Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Présentation de la configuration NAT

Présentation de la configuration de la traduction d’adresses réseau (NAT)

Pour configurer la traduction d’adresses réseau (NAT), procédez comme suit :

  1. Configurez les adresses source et de destination. Pour plus d’informations, consultez Configuration des adresses source et de destination Présentation de la traduction des adresses réseau.
  2. Définissez les adresses ou préfixes, les plages d’adresses et les ports utilisés pour le NAT. Pour plus d’informations, consultez Configuration de pools d’adresses et de ports pour la présentation de la traduction d’adresses réseau
  3. Le cas échéant, configurez les pools d’adresses pour la traduction de ports d’adresses réseau (NAPT). Pour plus d’informations, consultez Configuration des pools d’adresses pour la présentation de la traduction de ports d’adresses réseau (NAPT).
  4. Configurez les règles de NAT. Dans les règles, incluez les directions de correspondance, les conditions de correspondance, les actions et les types de traduction. Pour plus d’informations, consultez Présentation des règles de traduction d’adresses réseau.
  5. Configurez les ensembles de services pour le traitement NAT. Dans chaque ensemble de services, définissez les interfaces pour la gestion du trafic entrant et sortant, ainsi qu’une ou plusieurs règles NAT. Pour plus d’informations, consultez Configuration des ensembles de services pour la traduction d’adresses réseau.

Voir aussi

Configuration des adresses source et de destination Présentation de la traduction d’adresses réseau

Vous devez configurer une adresse spécifique, un préfixe ou les limites de la plage d’adresses :

  • Les adresses suivantes, bien que valides dans inet.0, ne peuvent pas être utilisées pour la traduction NAT :

    • 0.0.0.0/32

    • 127.0.0.0/8 (bouclage)

    • 128.0.0.0/16 (martien)

    • 191.255.0.0/16 (martien)

    • 192.0.0.0/24 (martien)

    • 223.255.255.0/24 (martien)

    • 224.0.0.0/4 (multicast)

    • 240.0.0.0/4 (réservé)

    • 255.255.255.255 (diffusion)

    Les adresses spécifiées comme valides dans la table de routage et qui ne sont pas prises en charge pour la inet.0 traduction NAT sont orlonger des types de filtres de correspondance. Vous ne pouvez pas spécifier de régions dans ces préfixes d’adresse dans un pool NAT.

  • Sur les routeurs MX Series avec MS-MPC et MS-MIC, si vous configurez un pool d’adresses NAT avec une longueur de préfixe égale ou supérieure à /16, le PIC ne contient pas suffisamment de mémoire pour provisionner le pool configuré. En outre, des problèmes d’utilisation de la mémoire peuvent survenir si vous tentez de configurer de nombreux pools dont le nombre total d’adresses IP combiné dépasse /16. Dans de telles circonstances, un message de journalisation du système est généré indiquant que le nom du pool NAT n’a pas pu être créé et que l’ensemble de services n’est pas activé. Sur les MS-MPC et MS-MIC, vous ne devez pas configurer les pools NAT avec des longueurs de préfixe supérieures ou égales à /16.

  • Vous pouvez spécifier un ou plusieurs préfixes d’adresse IPv4 dans l’instruction pool et dans la from clause du terme de règle NAT. Cela vous permet de configurer la traduction source d’un sous-réseau privé vers un sous-réseau public sans définir de terme de règle pour chaque adresse du sous-réseau. La traduction de destination ne peut pas être configurée par cette méthode. Pour plus d’informations, consultez Exemples : configuration de règles NAT.

  • Lorsque vous configurez la source statique NAT, la taille du address préfixe que vous configurez au niveau de la [edit services nat pool pool-name] hiérarchie doit être supérieure à la source-address plage de préfixes configurée au niveau de la [edit services nat rule rule-name term term-name from] hiérarchie. La source-address plage de préfixes doit également être mappée à un seul sous-réseau ou à une seule plage d’adresses IPv4 ou IPv6 dans l’instruction pool . Toutes les adresses de pool qui ne sont pas utilisées par la plage de source-address préfixes sont laissées inutilisées. Les pools ne peuvent pas être partagés.

  • Lorsque vous configurez la taille du préfixe d’un pool d’adresses NAT avec l’instruction address au niveau de la hiérarchie [edit services nat pool nat-pool-name], les adresses de sous-réseau et de diffusion ne sont pas incluses dans la liste des adresses IP utilisables. Par exemple, si vous utilisez address 10.11.12.0/28 dans un pool NAT, les adresses 10.11.12.0 (adresse de sous-réseau) et 10.11.12.15 (adresse de diffusion) ne sont pas disponibles.

Remarque :

Lorsque vous incluez une configuration NAT qui modifie les adresses IP, cela peut affecter les fonctionnalités de chemin de transfert ailleurs dans la configuration de votre routeur, telles que l’utilisation de la classe source (SCU), l’utilisation de la classe de destination (DCU), le transfert basé sur des filtres ou d’autres fonctionnalités qui ciblent des adresses IP ou des préfixes spécifiques.

NAT configuration peut également affecter le fonctionnement du protocole de routage, car les adresses d’appairage, de voisinage et d’interface du protocole peuvent être modifiées lorsque les paquets des protocoles de routage transitent par le PIC Adaptive Services (AS) ou Multiservices.

Voir aussi

Configuration de pools d’adresses et de ports pour la traduction d’adresses réseau Présentation

Configuration des pools NAT

Vous pouvez utiliser l’instruction pour définir les adresses (ou préfixes), les plages d’adresses et les ports utilisés pour la traduction d’adresses pool réseau (NAT). Pour configurer les informations, incluez l’instruction pool au niveau de la [edit services nat] hiérarchie.

À partir de Junos OS version 14.2, configurez le pool de NAT comme suit. À partir de la version 16.1 de Junos OS, l’instruction limit-ports-per-address est prise en charge.

Dans Junos OS version 14.1 et antérieure, configurez le pool de NAT comme suit :

Pour configurer des pools pour le NAT traditionnel, spécifiez un pool de destination ou un pool source.

Avec le NAT source statique et le NAT source dynamique, vous pouvez spécifier plusieurs adresses IPv4 (ou préfixes) et plages d’adresses IPv4. Vous pouvez prendre en charge jusqu’à 32 préfixes ou plages d’adresses (ou une combinaison des deux) dans un seul pool.

Avec la NAT de destination statique, vous pouvez également spécifier plusieurs préfixes et plages d’adresses dans un seul terme. Plusieurs termes NAT de destination peuvent partager un pool NAT de destination. Toutefois, le masque de réseau ou la plage de l’adresse from doit être inférieur ou égal au masque de réseau ou à la plage de l’adresse du pool de destination. Si vous définissez le pool pour qu’il soit plus grand que nécessaire, certaines adresses ne seront pas utilisées. Par exemple, si vous définissez la taille du pool sur 100 adresses et que la règle spécifie uniquement 80 adresses, les 20 dernières adresses du pool ne sont pas utilisées.

Pour connaître les contraintes sur des types de traduction spécifiques, consultez Présentation des règles de traduction d’adresses réseau.

Avec le NAT statique source, les préfixes et les plages d’adresses ne peuvent pas se chevaucher entre des pools distincts.

Dans une plage d’adresses, la low valeur doit être inférieure à la high valeur. Lorsque plusieurs plages d’adresses et préfixes sont configurés, les préfixes sont d’abord épuisés, suivis des plages d’adresses.

Lorsque vous spécifiez un port pour NAT source dynamique, les plages d’adresses sont limitées à un maximum de 65 000 adresses, pour un total de (65 000 x 65 535) ou 4 259 775 000 flux. Un pool NAT dynamique sans traduction de port d’adresse prend en charge jusqu’à 65 535 adresses. Il n’y a pas de limite à la taille du pool pour le NAT source statique.

Préserver l’aire de répartition et préserver la parité

Vous pouvez configurer votre NAT de classe opérateur (CGN) pour préserver la plage ou la parité du port source du paquet lorsqu’il alloue un port source à une connexion sortante. Vous pouvez configurer les options Préserver la parité et Préserver la plage sous la définition du pool NAT en incluant les preserve-range instructions de configuration et au preserve-parity niveau de la [edit services nat pool poolname port] hiérarchie.

La plage et la parité sont prises en charge sur les routeurs MX Series avec MS-DPC et sur les routeurs M Series avec MS-100, MS-400 et MS-500 MultiServices PICS. La préservation de la portée et la parité sont prises en charge sur les routeurs MX Series avec MS-MPC et MS-MIC à partir de la version 15.1R1 de Junos OS.

  • Preserve range : la norme RFC 4787, Exigences comportementales de la traduction d’adresses réseau (NAT) pour UDP unicast, définit deux plages : 0 à 1023 et 1024 à 65 535. Lorsque le preserve-range bouton est configuré et que le port entrant se trouve dans l’une de ces plages, CGN attribue un port de cette plage uniquement. Toutefois, s’il n’y a pas de port disponible dans la plage, la demande d’allocation de port échoue et cette session n’est pas créée. L’échec est répercuté sur les compteurs et la journalisation du système, mais aucun message ICMP (Internet Control Message Protocol) n’est généré. Si ce bouton n’est pas configuré, l’allocation est basée sur la plage de ports configurée, sans tenir compte de la plage de ports qui contient le port entrant. L’exception concerne certaines passerelles de niveau d’application (ALG), telles que hello, qui ont des zones spéciales.

  • Préserver la parité : lorsque le preserve-parity bouton est configuré, CGN alloue un port avec la même parité paire ou impaire que le port entrant. Si le numéro de port entrant est pair ou impair, le numéro de port sortant doit être pair ou impair. Si aucun numéro de port de la parité souhaitée n’est disponible, la demande d’attribution de port échoue, la session n’est pas créée et le paquet est abandonné.

Spécification des préfixes de destination et de source sans configurer de pool

Vous pouvez spécifier directement le préfixe de destination ou de source utilisé dans NAT sans configurer de pool.

Pour configurer les informations, incluez l’instruction rule au niveau de la [edit services nat] hiérarchie :

Présentation des règles de traduction d’adresses réseau (NAT)

Pour configurer une règle NAT, incluez l’instruction rule rule-name au niveau de la [edit services nat] hiérarchie :

Chaque règle doit inclure une match-direction instruction spécifiant la direction dans laquelle la correspondance est appliquée.

Remarque :

Prise en charge par les routeurs ACX Series uniquement input comme sens de correspondance.

De plus, chaque règle NAT est constituée d’un ensemble de termes, semblable à un filtre de pare-feu. Un terme se compose des éléments suivants :

  • from statement : spécifie les conditions de correspondance et les applications incluses et exclues.

  • then statement : spécifie les actions et les modificateurs d’action à effectuer par le logiciel du routeur.

Les sections suivantes expliquent comment les composants des règles de NAT :

Configuration de la direction de correspondance pour les règles NAT

Chaque règle doit inclure une match-direction instruction spécifiant la direction dans laquelle la correspondance est appliquée. Pour configurer l’emplacement d’application de la correspondance, incluez l’instruction match-direction au niveau de la [edit services nat rule rule-name] hiérarchie :

La direction de correspondance est utilisée par rapport au flux de trafic via les DPC multiservices et les PIC multiservices. Lorsqu’un paquet est envoyé au PIC, des informations de direction sont transportées avec lui. La direction du paquet est déterminée en fonction des critères suivants :

  • Dans un ensemble de services d’interface, la direction des paquets est déterminée par le fait qu’un paquet entre ou quitte l’interface sur laquelle il est appliqué.

  • Avec un ensemble de services de saut suivant, la direction du paquet est déterminée par l’interface utilisée pour acheminer le paquet vers le DPC multiservice ou le PIC multiservices. Si l’interface interne est utilisée pour acheminer le paquet, la direction du paquet est saisie. Si l’interface externe est utilisée pour diriger le paquet vers le PIC ou le DPC, la direction du paquet est générée. Pour plus d’informations sur les interfaces internes et externes, consultez Configuration des ensembles de services à appliquer aux interfaces de services.

  • Sur le DPC multiservices et le PIC multiservices, une recherche de flux est effectuée. Si aucun flux n’est trouvé, le traitement des règles est effectué. Toutes les règles de l’ensemble de services sont prises en compte. Lors du traitement des règles, la direction des paquets est comparée à celle des règles. Seules les règles dont les informations de direction correspondent à la direction du paquet sont prises en compte.

Configuration des conditions de correspondance dans les règles NAT

Pour configurer les conditions de correspondance NAT, incluez l’instruction from au niveau de la [edit services nat rule rule-name term term-name] hiérarchie :

Pour configurer le NAT traditionnel, vous pouvez utiliser l’adresse de destination, une plage d’adresses de destination, l’adresse source ou une plage d’adresses sources comme condition de correspondance, de la même manière que vous configureriez un filtre de pare-feu ; pour plus d’informations, consultez le Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.

Vous pouvez également spécifier une liste de préfixes source ou de destination en incluant l’instruction prefix-list au niveau de la [edit policy-options] hiérarchie, puis en incluant l’instruction destination-prefix-list ou source-prefix-list dans la règle NAT. Pour obtenir un exemple, voir Exemples : configuration de règles de pare-feu dynamique.

Si l’instruction de l’instruction then de la règle NAT est définie sur stateful-nat-64, l’intervalle spécifié par le destination-address-range ou le destination-prefix-list dans l’instruction from doit être compris dans l’intervalle spécifié par l’instruction destination-prefix dans l’instructionthen .translation-type

Si au moins un terme NAT d’une règle de NAT a la fonctionnalité de paire d’adresses (APP) activée (en incluant l’instruction address-pooling au niveau de la [edit services nat rule rule-name term term-name then translated] hiérarchie), APP doit être activé pour tous les autres termes de la règle NAT qui utilisent le même pool d’adresses NAT que le pool d’adresses pour le terme avec APP activé. Sinon, si vous ajoutez un terme de règle NAT sans activer APP à une règle qui contient d’autres termes avec APP activé, tous les termes avec APP activé dans une règle NAT suppriment les flux de trafic qui correspondent aux critères spécifiés dans la règle NAT.

Pour les routeurs MX Series avec MS-MIC et MS-MPC, bien que la fonctionnalité de regroupement d’adresses jumelées (APP) soit activée dans une règle NAT (en incluant l’instruction address-pooling au niveau de la [edit services nat rule rule-name term term-name then translated] hiérarchie), elle est une caractéristique d’un pool de NAT. Un tel pool NAT pour lequel APP est activé ne peut pas être partagé avec des règles NAT pour lesquelles APP n’est pas configuré.

Lors de la configuration de NAT, si un trafic est destiné aux adresses suivantes et ne correspond pas à un flux de NAT ou à une règle de NAT, le trafic est abandonné :

  • Adresses spécifiées dans l’instruction lorsque vous utilisez la from destination-address traduction de destination

  • Adresses spécifiées dans le pool NAT source lorsque vous utilisez la traduction source

Configuration d’actions dans les règles NAT

Pour configurer des actions NAT, incluez l’instruction then au niveau de la [edit services nat rule rule-name term term-name] hiérarchie :

  • L’instruction no-translation vous permet de spécifier les adresses que vous souhaitez exclure de NAT.

    L’instruction no-translation est prise en charge sur les routeurs MX Series avec MS-DPC et sur les routeurs M Series avec MS-100, MS-400 et MS-500 MultiServices PICS. L’instruction no-translation est prise en charge sur les routeurs MX Series avec MS-MPC et MS-MICs à partir de Junos OS version 15.1R1.

  • L’instruction system log vous permet d’enregistrer une alerte dans la fonction de journalisation du système.

  • Les destination-poolinstructions , destination-prefix, source-pool, et source-prefix spécifient les informations d’adressage que vous définissez en incluant l’instruction pool au niveau de la hiérarchie. Pour plus d’informations, reportez-vous à la section Configuration de pools d’adresses et de ports pour la présentation de la [edit services nat] traduction d’adresses réseau.

  • L’instruction translation-type spécifie le type de NAT utilisé pour le trafic source ou de destination. Les options sont basic-nat-pt, , basic-nat66basic-nat44, dnat-44dynamic-nat44, stateful-nat464napt-66napt-44stateful-nat64twice-basic-nat-44napt-pt twice-dynamic-nat-44et .twice-napt-44

Remarque :

Dans Junos OS version 13.2 et antérieure, la restriction suivante n’était pas appliquée par la CLI : si l’instruction de l’instruction d’une règle NAT était définie sur stateful-nat-64, la plage spécifiée par le ou dans l’instruction from destination-prefix-list devait se situer dans la plage spécifiée par l’instruction destination-prefix destination-address-range dans l’instructionthen.then translation-type À partir de la version 13.3R1 de Junos OS, cette restriction est appliquée.

Configuration des types de traduction

Les détails de mise en œuvre des neuf options de la translation-type déclaration sont les suivants :

  • basic-nat44: cette option implémente la traduction statique des adresses IP sources sans mappage de ports. Vous devez configurer l’instruction from source-address dans la condition de correspondance de la règle. La taille de la plage d’adresses spécifiée dans l’instruction doit être identique ou inférieure au pool source. Vous devez spécifier un pool source ou un préfixe de destination. Le pool référencé peut contenir plusieurs adresses, mais vous ne pouvez pas spécifier de ports pour la traduction.

    Remarque :

    Dans un ensemble de services d’interface, tous les paquets destinés à l’adresse source spécifiée dans la condition de correspondance sont automatiquement acheminés vers le PIC de services, même si aucun ensemble de services n’est associé à l’interface.
    Remarque :

    Avant Junos OS version 11.4R3, vous ne pouviez utiliser qu’un pool NAT source dans un seul ensemble de services. À partir de Junos OS version 11.4R3 et des versions ultérieures, vous pouvez réutiliser un pool NAT source dans plusieurs ensembles de services.

  • basic-nat66: cette option implémente la traduction statique des adresses IP sources sans mappage de port dans les réseaux IPv6. La configuration est similaire à l’implémentation basic-nat44 , mais avec des adresses IPv6.

    L’option basic-nat66 n’est pas disponible si vous utilisez des MS-MPC ou des MS-MIC.

  • basic-nat-pt: cette option implémente la traduction des adresses des hôtes IPv6, lorsqu’ils créent des sessions, vers les hôtes IPv4 d’un domaine externe et vice versa. Cette option est toujours mise en œuvre avec DNS ALG. Vous devez définir les pools source et de destination des adresses IPv4. Vous devez configurer une règle et définir deux termes. Configurez les adresses IPv6 dans l’instruction from des deux term instructions. Dans l’instruction then du premier terme de la règle, référencez les pools source et de destination et configurez dns-alg-prefix. Configurez le préfixe source dans l’instruction then du deuxième terme dans la même règle.

    L’option basic-nat-pt n’est pas disponible si vous utilisez des MS-MPC ou des MS-MIC.

  • deterministic-napt44: cette option implémente l’allocation basée sur un algorithme des blocs de ports de destination et d’adresses IP. Ainsi, une adresse IP et un port entrants (source) sont toujours mappés à la même adresse IP et au même port de destination, éliminant ainsi la nécessité de journaliser la traduction des adresses. Lorsque vous utilisez deterministic-napt44, vous devez également l’utiliser deterministic-port-block-allocation au niveau de la [edit services nat pool poolname port] hiérarchie.

    Cette deterministic-napt44 option est prise en charge sur les routeurs MX Series avec MS-DPC et sur les routeurs M Series avec MS-100, MS-400 et MS-500 MultiServices PICS. Si deterministic-napt44 vous utilisez des routeurs MX Series avec MS-MPC ou MS-MIC, cette option n’est prise en charge que dans les versions 14.2R7 et 14.2 de Junos OS et 15.1R3 et 15.1 ultérieures.

  • dnat-44: cette option implémente la conversion statique des adresses IP de destination sans mappage de ports. La taille de l’espace d’adressage du pool doit être supérieure ou égale à l’espace d’adressage de destination. Vous devez spécifier un nom pour l’instruction destination pool . Le pool référencé peut contenir plusieurs adresses, plages ou préfixes, tant que le nombre d’adresses NAT dans le pool est supérieur au nombre d’adresses de destination dans l’instruction from . Vous devez inclure exactement une destination-address valeur au niveau de la [edit services nat rule rule-name term term-name from] hiérarchie ; s’il s’agit d’un préfixe, la taille doit être inférieure ou égale à la taille du préfixe du pool. Toutes les adresses du pool qui ne correspondent pas à la valeur restent inutilisées, car un pool ne peut pas être partagé entre plusieurs termes ou règles.

  • dynamic-nat44: cette option implémente la conversion dynamique des adresses IP sources sans mappage de ports. Vous devez spécifier un source-poolfichier . Le pool référencé doit inclure une address configuration (pour la traduction d’adresse uniquement).

    L’option dynamic-nat44 d’adresse uniquement prend en charge la traduction de jusqu’à 16 777 216 adresses vers un pool de plus petite taille. Les demandes de la plage d’adresses sources sont affectées aux adresses du pool jusqu’à ce que le pool soit épuisé et que toutes les demandes supplémentaires soient rejetées. Une adresse NAT attribuée à un hôte est utilisée pour toutes les sessions simultanées à partir de cet hôte. L’adresse n’est libérée dans le pool qu’après l’expiration de toutes les sessions pour cet hôte. Cette fonctionnalité permet au routeur de partager quelques adresses IP publiques entre plusieurs hôtes privés. Étant donné que tous les hôtes privés peuvent ne pas créer de sessions simultanément, ils peuvent partager quelques adresses IP publiques.

  • napt-44: cette option implémente la conversion dynamique des adresses IP sources avec mappage de ports. Vous devez spécifier un nom pour l’instruction source-pool . Le pool référencé doit inclure une port configuration. Si le port est configuré automatiquement ou si une plage de ports est spécifiée, cela implique que la traduction de ports d’adresse réseau (NAPT) est utilisée.

  • napt-66: cette option implémente la traduction dynamique des adresses IP sources avec mappage de port pour les adresses IPv6. La configuration est similaire à l’implémentation napt-44 , mais avec des adresses IPv6.

    L’option napt-66 n’est pas disponible si vous utilisez des MS-MPC ou des MS-MIC.

  • napt-pt: cette option implémente la traduction dynamique d’adresses et de ports pour la traduction source et statique de l’adresse IP de destination. Vous devez spécifier un nom pour l’instruction source-pool . Le pool référencé doit inclure une configuration de port (pour NAPT). En outre, vous devez configurer deux règles, l’une pour le trafic DNS et l’autre pour le reste du trafic. La règle destinée au trafic DNS doit être activée pour DNS ALG et l’instruction dns-alg-prefix doit être configurée. De plus, le préfixe configuré dans l’instruction dns-alg-prefix doit être utilisé dans la deuxième règle pour traduire les adresses IPv6 de destination en adresses IPv4.

    L’option napt-pt n’est pas disponible si vous utilisez des MS-MPC ou des MS-MIC.

  • stateful-nat464: cette option implémente la traduction des adresses 464XLAT Provider-Side Translater (PLAT) pour les adresses IP sources et la traduction de suppression du préfixe IPv6 pour les adresses IPv4 de destination. Vous devez spécifier les adresses IPv4 utilisées pour la traduction au niveau de la hiérarchie [edit services nat pool]. Ce pool doit être référencé dans la règle qui traduit les adresses IPv6 en IPv4.

    Cette stateful-nat464 option n’est disponible que si vous utilisez des MS-MPC ou des MS-MIC, et est prise en charge à partir de la version 17.1R1 de Junos OS.

  • stateful-nat64: cette option implémente la conversion dynamique des adresses et des ports pour les adresses IP sources et la conversion de suppression des préfixes pour les adresses IP de destination. Vous devez spécifier les adresses IPv4 utilisées pour la traduction au niveau de la [edit services nat pool] hiérarchie. Ce pool doit être référencé dans la règle qui traduit les adresses IPv6 en IPv4.

  • twice-basic-nat-44: cette option implémente la traduction statique de la source et de la destination statique pour les adresses IPv4, combinant basic-nat44 ainsi les adresses source et dnat-44 de destination.

    L’option twice-basic-nat-44 est prise en charge sur les MS-DPC et les MS-100, MS-400 et MS-500 MultiServices PICS. L’option twice-basic-nat-44 est prise en charge sur les MS-MPC et MS-MIC à partir de Junos OS version 15.1R1.

  • twice-dynamic-nat-44: cette option implémente la traduction statique dynamique source et de destination pour les adresses IPv4, en combinant dynamic-nat44 les adresses source et dnat-44 de destination.

    L’option twice-dynamic-nat-44 est prise en charge sur les MS-DPC et les MS-100, MS-400 et MS-500 MultiServices PICS. L’option twice-dynamic-nat-44 est prise en charge sur les MS-MPC et MS-MIC à partir de Junos OS version 15.1R1.

  • twice-napt-44: cette option implémente le NAPT source et la traduction statique de destination pour les adresses IPv4, en combinant napt-44 les adresses source et dnat-44 de destination.

    L’option twice-napt-44 est prise en charge sur les MS-DPC et les MS-100, MS-400 et MS-500 MultiServices PICS. L’option twice-napt-44 est prise en charge sur les MS-MPC et MS-MIC à partir de Junos OS version 15.1R1.

Pour plus d’informations sur les méthodes NAT, consultez RFC 2663, Terminologie et considérations relatives au traducteur d’adresses réseau IP (NAT).

Configuration de règles NAT pour le passthrough IPsec pour les homologues non-NAT-T

Avant la version 17.4R1 de Junos OS, la traduction d’adresses réseau (NAT-Traversal) n’était pas prise en charge pour la suite de fonctionnalités IPsec de Junos VPN Site Secure sur les routeurs MX Series. À partir des versions 14.2R7, 15.1R5, 16.1R2 et 17.1R1 de Junos OS, vous pouvez transmettre des paquets IKEv1 et IPsec via des règles NAPT-44 et NAT64 entre des homologues IPsec qui ne sont pas conformes au protocole NAT-T. Seul le mode ESP tunnel est pris en charge. Cette fonctionnalité n’est prise en charge que sur les MS-MPC et MS-MIC.

Pour configurer des règles NAT pour le passthrough IPsec pour NAPT-44 ou NAT64 :

  1. Configurez une application IKE ALG. Reportez-vous à la section Configuration des propriétés de l’application.

  2. Ajoutez l’application à un ensemble d’applications. Voir Configuration des ensembles d’applications.

  3. Configurez un pool NAT. Voir Vue d’ensemble Configuration de pools d’adresses et de ports pour la traduction d’adresses réseau.

  4. Configurez la règle NAT :

    1. Configurez une direction de correspondance pour la règle. Voir Configuration de la direction de correspondance pour les règles NAT.

    2. Configurez l’une des conditions de correspondance comme étant l’application définie pour le passthrough IKE et IPsec que vous avez configuré à l’étape 2.

    3. Configurez d’autres conditions de correspondance. Voir Configuration des conditions de correspondance dans les règles NAT.

    4. Configurez le type de traduction en NAPT-44 ou NAT64.

    5. Configurez d’autres actions NAT. Voir Configuration d’actions dans les règles NAT.

  5. Affectez la règle NAT à un ensemble de services.

Voir aussi

Protéger les appareils CGN contre les attaques par déni de service (DOS)

Vous pouvez désormais choisir des options de configuration qui permettent de prévenir ou de minimiser l’effet des tentatives d’attaque par déni de service (DOS).

Comportement d’actualisation du mappage

Avant la mise en œuvre des nouvelles options de configuration du comportement d’actualisation du mappage NAT, décrites dans cette rubrique, une conversation était maintenue active lorsque les flux entrants ou sortants étaient actifs. Ce comportement reste le comportement par défaut. Vous pouvez désormais également spécifier l’actualisation du mappage pour les flux entrants ou sortants uniquement. Pour configurer le comportement d’actualisation du mappage, incluez l’instruction mapping-refresh (inbound | outbound | inbound-outbound) au niveau de la [edit services nat rule rule-name term term-name then translated secure-nat-mapping] hiérarchie.

Limite de flux entrant EIF

Auparavant. le nombre de connexions entrantes sur un mappage EIF n’était limité que par le nombre maximal de flux autorisés sur le système. Vous pouvez désormais configurer le nombre de flux entrants autorisés pour un EIF. Pour limiter le nombre de connexions entrantes sur un mappage EIF, incluez l’instruction eif-flow-limit number-of-flows au niveau de la [edit services nat rule rule-name term term-name then translated secure-nat-mapping] hiérarchie.

Implémentation du NAT de classe opérateur : bonnes pratiques

Les rubriques suivantes présentent les meilleures pratiques pour l’implémentation du NAT de classe opérateur :

Utilisez l’attribution d’adresses Round-Robin lors de l’utilisation d’APP avec le MS-DPC

Bonne pratique :

Si vous utilisez un MS-DPC et que vous configurez la mise en commun d’adresses appariée (APP) dans une règle NAT, vous devez utiliser l’allocation d’adresses par tourniquet pour le pool NAT.

La fonctionnalité APP mappe une adresse IP privée à la même adresse IP publique dans un pool NAT pour toutes les sessions NAT pour cette adresse IP privée.

L’allocation séquentielle d’adresses pour les pools NAT est la valeur par défaut sur le MS-DPC et alloue tous les ports à une adresse IP publique avant d’attribuer l’adresse IP suivante. L’allocation séquentielle, associée à APP, peut entraîner le mappage de plusieurs hôtes privés à la même adresse IP publique, ce qui entraîne un épuisement rapide des ports pour une adresse IP publique alors que d’autres ports sont encore disponibles à partir des adresses IP restantes dans le pool NAT.

L’allocation Round-Robin, en revanche, attribue l’adresse IP suivante dans le pool NAT à la prochaine adresse IP privée nécessitant une traduction, ce qui réduit le risque que tous les ports d’une adresse IP publique soient épuisés.

Pour plus d’informations sur l’APP et l’allocation d’adresses Round-Robin, consultez Vue d’ensemble de la configuration des pools d’adresses pour la traduction de ports d’adresses réseau (NAPT).

Remarque :

Les MS-MPC et MS-MIC utilisent uniquement l’allocation Round Robin.

L’exemple suivant illustre l’attribution d’adresses en un tour de rôle.

Utilisez la fonctionnalité EIM uniquement en cas de besoin

Bonne pratique :

N’utilisez pas le mappage indépendant des points de terminaison (EIM) dans les termes de règle NAT qui incluent des ALG Junos. EIM attribue la même adresse et le même port NAT externes à une session spécifique à partir d’un hôte privé, mais ajoute une surcharge de traitement. EIM n’apporte aucun avantage aux ALG de Junos, qui utilisent déjà la fonctionnalité utilisée par EIM.
Bonne pratique :

Activez EIM pour les applications qui réutilisent les ports sources et s’appuient sur un équipement CGNAT pour conserver la même adresse et le même mappage de port pour tout le trafic envoyé vers des destinations différentes. Par exemple, utilisez EIM pour les applications de jeu sur console telles que Xbox et PS4 ou pour les applications qui utilisent des méthodes de réparation unilatérale d’adresse automatique (UNSAF). Voir (IETF RFC 3424 IAB Considerations for Unilateral Self-Address Fixing (UNSAF) across Network Address Translation).

Pour plus d’informations sur EIM, consultez Vue d’ensemble de la configuration des pools d’adresses pour la traduction de ports d’adresses réseau (NAPT).

L’exemple suivant utilise l’ALG SIP Junos dans la règle NAT, de sorte qu’EIM n’est pas utilisé.

Définir la taille des blocs d’attribution des blocs de ports en fonction du nombre prévu de sessions utilisateur

Bonne pratique :

Pour l’attribution de blocs de ports sécurisés et l’attribution déterministe de blocs de ports, définissez une taille de bloc d’attribution de ports 2 à 4 fois supérieure au nombre moyen attendu de sessions actives pour un utilisateur. Par exemple, si l’utilisateur doit disposer d’une moyenne d’environ 200 à 250 sessions NAT actives, la configuration de la taille de bloc sur 512 ou 1024 permet une allocation libérale.
Bonne pratique :

Si vous déployez l’attribution de blocs de ports sécurisés à l’aide du MX Series en tant que périphérique NAT et que vous n’êtes pas sûr de votre profil utilisateur d’abonné et de votre profil de trafic, définissez la taille du bloc de ports sur 1024 si vous disposez de suffisamment d’adresses IP NAT pour gérer le nombre maximal estimé d’abonnés privés. Le nombre d’adresses IP NAT multiplié par 62 vous donne le nombre d’abonnés privés qui peuvent être gérés avec une taille de bloc de port de 1024 (il y a 62 blocs par adresse IP). Ensuite, surveillez de près le routeur MX Series à l’aide de la show services nat pool detail commande pour déterminer si la taille des blocs doit être modifiée.
Bonne pratique :

Veillez à ne pas rendre la taille des blocs trop importante si le nombre d’adresses IP que vous pouvez allouer au pool NAT est limité. Une taille de bloc de port suffisamment grande pour attribuer efficacement les blocs à vos abonnés peut entraîner l’immobilisation de tous les blocs de ports.

L’attribution de blocs de ports sécurisés attribue des blocs de ports à un utilisateur particulier pour NAT44 ou NAT64. L’attribution de blocs de ports sécurisés limite le nombre de messages syslog en ne générant qu’un seul syslog par bloc de ports.

Cependant, une configuration incorrecte de la taille des blocs peut entraîner une utilisation inefficace des ressources NAT ou des problèmes de performances. Par exemple, lorsqu’un utilisateur se connecte à un site web qui nécessite l’établissement d’un nombre important de sockets pour une seule page HTML, un nombre correspondant de nouveaux ports doit lui être alloué. La taille du bloc de ports doit être suffisamment grande pour empêcher l’allocation continue de nouveaux blocs. Si le nombre de sessions simultanées pour un abonné privé dépasse le nombre de ports disponibles dans le bloc de ports actif, les autres blocs de ports alloués à l’abonné sont analysés à la recherche de ports disponibles à utiliser ou un nouveau bloc est alloué à partir du pool de blocs libre pour l’abonné. L’analyse des blocs de ports alloués et l’attribution de blocs supplémentaires peuvent entraîner des retards dans la configuration de nouvelles sessions et le chargement des pages Web.

Pour plus d’informations sur l’attribution de blocs de ports, consultez Configuration de l’attribution de blocs de ports sécurisés et Configuration du NAPT déterministe.

L’exemple suivant définit la taille du bloc de ports sur 1024.

Considérations relatives à la modification de la configuration de l’attribution des blocs de ports sur les systèmes en cours d’exécution

Bonne pratique :

Avant de modifier l’allocation de blocs de ports sécurisés ou la configuration déterministe des blocs de ports sur un système en cours d’exécution lors de l’utilisation d’un MS-MPC ou d’un MS-MIC, prévoyez une interruption rapide des sessions NAT. La modification de la configuration entraîne la recréation de toutes les sessions NAT en cours.
Bonne pratique :

Avant de modifier la configuration d’attribution du bloc de ports sur un système en cours d’exécution lors de l’utilisation d’un MS-DPC, prévoyez une interruption de services. Après avoir modifié la configuration, vous devez redémarrer le MS-DPC ou, si cela n’est pas possible, vous devez désactiver et réactiver l’ensemble des services.

Les modifications apportées à la configuration de l’attribution des blocs de ports incluent :

  • Modification d’une configuration PBA de pool NAT.

  • Changer un pool de NAT PBA en un pool NAT non-PBA.

  • Changer un pool de NAT non-PBA en un pool NAT PBA.

Pour plus d’informations sur la configuration de l’allocation des blocs de ports, consultez Configuration de l’attribution des blocs de ports sécurisés et Configuration du NAPT déterministe.

N’allouez pas de pools NAT plus grands que nécessaire

MS-MPC et MS-MIC

Bonne pratique :

Lorsque vous utilisez NAPT44 comme type de traduction avec MS-MIC ou MS-MPC, ne configurez pas de pools NAT plus grands que nécessaire pour le débit de session maximal, ce qui mobiliserait de précieuses ressources IPv4. Chaque conversation, également appelée session, comprend deux flux : un flux entrant et un flux sortant. Chaque conversation nécessite un port et chaque adresse IP du pool a une plage de ports 1024-65535 (64K), de sorte que la taille du pool NAT n’a pas besoin d’être supérieure à :

nombre maximal de conversations /64K
Bonne pratique :

Lorsque vous utilisez NAPT44 comme type de traduction avec MS-MIC, nous recommandons une taille de pool NAT maximale de 128 adresses (un réseau /25).
Bonne pratique :

Lorsque vous utilisez NAPT44 comme type de traduction avec MS-MPC, nous recommandons une taille maximale de pool NAT de 256 adresses (un réseau /24).

La taille maximale recommandée du pool de NAT lors de l’utilisation de NAPT-44 pour une carte MS-MIC est de 128 adresses IP, CAR LA MS-MIC prend en charge un maximum de 14 millions de flux, ou 7 millions de conversations, qui nécessitent 7 millions de ports. Au total, 7 millions de ports sont disponibles avec 128 adresses IP, chaque adresse IP ayant une plage de ports de 1024 à 65535.

La taille maximale recommandée pour chaque pool de NAT sur un MS-MPC lors de l’utilisation du NAPT-44 est de 256 adresses IP, car chaque emplacement prend en charge un maximum de 30 millions de flux, ou 15 millions de conversations, qui nécessitent 15 millions de ports. Au total, 15 millions de ports sont disponibles avec 256 adresses IP, chaque adresse IP ayant une plage de ports de 1024 à 65535.

Vous pouvez utiliser des pools plus grands que les valeurs recommandées, et vous pouvez vous attendre à ce que les configurations qui utilisent la fonctionnalité d’attribution de blocs de ports (PBA) nécessitent des pools plus grands. En effet, PBA attribue des blocs de ports à des adresses IP privées, ce qui modifie le modèle d’efficacité du pool.

Pour plus d’informations sur la configuration des pools NAT, consultez Vue d’ensemble Configuration de pools d’adresses et de ports pour la traduction d’adresses réseau.

MS-DPC

Bonne pratique :

Lorsque vous utilisez NAPT44 comme type de traduction avec MS-DPC, ne configurez pas de pools NAT plus grands que nécessaire pour le débit de pointe, ce qui mobiliserait de précieuses ressources IPv4. Chaque conversation comprend deux flux (1 flux inverse pour chaque flux direct). Chaque conversation nécessite un port et chaque adresse IP du pool a une plage de ports 1024-65535 (64K), de sorte que la taille du pool NAT n’a pas besoin d’être supérieure à :

nombre maximal de conversations /64K
Bonne pratique :

Lorsque vous utilisez NAPT44 comme type de traduction avec MS-DPC, ne configurez pas de pools NAT avec plus de 64 adresses (un réseau /26).

La taille maximale du pool NAT pour un MS-DPC est de 64 adresses IP, car le MS-DPC prend en charge un maximum de 8 millions de flux, ou 4 millions de conversations, ce qui nécessite un maximum de 4 millions de ports. Au total, 4 millions de ports sont disponibles avec 64 adresses IP, chaque adresse IP ayant une plage de ports de 1024 à 65535. Si APP, EIM et EIF sont activés, MS-DPC prend en charge un maximum de 5,8 millions de flux, ou 2,9 millions de conversations, de sorte que la taille maximale du pool de NAT serait inférieure.

Pour plus d’informations sur la configuration des pools NAT, consultez Vue d’ensemble Configuration de pools d’adresses et de ports pour la traduction d’adresses réseau.

Configurez la journalisation système pour NAT uniquement lorsque cela est nécessaire

Bonne pratique :

N’activez pas la journalisation du système par session pour les configurations d’attribution de blocs de ports sécurisés.
Bonne pratique :

N’activez pas la journalisation du système pour les configurations NAT déterministes.
Bonne pratique :

Activez la journalisation système au niveau de l’ensemble de services plutôt qu’au niveau de l’interface des services lorsque cela est possible.
Bonne pratique :

Dans les réseaux de production, envoyez toujours les messages de journal à un serveur de journaux système externe. Cela évite d’ajouter une charge de processeur au moteur de routage, ce qui se produit lorsque les messages sont enregistrés localement.
Bonne pratique :

Spécifiez la classe du journal système pour limiter la journalisation à la classe d’applications qui vous intéresse.
Bonne pratique :

Si vous configurez la journalisation système dans un terme de règle NAT, utilisez une règle de pare-feu dynamique pour restreindre le trafic qui atteint le terme de règle NAT.

Les messages du journal système peuvent affecter négativement les performances de la carte de services, en fonction de la fréquence de création et de suppression des sessions. Tous les messages du journal système créés par la carte de services nécessitent un traitement CPU au niveau de la carte de services, et les messages du journal système eux-mêmes constituent le trafic qui est envoyé sur le routeur MX Series et entre en concurrence avec le trafic utilisateur pour atteindre le serveur de journaux externe.

L’attribution de blocs de ports sécurisés élimine le besoin de configurer les journaux par session, car vous connaissez le bloc et la taille des blocs et pouvez dériver les ports alloués à chaque utilisateur.

Le NAT déterministe élimine le besoin de journalisation, car toutes les informations sur l’attribution des ports peuvent être déduites mathématiquement.

L’exemple suivant limite la journalisation aux événements NAT et envoie des messages de journal au serveur de journaux externe 203.0.113.4

Lorsque vous configurez la journalisation système dans un terme de règle NAT, tout le trafic entrant dans le terme de règle NAT génère un journal, ce qui peut entraîner une journalisation excessive. Cela peut entraîner l’atteinte de la limite de vitesse de journalisation et vous perdrez les journaux dont vous avez besoin.

Pour plus d’informations sur la configuration de la journalisation système pour NAT, consultez Configuration des journaux de session NAT.

Limiter l’impact des fragments IP manquants

Bonne pratique :

Pour l’interface de services configurée pour le NAT, limitez l’impact des fragments manquants ou retardés en configurant les éléments suivants :

  • Nombre maximal de fragments par paquet

  • Temps d’attente maximal pour un fragment manquant

Les fragments IP reçus par la carte de services configurée pour le NAT sont mis en mémoire tampon à leur arrivée. Cela permet un contrôle d’intégrité du paquet entièrement réassemblé avant que le paquet ne soit traité par NAT. Si les fragments manquants ou retardés sont conservés, les fragments déjà reçus peuvent être conservés jusqu’à ce que la mémoire tampon interne soit pleine et qu’ils soient vidangés, ce qui entraîne une surcharge du processeur et une réduction du transfert de trafic.

Configurer le nombre maximal de fragments qu’un paquet peut avoir et limiter le temps d’attente pour un fragment manquant réduit le risque de remplissage de la mémoire tampon interne.

L’exemple suivant définit le nombre maximal de fragments sur 10 et le temps d’attente maximal sur 3 secondes.

N’utilisez pas de configurations sujettes à des boucles de routage de paquets

Bonne pratique :

Évitez les boucles de routage de paquets en vous assurant que seul le trafic prévu est autorisé à atteindre la carte de services et à être traité par la règle NAT de l’ensemble de services. Vous pouvez le faire en :

  • Configuration d’une plage d’adresses sources sous la règle NAT lorsque cela est possible.

  • Configuration d’un filtre de pare-feu qui accepte uniquement le trafic destiné à être traité par la règle NAT dans un ensemble de services de style saut suivant.

Le bouclage de paquets entre le moteur de transfert de paquets et la carte de services entraîne une utilisation élevée et persistante du processeur sur la carte de services. Le bouclage de paquets peut être causé par la carte de services recevant du trafic provenant d’un réseau privé inattendu. Lorsqu’un trafic inattendu est traité par le NAT, un sténopé est créé et, dans le cas d’EIF, de nombreux sténopés peuvent être créés. Ces trous d’épingle provoquent des boucles de routage si le trafic de retour est renvoyé par la carte de services.

L’exemple suivant montre un filtre de pare-feu qui permet uniquement au trafic de 198.51.100.0/24 d’atteindre l’interface de services ms-1/0/0, qui est l’interface interne d’un ensemble de services de saut suivant.

Pour plus d’informations sur la configuration des filtres de pare-feu, consultez le Guide de l’utilisateur Stratégies de routage, filtres de pare-feu et mécanismes de contrôle du trafic.

L’exemple suivant montre une règle NAT qui traite uniquement le trafic à partir de 198.51.100.0/24 (l’autre trafic atteint l’interface de services, mais n’est pas traité).

Pour plus d’informations sur la configuration des règles NAT, consultez Présentation des règles de traduction d’adresses réseau.

Délais d’inactivité

Bonne pratique :

Définissez le délai d’inactivité uniquement pour les applications définies par l’utilisateur qui peuvent nécessiter que le mappage de session NAT reste en mémoire plus longtemps que le délai d’inactivité NAT par défaut de 30 secondes. Par exemple, une application bancaire HTTP ou HTTPS peut nécessiter plus de 30 secondes d’inactivité car l’utilisateur doit saisir des données.
Bonne pratique :

Avant d’apporter des modifications aux délais d’inactivité existants, exécutez les commandes suivantes plusieurs fois pendant les heures de pointe. Exécutez ensuite les commandes après avoir effectué les modifications et vérifiez qu’elles ne privent pas le routeur MX Series de ressources NAT ou la carte de services de mémoire.

L’exemple suivant montre le délai d’inactivité défini sur 1800 secondes pour les applications HTTPS et HTTP.

Pour plus d’informations sur la configuration des applications définies par l’utilisateur, consultez Configuration des propriétés de l’application.

Vous devez évaluer les risques liés à la définition de délais d’inactivité élevés pour l’ensemble du trafic. Bien que le délai d’inactivité NAT par défaut de 30 secondes puisse être trop faible pour certaines applications définies par l’utilisateur, une valeur de délai d’attente trop élevée peut immobiliser NAT ressources. Par exemple, la définition de valeurs de délai d’inactivité élevées peut bloquer toute session TCP inactive quelques minutes seulement après sa création. Si la session TCP n’est pas fermée proprement par un FIN ou un RST par le client ou le serveur, la session restera en mémoire et immobilisera les ressources NAT qui lui sont affectées jusqu’à l’expiration de la valeur de délai d’expiration.

Définir des délais d’inactivité plus élevés qui affectent chaque port UDP et TCP peut être dangereux, en particulier avec le trafic UDP comme DNS. Contrairement à TCP, UDP n’a pas d’autre moyen de mettre fin à une session que d’expirer, de sorte que toutes les sessions UDP restent actives pendant toute la valeur du délai d’inactivité.

L’exemple suivant n’est pas une configuration recommandée, car il définit des valeurs de délai d’inactivité élevées pour tout le trafic TCP et UDP.

Nous n’avons pas de valeurs de délai d’inactivité spécifiques recommandées. Les valeurs de délai d’inactivité appropriées dépendent de plusieurs facteurs, notamment :

  • Quelles applications sont utilisées sur le réseau d’un utilisateur final

    Par exemple, Apple a déclaré qu’un délai d’inactivité de 60 minutes est nécessaire pour les services Apple suivants, qui nécessitent une longue durée de vie de connexion :

    • Services Apple Push : port TCP entrant 5223

    • Exchange Active Sync : port TCP entrant 443

    • MobileMe : ports TCP entrants 5222 et 5223

  • Comment la solution NAT est utilisée, par exemple en tant que périphérique Gi NAT ou en tant que routeur de périphérie d’entreprise

  • La taille de vos pools de NAT

  • La quantité de trafic reçue par chaque carte de services pendant les pics de charge

  • La quantité de mémoire dont vous disposez

Activer le vidage sur le contrôle de flux

Bonne pratique :

Activez l’option de contrôle de vidage sur flux pour toute carte de services qui traite le trafic NAT dans un réseau de production. Cette option détecte lorsqu’une carte de services est verrouillée, écrit un core dump que Juniper Networks peut analyser pour déterminer pourquoi la carte s’est bloquée, et récupère la carte de services en la redémarrant.

Pour MS-MIC et MS-MPC, définissez l’option dump-on-flow-control sous l’interface pc-, qui est utilisée pour envoyer le trafic de contrôle du moteur de routage à la carte de services. L’exemple suivant montre la configuration si l’interface de services est ms-2/1/0.

Pour le MS-DPC, définissez l’option de contrôle de déversement sur flux sous l’interface sp-. L’exemple suivant montre la configuration si l’interface de services est sp-2/1/0.

Voir aussi

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libération
Descriptif
17.1R1
À partir des versions 14.2R7, 15.1R5, 16.1R2 et 17.1R1 de Junos OS, vous pouvez transmettre des paquets IKEv1 et IPsec via des règles NAPT-44 et NAT64 entre des homologues IPsec qui ne sont pas conformes au protocole NAT-T.
16.1
À partir de la version 16.1 de Junos OS, l’instruction limit-ports-per-address est prise en charge.
14.2
À partir de Junos OS version 14.2, configurez le pool de NAT comme suit.