemple utilise l’ensemble de services de style interface.
-
-
Règle NAT : utilise une structure si-alors (similaire aux filtres de pare-feu) pour définir les conditions de correspondance, puis appliquer la traduction d’adresse au trafic correspondant.
-
Pool NAT : ensemble d’adresses IP défini par l’utilisateur qui sont utilisées par la règle NAT pour la traduction.
Ces éléments s’assemblent comme illustré sur la Figure 3
Configuration pour la traduction d’adresses réseau en ligne
Pour configurer le NAT en ligne à l’aide d’un ensemble de services de type interface, effectuez les tâches suivantes :
- Configuration rapide de la CLI
- Activer les services en ligne et créer une interface en ligne
- Configurer la règle et le pool de NAT
- Configurez l’ensemble de services (de style interface)
- Configurer les interfaces physiques
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans la CLI au niveau de la hiérarchie [modifier].
## Enable inline services, create an si- interface, reserve bandwidth ## set chassis fpc 0 pic 0 inline-services bandwidth 1g set interfaces si-0/0/0 unit 0 family inet ## Configure a NAT rule and pool ## set services nat rule SRC-NAT1 match-direction input set services nat rule SRC-NAT1 term r1 from source-address 10.1.1.0/24 set services nat rule SRC-NAT1 term r1 then translated translation-type basic-nat44 set services nat rule SRC-NAT1 term r1 then translated source-pool p1 set services nat pool p1 address 192.0.2.0/24 ## Configure the (interface-style) service set ## set services service-set INT-STYLE-SS-NAT1 nat-rules SRC-NAT1 set services service-set INT-STYLE-SS-NAT1 interface-service service-interface si-0/0/0.0 ## Configure interfaces ## set interfaces xe-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces xe-0/0/0 description INSIDE set interfaces xe-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces xe-1/0/0 description OUTSIDE set interfaces xe-0/0/0 unit 0 family inet service input service-set INT-STYLE-SS-NAT1 set interfaces xe-0/0/0 unit 0 family inet service output service-set INT-STYLE-SS-NAT1
Activer les services en ligne et créer une interface en ligne
Procédure étape par étape
Activez les services en ligne pour les emplacements FPC et PIC concernés, et définissez la quantité de bande passante à dédier aux services en ligne.
Les paramètres FPC et PIC créés et mappés à une
si-interface.[edit chassis fpc 0 pic 0] user@MX# set inline-services bandwidth 1g
Sur l’interface
si-, spécifiez la ou les familles de protocoles qui auront besoin de services NAT.Remarque :Les paramètres FPC et PIC doivent correspondre aux paramètres définis ci-dessus.
[edit interfaces si-0/0/0] user@MX# set unit 0 family inet
Configurer la règle et le pool de NAT
Procédure étape par étape
Configurez une règle NAT qui correspond au trafic arrivant à l’équipement MX à partir du sous-réseau de H1 (10.1.1.0/24), la traduit à l’aide du NAT IPv4 de base et utilise une adresse IP du pool
p1.[edit services nat] user@MX# set rule SRC-NAT1 match-direction input user@MX# set rule SRC-NAT1 term r1 from source-address 10.1.1.0/24 user@MX# set rule SRC-NAT1 term r1 then translated translation-type basic-nat44 user@MX# set rule SRC-NAT1 term r1 then translated source-pool p1
Configurez le pool NAT.
[edit services nat] user@MX# set pool p1 address 192.0.2.0/24
Configurez l’ensemble de services (de style interface)
Procédure étape par étape
Configurez un ensemble de services qui utilise le service NAT en ligne (
nat-rules) et l’interface en ligne définie ci-dessus. Utilisez leinterface-serviceparamètre pour spécifier qu’il s’agit d’un ensemble de services de style interface.Le trafic entre dans l’interface
si-et en sort pour accéder au service NAT en ligne.[edit services] user@MX# set service-set INT-STYLE-SS-NAT1 nat-rules SRC-NAT1 user@MX# set service-set INT-STYLE-SS-NAT1 interface-service service-interface si-0/0/0.0
Configurer les interfaces physiques
Procédure étape par étape
Configurez les interfaces physiques.
[edit interfaces] user@MX# set xe-0/0/0 unit 0 family inet address 10.1.1.1/24 user@MX# set xe-0/0/0 description INSIDE user@MX# set xe-1/0/0 unit 0 family inet address 192.168.1.1/24 user@MX# set xe-1/0/0 description OUTSIDE
Dans l’interface 'inside', spécifiez que le trafic passera par l’ensemble de services défini ci-dessus.
[edit interfaces xe-0/0/0 unit 0] user@MX# set family inet service input service-set INT-STYLE-SS-NAT1 user@MX# set family inet service output service-set INT-STYLE-SS-NAT1
Résultats
chassis {
fpc 0 {
pic 0 {
inline-services {
bandwidth 1g;
}
}
}
}
services {
service-set INT-STYLE-SS-NAT1 {
nat-rules SRC-NAT1;
interface-service {
service-interface si-0/0/0.0;
}
}
nat {
pool p1 {
address 192.0.2.0/24;
}
rule SRC-NAT1 {
match-direction input;
term r1 {
from {
source-address {
10.1.1.0/24;
}
}
then {
translated {
source-pool p1;
translation-type {
basic-nat44;
}
}
}
}
}
}
}
interfaces {
si-0/0/0 {
unit 0 {
family inet;
}
}
xe-0/0/0 {
description INSIDE;
unit 0 {
family inet {
service {
input {
service-set INT-STYLE-SS-NAT1;
}
output {
service-set INT-STYLE-SS-NAT1;
}
}
address 10.1.1.1/24;
}
}
}
xe-1/0/0 {
description OUTSIDE;
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’accessibilité de l’hôte H1 au serveur S1
- Vérification de la traduction des adresses
Vérification de l’accessibilité de l’hôte H1 au serveur S1
Objet
Vérifiez l’accessibilité entre H1 et S1.
Mesures à prendre
Sur l’hôte H1, vérifiez que l’hôte peut envoyer un ping au serveur S1.
user@H1> ping 192.168.1.2 count 5 PING 192.168.1.2 (192.168.1.2): 56 data bytes 64 bytes from 192.168.1.2: icmp_seq=0 ttl=63 time=0.991 ms 64 bytes from 192.168.1.2: icmp_seq=1 ttl=63 time=14.186 ms 64 bytes from 192.168.1.2: icmp_seq=2 ttl=63 time=3.016 ms 64 bytes from 192.168.1.2: icmp_seq=3 ttl=63 time=3.742 ms 64 bytes from 192.168.1.2: icmp_seq=4 ttl=63 time=4.748 ms --- 192.168.1.2 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.991/5.337/14.186/4.593 ms
Signification
H1 peut atteindre S1.
Vérification de la traduction des adresses
Objet
Vérifiez que la traduction des adresses fonctionne correctement.
Mesures à prendre
Sur l’équipement MX, vérifiez que les détails de configuration NAT en ligne ont été appliqués correctement.
user@MX> show services inline nat pool Interface: si-0/0/0, Service set: INT-STYLE-SS-NAT1 NAT pool: p1, Translation type: BASIC NAT44 Address range: 192.0.2.0-192.0.2.255 NATed packets: 5, deNATed packets: 5, Errors: 0Sur le serveur S1, vérifiez que le serveur reçoit les pings de l’adresse IP source traduite par NAT de H1 (192.0.2.2).
Lancez la commande ci-dessous et envoyez à nouveau des pings depuis H1.
Remarque :Pour cette configuration, un autre périphérique MX est utilisé pour représenter le serveur S1 afin d’activer la surveillance du trafic entrant.
user@S1> monitor traffic interface xe-1/1/1 no-resolve verbose output suppressed, use <detail> or <extensive> for full protocol decode Address resolution is OFF. Listening on xe-1/1/1, capture size 96 bytes 23:28:28.577377 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 3293, seq 0, length 64 23:28:28.577405 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 3293, seq 0, length 64 23:28:29.579253 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 3293, seq 1, length 64 23:28:29.579278 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 3293, seq 1, length 64 23:28:30.579275 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 3293, seq 2, length 64 23:28:30.579302 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 3293, seq 2, length 64 23:28:31.580279 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 3293, seq 3, length 64 23:28:31.580305 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 3293, seq 3, length 64 23:28:32.581266 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 3293, seq 4, length 64 23:28:32.581293 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 3293, seq 4, length 64 ^C 10 packets received by filter 0 packets dropped by kernel
Signification
L’étape 1 ci-dessus confirme que les paramètres de service NAT en ligne et l’ensemble de services de style interface sont correctement implémentés. L’étape 2 ci-dessus confirme que le serveur S1 reçoit correctement les pings de H1 à partir de son adresse IP source traduite par le NAT.
Configuration pour deux fois NAT
deux fois NAT
Pour configurer Twice NAT à l’aide d’un ensemble de services de style interface, effectuez les tâches suivantes :
- Configuration rapide de la CLI
- Configurez l’ensemble de services (de style interface)
- Configurer les interfaces physiques
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans la CLI au niveau de la hiérarchie [modifier].
## Configure a NAT rule and pool ## set services nat pool dst-pool-p1 address 100.1.1.2/32 set services nat pool dst-pool-p2 address 100.1.1.4/32 set services nat pool src-pool-p2 address 20.0.0.0/8 set services nat allow-overlapping-nat-pools set services nat rule TWICE_rule_1 match-direction output set services nat rule TWICE_rule_1 term TWICE_rule_1_term_1 from source-address 10.0.0.0/8 set services nat rule TWICE_rule_1 term TWICE_rule_1_term_1 from destination-address 120.1.1.2/32 set services nat rule TWICE_rule_1 term TWICE_rule_1_term_1 then translated source-pool src-pool-p1 set services nat rule TWICE_rule_1 term TWICE_rule_1_term_1 then translated destination-pool dst-pool-p1 set services nat rule TWICE_rule_1 term TWICE_rule_1_term_1 then translated translation-type twice-basic-nat-44 set services nat rule TWICE_rule_1 term TWICE_rule_1_term_2 from source-address 10.0.0.0/8 set services nat rule TWICE_rule_1 term TWICE_rule_1_term_2 from destination-address 120.1.1.4/32 set services nat rule TWICE_rule_1 term TWICE_rule_1_term_2 then translated source-pool src-pool-p2 set services nat rule TWICE_rule_1 term TWICE_rule_1_term_2 then translated destination-pool dst-pool-p2 set services nat rule TWICE_rule_1 term TWICE_rule_1_term_2 then translated translation-type twice-basic-nat-44 set services nat rule-set TWICE_NAT_RS1 rule TWICE_rule_1 set services service-set TWICE_SS_1 nat-rule-sets TWICE_NAT_RS1 set services service-set TWICE_SS_1 interface-service service-interface si-2/0/0 ## Configure interfaces ## set interfaces si-2/0/0 unit 0 family inet filter input log_filer set interfaces xe-2/0/0 unit 0 family inet address 10.1.1.251/16 set interfaces xe-2/0/1 unit 0 family inet service input service-set TWICE_SS_1 service-filter TWICE_SF_in set interfaces xe-2/0/1 unit 0 family inet service output service-set TWICE_SS_1 service-filter TWICE_SF_out set interfaces xe-2/0/1 unit 0 family inet address 100.1.1.251/16 ## Configure firewall filters ## set firewall family inet service-filter TWICE_SF_in term SF_R1_term_1 from source-address 100.1.1.2/32 set firewall family inet service-filter TWICE_SF_in term SF_R1_term_1 then service set firewall family inet service-filter TWICE_SF_in term SF_R1_term_2 from source-address 100.1.1.4/32 set firewall family inet service-filter TWICE_SF_in term SF_R1_term_2 then service set firewall family inet service-filter TWICE_SF_in term default then count non-matching-packets-in set firewall family inet service-filter TWICE_SF_out term SF_R1_out_term_1 from destination-address 120.1.1.2/32 set firewall family inet service-filter TWICE_SF_out term SF_R1_out_term_1 then service set firewall family inet service-filter TWICE_SF_out term SF_R1_out_term_2 from destination-address 120.1.1.4/32 set firewall family inet service-filter TWICE_SF_out term SF_R1_out_term_2 then service set firewall family inet service-filter TWICE_SF_out term default then count non-matching-packets-out set firewall family inet service-filter TWICE_SF_out term default then skip
Configurez l’ensemble de services (de style interface)
Configurer un ensemble de services qui utilise le service Twice NAT (
nat-rules), aUtilisez leinterface-serviceparamètre pour spécifier qu’il s’agit d’un ensemble de services de style interface.[edit services] user@MX# set service-set TWICE_SS_1 nat-rule-sets TWICE_NAT_RS1 user@MX# set service-set TWICE_SS_1 interface-service service-interface si-2/0/0
Configurer les interfaces physiques
Procédure étape par étape
Configurez les interfaces physiques.
[edit interfaces] user@MX# set si-2/0/0 unit 0 family inet filter input log_filer user@MX# set xe-2/0/0 unit 0 family inet address 10.1.1.251/16 user@MX# set xe-2/0/1 unit 0 family inet service input service-set TWICE_SS_1 service-filter TWICE_SF_in user@MX# set xe-2/0/1 unit 0 family inet service output service-set TWICE_SS_1 service-filter TWICE_SF_out user@MX# set xe-2/0/1 unit 0 family inet address 100.1.1.251/16
Sur l’interface, spécifiez que le trafic passera par le jeu de services défini ci-dessus.
[edit interfaces] user@MX# set xe-2/0/1 unit 0 family inet service input service-set TWICE_SS_1 service-filter TWICE_SF_in user@MX# set xe-2/0/1 unit 0 family inet service output service-set TWICE_SS_1 service-filter TWICE_SF_out
Configurez les options de filtre de pare-feu pour diriger le trafic vers l’interface
si.[edit firewall] user@MX# set family inet service-filter TWICE_SF_in term SF_R1_term_1 from source-address 100.1.1.2/32 user@MX# set family inet service-filter TWICE_SF_in term SF_R1_term_1 then service user@MX# set family inet service-filter TWICE_SF_in term SF_R1_term_2 from source-address 100.1.1.4/32 user@MX# set family inet service-filter TWICE_SF_in term SF_R1_term_2 then service user@MX# set family inet service-filter TWICE_SF_in term default then count non-matching-packets-in user@MX# set family inet service-filter TWICE_SF_out term SF_R1_out_term_1 from destination-address 120.1.1.2/32 user@MX# set family inet service-filter TWICE_SF_out term SF_R1_out_term_1 then service user@MX# set family inet service-filter TWICE_SF_out term SF_R1_out_term_2 from destination-address 120.1.1.4/32 user@MX# set family inet service-filter TWICE_SF_out term SF_R1_out_term_2 then service user@MX# set family inet service-filter TWICE_SF_out term default then count non-matching-packets-out user@MX# set family inet service-filter TWICE_SF_out term default then skip
Configuration pour le NAT de destination
du NAT de destination
Pour configurer le NAT de destination à l’aide d’un ensemble de services de type interface, effectuez les tâches suivantes :
- Configuration rapide de la CLI
- Activer les services en ligne
- Configurez l’ensemble de services (de style interface)
- Configurer les interfaces physiques
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans la CLI au niveau de la hiérarchie [modifier].
## Enable inline services, create an si- interface ## set chassis fpc 2 pic 0 inline-services set chassis fpc 2 pic 1 inline-services set services service-set DANT44_SS_1 nat-rule-sets DNAT44_RS_1 set services service-set DANT44_SS_1 interface-service service-interface si-2/0/0.0 ## Configure a NAT rule ## set services nat rule DNAT44_rule_1 match-direction output set services nat rule DNAT44_rule_1 term DNAT44_R1_term_1 from destination-address 21.1.1.2/32 set services nat rule DNAT44_rule_1 term DNAT44_R1_term_1 then translated destination-prefix 192.168.1.2/32 set services nat rule DNAT44_rule_1 term DNAT44_R1_term_1 then translated translation-type dnat-44 set services nat rule-set DNAT44_RS_1 rule DNAT44_rule_1 ## Configure interfaces (and the interface-style) and service filters ## set interfaces si-2/0/0 unit 0 family inet set interfaces xe-2/0/0 unit 0 family inet address 100.2.1.2/24 set interfaces xe-2/0/1 unit 0 family inet service input service-set DANT44_SS_1 service-filter SF_in set interfaces xe-2/0/1 unit 0 family inet service output service-set DANT44_SS_1 service-filter SF_out set interfaces xe-2/0/1 unit 0 family inet address 192.168.1.251/24 ## Configure the firewall filter options and static route options## set firewall family inet service-filter SF_in term SF_in_term1 from source-address 192.168.1.2/32 set firewall family inet service-filter SF_in term SF_in_term1 then service set firewall family inet service-filter SF_out term SF_out_term1 from destination-address 21.1.1.2/32 set firewall family inet service-filter SF_out term SF_out_term1 then service set routing-options static route 21.1.0.0/16 next-hop 100.2.1.2
Activer les services en ligne
Activez les services en ligne pour les emplacements FPC et PIC concernés.
Les paramètres FPC et PIC créés et mappés à une
si-interface.[edit chassis fpc 2 pic 0] user@MX# set inline-services
[edit chassis fpc 2 pic 1] user@MX# set inline-services
Configurez l’ensemble de services (de style interface)
Configurer un ensemble de services qui utilise le service Destination NAT (
nat-rules), aUtilisez leinterface-serviceparamètre pour spécifier qu’il s’agit d’un ensemble de services de style interface.[edit services service-set] user@MX# set DANT44_SS_1 nat-rule-sets DNAT44_RS_1 user@MX# set DANT44_SS_1 DANT44_SS_1 interface-service service-interface si-2/0/0.0
Configurer les interfaces physiques
Configurez les interfaces physiques.
[edit interfaces] user@MX# set si-2/0/0 unit 0 family inet user@MX# set xe-2/0/0 unit 0 family inet address 100.2.1.2/24
Sur l’interface, spécifiez que le trafic sera envoyé via l’ensemble de services défini précédemment.
[edit interfaces] user@MX# set xe-2/0/1 unit 0 family inet service input service-set DANT44_SS_1 service-filter SF_in user@MX# set xe-2/0/1 unit 0 family inet service output service-set DANT44_SS_1 service-filter SF_out user@MX# set interfaces xe-2/0/1 unit 0 family inet address 192.168.1.251/24
Configurez les options de filtre de pare-feu pour diriger le trafic vers les
siinterfaces.[edit firewall] user@MX# set firewall family inet service-filter SF_in term SF_in_term1 from source-address 192.168.1.2/32 user@MX# set firewall family inet service-filter SF_in term SF_in_term1 then service user@MX# set firewall family inet service-filter SF_out term SF_out_term1 from destination-address 21.1.1.2/32 user@MX# set firewall family inet service-filter SF_out term SF_out_term1 then service
Configurez les options de routage statique.
[edit routing-optipons] user@MX# set static route 21.1.0.0/16 next-hop 100.2.1.2
Exemple : configuration de la traduction d’adresses réseau en ligne - méthode basée sur le routage
Cet exemple de configuration illustre comment configurer la traduction d’adresses réseau (NAT) en ligne basée sur le routage sur des équipements MX Series à l’aide d’interfaces si- (service-inline) avec des ensembles de services de type saut suivant.
Cette rubrique couvre :
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Routeur MX Series avec une carte de ligne MPC (Modular Port Concentrator)
Junos OS version 11.4R1 ou supérieure
Vue d’ensemble et topologie
Depuis Junos OS version 11.4R1, les cartes de ligne MPC peuvent exécuter certains services sans avoir besoin d’une carte de services dédiée, telle qu’une MS-MPC. Les services en ligne offrent généralement de meilleures performances que l’utilisation d’une carte de services, mais leurs fonctionnalités ont tendance à être plus basiques. Par exemple, le NAT en ligne prend uniquement en charge le NAT statique.
Dans cet exemple, un équipement MX Series avec une carte de ligne MPC fournit des services NAT source en ligne au trafic circulant entre deux hôtes finaux. La topologie de ce scénario est illustrée à la Figure 6
Comme le montre la figure, l’hôte H1 envoie du trafic vers le serveur S1. Le périphérique MX Series effectue des NAT source pour traduire l’adresse IP source de H1 de 10.1.1.2 à 192.0.2.2. Le serveur S1 envoie ensuite le trafic de retour à l’hôte H1 à l’aide de l’adresse IP de destination 192.0.2.2, et l’appareil MX Series rétablit l’adresse IP de H1 vers 10.1.1.2.
Les éléments de configuration suivants sont utilisés dans ce scénario :
Interface de service en ligne : interface virtuelle qui réside sur le moteur de transfert de paquets de la MPC. Pour accéder aux services, le trafic entre et sort de ces
si-interfaces (service-inline).Ensemble de services : définit le ou les services à exécuter et identifie la ou les interfaces en ligne qui alimenteront le trafic vers et depuis l’ensemble de services. Il existe deux façons d’implémenter des ensembles de services :
Style d’interface : méthode basée sur une interface dans laquelle les paquets arrivant à une interface sont transférés via le service en ligne.
Style de saut suivant : méthode basée sur le routage, où des routes statiques sont utilisées pour transférer des paquets destinés à une destination spécifique via le service en ligne.
Cet exemple utilise l’ensemble de services de style saut suivant.
Règle NAT : utilise une structure si-alors (similaire aux filtres de pare-feu) pour définir les conditions de correspondance, puis appliquer la traduction d’adresse au trafic correspondant.
Pool NAT : ensemble d’adresses IP défini par l’utilisateur qui sont utilisées par la règle NAT pour la traduction.
Instance de routage : ensemble de tables de routage, d’interfaces et de paramètres de protocole de routage qui s’exécutent séparément de l’instance de routage principale (par défaut).
Le NAT en ligne basé sur le routage est généralement utilisé dans les scénarios impliquant des instances de routage.
Ces éléments s’assemblent comme le montre la figure 7.
La configuration
Pour configurer le NAT en ligne à l’aide d’un ensemble de services de type saut suivant, effectuez les tâches suivantes :
- Configuration rapide de la CLI
- Configurer les interfaces physiques
- Activer les services en ligne et créer une interface en ligne
- Configurer l’instance de routage et identifier le trafic à envoyer via le service NAT en ligne
- Configurer la règle et le pool de NAT
- Configurer l’ensemble de services (de style saut suivant)
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans la CLI au niveau de la hiérarchie [modifier].
## Configure interfaces ## set interfaces xe-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces xe-0/0/0 description INSIDE set interfaces xe-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces xe-1/0/0 description OUTSIDE ## Enable inline services, create an si- interface, reserve bandwidth ## set chassis fpc 0 pic 0 inline-services bandwidth 1g set interfaces si-0/0/0 unit 1 family inet set interfaces si-0/0/0 unit 1 service-domain inside set interfaces si-0/0/0 unit 2 family inet set interfaces si-0/0/0 unit 2 service-domain outside ## Configure routing instance, feed traffic into the inline NAT service ## set routing-instances RI-A instance-type virtual-router set routing-instances RI-A interface xe-0/0/0.0 set routing-instances RI-A interface si-0/0/0.1 set routing-instances RI-A routing-options static route 192.168.1.2/32 next-hop si-0/0/0.1 ## Configure a NAT rule and pool ## set services nat rule SRC-NAT1 match-direction input set services nat rule SRC-NAT1 term r1 from source-address 10.1.1.0/24 set services nat rule SRC-NAT1 term r1 then translated translation-type basic-nat44 set services nat rule SRC-NAT1 term r1 then translated source-pool p1 set services nat pool p1 address 192.0.2.0/24 ## Configure the (next-hop-style) service set ## set services service-set NH-STYLE-SS-NAT1 nat-rules SRC-NAT1 set services service-set NH-STYLE-SS-NAT1 next-hop-service inside-service-interface si-0/0/0.1 set services service-set NH-STYLE-SS-NAT1 next-hop-service outside-service-interface si-0/0/0.2
Configurer les interfaces physiques
Procédure étape par étape
Configurez les interfaces physiques.
[edit interfaces] user@MX# set xe-0/0/0 unit 0 family inet address 10.1.1.1/24 user@MX# set xe-0/0/0 description INSIDE user@MX# set xe-1/0/0 unit 0 family inet address 192.168.1.1/24 user@MX# set xe-1/0/0 description OUTSIDE
Activer les services en ligne et créer une interface en ligne
Procédure étape par étape
Activez les services en ligne pour les emplacements FPC et PIC concernés, et définissez la quantité de bande passante à dédier aux services en ligne.
Les paramètres FPC et PIC créés et mappés à une
si-interface.[edit chassis fpc 0 pic 0] user@MX# set inline-services bandwidth 1g
Sur l’interface
si-, créez deux unités logiques. Pour chaque unité, spécifiez la ou les familles de protocoles qui auront besoin de services NAT, ainsi que les interfaces « internes » ou « externes » pour le domaine de service.Remarque :Les paramètres FPC et PIC doivent correspondre aux paramètres définis ci-dessus.
[edit interfaces si-0/0/0] user@MX# set unit 1 family inet user@MX# set unit 1 service-domain inside user@MX# set unit 2 family inet user@MX# set unit 2 service-domain outside
Configurer l’instance de routage et identifier le trafic à envoyer via le service NAT en ligne
Procédure étape par étape
Configurez une instance de routage qui inclut les interfaces physiques et
si-« ínside », ainsi qu'une route statique qui identifie le trafic à transférer vers le service NAT en ligne via l'si-interface.Pour simplifier, la route statique utilisée ici identifie simplement le serveur S1.
[edit routing-instances] user@MX# set RI-A instance-type virtual-router user@MX# set RI-A interface xe-0/0/0.0 user@MX# set RI-A interface si-0/0/0.1 user@MX# set RI-A routing-options static route 192.168.1.2/32 next-hop si-0/0/0.1
Configurer la règle et le pool de NAT
Procédure étape par étape
Configurez une règle NAT qui correspond au trafic arrivant à l’équipement MX à partir du sous-réseau de H1 (10.1.1.0/24), la traduit à l’aide du NAT IPv4 de base et utilise une adresse IP du pool
p1.[edit services nat] user@MX# set rule SRC-NAT1 match-direction input user@MX# set rule SRC-NAT1 term r1 from source-address 10.1.1.0/24 user@MX# set rule SRC-NAT1 term r1 then translated translation-type basic-nat44 user@MX# set rule SRC-NAT1 term r1 then translated source-pool p1
Configurez le pool NAT.
[edit services nat] user@MX# set pool p1 address 192.0.2.0/24
Configurer l’ensemble de services (de style saut suivant)
Procédure étape par étape
Configurez un ensemble de services qui utilise le service NAT en ligne (
nat-rules) et les interfaces en ligne définies ci-dessus. Utilisez lenext-hop-serviceparamètre pour spécifier qu’il s’agit d’un ensemble de services de type saut suivant et affectez lessi-interfaces comme « à l’intérieur » et « à l’extérieur » en fonction de leurs paramètres ci-dessus.Le trafic entre dans les interfaces et en sort pour
si-accéder au service NAT en ligne.[edit services] user@MX# set service-set NH-STYLE-SS-NAT1 nat-rules SRC-NAT1 user@MX# set service-set NH-STYLE-SS-NAT1 next-hop-service inside-service-interface si-0/0/0.1 user@MX# set service-set NH-STYLE-SS-NAT1 next-hop-service outside-service-interface si-0/0/0.2
Résultats
chassis {
fpc 0 {
pic 0 {
inline-services {
bandwidth 1g;
}
}
}
}
services {
service-set NH-STYLE-SS-NAT1 {
nat-rules SRC-NAT1;
next-hop-service {
inside-service-interface si-0/0/0.1;
outside-service-interface si-0/0/0.2;
}
}
nat {
pool p1 {
address 192.0.2.0/24;
}
rule SRC-NAT1 {
match-direction input;
term r1 {
from {
source-address {
10.1.1.0/24;
}
}
then {
translated {
source-pool p1;
translation-type {
basic-nat44;
}
}
}
}
}
}
}
interfaces {
si-0/0/0 {
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
xe-0/0/0 {
description INSIDE;
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
xe-1/0/0 {
description OUTSIDE;
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
}
routing-instances {
RI-A {
instance-type virtual-router;
interface xe-0/0/0.0;
interface si-0/0/0.1;
routing-options {
static {
route 192.168.1.2/32 next-hop si-0/0/0.1;
}
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’accessibilité de l’hôte H1 au serveur S1
- Vérification de la traduction des adresses
Vérification de l’accessibilité de l’hôte H1 au serveur S1
Objet
Vérifiez l’accessibilité entre H1 et S1.
Mesures à prendre
Sur l’hôte H1, vérifiez que l’hôte peut envoyer un ping au serveur S1.
user@H1> ping 192.168.1.2 count 5 PING 192.168.1.2 (192.168.1.2): 56 data bytes 64 bytes from 192.168.1.2: icmp_seq=0 ttl=63 time=0.926 ms 64 bytes from 192.168.1.2: icmp_seq=1 ttl=63 time=0.859 ms 64 bytes from 192.168.1.2: icmp_seq=2 ttl=63 time=0.853 ms 64 bytes from 192.168.1.2: icmp_seq=3 ttl=63 time=0.825 ms 64 bytes from 192.168.1.2: icmp_seq=4 ttl=63 time=0.930 ms --- 192.168.1.2 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.825/0.879/0.930/0.042 ms
Signification
H1 peut atteindre S1.
Vérification de la traduction des adresses
Objet
Vérifiez que la traduction des adresses fonctionne correctement.
Mesures à prendre
Sur l’équipement MX, vérifiez que les détails de configuration NAT en ligne ont été appliqués correctement.
user@MX> show services inline nat pool Interface: si-0/0/0, Service set: NH-STYLE-SS-NAT1 NAT pool: p1, Translation type: BASIC NAT44 Address range: 192.0.2.0-192.0.2.255 NATed packets: 5, deNATed packets: 5, Errors: 0, Skipped packets: 0Sur le serveur S1, vérifiez que le serveur reçoit les pings de l’adresse IP source traduite par NAT de H1 (192.0.2.2).
Lancez la commande ci-dessous et envoyez à nouveau des pings depuis H1.
Remarque :Pour cette configuration, un autre périphérique MX est utilisé pour représenter le serveur S1 afin d’activer la surveillance du trafic entrant.
user@S1> monitor traffic interface xe-1/1/1 no-resolve verbose output suppressed, use <detail> or <extensive> for full protocol decode Address resolution is OFF. Listening on xe-1/1/1, capture size 96 bytes 20:19:36.182690 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 4436, seq 0, length 64 20:19:36.182719 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 4436, seq 0, length 64 20:19:37.182918 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 4436, seq 1, length 64 20:19:37.182945 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 4436, seq 1, length 64 20:19:38.183914 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 4436, seq 2, length 64 20:19:38.183940 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 4436, seq 2, length 64 20:19:39.184872 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 4436, seq 3, length 64 20:19:39.184896 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 4436, seq 3, length 64 20:19:40.185882 In IP 192.0.2.2 > 192.168.1.2: ICMP echo request, id 4436, seq 4, length 64 20:19:40.185907 Out IP 192.168.1.2 > 192.0.2.2: ICMP echo reply, id 4436, seq 4, length 64 ^C 10 packets received by filter 0 packets dropped by kernel
Signification
L’étape 1 ci-dessus confirme que les paramètres de service NAT en ligne et l’ensemble de services de type saut suivant sont correctement implémentés. L’étape 2 ci-dessus confirme que le serveur S1 reçoit correctement les pings de H1 à partir de son adresse IP source traduite par le NAT.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
twice-basic-nat-44