Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Présentation de la configuration NAT

Présentation de la configuration de la traduction d’adresses réseau

Pour configurer la traduction d’adresses réseau (NAT), procédez comme suit :

  1. Configurez les adresses source et de destination. Pour plus d’informations, reportez-vous à la section Configuration des adresses source et de destination Présentation de la traduction des adresses réseau.
  2. Définissez les adresses ou préfixes, les plages d’adresses et les ports utilisés pour le NAT. Pour plus d’informations, reportez-vous à la section Présentation de la configuration de pools d’adresses et de ports pour la traduction d’adresses réseau
  3. Le cas échéant, configurez les pools d’adresses pour la traduction des ports d’adresses réseau (NAPT). Pour plus d’informations, reportez-vous à la section Présentation de la configuration des pools d’adresses pour la traduction de port d’adresses réseau (NAPT).
  4. Configurez les règles NAT. Dans les règles, incluez les feuilles de route, les conditions de correspondance, les actions et les types de traduction. Pour plus d’informations, consultez Vue d’ensemble des règles de traduction d’adresses réseau.
  5. Configurez les ensembles de services pour le traitement NAT. Au sein de chaque ensemble de services, définissez les interfaces de gestion du trafic entrant et sortant, ainsi qu’une règle ou un ensemble de règles NAT. Pour plus d’informations, reportez-vous à la section Configuration des ensembles de services pour la traduction d’adresses réseau.

Voir aussi

Configuration des adresses source et de destination Présentation de la traduction des adresses réseau

Vous devez configurer une adresse spécifique, un préfixe ou les limites de la plage d’adresses :

  • Les adresses suivantes, bien que valides en inet.0, ne peuvent pas être utilisées pour la traduction NAT :

    • 0.0.0.0/32

    • 127.0.0.0/8 (bouclage)

    • 128.0.0.0/16 (martien)

    • 191.255.0.0/16 (martien)

    • 192.0.0.0/24 (martien)

    • 223.255.255.0/24 (martien)

    • 224.0.0.0/4 (multidiffusion)

    • 240.0.0.0/4 (réservé)

    • 255.255.255.255 (diffusion)

    Les adresses spécifiées comme valides dans la table de routage et non prises en charge pour la inet.0 traduction NAT sont orlonger des types de filtre de correspondance. Vous ne pouvez pas spécifier de régions à l’intérieur de ces préfixes d’adresse dans un pool NAT.

  • Sur les routeurs MX Series avec des MS-MPC et des MS-MIC, si vous configurez un pool d’adresses NAT avec une longueur de préfixe égale ou supérieure à /16, le PIC ne contient pas suffisamment de mémoire pour provisionner le pool configuré. En outre, des problèmes d’utilisation de la mémoire peuvent se produire si vous tentez de configurer de nombreux pools dont le nombre total d’adresses IP combinées dépasse /16. Dans ce cas, un message de journalisation système est généré, indiquant que le nom du pool NAT n’a pas pu être créé et que l’ensemble de services n’est pas activé. Sur les MS-MPC et MS-MIC, vous ne devez pas configurer de pools NAT avec des longueurs de préfixe supérieures ou égales à /16.

  • Vous pouvez spécifier un ou plusieurs préfixes d’adresse IPv4 dans l’instruction pool et dans la from clause du terme de la règle NAT. Cela vous permet de configurer la traduction source d’un sous-réseau privé vers un sous-réseau public sans définir de terme de règle pour chaque adresse du sous-réseau. La traduction de destination ne peut pas être configurée par cette méthode. Pour plus d’informations, reportez-vous à la section Exemples : configuration des règles NAT.

  • Lorsque vous configurez un NAT source statique, la taille du préfixe que vous configurez au niveau de la hiérarchie doit être supérieure à la plage de préfixes configurée au niveau de la address [edit services nat pool pool-name] source-address [edit services nat rule rule-name term term-name from] hiérarchie. La source-address plage de préfixes doit également correspondre à un seul sous-réseau ou à une seule plage d’adresses IPv4 ou IPv6 dans l’instruction pool . Toutes les adresses de pool qui ne sont pas utilisées par la plage de source-address préfixes sont laissées inutilisées. Les pools ne peuvent pas être partagés.

  • Lorsque vous configurez une taille de préfixe de pool d’adresses NAT avec l’instruction address au niveau de la hiérarchie [edit services nat pool nat-pool-name], les adresses de sous-réseau et de diffusion ne sont pas incluses dans la liste des adresses IP utilisables. Par exemple, si vous utilisez address 10.11.12.0/28 dans un pool NAT, les adresses 10.11.12.0 (adresse de sous-réseau) et 10.11.12.15 (adresse de diffusion) ne sont pas disponibles.

Note:

Lorsque vous incluez une configuration NAT qui modifie les adresses IP, cela peut affecter les fonctionnalités du chemin de transfert ailleurs dans la configuration de votre routeur, telles que l’utilisation de la classe source (SCU), l’utilisation de la classe de destination (DCU), le transfert basé sur un filtre ou d’autres fonctionnalités qui ciblent des adresses IP ou des préfixes spécifiques.

La configuration NAT peut également affecter le fonctionnement du protocole de routage, car les adresses d’appairage de protocoles, de voisinage et d’interface peuvent être modifiées lorsque les paquets de protocoles de routage transitent par le PIC Adaptive Services (AS) ou multiservices.

Voir aussi

Présentation de la configuration de pools d’adresses et de ports pour la traduction d’adresses réseau

Configuration des pools NAT

Vous pouvez utiliser l’instruction pour définir les adresses (ou préfixes), les plages d’adresses et les ports utilisés pour la traduction d’adresses pool réseau (NAT). Pour configurer les informations, incluez l’instruction pool au niveau de la [edit services nat] hiérarchie.

À partir de Junos OS version 14.2, configurez le pool NAT comme suit. À partir de Junos OS version 16.1, l’instruction limit-ports-per-address est prise en charge.

Dans Junos OS version 14.1 et antérieure, configurez le pool NAT comme suit :

Pour configurer des pools pour un NAT classique, spécifiez un pool de destination ou un pool source.

Avec le NAT source statique et le NAT source dynamique, vous pouvez spécifier plusieurs adresses IPv4 (ou préfixes) et plages d’adresses IPv4. Il est possible de prendre en charge jusqu’à 32 préfixes ou plages d’adresses (ou une combinaison des deux) au sein d’un même pool.

Avec le NAT de destination statique, vous pouvez également spécifier plusieurs préfixes d’adresses et plages d’adresses dans un seul terme. Plusieurs termes NAT de destination peuvent partager un pool NAT de destination. Toutefois, le masque de réseau ou la plage de l’adresse doit être inférieur ou égal au masque de réseau ou à la plage de l’adresse from du pool de destination. Si vous définissez le pool comme étant plus grand que nécessaire, certaines adresses ne seront pas utilisées. Par exemple, si vous définissez la taille du pool sur 100 adresses et que la règle ne spécifie que 80 adresses, les 20 dernières adresses du pool ne sont pas utilisées.

Pour connaître les contraintes sur des types de traduction spécifiques, reportez-vous à la section Vue d’ensemble des règles de traduction d’adresses réseau.

Avec le NAT statique source, les préfixes et les plages d’adresses ne peuvent pas se chevaucher entre des pools distincts.

Dans une plage d’adresses, la valeur doit être inférieure à la low high valeur. Lorsque plusieurs plages d’adresses et préfixes sont configurés, les préfixes sont épuisés en premier, suivis des plages d’adresses.

Lorsque vous spécifiez un port pour le NAT source dynamique, les plages d’adresses sont limitées à un maximum de 65 000 adresses, pour un total de (65 000 x 65 535) ou 4 259 775 000 flux. Un pool NAT dynamique sans traduction de port d’adresse prend en charge jusqu’à 65 535 adresses. Il n’y a pas de limite sur la taille du pool pour le NAT source statique.

Préserver la plage et préserver la parité

Vous pouvez configurer votre NAT de classe opérateur (CGN) pour préserver la plage ou la parité du port source du paquet lorsqu’il alloue un port source pour une connexion sortante. Vous pouvez configurer les options de conservation de la parité et de conservation de la plage sous la définition du pool NAT en incluant les preserve-range instructions de configuration et au niveau de preserve-parity la [edit services nat pool poolname port] hiérarchie.

La préservation de la plage et la préservation de la parité sont prises en charge sur les routeurs MX Series avec MS-DPC et sur les routeurs M Series avec MS-100, MS-400 et MS-500 MultiServices PICS. La préservation de la plage et la préservation de la parité sont prises en charge sur les routeurs MX series avec MS-MPC et MS-MIC à partir de Junos OS version 15.1R1.

  • Préserver la plage : la RFC 4787, Network Address Translation (NAT) Behavioral Requirements for Unicast UDP, définit deux plages : 0 à 1023 et 1024 à 65 535. Lorsque le bouton est configuré et que le preserve-range port entrant se trouve dans l’une de ces plages, CGN alloue un port de cette plage uniquement. Toutefois, si aucun port disponible n’est disponible dans la plage, la demande d’allocation de port échoue et cette session n’est pas créée. L’échec est répercuté sur les compteurs et la journalisation système, mais aucun message ICMP (Internet Control Message Protocol) n’est généré. Si ce bouton n’est pas configuré, l’allocation est basée sur la plage de ports configurée, quelle que soit la plage de ports contenant le port entrant. L’exception concerne certaines passerelles de niveau d’application (ALG), telles que hello, qui ont des zones spéciales.

  • Preserve parity (Préserver la parité) : lorsque le bouton est configuré, CGN alloue un port avec la même parité paire ou impaire que le preserve-parity port entrant. Si le numéro de port entrant est pair ou impair, le numéro de port sortant doit être pair ou impair. Si un numéro de port de la parité souhaitée n’est pas disponible, la demande d’allocation de port échoue, la session n’est pas créée et le paquet est abandonné.

Spécification de préfixes de destination et de source sans configuration d’un pool

Vous pouvez spécifier directement le préfixe de destination ou de source utilisé dans NAT sans configurer de pool.

Pour configurer les informations, incluez l’instruction rule au niveau de la [edit services nat] hiérarchie :

Présentation des règles de traduction d’adresses réseau

Pour configurer une règle NAT, incluez l’instruction rule rule-name au niveau de la [edit services nat] hiérarchie :

Chaque règle doit inclure une match-direction instruction qui spécifie la direction dans laquelle la correspondance est appliquée.

Note:

Les routeurs ACX Series prennent uniquement input en charge la direction de correspondance.

De plus, chaque règle NAT est constituée d’un ensemble de termes, semblable à un filtre de pare-feu. Un terme se compose des éléments suivants :

  • from statement : spécifie les conditions d’appariement et les applications incluses et exclues.

  • then statement : spécifie les actions et les modificateurs d’action à effectuer par le logiciel du routeur.

Les sections suivantes expliquent comment les composants des règles NAT :

Configuration de la direction de correspondance pour les règles NAT

Chaque règle doit inclure une match-direction instruction qui spécifie la direction dans laquelle la correspondance est appliquée. Pour configurer l’endroit où la correspondance est appliquée, incluez l’instruction match-direction au niveau de la [edit services nat rule rule-name] hiérarchie :

La direction de correspondance est utilisée par rapport au flux de trafic à travers le DPC multiservices et les PIC multiservices. Lorsqu’un paquet est envoyé au PIC, les informations de direction sont transportées avec lui. La direction du paquet est déterminée en fonction des critères suivants :

  • Avec un ensemble de services d’interface, la direction du paquet est déterminée par l’entrée ou la sortie d’un paquet de l’interface sur laquelle l’ensemble de services est appliqué.

  • Dans le cas d’un ensemble de services next-hop, la direction du paquet est déterminée par l’interface utilisée pour acheminer le paquet vers le DPC multiservices ou le PIC multiservices. Si l’interface interne est utilisée pour acheminer le paquet, la direction du paquet est entrée. Si l’interface externe est utilisée pour diriger le paquet vers le PIC ou le DPC, la direction du paquet est émise. Pour plus d’informations sur les interfaces internes et externes, reportez-vous à la section Configuration des ensembles de services à appliquer aux interfaces de services.

  • Sur le DPC multiservices et le PIC multiservices, une recherche de flux est effectuée. Si aucun flux n’est trouvé, le traitement des règles est effectué. Toutes les règles de l’ensemble de services sont prises en compte. Lors du traitement des règles, la direction du paquet est comparée à la direction de la règle. Seules les règles dont les informations de direction correspondent à la direction du paquet sont prises en compte.

Configuration des conditions de correspondance dans les règles NAT

Pour configurer les conditions de correspondance NAT, incluez l’instruction from au niveau de la [edit services nat rule rule-name term term-name] hiérarchie :

Pour configurer un NAT traditionnel, vous pouvez utiliser l’adresse de destination, une plage d’adresses de destination, l’adresse source ou une plage d’adresses source comme condition de correspondance, de la même manière que vous configureriez un filtre de pare-feu. Pour plus d’informations, consultez le Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.

Vous pouvez également spécifier une liste de préfixes source ou de destination en incluant l’instruction au niveau de la hiérarchie, puis en incluant l’instruction prefix-list destination-prefix-list ou source-prefix-list dans la [edit policy-options] règle NAT. Pour obtenir un exemple, reportez-vous à la section Exemples : configuration de règles de pare-feu dynamiques.

Si l’instruction de l’instruction de la règle NAT est définie sur stateful-nat-64, la plage spécifiée par le destination-address-range ou le destination-prefix-list dans l’instruction doit se situer dans la plage spécifiée par l’instruction dans l’instruction destination-prefix translation-type then from then .

Si la fonctionnalité de regroupement d’adresses (APP) est activée pour au moins un terme NAT au sein d’une règle NAT (en incluant l’instruction au niveau de la hiérarchie), tous les autres termes de la [edit services nat rule rule-name term term-name then translated] règle NAT qui utilisent le même pool d’adresses address-pooling NAT que le pool d’adresses pour le terme avec APP activé doivent avoir APP activé. Dans le cas contraire, si vous ajoutez un terme de règle NAT sans activer APP à une règle qui contient d’autres termes pour lesquels APP est activé, tous les termes pour lesquels APP est activé dans une règle NAT abandonnent les flux de trafic qui correspondent aux critères spécifiés dans la règle NAT.

Pour les routeurs MX Series avec MS-MIC et MS-MPC, bien que la fonctionnalité APP (Address Pooling Pairing) soit activée dans une règle NAT (en incluant l’instruction au niveau de la [edit services nat rule rule-name term term-name then translated] hiérarchie), elle est une caractéristique d’un address-pooling pool NAT. Un tel pool NAT pour lequel APP est activé ne peut pas être partagé avec des règles NAT pour lesquelles APP n’est pas configuré.

Lors de la configuration du NAT, si un trafic est destiné aux adresses suivantes et ne correspond pas à un flux NAT ou à une règle NAT, le trafic est abandonné :

  • Adresses spécifiées dans l’instruction lorsque vous utilisez la from destination-address traduction de destination

  • Adresses spécifiées dans le pool NAT source lors de l’utilisation de la traduction source

Configuration des actions dans les règles NAT

Pour configurer les actions NAT, incluez l’instruction then au niveau de la [edit services nat rule rule-name term term-name] hiérarchie :

  • L’instruction no-translation vous permet de spécifier les adresses que vous souhaitez exclure du NAT.

    L’instruction no-translation est prise en charge sur les routeurs MX Series avec MS-DPC et sur les routeurs M Series avec MS-100, MS-400 et MS-500 MultiServices PICS. L’instruction no-translation est prise en charge sur les routeurs MX Series avec MS-MPC et MS-MIC à partir de Junos OS version 15.1R1.

  • L’instruction system log vous permet d’enregistrer une alerte dans la fonction de journalisation système.

  • Les destination-poolinstructions , , et source-prefix spécifient les informations d’adressage que vous définissez en incluant l’instruction au niveau de la hiérarchie ; pour plus d’informations, destination-prefixsource-poolreportez-vous à la section Présentation de la configuration des pools d’adressespool et de ports pour la [edit services nat] traduction des adresses réseau.

  • L’instruction translation-type spécifie le type de NAT utilisé pour le trafic source ou de destination. Les options sont basic-nat-pt, , basic-nat44, , dynamic-nat44dnat-44napt-66napt-ptnapt-44basic-nat66stateful-nat64twice-basic-nat-44stateful-nat464 twice-dynamic-nat-44et .twice-napt-44

Note:

Dans Junos OS version 13.2 et antérieure, la restriction suivante n’était pas appliquée par l’interface de ligne de commande : si l’instruction de l’instruction d’une règle NAT était définie sur stateful-nat-64, la plage spécifiée par l’instruction ou l’instruction destination-prefix-list dans devait from se situer dans la plage spécifiée par l’instruction dans l’instruction destination-prefix translation-type then destination-address-range then. À partir de Junos OS version 13.3R1, cette restriction est appliquée.

Configuration des types de traduction

Les détails de mise en œuvre des neuf options de l’énoncé translation-type sont les suivants :

  • basic-nat44: cette option implémente la traduction statique des adresses IP sources sans mappage de port. Vous devez configurer l’instruction from source-address dans la condition de correspondance de la règle. La taille de la plage d’adresses spécifiée dans l’instruction doit être égale ou inférieure à celle du pool source. Vous devez spécifier un pool source ou un préfixe de destination. Le pool référencé peut contenir plusieurs adresses, mais vous ne pouvez pas spécifier de ports à traduire.

    Note:

    Dans un ensemble de services d’interface, tous les paquets destinés à l’adresse source spécifiée dans la condition de correspondance sont automatiquement acheminés vers le PIC des services, même si aucun ensemble de services n’est associé à l’interface.
    Note:

    Avant Junos OS version 11.4R3, vous ne pouviez utiliser qu’un pool NAT source dans un seul ensemble de services. À partir de Junos OS version 11.4R3 et ultérieures, vous pouvez réutiliser un pool NAT source dans plusieurs ensembles de services.

  • basic-nat66: cette option implémente la traduction statique des adresses IP sources sans mappage de ports dans les réseaux IPv6. La configuration est similaire à celle de l’implémentation basic-nat44 , mais avec des adresses IPv6.

    Cette basic-nat66 option n’est pas disponible si vous utilisez des cartes MS-MPC ou MS-MIC.

  • basic-nat-pt: cette option implémente la traduction des adresses des hôtes IPv6, telles qu’elles sont à l’origine des sessions vers les hôtes IPv4 d’un domaine externe et vice versa. Cette option est toujours implémentée avec DNS ALG. Vous devez définir les pools source et de destination des adresses IPv4. Vous devez configurer une règle et définir deux termes. Configurez les adresses IPv6 de l’instruction from des deux term instructions. Dans l’instruction then du premier terme de la règle, référencez les pools source et de destination et configurez dns-alg-prefix. Configurez le préfixe source dans l’instruction then du deuxième terme au sein de la même règle.

    Cette basic-nat-pt option n’est pas disponible si vous utilisez des cartes MS-MPC ou MS-MIC.

  • deterministic-napt44: cette option implémente l’allocation basée sur un algorithme de blocs de ports de destination et d’adresses IP. Cela garantit qu’une adresse IP et un port entrants (source) sont toujours mappés à la même adresse IP et au même port de destination, éliminant ainsi le besoin de journalisation de la traduction des adresses. Lorsque vous utilisez deterministic-napt44, vous devez également utiliser deterministic-port-block-allocation au niveau de la [edit services nat pool poolname port] hiérarchie.

    L’option deterministic-napt44 est prise en charge sur les routeurs MX Series avec MS-DPC et sur les routeurs M Series avec MS-100, MS-400 et MS-500 MultiServices PICS. Si deterministic-napt44 vous utilisez des routeurs MX Series avec des MS-MPC ou des MS-MIC, cette option est uniquement prise en charge dans Junos OS version 14.2R7 et versions ultérieures 14.2 et dans version 15.1R3 et versions ultérieures 15.1.

  • dnat-44: cette option implémente la traduction statique des adresses IP de destination sans mappage de port. La taille de l’espace d’adressage du pool doit être supérieure ou égale à l’espace d’adressage de destination. Vous devez spécifier un nom pour l’instruction destination pool . Le pool référencé peut contenir plusieurs adresses, plages ou préfixes, à condition que le nombre d’adresses NAT dans le pool soit supérieur au nombre d’adresses de destination dans l’instruction from . Vous devez inclure exactement une valeur au niveau de la hiérarchie ; s’il s’agit d’un destination-address préfixe, la taille doit être inférieure ou égale à la [edit services nat rule rule-name term term-name from] taille du préfixe du pool. Toutes les adresses du pool qui ne correspondent pas à la valeur restent inutilisées, car un pool ne peut pas être partagé entre plusieurs termes ou règles.

  • dynamic-nat44: cette option implémente la traduction dynamique des adresses IP sources sans mappage de port. Vous devez spécifier un source-poolfichier . Le pool référencé doit inclure une address configuration (pour la traduction d’adresses uniquement).

    L’option dynamic-nat44 d’adresse uniquement prend en charge la traduction de jusqu’à 16 777 216 adresses dans un pool de plus petite taille. Les demandes de la plage d’adresses source sont attribuées aux adresses du pool jusqu’à ce que le pool soit épuisé et que toutes les demandes supplémentaires soient rejetées. Une adresse NAT attribuée à un hôte est utilisée pour toutes les sessions simultanées de cet hôte. L’adresse n’est libérée dans le pool qu’après l’expiration de toutes les sessions de cet hôte. Cette fonctionnalité permet au routeur de partager quelques adresses IP publiques entre plusieurs hôtes privés. Étant donné que tous les hôtes privés peuvent ne pas créer de sessions simultanément, ils peuvent partager quelques adresses IP publiques.

  • napt-44: cette option implémente la traduction dynamique des adresses IP sources avec mappage de ports. Vous devez spécifier un nom pour l’instruction source-pool . Le pool référencé doit inclure une port configuration. Si le port est configuré comme automatique ou si une plage de ports est spécifiée, cela implique que la traduction de port d’adresse réseau (NAPT) est utilisée.

  • napt-66: cette option implémente la traduction dynamique des adresses IP sources avec mappage de ports pour les adresses IPv6. La configuration est similaire à celle de l’implémentation napt-44 , mais avec des adresses IPv6.

    Cette napt-66 option n’est pas disponible si vous utilisez des cartes MS-MPC ou MS-MIC.

  • napt-pt: cette option implémente la traduction dynamique des adresses et des ports pour la traduction source et statique de l’adresse IP de destination. Vous devez spécifier un nom pour l’instruction source-pool . Le pool référencé doit inclure une configuration de port (pour NAPT). En outre, vous devez configurer deux règles, l’une pour le trafic DNS et l’autre pour le reste du trafic. La règle destinée au trafic DNS doit être DNS ALG activée et l’instruction dns-alg-prefix doit être configurée. De plus, le préfixe configuré dans l’instruction dns-alg-prefix doit être utilisé dans la deuxième règle pour traduire les adresses IPv6 de destination en adresses IPv4.

    Cette napt-pt option n’est pas disponible si vous utilisez des cartes MS-MPC ou MS-MIC.

  • stateful-nat464: cette option implémente la traduction d’adresses PLAT (Provider-Side Translater) 464XLAT pour les adresses IP sources et la traduction de suppression de préfixe IPv6 pour les adresses IPv4 de destination. Vous devez spécifier les adresses IPv4 utilisées pour la traduction au niveau de la hiérarchie [modifier le pool de services nat]. Ce pool doit être référencé dans la règle qui traduit les adresses IPv6 en IPv4.

    Cette stateful-nat464 option est disponible uniquement si vous utilisez des MS-MPC ou des MS-MIC et est prise en charge à partir de Junos OS version 17.1R1.

  • stateful-nat64: cette option implémente la traduction dynamique des adresses et des ports pour les adresses IP sources et la traduction de la suppression des préfixes pour les adresses IP de destination. Vous devez spécifier les adresses IPv4 utilisées pour la traduction au niveau de la [edit services nat pool] hiérarchie. Ce pool doit être référencé dans la règle qui traduit les adresses IPv6 en IPv4.

  • twice-basic-nat-44: cette option implémente la traduction statique de la source et de la destination statique pour les adresses IPv4, combinant ainsi basic-nat44 les adresses source et dnat-44 de destination.

    L’option twice-basic-nat-44 est prise en charge sur les MS-DPC et les PICS multiservices MS-100, MS-400 et MS-500. Cette twice-basic-nat-44 option est prise en charge sur les MS-MPC et MS-MIC à partir de Junos OS version 15.1R1.

  • twice-dynamic-nat-44: cette option implémente la traduction dynamique de la source et la traduction statique de destination pour les adresses IPv4, en combinant dynamic-nat44 les adresses source et dnat-44 de destination.

    L’option twice-dynamic-nat-44 est prise en charge sur les MS-DPC et les PICS multiservices MS-100, MS-400 et MS-500. Cette twice-dynamic-nat-44 option est prise en charge sur les MS-MPC et MS-MIC à partir de Junos OS version 15.1R1.

  • twice-napt-44: cette option implémente le NAPT source et la traduction statique de destination pour les adresses IPv4, en combinant napt-44 les adresses source et dnat-44 de destination.

    L’option twice-napt-44 est prise en charge sur les MS-DPC et les PICS multiservices MS-100, MS-400 et MS-500. Cette twice-napt-44 option est prise en charge sur les MS-MPC et MS-MIC à partir de Junos OS version 15.1R1.

Pour plus d’informations sur les méthodes NAT, reportez-vous à la RFC 2663, IP Network Address Translator (NAT) Terminology and Considerations.

Configuration des règles NAT pour le relais IPsec pour les homologues non-NAT-T

Avant Junos OS version 17.4R1, la traversée de traduction d’adresses réseau (NAT-T) n’était pas prise en charge pour la suite de fonctionnalités IPsec Junos VPN Site Secure sur les routeurs MX Series. À partir de Junos OS version 14.2R7, 15.1R5, 16.1R2 et 17.1R1, vous pouvez transmettre des paquets IKEv1 et IPsec via les règles NAPT-44 et NAT64 entre des homologues IPsec qui ne sont pas conformes à NAT-T. Seul le mode tunnel ESP est pris en charge. Cette fonctionnalité n’est prise en charge que sur les MS-MPC et les MS-MIC.

Pour configurer les règles NAT pour le relais IPsec pour NAPT-44 ou NAT64 :

  1. Configurez une application IKE ALG. Reportez-vous à la section Configuration des propriétés de l’application.

  2. Ajoutez l’application à un ensemble d’applications. Reportez-vous à la section Configuration des jeux d’applications.

  3. Configurez un pool NAT. Reportez-vous à la section Configuration de pools d’adresses et de ports pour la traduction d’adresses réseau.

  4. Configurez la règle NAT :

    1. Configurez une direction de correspondance pour la règle. Reportez-vous à la section Configuration de la direction de correspondance pour les règles NAT.

    2. Configurez l’une des conditions correspondantes pour qu’elle corresponde à l’application définie pour le relais IKE et IPsec que vous avez configurée à l’étape 2.

    3. Configurez d’autres conditions de correspondance. Reportez-vous à la section Configuration des conditions de correspondance dans les règles NAT.

    4. Configurez le type de traduction comme NAPT-44 ou NAT64.

    5. Configurez d’autres actions NAT. Reportez-vous à la section Configuration des actions dans les règles NAT.

  5. Affectez la règle NAT à un ensemble de services.

Voir aussi

Protection des appareils CGN contre les attaques par déni de service (DOS)

Vous pouvez désormais choisir des options de configuration qui permettent d’empêcher ou de minimiser l’effet des tentatives d’attaques par déni de service (DOS).

Comportement d’actualisation du mappage

Avant l’implémentation des nouvelles options de configuration du comportement d’actualisation du mappage NAT, décrites dans cette rubrique, une conversation était maintenue lorsque les flux entrants ou sortants étaient actifs. Il s’agit toujours du comportement par défaut. Vous pouvez désormais également spécifier l’actualisation du mappage pour les flux entrants ou sortants uniquement. Pour configurer le comportement d’actualisation du mappage, incluez l’instruction mapping-refresh (inbound | outbound | inbound-outbound) au niveau de la [edit services nat rule rule-name term term-name then translated secure-nat-mapping] hiérarchie.

Limite de flux entrant du FEI

Précédemment. le nombre de connexions entrantes sur un mappage EIF n’était limité que par le nombre maximal de flux autorisés sur le système. Vous pouvez désormais configurer le nombre de flux entrants autorisés pour un EIF. Pour limiter le nombre de connexions entrantes sur un mappage FEI, incluez l’instruction eif-flow-limit number-of-flows au niveau de la [edit services nat rule rule-name term term-name then translated secure-nat-mapping] hiérarchie.

Implémentation d’un NAT de classe opérateur : meilleures pratiques

Les rubriques suivantes présentent les meilleures pratiques pour implémenter un NAT de classe opérateur :

Utiliser l’allocation d’adresses Round-Robin lors de l’utilisation d’APP avec le MS-DPC

Bonne pratique :

Si vous utilisez un MS-DPC et que vous configurez l’appariement de regroupement d’adresses (APP) dans une règle NAT, vous devez utiliser l’allocation d’adresses Round Robin pour le pool NAT.

La fonctionnalité APP mappe une adresse IP privée à la même adresse IP publique dans un pool NAT pour toutes les sessions NAT pour cette adresse IP privée.

L’allocation d’adresses séquentielle pour les pools NAT est l’allocation par défaut sur le MS-DPC et alloue tous les ports pour une adresse IP publique avant d’attribuer l’adresse IP suivante. L’allocation séquentielle, associée à APP, peut entraîner le mappage de plusieurs hôtes privés à la même adresse IP publique, ce qui entraîne un épuisement rapide des ports pour une adresse IP publique alors que d’autres ports sont toujours disponibles à partir des adresses IP restantes dans le pool NAT.

L’allocation Round-Robin, quant à elle, attribue l’adresse IP suivante dans le pool NAT à l’adresse IP privée suivante nécessitant une traduction, ce qui réduit le risque que tous les ports d’une adresse IP publique soient épuisés.

Pour plus d’informations sur l’allocation d’adresses APP et Round-Robin, consultez Présentation de la configuration des pools d’adresses pour la traduction de ports d’adresses réseau (NAPT).

Note:

Le MS-MPC et le MS-MIC utilisent uniquement l’allocation Round Robin.

L’exemple suivant illustre l’allocation d’adresses Round Robin.

N’utilisez la fonctionnalité EIM qu’en cas de besoin

Bonne pratique :

N’utilisez pas de mappage indépendant du point de terminaison (EIM) dans les termes de règles NAT qui incluent les ALG Junos. EIM attribue la même adresse NAT externe et le même port pour une session spécifique à partir d’un hôte privé, mais ajoute une surcharge de traitement. EIM n’apporte aucun avantage aux ALG Junos, qui utilisent déjà les fonctionnalités qu’il utilise.
Bonne pratique :

Activez EIM pour les applications qui réutilisent les ports sources et qui s’appuient sur un périphérique CGNAT pour conserver la même adresse et le même mappage de ports pour tout le trafic envoyé vers des destinations différentes. Par exemple, utilisez EIM pour les applications de jeux sur console telles que Xbox et PS4 ou les applications qui utilisent des méthodes unilatérales de fixation d’auto-adresses (UNSAF). Reportez-vous à la section (IETF RFC 3424 IAB Considerations for Unilateral Self-Address Fixing (UNSAF) Across Network Address Translation).

Pour plus d’informations sur EIM, reportez-vous à la section Présentation de la configuration des pools d’adresses pour la traduction de port d’adresses réseau (NAPT).

L’exemple suivant utilise l’ALG SIP Junos dans la règle NAT, de sorte que l’EIM n’est pas utilisé.

Définir la taille des blocs d’allocation de ports en fonction du nombre prévu de sessions utilisateur

Bonne pratique :

Pour l’allocation de blocs de ports sécurisés et l’allocation de blocs de ports déterministes, définissez une taille de bloc d’allocation de blocs de ports 2 à 4 fois supérieure au nombre moyen attendu de sessions actives pour un utilisateur. Par exemple, si l’utilisateur est censé avoir en moyenne environ 200 à 250 sessions NAT actives, la configuration de la taille de bloc sur 512 ou 1024 fournit une allocation libérale.
Bonne pratique :

Si vous déployez l’allocation de blocs de ports sécurisés en utilisant la MX Series comme périphérique NAT et que vous n’êtes pas sûr de votre profil d’utilisateur abonné et de votre profil de trafic, définissez la taille de bloc de ports sur 1024 si vous disposez de suffisamment d’adresses IP NAT pour gérer le nombre maximal estimé d’abonnés privés. Le nombre d’adresses IP NAT multiplié par 62 vous donne le nombre d’abonnés privés qui peuvent être gérés avec une taille de bloc de port de 1024 (il y a 62 blocs par adresse IP). Ensuite, surveillez de près le routeur MX Series à l’aide de la commande pour déterminer si la show services nat pool detail taille du bloc doit être modifiée.
Bonne pratique :

Veillez à ne pas rendre la taille de bloc trop grande si le nombre d’adresses IP que vous pouvez allouer au pool NAT est limité. Si vous définissez une taille de bloc de port suffisamment grande pour attribuer efficacement les blocs à vos abonnés, vous risquez d’immobiliser tous les blocs de ports.

L’allocation sécurisée de blocs de ports attribue des blocs de ports à un utilisateur particulier pour NAT44 ou NAT64. L’allocation de blocs de ports sécurisés limite le nombre de messages syslog en ne générant qu’un seul syslog par bloc de ports.

Toutefois, une configuration incorrecte de la taille des blocs peut entraîner une utilisation inefficace des ressources NAT ou des problèmes de performances. Par exemple, lorsqu’un utilisateur se connecte à un site web qui nécessite la mise en place d’un nombre important de sockets pour une seule page HTML, un nombre correspondant de nouveaux ports doit être alloué. La taille du bloc de ports doit être suffisamment grande pour empêcher l’attribution continue de nouveaux blocs. Si le nombre de sessions simultanées d’un abonné privé dépasse le nombre de ports disponibles dans le bloc de ports actif, les autres blocs de ports alloués à l’abonné sont analysés à la recherche des ports disponibles à utiliser ou un nouveau bloc est alloué à partir du pool de blocs libres pour l’abonné. L’analyse des blocs de ports alloués et l’attribution de blocs supplémentaires peuvent entraîner des retards dans la configuration de nouvelles sessions et le chargement des pages Web.

Pour plus d’informations sur l’allocation de blocs de ports, consultez Configuration de l’allocation de blocs de ports sécurisés et Configuration du napt déterministe.

L’exemple suivant définit la taille du bloc de ports sur 1024.

Considérations relatives à la modification de la configuration d’allocation de bloc de ports sur les systèmes en cours d’exécution

Bonne pratique :

Avant de modifier l’allocation de bloc de ports sécurisés ou la configuration déterministe du bloc de ports sur un système en cours d’exécution lors de l’utilisation d’un MS-MPC ou d’un MS-MIC, prévoyez une interruption rapide des sessions NAT. La modification de la configuration entraîne la recréation de toutes les sessions NAT en cours.
Bonne pratique :

Avant de modifier la configuration d’allocation de bloc de ports sur un système en cours d’exécution lors de l’utilisation d’un MS-DPC, prévoyez une interruption des services. Après avoir modifié la configuration, vous devez redémarrer MS-DPC ou, si cela n’est pas possible, désactiver et réactiver l’ensemble de services.

Les modifications apportées à la configuration de l’allocation des blocs de ports sont les suivantes :

  • Modification de n’importe quelle configuration PBA de pool NAT.

  • Remplacement d’un pool NAT PBA par un pool NAT non-PBA.

  • Remplacement d’un pool NAT non-PBA en pool NAT PBA.

Pour plus d’informations sur la configuration de l’allocation de bloc de ports, reportez-vous aux sections Configuration de l’allocation de blocs de ports sécurisés et Configuration du napt déterministe.

N’allouez pas de pools NAT plus grands que nécessaire

MS-MPC et MS-MIC

Bonne pratique :

Lorsque vous utilisez NAPT44 comme type de traduction avec le MS-MIC ou le MS-MPC, ne configurez pas de pools NAT plus importants que nécessaire pour le débit de session de pointe, ce qui mobiliserait de précieuses ressources IPv4. Chaque conversation, également appelée session, comprend deux flux : un flux entrant et un flux sortant. Chaque conversation nécessite un port et chaque adresse IP du pool possède une plage de ports 1024-65535 (64 Ko), de sorte que la taille du pool NAT n’a pas besoin d’être supérieure à :

pic de conversations/64K
Bonne pratique :

Lorsque vous utilisez NAPT44 comme type de traduction avec le MS-MIC, nous vous recommandons une taille de pool NAT maximale de 128 adresses (un réseau /25).
Bonne pratique :

Lorsque vous utilisez NAPT44 comme type de traduction avec la MS-MPC, nous recommandons une taille de pool NAT maximale de 256 adresses (un réseau /24).

La taille maximale recommandée du pool NAT lors de l’utilisation de NAPT-44 pour un MS-MIC est de 128 adresses IP, car le MS-MIC prend en charge un maximum de 14 millions de flux, ou 7 millions de conversations, ce qui nécessite 7 millions de ports. Au total, 7 millions de ports sont disponibles avec 128 adresses IP, chaque adresse IP ayant une plage de ports comprise entre 1024 et 65535.

Lors de l’utilisation de NAPT-44, la taille maximale recommandée d’un pool NAT pour chaque emplacement sur un MS-MPC est de 256 adresses IP, car chaque emplacement prend en charge un maximum de 30 millions de flux, ou 15 millions de conversations, ce qui nécessite 15 millions de ports. Au total, 15 millions de ports sont disponibles avec 256 adresses IP, chaque adresse IP ayant une plage de ports comprise entre 1024 et 65535.

Vous pouvez utiliser des pools plus grands que les valeurs recommandées, et vous pouvez vous attendre à ce que les configurations qui utilisent la fonctionnalité d’allocation de bloc de ports (PBA) nécessitent des pools plus importants. En effet, le PBA attribue des blocs de ports à des adresses IP privées, ce qui modifie le modèle d’efficacité du pool.

Pour plus d’informations sur la configuration des pools NAT, consultez Présentation de la configuration des pools d’adresses et de ports pour la traduction d’adresses réseau.

MS-DPC (en anglais)

Bonne pratique :

Lorsque vous utilisez NAPT44 comme type de traduction avec la MS-DPC, ne configurez pas de pools NAT plus grands que nécessaire pour le débit de pointe, ce qui mobiliserait de précieuses ressources IPv4. Chaque conversation comprend deux flux (1 flux inverse pour chaque flux transversal). Chaque conversation nécessite un port et chaque adresse IP du pool possède une plage de ports 1024-65535 (64 Ko), de sorte que la taille du pool NAT n’a pas besoin d’être supérieure à :

pic de conversations/64K
Bonne pratique :

Lorsque vous utilisez NAPT44 comme type de traduction avec le MS-DPC, ne configurez pas de pools NAT avec plus de 64 adresses (un réseau /26).

La taille maximale du pool NAT d’un MS-DPC est de 64 adresses IP, car le MS-DPC prend en charge un maximum de 8 millions de flux, ou 4 millions de conversations, ce qui nécessite un maximum de 4 millions de ports. Au total, 4 millions de ports sont disponibles avec 64 adresses IP, chaque adresse IP ayant une plage de ports comprise entre 1024 et 65535. Si APP, EIM et EIF sont activés, MS-DPC prend en charge un maximum de 5,8 millions de flux, ou 2,9 millions de conversations, de sorte que la taille maximale du pool NAT sera inférieure.

Pour plus d’informations sur la configuration des pools NAT, consultez Présentation de la configuration des pools d’adresses et de ports pour la traduction d’adresses réseau.

Configurer la journalisation système pour NAT uniquement lorsque cela est nécessaire

Bonne pratique :

N’activez pas la journalisation système par session pour les configurations d’allocation de blocs de ports sécurisés.
Bonne pratique :

N’activez pas la journalisation système pour les configurations NAT déterministes.
Bonne pratique :

Dans la mesure du possible, activez la journalisation système au niveau de l’ensemble de services plutôt qu’au niveau de l’interface de services.
Bonne pratique :

Dans les réseaux de production, envoyez toujours les messages de journal à un serveur de journaux système externe. Cela évite d’ajouter une charge CPU au moteur de routage, ce qui se produit lorsque les messages sont consignés localement.
Bonne pratique :

Spécifiez la classe de journal système pour limiter la journalisation à la classe d’applications qui vous intéresse.
Bonne pratique :

Si vous configurez la journalisation système à l’intérieur d’un terme de règle NAT, utilisez une règle de pare-feu dynamique pour limiter le trafic qui atteint le terme de règle NAT.

Les messages du journal système peuvent affecter négativement les performances de la carte de services, en fonction de la fréquence de création et de suppression des sessions. Tous les messages du journal système créés par la carte de services nécessitent un traitement CPU au niveau de la carte de services, et les messages du journal système eux-mêmes constituent du trafic envoyé sur le routeur MX Series et entre en concurrence avec le trafic utilisateur pour atteindre le serveur de journaux externe.

Avec Secure Port Block Allocation (allocation sécurisée de blocs), vous n’avez plus besoin de configurer les journaux par session, car vous connaissez le bloc et la taille du bloc et vous pouvez déduire les ports alloués à chaque utilisateur.

Avec le NAT déterministe, il n’est plus nécessaire d’effectuer la journalisation, car toutes les informations relatives à l’allocation des ports peuvent être déduites mathématiquement.

L’exemple suivant limite la journalisation aux événements NAT et envoie des messages de journal au serveur de journaux externe 203.0.113.4

Lorsque vous configurez la journalisation système à l’intérieur d’un terme de règle NAT, tout le trafic qui entre le terme de règle NAT génère un journal, ce qui peut entraîner une journalisation excessive. La limite de vitesse de journalisation peut alors être atteinte et vous risquez de perdre les journaux dont vous avez besoin.

Pour plus d’informations sur la configuration de la journalisation système pour NAT, reportez-vous à la section Configuration des journaux de session NAT.

Limiter l’impact des fragments IP manquants

Bonne pratique :

Pour l’interface de services configurée pour NAT, limitez l’impact des fragments manquants ou retardés en configurant les éléments suivants :

  • Nombre maximal de fragments pour un paquet

  • Temps d’attente maximal pour un fragment manquant

Les fragments IP reçus par la carte de services configurée pour le NAT sont mis en mémoire tampon à leur arrivée. Cela permet de vérifier l’intégrité du paquet complètement réassemblé avant que le paquet ne soit traité par le NAT. Les fragments manquants ou retardés peuvent entraîner la conservation des fragments déjà reçus jusqu’à ce que la mémoire tampon interne soit pleine et qu’ils soient vidés, ce qui entraîne une surcharge d’utilisation du processeur et une réduction du transfert de trafic.

La configuration du nombre maximal de fragments qu’un paquet peut avoir et la limitation du temps d’attente pour un fragment manquant réduisent le risque de saturation de la mémoire tampon interne.

L’exemple suivant définit le nombre maximal de fragments sur 10 et le temps d’attente maximal sur 3 secondes.

N’utilisez pas de configurations sujettes aux boucles de routage de paquets

Bonne pratique :

Empêchez les boucles de routage de paquets en vous assurant que seul le trafic prévu est autorisé à atteindre la carte de services et à être traité par la règle NAT de l’ensemble de services. Pour ce faire, procédez comme suit :

  • Configuration d’une plage d’adresses source sous la règle NAT lorsque cela est possible.

  • Configuration d’un filtre de pare-feu qui accepte uniquement le trafic destiné à être traité par la règle NAT dans un ensemble de services de type next-hop.

La boucle de paquets entre le moteur de transfert de paquets et la carte de services entraîne une utilisation élevée et persistante du processeur sur la carte de services. Le bouclage de paquets peut être causé par la réception par la carte de services du trafic provenant d’un réseau source privé inattendu. Lorsque le NAT traite un trafic inattendu, un sténopé est créé et, dans le cas d’un EAR, de nombreux sténopés peuvent être créés. Ces trous d’épingle provoquent des boucles de routage si le trafic de retour passe par la carte de services.

L’exemple suivant montre un filtre de pare-feu qui autorise uniquement le trafic de 198.51.100.0/24 à atteindre l’interface de services ms-1/0/0, qui est l’interface interne d’un ensemble de services de saut suivant.

Pour plus d’informations sur la configuration des filtres de pare-feu, consultez le Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.

L’exemple suivant montre une règle NAT qui traite uniquement le trafic à partir de 198.51.100.0/24 (l’autre trafic atteint l’interface de services, mais n’est pas traité).

Pour plus d’informations sur la configuration des règles NAT, consultez Vue d’ensemble des règles de traduction des adresses réseau.

Délais d’inactivité

Bonne pratique :

Définissez le délai d’inactivité uniquement pour les applications définies par l’utilisateur qui peuvent nécessiter que le mappage de session NAT reste en mémoire plus longtemps que le délai d’inactivité NAT par défaut de 30 secondes. Par exemple, une application bancaire HTTP ou HTTPS peut nécessiter plus de 30 secondes d’inactivité car l’utilisateur doit saisir des données.
Bonne pratique :

Avant d’apporter des modifications aux délais d’inactivité existants, exécutez les commandes suivantes plusieurs fois pendant les heures de pointe. Exécutez ensuite les commandes après avoir effectué les modifications et vérifiez que les modifications ne privent pas le routeur MX Series de ressources NAT ou la carte de services de mémoire.

L’exemple suivant montre que le délai d’inactivité est défini sur 1800 secondes pour les applications HTTPS et HTTP.

Pour plus d’informations sur la configuration des applications définies par l’utilisateur, consultez Configuration des propriétés de l’application.

Vous devez évaluer les risques liés à la définition de délais d’inactivité élevés pour l’ensemble du trafic. Bien que le délai d’inactivité NAT par défaut de 30 secondes puisse être trop faible pour certaines applications définies par l’utilisateur, la définition d’un délai d’expiration trop élevé peut immobiliser les ressources NAT. Par exemple, la définition de valeurs élevées de délai d’inactivité peut immobiliser n’importe quelle session TCP inactive quelques minutes seulement après sa création. Si la session TCP n’est pas fermée proprement par un FIN ou un RST par le client ou le serveur, la session restera en mémoire et liera les ressources NAT qui lui sont affectées jusqu’à l’expiration du délai d’expiration.

Définir des délais d’inactivité plus élevés qui ont un impact sur tous les ports UDP et TCP peut être dangereux, en particulier avec le trafic UDP comme le DNS. Contrairement à TCP, UDP n’a pas d’autre moyen de mettre fin à une session que d’expirer, de sorte que toutes les sessions UDP restent actives jusqu’à la fin du délai d’inactivité.

L’exemple suivant n’est pas une configuration recommandée, car il définit des valeurs de délai d’inactivité élevées pour l’ensemble du trafic TCP et UDP.

Nous n’avons pas de valeurs de délai d’inactivité spécifiques recommandées. Les valeurs de délai d’inactivité appropriées dépendent de plusieurs facteurs, notamment :

  • Applications utilisées sur le réseau d’un utilisateur final

    Par exemple, Apple a déclaré qu’un délai d’inactivité de 60 minutes est requis pour les services Apple suivants, qui nécessitent une longue durée de vie de la connexion :

    • Apple Push Services : port TCP entrant 5223

    • Exchange Active Sync : port TCP entrant 443

    • MobileMe : ports TCP entrants 5222 et 5223

  • La manière dont la solution NAT est utilisée, par exemple comme périphérique Gi NAT ou comme routeur de périphérie d’entreprise

  • Quelle est la taille de vos pools NAT ?

  • La quantité de trafic reçue par chaque carte de services pendant les pics de charge

  • La quantité de mémoire dont vous disposez

Activer le vidage sur le contrôle de flux

Bonne pratique :

Activez l’option dump-on-flow-control pour toute carte de services qui traite le trafic NAT dans un réseau de production. Cette option détecte le verrouillage d’une carte de services, écrit un core dump que Juniper Networks peut analyser pour déterminer la raison du blocage de la carte et récupère la carte de services en la redémarrant.

Pour MS-MIC et MS-MPC, définissez l’option dump-on-flow-control sous l’interface pc-, qui est utilisée pour envoyer le trafic de contrôle du moteur de routage à la carte de services. L’exemple suivant montre la configuration si l’interface de services est ms-2/1/0.

Pour le MS-DPC, définissez l’option de contrôle de vidage sur flux sous l’interface sp-. L’exemple suivant montre la configuration si l’interface des services est sp-2/1/0.

Voir aussi

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plate-forme et la version que vous utilisez. Utilisez l’Explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libération
Description
17.1R1
À partir de Junos OS version 14.2R7, 15.1R5, 16.1R2 et 17.1R1, vous pouvez transmettre des paquets IKEv1 et IPsec via les règles NAPT-44 et NAT64 entre des homologues IPsec qui ne sont pas conformes à NAT-T.
16.1
À partir de Junos OS version 16.1, l’instruction limit-ports-per-address est prise en charge.
14.2
À partir de Junos OS version 14.2, configurez le pool NAT comme suit.