Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Présentation de la configuration NAT

Présentation de la configuration de la traduction d’adresses réseau

Pour configurer la traduction d’adresses réseau (NAT), procédez comme suit :

  1. Configurez les adresses source et de destination. Pour plus d’informations, reportez-vous à la section Présentation de la traduction des adresses réseau de configuration des adresses source et de destination.
  2. Définissez les adresses ou préfixes, les plages d’adresses et les ports utilisés pour le NAT. Pour plus d’informations, reportez-vous à la section Présentation de la configuration de pools d’adresses et de ports pour la traduction d’adresses réseau
  3. Le cas échéant, configurez les pools d’adresses pour la traduction des ports d’adresses réseau (NAPT). Pour plus d’informations, reportez-vous à la section Présentation de la configuration des pools d’adresses pour la traduction des ports d’adresses réseau (NAPT).
  4. Configurez les règles NAT. Dans les règles, incluez les directions de correspondance, les conditions de correspondance, les actions et les types de traduction. Pour plus d’informations, reportez-vous à la section Présentation des règles de traduction d’adresses réseau.
  5. Configurez les ensembles de services pour le traitement NAT. Au sein de chaque ensemble de services, définissez les interfaces de gestion du trafic entrant et sortant, ainsi qu’une ou plusieurs règles NAT. Pour plus d’informations, reportez-vous à la section Configuration des ensembles de services pour la traduction des adresses réseau.

Voir aussi

Configuration des adresses source et de destination Présentation de la traduction des adresses réseau

Vous devez configurer une adresse spécifique, un préfixe ou les limites de la plage d’adresses :

  • Les adresses suivantes, bien que valides en inet.0, ne peuvent pas être utilisées pour la traduction NAT :

    • 0.0.0.0/32

    • 127.0.0.0/8 (bouclage)

    • 128.0.0.0/16 (martien)

    • 191.255.0.0/16 (martien)

    • 192.0.0.0/24 (martien)

    • 223.255.255.0/24 (martien)

    • 224.0.0.0/4 (multidiffusion)

    • 240.0.0.0/4 (réservé)

    • 255.255.255.255 (diffusion)

    Les adresses spécifiées comme valides dans la table de routage et non prises en charge pour la inet.0 traduction NAT sont orlonger des types de filtre de correspondance. Vous ne pouvez pas spécifier de régions à l’intérieur de ces préfixes d’adresse dans un pool NAT.

  • Sur les routeurs MX Series équipés de cartes MS-MPC et MS-MIC, si vous configurez un pool d’adresses NAT dont la longueur de préfixe est égale ou supérieure à /16, le PIC ne contient pas suffisamment de mémoire pour provisionner le pool configuré. En outre, des problèmes d’utilisation de la mémoire peuvent se produire si vous tentez de configurer de nombreux pools dont le nombre total d’adresses IP combiné dépasse /16. Dans ce cas, un message de journalisation système est généré, indiquant que le nom du pool NAT n’a pas pu être créé et que l’ensemble de services n’est pas activé. Sur les MS-MPC et MS-MICs, vous ne devez pas configurer de pools NAT dont la longueur des préfixes est supérieure ou égale à /16.

  • Vous pouvez spécifier un ou plusieurs préfixes d’adresse IPv4 dans l’instruction pool et dans la from clause du terme de la règle NAT. Cela vous permet de configurer la traduction source d’un sous-réseau privé vers un sous-réseau public sans définir de terme de règle pour chaque adresse du sous-réseau. La traduction de destination ne peut pas être configurée par cette méthode. Pour plus d’informations, reportez-vous à la section Exemples : configuration de règles NAT.

  • Lorsque vous configurez le NAT de source statique, la taille du address préfixe que vous configurez au niveau de la [edit services nat pool pool-name] hiérarchie doit être supérieure à la plage de source-address préfixes configurée au niveau de la [edit services nat rule rule-name term term-name from] hiérarchie. La source-address plage de préfixes doit également être mappée à un seul sous-réseau ou à une seule plage d’adresses IPv4 ou IPv6 dans l’instruction pool . Toutes les adresses de pool qui ne sont pas utilisées par la plage de source-address préfixes sont laissées inutilisées. Les pools ne peuvent pas être partagés.

  • Lorsque vous configurez la taille d’un préfixe de pool d’adresses NAT avec l’instruction address au niveau de la hiérarchie [edit services nat pool nat-pool-name], les adresses de sous-réseau et de diffusion ne sont pas incluses dans la liste des adresses IP utilisables. Par exemple, si vous utilisez address 10.11.12.0/28 dans un pool NAT, les adresses 10.11.12.0 (adresse de sous-réseau) et 10.11.12.15 (adresse de diffusion) ne sont pas disponibles.

Note:

Lorsque vous incluez une configuration NAT qui modifie les adresses IP, cela peut affecter les fonctionnalités de chemin de transfert ailleurs dans la configuration de votre routeur, telles que l’utilisation de la classe source (SCU), l’utilisation de la classe de destination (DCU), le transfert basé sur un filtre ou d’autres fonctionnalités qui ciblent des adresses IP ou des préfixes spécifiques.

La configuration NAT peut également affecter le fonctionnement du protocole de routage, car les adresses d’appairage de protocoles, de voisinage et d’interface peuvent être modifiées lorsque des paquets de protocoles de routage transitent par le PIC Adaptive Services (AS) ou multiservices.

Voir aussi

Présentation de la configuration de pools d’adresses et de ports pour la traduction d’adresses réseau

configuration des pools NAT

Vous pouvez utiliser l’instruction pour définir les adresses (ou préfixes), les plages d’adresses et les ports utilisés pour la traduction d’adresses pool réseau (NAT). Pour configurer les informations, incluez l’instruction pool au niveau de la [edit services nat] hiérarchie.

À partir de Junos OS version 14.2, configurez le pool NAT comme suit. À partir de la version 16.1 de Junos OS, l’instruction limit-ports-per-address est prise en charge.

Sous Junos OS version 14.1 et antérieure, configurez le pool NAT comme suit :

Pour configurer des pools pour le NAT traditionnel, spécifiez un pool de destination ou un pool source.

Avec le NAT source statique et le NAT source dynamique, vous pouvez spécifier plusieurs adresses IPv4 (ou préfixes) et plages d’adresses IPv4. Un seul pool peut prendre en charge jusqu’à 32 préfixes ou plages d’adresses (ou une combinaison).

Avec le NAT de destination statique, vous pouvez également spécifier plusieurs préfixes d’adresses et plages d’adresses dans un seul terme. Plusieurs termes NAT de destination peuvent partager un pool NAT de destination. Toutefois, le masque de réseau ou la plage de l’adresse from doit être inférieur ou égal au masque de réseau ou à la plage de l’adresse du pool de destination. Si vous définissez le pool comme étant plus grand que nécessaire, certaines adresses ne seront pas utilisées. Par exemple, si vous définissez la taille du pool comme 100 adresses et que la règle ne spécifie que 80 adresses, les 20 dernières adresses du pool ne sont pas utilisées.

Pour connaître les contraintes sur des types de traduction spécifiques, reportez-vous à la section Présentation des règles de traduction des adresses réseau.

Avec le NAT statique source, les préfixes et les plages d’adresses ne peuvent pas se chevaucher entre des pools distincts.

Dans une plage d’adresses, la low valeur doit être inférieure à la high valeur. Lorsque plusieurs plages d’adresses et préfixes sont configurés, les préfixes sont épuisés en premier, suivis des plages d’adresses.

Lorsque vous spécifiez un port pour le NAT source dynamique, les plages d’adresses sont limitées à un maximum de 65 000 adresses, pour un total de (65 000 x 65 535) ou 4 259 775 000 flux. Un pool NAT dynamique sans traduction de port d’adresse prend en charge jusqu’à 65 535 adresses. Il n’y a pas de limite à la taille du pool pour le NAT de source statique.

Préserver la portée et préserver la parité

Vous pouvez configurer votre NAT de classe opérateur (CGN) pour préserver la plage ou la parité du port source de paquets lorsqu’il alloue un port source pour une connexion sortante. Vous pouvez configurer les options de préservation de la parité et de préservation de la plage sous la définition du pool NAT en incluant les preserve-range instructions de configuration et preserve-parity au niveau de la [edit services nat pool poolname port] hiérarchie.

La préservation de la plage et la préservation de la parité sont prises en charge sur les routeurs MX Series avec MS-DPC et sur les routeurs M Series avec MS-100, MS-400 et MS-500 MultiServices PICS. La préservation de la plage et de la parité est prise en charge sur les routeurs MX Series avec MS-MPC et MS-MIC à partir de la version 15.1R1 de Junos OS.

  • Préserver la plage : la RFC 4787, Network Address Translation (NAT) Behavioral Requirements for Unicast UDP, définit deux plages : 0 à 1023 et 1024 à 65 535. Lorsque le preserve-range bouton est configuré et que le port entrant se trouve dans l’une de ces plages, CGN alloue un port de cette plage uniquement. Toutefois, si aucun port n’est disponible dans la plage, la demande d’allocation de port échoue et la session en question n’est pas créée. La défaillance est répercutée sur les compteurs et la journalisation système, mais aucun message ICMP (Internet Control Message Protocol) n’est généré. Si ce bouton n’est pas configuré, l’allocation est basée sur la plage de ports configurée, indépendamment de la plage de ports qui contient le port entrant. L’exception concerne certaines passerelles de niveau d’application (ALG), telles que hello, qui ont des zones spéciales.

  • Preserve parity (Préserver la parité) : lorsque le preserve-parity bouton est configuré, CGN alloue un port avec la même parité paire ou impaire que le port entrant. Si le numéro de port entrant est pair ou impair, le numéro de port sortant doit être pair ou impair. Si un numéro de port de la parité souhaitée n’est pas disponible, la demande d’allocation de port échoue, la session n’est pas créée et le paquet est abandonné.

Spécification de préfixes de destination et de source sans configuration de pool

Vous pouvez spécifier directement le préfixe de destination ou de source utilisé dans NAT sans configurer de pool.

Pour configurer les informations, incluez l’instruction au rule niveau de la [edit services nat] hiérarchie :

Présentation des règles de traduction d’adresses réseau

Pour configurer une règle NAT, incluez l’instruction au rule rule-name niveau de la [edit services nat] hiérarchie :

Chaque règle doit inclure une match-direction instruction qui spécifie la direction dans laquelle la correspondance est appliquée.

Note:

Les routeurs ACX Series ne prennent en charge que input le sens de correspondance.

De plus, chaque règle NAT se compose d’un ensemble de termes, semblable à un filtre de pare-feu. Un terme se compose des éléments suivants :

  • from statement : spécifie les conditions de correspondance et les applications incluses et exclues.

  • then statement : spécifie les actions et les modificateurs d’action à effectuer par le logiciel du routeur.

Les sections suivantes expliquent comment les composants des règles NAT :

configuration de la direction de correspondance pour les règles NAT

Chaque règle doit inclure une match-direction instruction qui spécifie la direction dans laquelle la correspondance est appliquée. Pour configurer l’application de la correspondance, incluez l’instruction match-direction au niveau de la [edit services nat rule rule-name] hiérarchie :

Le sens de correspondance est utilisé par rapport au flux de trafic à travers le DPC multiservices et les PIC multiservices. Lorsqu’un paquet est envoyé au PIC, des informations de direction sont emportées avec lui. La direction du paquet est déterminée en fonction des critères suivants :

  • Dans un ensemble de services d’interface, la direction des paquets est déterminée par l’entrée ou la sortie d’un paquet de l’interface sur laquelle l’ensemble de services est appliqué.

  • Dans le cas d’un ensemble de services de saut suivant, la direction du paquet est déterminée par l’interface utilisée pour acheminer le paquet vers le DPC multiservices ou le PIC multiservices. Si l’interface interne est utilisée pour acheminer le paquet, la direction du paquet est entrée. Si l’interface externe est utilisée pour diriger le paquet vers le PIC ou le DPC, la direction du paquet est émise. Pour plus d’informations sur les interfaces internes et externes, reportez-vous à la section Configuration des ensembles de services à appliquer aux interfaces de services.

  • Sur le DPC multiservices et le PIC multiservices, une recherche de flux est effectuée. Si aucun flux n’est trouvé, le traitement des règles est effectué. Toutes les règles de l’ensemble de services sont prises en compte. Lors du traitement des règles, la direction des paquets est comparée à la direction de la règle. Seules les règles dont les informations de direction correspondent à la direction du paquet sont prises en compte.

Configuration des conditions de correspondance dans les règles NAT

Pour configurer les conditions de correspondance NAT, incluez l’instruction au from niveau de la [edit services nat rule rule-name term term-name] hiérarchie :

Pour configurer un NAT traditionnel, vous pouvez utiliser l’adresse de destination, une plage d’adresses de destination, l’adresse source ou une plage d’adresses source comme condition de correspondance, de la même manière que vous configureriez un filtre de pare-feu. Pour plus d’informations, reportez-vous au Guide de l’utilisateur Stratégies de routage, filtres de pare-feu et mécanismes de contrôle du trafic.

Vous pouvez également spécifier une liste de préfixes source ou de destination en incluant l’instruction prefix-list au niveau de la [edit policy-options] hiérarchie, puis en incluant l’instruction destination-prefix-list ou source-prefix-list dans la règle NAT. Pour obtenir un exemple, reportez-vous à la section Exemples : configuration de règles de pare-feu dynamiques.

Si l’instruction de l’instruction then de la règle NAT est définie sur stateful-nat-64, la plage spécifiée par le destination-address-range ou le destination-prefix-list dans l’instruction from doit se trouver dans la plage spécifiée par l’instruction destination-prefix dans l’instructionthen .translation-type

Si la fonctionnalité APP (Address Pooling Pair) est activée pour au moins un terme NAT d’une règle NAT (en incluant l’instruction address-pooling au niveau de la [edit services nat rule rule-name term term-name then translated] hiérarchie, tous les autres termes de la règle NAT qui utilisent le même pool d’adresses NAT que le pool d’adresses du terme avec APP activé doivent avoir APP activé). Dans le cas contraire, si vous ajoutez un terme de règle NAT sans activer APP à une règle qui contient d’autres termes pour lesquels APP est activé, tous les termes pour lesquels APP est activé dans une règle NAT abandonnent les flux de trafic qui correspondent aux critères spécifiés dans la règle NAT.

Pour les routeurs MX Series avec MS-MIC et MS-MPC, bien que la fonctionnalité APP (Address Pooling Pairing) soit activée dans une règle NAT (en incluant l’instruction address-pooling au niveau de la [edit services nat rule rule-name term term-name then translated] hiérarchie), elle est une caractéristique d’un pool NAT. Un tel pool NAT pour lequel APP est activé ne peut pas être partagé avec des règles NAT pour lesquelles APP n’est pas configuré.

Lors de la configuration de NAT, si un trafic est destiné aux adresses suivantes et ne correspond pas à un flux NAT ou à une règle NAT, il est abandonné :

  • Adresses spécifiées dans l’instruction lorsque vous utilisez la from destination-address traduction de destination

  • Adresses spécifiées dans le pool NAT source lorsque vous utilisez la traduction source

Configuration des actions dans les règles NAT

Pour configurer les actions NAT, incluez l’instruction au then niveau de la [edit services nat rule rule-name term term-name] hiérarchie :

  • L’instruction no-translation vous permet de spécifier les adresses que vous souhaitez exclure du NAT.

    L’instruction no-translation est prise en charge sur les routeurs MX Series équipés de MS-DPC et sur les routeurs M Series équipés de PICS multiservices MS-100, MS-400 et MS-500. La no-translation déclaration est prise en charge sur les routeurs MX Series avec MS-MPC et MS-MIC à partir de Junos OS version 15.1R1.

  • L’instruction system log vous permet d’enregistrer une alerte dans la fonction de journalisation du système.

  • Les destination-poolinstructions , destination-prefix, source-poolet source-prefix , spécifient les informations d’adressage que vous définissez en incluant l’instruction pool au niveau de la hiérarchie ; pour plus d’informations, reportez-vous à la section Présentation de la configuration de pools d’adresses et de ports pour la [edit services nat] traduction d’adresses réseau.

  • L’instruction translation-type spécifie le type de NAT utilisé pour le trafic source ou de destination. Les options sont les suivantes : , , , napt-66dynamic-nat44stateful-nat464stateful-nat64 twice-dynamic-nat-44twice-napt-44napt-44twice-basic-nat-44dnat-44napt-ptbasic-nat66basic-nat44basic-nat-pt

Note:

Dans Junos OS version 13.2 et versions antérieures, la CLI n’appliquait pas la restriction suivante : si l’instruction de l’instruction then d’une règle NAT était définie sur stateful-nat-64, la plage spécifiée par l’instruction destination-address-range ou l’instruction destination-prefix-list devait from se trouver dans la plage spécifiée par l’instruction destination-prefix dans l’instructionthen.translation-type Cette restriction est appliquée à partir de Junos OS version 13.3R1.

Configuration des types de traduction

Les détails de mise en œuvre des neuf options de l’énoncé translation-type sont les suivants :

  • basic-nat44: cette option implémente la traduction statique des adresses IP sources sans mappage de port. Vous devez configurer l’instruction from source-address dans la condition de correspondance de la règle. La taille de la plage d’adresses spécifiée dans l’instruction doit être égale ou inférieure à celle du pool source. Vous devez spécifier un pool source ou un préfixe de destination. Le pool référencé peut contenir plusieurs adresses, mais vous ne pouvez pas spécifier de ports pour la traduction.

    Note:

    Dans un ensemble de services d’interface, tous les paquets destinés à l’adresse source spécifiée dans la condition de correspondance sont automatiquement acheminés vers le PIC de services, même si aucun ensemble de services n’est associé à l’interface.
    Note:

    Avant Junos OS version 11.4R3, vous ne pouviez utiliser qu’un pool NAT source dans un seul ensemble de services. À partir de la version 11.4R3 de Junos OS et des versions ultérieures, vous pouvez réutiliser un pool NAT source dans plusieurs ensembles de services.

  • basic-nat66: cette option implémente la traduction statique des adresses IP sources sans mappage de ports dans les réseaux IPv6. La configuration est similaire à celle de l’implémentation basic-nat44 , mais avec des adresses IPv6.

    Cette basic-nat66 option n’est pas disponible si vous utilisez des cartes MS-MPC ou MS-MIC.

  • basic-nat-pt: cette option implémente la traduction des adresses des hôtes IPv6, telles qu’elles sont à l’origine des sessions vers les hôtes IPv4 d’un domaine externe et vice versa. Cette option est toujours implémentée avec DNS ALG. Vous devez définir les pools source et de destination des adresses IPv4. Vous devez configurer une règle et définir deux termes. Configurez les adresses IPv6 dans l’instruction from des deux term instructions. Dans l’instruction then du premier terme de la règle, référencez les pools source et de destination, puis configurez dns-alg-prefix. Configurez le préfixe source dans l’instruction then du deuxième terme au sein de la même règle.

    Cette basic-nat-pt option n’est pas disponible si vous utilisez des cartes MS-MPC ou MS-MIC.

  • deterministic-napt44: cette option implémente l’allocation basée sur un algorithme de blocs de ports de destination et d’adresses IP. Cela garantit qu’une adresse IP et un port entrants (source) sont toujours mappés à la même adresse IP de destination et au même port, éliminant ainsi le besoin de journalisation de la traduction des adresses. Lorsque vous utilisez deterministic-napt44, vous devez également utiliser deterministic-port-block-allocation au niveau de la [edit services nat pool poolname port] hiérarchie.

    L’option deterministic-napt44 est prise en charge sur les routeurs MX Series avec MS-DPC et sur les routeurs M Series avec PICS multiservices MS-100, MS-400 et MS-500. Si deterministic-napt44 vous utilisez des routeurs MX Series avec des MS-MPC ou des MS-MIC, cette option n’est prise en charge que dans Junos OS version 14.2R7 et versions ultérieures 14.2, ainsi que dans les versions 15.1R3 et ultérieures 15.1.

  • dnat-44: cette option implémente la traduction statique des adresses IP de destination sans mappage de port. La taille de l’espace d’adressage du pool doit être supérieure ou égale à l’espace d’adressage de destination. Vous devez spécifier un nom pour l’instruction destination pool . Le pool référencé peut contenir plusieurs adresses, plages ou préfixes, à condition que le nombre d’adresses NAT dans le pool soit supérieur au nombre d’adresses de destination dans l’instruction from . Vous devez inclure exactement une destination-address valeur au niveau de la [edit services nat rule rule-name term term-name from] hiérarchie ; s’il s’agit d’un préfixe, la taille doit être inférieure ou égale à la taille du préfixe du pool. Toutes les adresses du pool qui ne correspondent pas à la valeur restent inutilisées, car un pool ne peut pas être partagé entre plusieurs termes ou règles.

  • dynamic-nat44: cette option implémente la traduction dynamique des adresses IP sources sans mappage de port. Vous devez spécifier un source-poolfichier . Le pool référencé doit inclure une address configuration (pour la traduction d’adresses uniquement).

    L’option dynamic-nat44 adresse uniquement permet de convertir jusqu’à 16 777 216 adresses dans un pool de plus petite taille. Les demandes de la plage d’adresses source sont attribuées aux adresses du pool jusqu’à ce que le pool soit épuisé et que toute demande supplémentaire soit rejetée. Une adresse NAT attribuée à un hôte est utilisée pour toutes les sessions simultanées de cet hôte. L’adresse n’est libérée dans le pool qu’après l’expiration de toutes les sessions de cet hôte. Cette fonctionnalité permet au routeur de partager quelques adresses IP publiques entre plusieurs hôtes privés. Étant donné que tous les hôtes privés ne peuvent pas créer de sessions simultanément, ils peuvent partager quelques adresses IP publiques.

  • napt-44: cette option implémente la traduction dynamique des adresses IP sources avec mappage de ports. Vous devez spécifier un nom pour l’instruction source-pool . Le pool référencé doit inclure une port configuration. Si le port est configuré comme automatique ou si une plage de ports est spécifiée, cela implique que la traduction de port d’adresse réseau (NAPT) est utilisée.

  • napt-66: cette option implémente la traduction dynamique des adresses IP sources avec mappage de ports pour les adresses IPv6. La configuration est similaire à celle de l’implémentation napt-44 , mais avec des adresses IPv6.

    Cette napt-66 option n’est pas disponible si vous utilisez des cartes MS-MPC ou MS-MIC.

  • napt-pt: cette option implémente la traduction dynamique des adresses et des ports pour la traduction source et statique de l’adresse IP de destination. Vous devez spécifier un nom pour l’instruction source-pool . Le pool référencé doit inclure une configuration de port (pour NAPT). De plus, vous devez configurer deux règles, l’une pour le trafic DNS et l’autre pour le reste du trafic. La règle destinée au trafic DNS doit être DNS ALG activée et l’instruction dns-alg-prefix doit être configurée. De plus, le préfixe configuré dans l’instruction dns-alg-prefix doit être utilisé dans la deuxième règle pour convertir les adresses IPv6 de destination en adresses IPv4.

    Cette napt-pt option n’est pas disponible si vous utilisez des cartes MS-MPC ou MS-MIC.

  • stateful-nat464: cette option implémente la traduction d’adresses PLAT (Provider-Side Translater) 464XLAT pour les adresses IP sources et la traduction de suppression de préfixe IPv6 pour les adresses IPv4 de destination. Vous devez spécifier les adresses IPv4 utilisées pour la traduction au niveau de la hiérarchie [modifier le pool de services nat services]. Ce pool doit être référencé dans la règle qui traduit les adresses IPv6 en IPv4.

    Cette stateful-nat464 option n’est disponible que si vous utilisez des cartes MS-MPC ou MS-MIC et est prise en charge à partir de Junos OS version 17.1R1.

  • stateful-nat64: cette option implémente la traduction dynamique des adresses et des ports pour les adresses IP sources et la traduction de suppression de préfixe pour les adresses IP de destination. Vous devez spécifier les adresses IPv4 utilisées pour la traduction au niveau de la [edit services nat pool] hiérarchie. Ce pool doit être référencé dans la règle qui traduit les adresses IPv6 en IPv4.

  • twice-basic-nat-44: cette option implémente la traduction statique de la source et de la destination pour les adresses IPv4, combinant ainsi basic-nat44 les adresses source et dnat-44 de destination.

    L’option twice-basic-nat-44 est prise en charge sur les MS-DPC et les PICS multiservices MS-100, MS-400 et MS-500. L’option twice-basic-nat-44 est prise en charge sur les MS-MPC et MS-MIC à partir de Junos OS version 15.1R1.

  • twice-dynamic-nat-44: cette option implémente la traduction statique de la source et de la destination pour les adresses IPv4, en combinant dynamic-nat44 les adresses source et dnat-44 de destination.

    L’option twice-dynamic-nat-44 est prise en charge sur les MS-DPC et les PICS multiservices MS-100, MS-400 et MS-500. L’option twice-dynamic-nat-44 est prise en charge sur les MS-MPC et MS-MIC à partir de Junos OS version 15.1R1.

  • twice-napt-44: cette option implémente la traduction statique source et la traduction statique de destination pour les adresses IPv4, en combinant napt-44 les adresses source et dnat-44 de destination.

    L’option twice-napt-44 est prise en charge sur les MS-DPC et les PICS multiservices MS-100, MS-400 et MS-500. L’option twice-napt-44 est prise en charge sur les MS-MPC et MS-MIC à partir de Junos OS version 15.1R1.

Pour plus d’informations sur les méthodes NAT, reportez-vous à la RFC 2663, Terminologie et considérations relatives au traducteur d’adresses réseau IP (NAT).

configuration de règles NAT pour le relais IPsec pour les homologues non-NAT-T

Avant la version 17.4R1 de Junos OS, la traversée d’adresses réseau (NAT-T) n’était pas prise en charge pour la suite de fonctionnalités IPsec Junos VPN Site Secure sur les routeurs MX Series. À partir de Junos OS version 14.2R7, 15.1R5, 16.1R2 et 17.1R1, vous pouvez transmettre des paquets IKEv1 et IPsec via des règles NAPT-44 et NAT64 entre homologues IPsec qui ne sont pas conformes à NAT-T. Seul le mode tunnel ESP est pris en charge. Cette fonctionnalité n’est prise en charge que sur les MS-MPC et MS-MIC.

Pour configurer des règles NAT pour le relais IPsec pour NAPT-44 ou NAT64 :

  1. Configurez une application IKE ALG. Reportez-vous à la section Configuration des propriétés de l’application.

  2. Ajoutez l’application à un ensemble d’applications. Reportez-vous à la section Configuration des ensembles d’applications.

  3. Configurez un pool NAT. Reportez-vous à la section Présentation de la configuration de pools d’adresses et de ports pour la traduction d’adresses réseau.

  4. Configurez la règle NAT :

    1. Configurez une direction de correspondance pour la règle. Reportez-vous à la section Configuration de la direction de correspondance pour les règles NAT.

    2. Configurez l’une des conditions correspondantes pour qu’elle soit l’application définie pour le relais IKE et IPsec que vous avez configurée à l’étape 2.

    3. Configurez d’autres conditions de correspondance. Reportez-vous à la section Configuration des conditions de correspondance dans les règles NAT.

    4. Configurez le type de traduction comme NAPT-44 ou NAT64.

    5. Configurez d’autres actions NAT. Reportez-vous à la section Configuration d’actions dans les règles NAT.

  5. Affectez la règle NAT à un ensemble de services.

Voir aussi

Protection des appareils CGN contre les attaques par déni de service (DOS)

Vous pouvez désormais choisir des options de configuration qui permettent d’empêcher ou de minimiser l’effet des tentatives d’attaque par déni de service (DOS).

Comportement d’actualisation du mappage

Avant l’implémentation des nouvelles options de configuration du comportement d’actualisation du mappage NAT, décrites dans cette rubrique, une conversation était maintenue active lorsque des flux entrants ou sortants étaient actifs. Cela reste le comportement par défaut. Vous pouvez désormais également spécifier l’actualisation du mappage pour les flux entrants ou sortants uniquement. Pour configurer le comportement d’actualisation du mappage, incluez l’instruction mapping-refresh (inbound | outbound | inbound-outbound) au niveau de la [edit services nat rule rule-name term term-name then translated secure-nat-mapping] hiérarchie.

Limite de flux entrants du FEI

Auparavant. le nombre de connexions entrantes sur un mappage EIF n’était limité que par le nombre maximal de flux autorisés sur le système. Vous pouvez désormais configurer le nombre de flux entrants autorisés pour un FEI. Pour limiter le nombre de connexions entrantes sur un mappage FEI, incluez l’instruction eif-flow-limit number-of-flows au niveau de la [edit services nat rule rule-name term term-name then translated secure-nat-mapping] hiérarchie.

Implémentation d’un NAT de classe opérateur : meilleures pratiques

Les rubriques suivantes présentent les meilleures pratiques pour l’implémentation d’un NAT de classe opérateur :

Utiliser l’allocation d’adresses Round-Robin lors de l’utilisation d’APP avec la MS-DPC

Bonne pratique :

Si vous utilisez un MS-DPC et que vous configurez l’appariement de pools d’adresses (APP) dans une règle NAT, vous devez utiliser l’allocation d’adresses Round-Robin pour le pool NAT.

La fonctionnalité APP mappe une adresse IP privée à la même adresse IP publique dans un pool NAT pour toutes les sessions NAT de cette adresse IP privée.

L’allocation d’adresses séquentielle pour les pools NAT est l’allocation par défaut sur le MS-DPC et alloue tous les ports d’une adresse IP publique avant d’attribuer l’adresse IP suivante. L’allocation séquentielle, associée à APP, peut entraîner le mappage de plusieurs hôtes privés vers la même adresse IP publique, ce qui entraîne un épuisement rapide des ports pour une adresse IP publique alors que d’autres ports sont encore disponibles à partir des adresses IP restantes dans le pool NAT.

L’allocation Round-Robin, quant à elle, attribue l’adresse IP suivante dans le pool NAT à l’adresse IP privée à traduire, ce qui réduit le risque que tous les ports d’une adresse IP publique soient épuisés.

Pour plus d’informations sur l’allocation d’adresses APP et Round-Robin, consultez Présentation de la configuration des pools d’adresses pour la traduction des ports d’adresses réseau (NAPT).

Note:

Les systèmes MS-MPC et MS-MIC n’utilisent que l’allocation Round-Robin.

L’exemple suivant illustre l’allocation d’adresses Round-Robin.

N’utilisez la fonction EIM qu’en cas de besoin

Bonne pratique :

N’utilisez pas de mappage indépendant du point de terminaison (EIM) dans les termes de règles NAT qui incluent les ALG Junos. EIM attribue la même adresse NAT externe et le même port à une session spécifique à partir d’un hôte privé, mais ajoute une surcharge de traitement. EIM n’offre aucun avantage aux ALG Junos qui utilisent déjà la fonctionnalité utilisée par EIM.
Bonne pratique :

Activez EIM pour les applications qui réutilisent les ports sources et qui s’appuient sur un équipement CGNAT pour conserver la même adresse et le même mappage de ports pour tout le trafic envoyé vers différentes destinations. Par exemple, utilisez EIM pour les applications de jeux sur console telles que Xbox et PS4 ou les applications qui utilisent des méthodes unilatérales de correction d’adresses automatiques (UNSAF). Voir (IETF RFC 3424 IAB Considerations for Unilateral Self-Address Fixing (UNSAF) across Network Address Translation).

Pour plus d’informations sur EIM, reportez-vous à la section Présentation de la configuration des pools d’adresses pour la traduction des ports d’adresses réseau (NAPT).

L’exemple suivant utilise l’ALG SIP Junos dans la règle NAT, de sorte que l’EIM n’est pas utilisé.

Définir la taille des blocs d’allocation des ports en fonction du nombre prévu de sessions utilisateur

Bonne pratique :

Pour l’allocation de blocs de ports sécurisés et l’allocation déterministe de blocs de ports, définissez une taille de bloc d’allocation de blocs de ports 2 à 4 fois supérieure au nombre moyen de sessions actives attendu pour un utilisateur. Par exemple, si l’utilisateur est censé avoir en moyenne entre 200 et 250 sessions NAT actives, la configuration de la taille de bloc sur 512 ou 1024 fournit une allocation libérale.
Bonne pratique :

Si vous déployez l’allocation de blocs de ports sécurisés en utilisant le MX Series comme périphérique NAT et que vous n’êtes pas sûr de votre profil d’utilisateur abonné et de votre profil de trafic, définissez la taille du bloc de ports sur 1024 si vous disposez de suffisamment d’adresses IP NAT pour gérer le nombre maximal estimé d’abonnés privés. Le nombre d’adresses IP NAT multiplié par 62 vous donne le nombre d’abonnés privés qui peuvent être gérés avec une taille de bloc de ports de 1024 (il y a 62 blocs par adresse IP). Ensuite, surveillez de près le routeur MX Series à l’aide de la show services nat pool detail commande pour déterminer si la taille du bloc doit être modifiée.
Bonne pratique :

Veillez à ne pas rendre la taille du bloc trop grande si le nombre d’adresses IP que vous pouvez allouer au pool NAT est limité. Si la taille des blocs de ports est suffisamment grande pour les attribuer efficacement à vos abonnés, vous risquez d’immobiliser tous les blocs de ports.

L’allocation sécurisée de blocs de ports attribue des blocs de ports à un utilisateur particulier pour NAT44 ou NAT64. L’allocation de blocs de ports sécurisés limite le nombre de messages syslog en ne générant qu’un seul syslog par bloc de ports.

Toutefois, une configuration incorrecte de la taille des blocs peut entraîner une utilisation inefficace des ressources NAT ou des problèmes de performances. Par exemple, lorsqu’un utilisateur se connecte à un site web qui nécessite la mise en place d’un nombre important de sockets pour une seule page HTML, un nombre correspondant de nouveaux ports doit être alloué. La taille des blocs de ports doit être suffisamment grande pour empêcher l’attribution continue de nouveaux blocs. Si le nombre de sessions simultanées d’un abonné privé dépasse le nombre de ports disponibles dans le bloc de ports actif, les autres blocs de ports alloués à l’abonné sont analysés à la recherche des ports disponibles à utiliser ou un nouveau bloc est alloué à partir du pool de blocs libres pour l’abonné. L’analyse des blocs de ports alloués et l’attribution de blocs supplémentaires peuvent entraîner des retards dans la configuration de nouvelles sessions et le chargement des pages Web.

Pour plus d’informations sur l’allocation des blocs de ports, consultez Configuration de l’allocation de blocs de ports sécurisés et Configuration du NAPT déterministe.

L’exemple suivant définit la taille du bloc de ports sur 1024.

Considérations relatives à la modification de la configuration d’allocation des blocs de ports sur les systèmes en cours d’exécution

Bonne pratique :

Avant de modifier l’allocation des blocs de ports sécurisés ou la configuration déterministe des blocs de ports sur un système en cours d’exécution lors de l’utilisation d’une carte MS-MPC ou MS-MIC, prévoyez une interruption rapide des sessions NAT. La modification de la configuration entraîne la recréation de toutes les sessions NAT actuelles.
Bonne pratique :

Avant de modifier la configuration d’allocation du bloc de ports sur un système en cours d’exécution lors de l’utilisation d’un MS-DPC, prévoyez une interruption de services. Après avoir modifié la configuration, vous devez redémarrer MS-DPC ou, si cela n’est pas possible, désactiver et réactiver l’ensemble de services.

Les modifications apportées à la configuration de l’allocation des blocs de ports sont les suivantes :

  • Modification de n’importe quelle configuration PBA de pool NAT.

  • Modification d’un pool NAT PBA en pool NAT non-PBA.

  • Modification d’un pool NAT non-PBA en pool NAT PBA.

Pour plus d’informations sur la configuration de l’allocation de blocs de ports, reportez-vous aux sections Configuration de l’allocation de blocs de ports sécurisés et Configuration du NAPT déterministe.

N’allouez pas de pools NAT plus grands que nécessaire

MS-MPC et MS-MIC

Bonne pratique :

Lorsque vous utilisez NAPT44 comme type de traduction avec la carte MS-MIC ou la carte MS-MPC, ne configurez pas de pools NAT plus grands que nécessaire pour le débit de session maximal, ce qui mobiliserait de précieuses ressources IPv4. Chaque conversation, également appelée session, comprend deux flux : un flux entrant et un flux sortant. Chaque conversation nécessite un port et chaque adresse IP du pool a une plage de ports 1024-65535 (64 Ko), de sorte que la taille du pool NAT n’a pas besoin d’être supérieure à :

nombre maximal de conversations/64K
Bonne pratique :

Lorsque vous utilisez NAPT44 comme type de traduction avec la carte MS-MIC, nous recommandons une taille maximale de pool NAT de 128 adresses (un réseau /25).
Bonne pratique :

Lorsque vous utilisez NAPT44 comme type de traduction avec la MS-MPC, nous recommandons une taille maximale de pool NAT de 256 adresses (un réseau /24).

La taille maximale de pool NAT recommandée lors de l’utilisation de NAPT-44 pour une carte MS-MIC est de 128 adresses IP, car la carte MS-MIC prend en charge un maximum de 14 millions de flux, ou 7 millions de conversations, qui nécessitent 7 millions de ports. Au total, 7 millions de ports sont disponibles avec 128 adresses IP, chaque adresse IP ayant une plage de ports de 1024 à 65535.

La taille maximale de pool NAT recommandée pour chaque emplacement sur une MS-MPC lors de l’utilisation de NAPT-44 est de 256 adresses IP, car chaque emplacement prend en charge un maximum de 30 millions de flux, ou 15 millions de conversations, ce qui nécessite 15 millions de ports. Au total, 15 millions de ports sont disponibles avec 256 adresses IP, chaque adresse IP ayant une plage de ports de 1024 à 65535.

Vous pouvez utiliser des pools plus grands que les valeurs recommandées, et vous pouvez vous attendre à ce que les configurations qui utilisent la fonctionnalité d’allocation de bloc de ports (PBA) nécessitent des pools plus importants. En effet, le PBA attribue des blocs de ports à des adresses IP privées, ce qui modifie le modèle d’efficacité du pool.

Pour plus d’informations sur la configuration des pools NAT, reportez-vous à la section Présentation de la configuration des pools d’adresses et de ports pour la traduction des adresses réseau.

MS-DPC (en anglais seulement)

Bonne pratique :

Lorsque vous utilisez NAPT44 comme type de traduction avec le MS-DPC, ne configurez pas de pools NAT plus grands que nécessaire pour le débit de pointe, ce qui mobiliserait de précieuses ressources IPv4. Chaque conversation comprend deux flux (1 flux inverse pour chaque flux transversal). Chaque conversation nécessite un port et chaque adresse IP du pool a une plage de ports 1024-65535 (64 Ko), de sorte que la taille du pool NAT n’a pas besoin d’être supérieure à :

nombre maximal de conversations/64K
Bonne pratique :

Lorsque vous utilisez NAPT44 comme type de traduction avec le MS-DPC, ne configurez pas de pools NAT avec plus de 64 adresses (un réseau /26).

La taille maximale du pool NAT d’un MS-DPC est de 64 adresses IP, car le MS-DPC prend en charge un maximum de 8 millions de flux, ou 4 millions de conversations, ce qui nécessite un maximum de 4 millions de ports. Au total, 4 millions de ports sont disponibles avec 64 adresses IP, chaque adresse IP ayant une plage de ports comprise entre 1024 et 65535. Si APP, EIM et EIF sont activés, MS-DPC prend en charge un maximum de 5,8 millions de flux, ou 2,9 millions de conversations, de sorte que la taille maximale du pool NAT serait inférieure.

Pour plus d’informations sur la configuration des pools NAT, reportez-vous à la section Présentation de la configuration des pools d’adresses et de ports pour la traduction des adresses réseau.

Configurez la journalisation système pour NAT uniquement en cas de besoin

Bonne pratique :

N’activez pas la journalisation système par session pour les configurations d’allocation de blocs de ports sécurisés.
Bonne pratique :

N’activez pas la journalisation système pour les configurations NAT déterministes.
Bonne pratique :

Dans la mesure du possible, activez la journalisation système au niveau de l’ensemble de services plutôt qu’au niveau de l’interface de services.
Bonne pratique :

Dans les réseaux de production, envoyez toujours les messages de journal à un serveur de journaux système externe. Cela évite d’ajouter une charge CPU au moteur de routage, ce qui se produit lorsque les messages sont consignés localement.
Bonne pratique :

Spécifiez la classe de journal système pour limiter la journalisation à la classe d’applications qui vous intéresse.
Bonne pratique :

Si vous configurez la journalisation système à l’intérieur d’un terme de règle NAT, utilisez une règle de pare-feu dynamique pour restreindre le trafic qui atteint le terme de règle NAT.

Les messages du journal système peuvent affecter négativement les performances de la carte de services, en fonction de la fréquence de création et de suppression des sessions. Tous les messages du journal système créés par la carte de services nécessitent un traitement CPU au niveau de la carte de services, et les messages du journal système eux-mêmes constituent le trafic qui est envoyé sur le routeur MX Series et entre en concurrence avec le trafic utilisateur pour atteindre le serveur de journaux externe.

Avec l’allocation sécurisée des blocs de ports, vous n’avez plus besoin de configurer les journaux par session, car vous connaissez le bloc et la taille du bloc et vous pouvez déduire les ports alloués à chaque utilisateur.

Le NAT déterministe élimine le besoin de journalisation, car toutes les informations sur l’allocation des ports peuvent être déduites mathématiquement.

L’exemple suivant limite la journalisation aux événements NAT et envoie des messages de journal au serveur de journaux externe 203.0.113.4

Lorsque vous configurez la journalisation système à l’intérieur d’un terme de règle NAT, tout le trafic qui entre le terme de règle NAT génère un journal, ce qui peut entraîner une journalisation excessive. Cela pourrait entraîner le dépassement de la limite de vitesse de journalisation et vous perdriez les journaux dont vous avez besoin.

Pour plus d’informations sur la configuration de la journalisation système pour NAT, reportez-vous à la section Configuration des journaux de session NAT.

Limiter l’impact des fragments IP manquants

Bonne pratique :

Pour l’interface de services configurée pour NAT, limitez l’impact des fragments manquants ou retardés en configurant les éléments suivants :

  • Nombre maximal de fragments pour un paquet

  • Temps d’attente maximal pour un fragment manquant

Les fragments IP reçus par la carte de services configurée pour NAT sont mis en mémoire tampon à mesure qu’ils arrivent. Cela permet de vérifier l’intégrité du paquet complètement réassemblé avant que le paquet ne soit traité par le NAT. Les fragments manquants ou retardés peuvent faire en sorte que les fragments déjà reçus soient conservés jusqu’à ce que la mémoire tampon interne soit pleine et qu’ils soient évacués, ce qui entraîne une surcharge d’utilisation du processeur et une réduction du transfert de trafic.

En configurant le nombre maximal de fragments qu’un paquet peut avoir et en limitant le temps d’attente pour un fragment manquant, vous réduisez le risque de saturation de la mémoire tampon interne.

L’exemple suivant définit le nombre maximal de fragments sur 10 et le temps d’attente maximal sur 3 secondes.

N’utilisez pas de configurations sujettes aux boucles de routage de paquets

Bonne pratique :

Évitez les boucles de routage de paquets en veillant à ce que seul le trafic prévu soit autorisé à atteindre la carte de services et à être traité par la règle NAT de l’ensemble de services. Pour ce faire, procédez comme suit :

  • Configuration d’une plage d’adresses source sous la règle NAT lorsque cela est possible.

  • Configuration d’un filtre de pare-feu qui accepte uniquement le trafic destiné à être traité par la règle NAT dans un ensemble de services de type saut suivant.

Le bouclage de paquets entre le moteur de transfert de paquets et la carte de services entraîne une utilisation élevée et persistante du processeur sur la carte de services. Le bouclage des paquets peut être causé par la réception par la carte de services du trafic provenant d’un réseau source privé inattendu. Lorsque le NAT traite du trafic inattendu, un sténopé est créé et, dans le cas d’un EAR, de nombreux sténopés peuvent être créés. Ces trous d’épingle provoquent des boucles de routage si le trafic de retour repasse par la carte de services.

L’exemple suivant montre un filtre de pare-feu qui autorise uniquement le trafic provenant de 198.51.100.0/24 à atteindre l’interface de services ms-1/0/0, qui est l’interface interne d’un ensemble de services de saut suivant.

Pour plus d’informations sur la configuration des filtres de pare-feu, reportez-vous au Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.

L’exemple suivant montre une règle NAT qui traite uniquement le trafic à partir de 198.51.100.0/24 (le trafic restant atteint l’interface des services, mais n’est pas traité).

Pour plus d’informations sur la configuration des règles NAT, consultez Présentation des règles de traduction d’adresses réseau.

Délais d’inactivité

Bonne pratique :

Définissez le délai d’inactivité uniquement pour les applications définies par l’utilisateur qui peuvent nécessiter que le mappage de session NAT reste en mémoire plus longtemps que le délai d’inactivité NAT par défaut de 30 secondes. Par exemple, une application bancaire HTTP ou HTTPS peut nécessiter plus de 30 secondes d’inactivité car l’utilisateur doit saisir des données.
Bonne pratique :

Avant d’apporter des modifications aux délais d’inactivité existants, exécutez les commandes suivantes plusieurs fois pendant les heures de pointe. Exécutez ensuite les commandes après avoir effectué les modifications et vérifiez qu’elles ne privent pas le routeur MX Series de ressources NAT ou la carte de services de mémoire.

L’exemple suivant montre que le délai d’inactivité est défini sur 1800 secondes pour les applications HTTPS et HTTP.

Pour plus d’informations sur la configuration des applications définies par l’utilisateur, reportez-vous à la section Configuration des propriétés de l’application.

Vous devez évaluer les risques liés à la définition de délais d’inactivité élevés pour l’ensemble du trafic. Bien que le délai d’inactivité NAT par défaut de 30 secondes puisse être trop faible pour certaines applications définies par l’utilisateur, la définition d’un délai d’expiration trop élevé peut immobiliser les ressources NAT. Par exemple, la définition de délais d’inactivité élevés peut bloquer toute session TCP inactive quelques minutes seulement après sa création. Si la session TCP n’est pas fermée proprement par un FIN ou un RST par le client ou le serveur, la session restera en mémoire et liera les ressources NAT qui lui sont attribuées jusqu’à l’expiration du délai d’expiration.

Il peut être dangereux de fixer des délais d’inactivité plus élevés qui affectent tous les ports UDP et TCP, en particulier avec le trafic UDP comme DNS. Contrairement à TCP, UDP n’a pas d’autre moyen de mettre fin à une session que d’expirer, de sorte que toutes les sessions UDP restent actives jusqu’à la fin du délai d’inactivité.

L’exemple suivant n’est pas recommandé, car il définit des valeurs de délai d’inactivité élevées pour l’ensemble du trafic TCP et UDP.

Nous n’avons pas de valeurs de délai d’inactivité spécifiques recommandées. Les valeurs appropriées de délai d’inactivité dépendent de plusieurs facteurs, notamment :

  • Quelles applications sont utilisées sur le réseau d’un utilisateur final ?

    Par exemple, Apple a déclaré qu’un délai d’inactivité de 60 minutes est requis pour les services Apple suivants, qui nécessitent une longue durée de vie de la connexion :

    • Services Apple Push : port TCP entrant 5223

    • Exchange Active Sync : port TCP entrant 443

    • MobileMe : ports TCP entrants 5222 et 5223

  • La manière dont la solution NAT est utilisée, par exemple en tant qu’appareil Gi NAT ou en tant que routeur de périphérie d’entreprise

  • La taille de vos pools NAT

  • La quantité de trafic reçue par chaque carte de services pendant les pics de charge

  • La quantité de mémoire dont vous disposez

Activer le dump sur le contrôle de flux

Bonne pratique :

Activez l’option dump-on-flow-control pour toute carte de services qui traite du trafic NAT dans un réseau de production. Cette option détecte lorsqu’une carte de services est verrouillée, écrit un core dump que Juniper Networks peut analyser pour déterminer la raison du blocage de la carte et récupère la carte de services en la redémarrant.

Pour le MS-MIC et le MS-MPC, définissez l’option dump-on-flow-control sous l’interface pc-, qui est utilisée pour envoyer le trafic de contrôle du moteur de routage à la carte de services. L’exemple suivant montre la configuration si l’interface de services est ms-2/1/0.

Pour le MS-DPC, définissez l’option de contrôle de vidage sur flux sous l’interface sp-. L’exemple suivant montre la configuration si l’interface de services est sp-2/1/0.

Voir aussi

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
17.1R1
À partir de Junos OS version 14.2R7, 15.1R5, 16.1R2 et 17.1R1, vous pouvez transmettre des paquets IKEv1 et IPsec via des règles NAPT-44 et NAT64 entre homologues IPsec qui ne sont pas conformes à NAT-T.
16.1
À partir de la version 16.1 de Junos OS, l’instruction limit-ports-per-address est prise en charge.
14.2
À partir de Junos OS version 14.2, configurez le pool NAT comme suit.