SUR CETTE PAGE
Traduction de protocole NAT
Configuration de NAT-PT
Pour configurer le type de traduction , basic-nat-ptvous devez configurer l’application DNS ALG, les pools et règles NAT, un ensemble de services avec une interface de service et des options de trace. La configuration de NAT-PT n’est pas prise en charge si vous utilisez des MS-MPC ou des MS-MIC. Cette rubrique comprend les tâches suivantes :
- Configuration de l’application DNS ALG
- Configuration du pool NAT et de la règle NAT
- Configuration de l’ensemble de services pour le NAT
- Configuration des options de traçage
Configuration de l’application DNS ALG
Pour configurer l’application DNS ALG :
Configuration du pool NAT et de la règle NAT
Pour configurer le pool NAT et la règle NAT :
Configuration de l’ensemble de services pour le NAT
Pour configurer l’ensemble de services pour le NAT :
Configuration des options de traçage
Pour configurer les options de traçage :
L’exemple suivant configure le type de traduction comme basic-nat-pt.
[edit]
user@host# show services
service-set ss_dns {
nat-rules rule-basic-nat-pt;
interface-service {
service-interface sp-1/2/0;
}
}
nat {
pool p1 {
address 10.10.10.2/32;
}
pool src_pool0 {
address 20.1.1.1/32;
}
pool dst_pool0 {
address 50.1.1.2/32;
}
rule rule-basic-nat-pt {
match-direction input;
term t1 {
from {
source-address {
2000::2/128;
}
destination-address {
4000::2/128;
}
applications dns_alg;
}
then {
translated {
source-pool src_pool0;
destination-pool dst_pool0;
dns-alg-prefix 2001:db8:10::0/96;
translation-type {
basic-nat-pt;
}
}
}
}
term t2 {
from {
source-address {
2000::2/128;
}
destination-address {
2001:db8:10::0/96;
}
}
then {
translated {
source-prefix 19.19.19.1/32;
translation-type {
basic-nat-pt;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Exemple : configuration de NAT-PT
Une passerelle de niveau d’application (DNS ALG) du système de noms de domaine est utilisée avec la traduction des adresses réseau - la traduction de protocole (NAT-PT) pour faciliter l’appariement nom-adresse. Vous pouvez configurer l’ALG DNS pour mapper les adresses renvoyées dans la réponse DNS à une adresse IPv6. La configuration de NAT-PT n’est pas prise en charge si vous utilisez des MS-MPC ou des MS-MIC.
Lorsque vous configurez NAT-PT avec la prise en charge de DNS ALG, vous devez configurer deux règles NAT ou une règle avec deux termes. Dans cet exemple, vous configurez deux règles. La première règle NAT garantit que les paquets de requête et de réponse DNS sont correctement traduits. Pour que cette règle fonctionne, vous devez configurer une application DNS ALG et la référencer dans la règle. La deuxième règle est requise pour s’assurer que les sessions NAT sont destinées à l’adresse mappée par l’ALG DNS.
Ensuite, vous devez configurer un ensemble de services, puis appliquer l’ensemble de services aux interfaces.
Cet exemple décrit comment configurer NAT-PT avec DNS ALG :
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 11.2
Une interface multiservices (ms-)
Vue d’ensemble et topologie
Le scénario suivant illustre le processus de NAT-PT avec l’ALG DNS lorsqu’un ordinateur portable d’un domaine IPv6 uniquement demande l’accès à un serveur d’un domaine IPv4 uniquement.
Topologie
de réseau NAT-PT
Le routeur Juniper Networks au centre de l’illustration effectue la traduction d’adresse en deux étapes. Lorsque l’ordinateur portable demande une session avec le serveur www.example.com qui se trouve dans un domaine IPv4 uniquement, le routeur Juniper Networks effectue les opérations suivantes :
Traduit les adresses IPv6 des ordinateurs portables et des serveurs DNS en adresses IPv4.
Traduit la requête AAAA de l’ordinateur portable en une requête A afin que le serveur DNS puisse fournir l’adresse IPv4.
Lorsque le serveur DNS répond à la requête A, le routeur Juniper Networks effectue les opérations suivantes :
Convertit l’adresse du serveur DNS IPv4 en une adresse IPv6.
Transforme la requête A en requête AAAA de sorte que l’ordinateur portable dispose désormais de l’adresse IPv6 96 bits du serveur www.example.com .
Une fois que l’ordinateur portable reçoit la version IPv6 de l’adresse du serveur www.example.com , il initie une deuxième session à l’aide de l’adresse IPv6 96 bits pour accéder à ce serveur. Le routeur Juniper Networks effectue les opérations suivantes :
Traduit l’adresse IPv4 de l’ordinateur portable directement en son adresse IPv4.
Traduit l’adresse du serveur www.example.com IPv6 96 bits en son adresse IPv4.
Configuration de NAT-PT avec des ALG DNS
Pour configurer NAT-PT avec DNS ALG , effectuez les tâches suivantes :
- Configuration de la passerelle au niveau de l’application
- Configuration des pools NAT
- Configuration de la session du serveur DNS : première règle NAT
- Configuration de la session HTTP : règle du deuxième NAT
- Configuration de l’ensemble de services
- Configuration de la règle de pare-feu dynamique
- Configuration des interfaces
Configuration de la passerelle au niveau de l’application
Procédure étape par étape
Configurez l’application DNS en tant qu’ALG auquel le trafic DNS est destiné. Le protocole d’application DNS ferme le flux DNS dès que la réponse DNS est reçue. Lorsque vous configurez le protocole d’application DNS, vous devez spécifier le protocole UDP comme protocole réseau à faire correspondre dans la définition de l’application.
Pour configurer l’application DNS :
En mode configuration, rendez-vous au niveau de la
[edit applications]hiérarchie.user@host# edit applications
Définissez le nom de l’application et spécifiez le protocole d’application à utiliser dans les conditions de correspondance de la première règle NAT.
[edit applications] user@host# set application application-name application-protocol protocol-name
Par exemple :
[edit applications] user@host# set application dns_alg application-protocol dns
Spécifiez le protocole à faire correspondre, dans ce cas UDP.
[edit applications] user@host# set application application-name protocol type
Par exemple :
[edit applications] user@host# set application dns_alg protocol udp
Définissez le port de destination UDP pour une correspondance supplémentaire des paquets, dans ce cas le port de domaine.
[edit applications] user@host# set application application-name destination-port value
Par exemple :
[edit applications] user@host# set application dns_alg destination-port 53
Résultats
[edit applications]
user@host# show
application dns_alg {
application-protocol dns;
protocol udp;
destination-port 53;
}
Configuration des pools NAT
Procédure étape par étape
Dans cette configuration, vous configurez deux pools qui définissent les adresses (ou préfixes) utilisés pour le NAT. Ces pools définissent les adresses IPv4 qui sont traduites en adresses IPv6. Le premier pool comprend l’adresse IPv4 de la source. Le deuxième pool définit l’adresse IPv4 du serveur DNS. Pour configurer des pools NAT :
En mode configuration, rendez-vous au niveau de la
[edit services nat]hiérarchie.user@host# edit services nat
Spécifiez le nom du premier pool et l’adresse source IPv4 (ordinateur portable).
[edit services nat] user@host# set pool nat-pool-name address ip-prefix
Par exemple :
[edit services nat] user@host# set pool pool1 address 40.1.1.1/32
Spécifiez le nom du deuxième pool et l’adresse IPv4 du serveur DNS.
[edit services nat] user@host# set pool nat-pool-name address ip-prefix
Par exemple :
[edit services nat] user@host# set pool pool2 address 50.1.1.1/32
Résultats
L’exemple de sortie suivant montre la configuration des pools NAT.
[edit services nat]
user@host# show
pool pool1 {
address 40.1.1.1/32;
}
pool pool2 {
address 50.1.1.1/32;
}
Configuration de la session du serveur DNS : première règle NAT
Procédure étape par étape
La première règle NAT est appliquée au trafic DNS allant vers le serveur DNS. Cette règle garantit que les paquets de requête et de réponse DNS sont correctement traduits. Pour que cette règle fonctionne, vous devez configurer une application DNS ALG et la référencer dans la règle. L’application DNS a été configurée dans Configuration de NAT-PT. En outre, vous devez spécifier la direction dans laquelle le trafic est mis en correspondance, l’adresse source de l’ordinateur portable, l’adresse de destination du serveur DNS et les actions à entreprendre lorsque les conditions de correspondance sont remplies.
Pour configurer la première règle NAT :
En mode configuration, rendez-vous au niveau de la
[edit services nat]hiérarchie.user@host# edit services nat
Spécifiez le nom de la règle NAT.
[edit services nat] user@host# edit rule rule-name
Par exemple :
[edit services nat] user@host# edit rule rule1
Spécifiez le nom du terme NAT.
[edit services nat rule rule-name] user@host# edit term term-name
Par exemple :
[edit services nat rule rule1] user@host# edit term term1
Définissez les conditions de correspondance pour cette règle.
Spécifiez l’adresse source IPv6 de l’appareil (ordinateur portable) qui tente d’accéder à une adresse IPv4.
[edit services nat rule rule-name term term-name] user@host# set from source-address source-address
Par exemple :
[edit services nat rule rule1 term term1] user@host# set from source-address 2000::2/128
Spécifiez l’adresse de destination IPv6 du serveur DNS.
[edit services nat rule rule-name term term-name] user@host# set from destination-address prefix
Par exemple :
[edit services nat rule rule1 term term1] user@host# set from destination-address 4000::2/128
Faites référence à l’application DNS à laquelle le trafic DNS destiné au port 53 est appliqué.
[edit services nat rule rule1 term term1] user@host# set from applications application-name
Dans cet exemple, le nom de l’application configuré à l’étape Configuration de l’application DNS est dns_alg :
[edit services nat rule rule1 term term1] user@host# set from applications dns_alg
Définissez les actions à entreprendre lorsque les conditions de correspondance sont remplies. Les pools source et de destination que vous avez configurés dans Configuration des pools NAT sont appliqués ici.
Appliquez le pool NAT configuré pour la traduction source.
[edit services nat rule rule-name term term-name] user@host# set then translated source-pool nat-pool-name
Par exemple :
[edit services nat rule rule1 term term1] user@host# set then translated source-pool pool1
Appliquez le pool NAT configuré pour la traduction de destination.
[edit services nat rule rule-name term term-name] user@host# set then translated destination-pool nat-pool-name
Par exemple :
[edit services nat rule rule1 term term1] user@host# set then translated source-pool pool2
Définissez le préfixe DNS ALG 96 bits pour le mappage d’adresses IPv4-IPv6.
[edit services nat rule rule-name term term-name] user@host# set then translated dns-alg-prefix dns-alg-prefix
Par exemple :
[edit services nat rule rule1 term term1] user@host# set then translated dns-alg-prefix 10:10:10::0/96
Spécifiez le type de NAT utilisé pour le trafic source et le trafic de destination.
[edit services nat rule rule-name term term-name] user@host# set then translated translation-type basic-nat-pt
Par exemple :
[edit services nat rule rule1 term term1] user@host# set then translated translation-type basic-nat-pt
Remarque :Dans cet exemple, puisque le NAT est réalisé à l’aide d’une traduction d’adresse uniquement, le type de traduction basic-nat-pt est utilisé. Pour réaliser le NAT à l’aide de la traduction d’adresses et de ports (NAPT), utilisez le type de traduction napt-pt .
Spécifiez la direction dans laquelle faire correspondre le trafic qui répond aux conditions de la règle.
[edit services nat rule rule-name] user@host# set match-direction (input | output)
Par exemple :
[edit services nat rule rule1] user@host# set match-direction input
Configurez la journalisation système pour enregistrer les informations de l’interface de services dans le répertoire /var/log.
[edit services nat rule rule-name term term-name] user@host# set then syslog
Par exemple :
[edit services nat rule rule1 term term1] user@host# set then syslog
Résultats
L’exemple de sortie suivant montre la configuration de la première règle NAT qui va au serveur DNS.
[edit services nat]
user@host# show
rule rule1 {
match-direction input;
term term1 {
from {
source-address {
2000::2/128;
}
destination-address {
4000::2/128;
}
applications dns_alg;
}
then {
translated {
source-pool pool1;
destination-pool pool2;
dns-alg-prefix 10:10:10::0/96;
translation-type {
basic-nat-pt;
}
}
syslog;
}
}
}
Configuration de la session HTTP : règle du deuxième NAT
Procédure étape par étape
La deuxième règle NAT s’applique au trafic de destination destiné au serveur IPv4 (www.example.com). Cette règle garantit que les sessions NAT sont destinées à l’adresse mappée par l’ALG DNS. Pour que cette règle fonctionne, vous devez configurer le mappage d’adresses DNS ALG qui met en corrélation le traitement des requêtes ou des réponses DNS effectué par la première règle avec les sessions de données réelles traitées par la seconde règle. En outre, vous devez spécifier la direction dans laquelle le trafic est mis en correspondance : l’adresse IPv4 de l’adresse source IPv6 (ordinateur portable), le préfixe 96 bits à ajouter à l’adresse de destination IPv4 (www.example.com) et le type de traduction.
Pour configurer la deuxième règle NAT :
En mode configuration, accédez au niveau hiérarchique suivant.
user@host# edit services nat
Spécifiez le nom de la règle et du terme NAT.
[edit services nat] user@host# edit rule rule-name term term-name
Par exemple :
[edit services nat] user@host# edit rule rule2 term term1
Définissez les conditions de correspondance pour cette règle :
Spécifiez l’adresse IPv6 de l’appareil qui tente d’accéder au serveur IPv4.
[edit services nat rule rule-name term term-name] user@host# set from source-address source-address
Par exemple :
[edit services nat rule rule2 term term1] user@host# set from source-address 2000::2/128
Spécifiez le préfixe IPv6 96 bits à ajouter à l’adresse du serveur IPv4.
[edit services nat rule rule-name term term-name] user@host# set from destination-address prefix
Par exemple :
[edit services nat rule rule2 term term1] user@host# set from destination-address 10:10:10::c0a8:108/128
Définissez les actions à entreprendre lorsque les conditions de correspondance sont remplies.
Spécifiez le préfixe de la traduction de l’adresse source IPv6.
[edit services nat rule rule-name term term-name] user@host# set then translated source-prefix source-prefix
Par exemple :
[edit services nat rule rule2 term term1] user@host# set then translated source-prefix 19.19.19.1/32
Spécifiez le type de NAT utilisé pour le trafic source et le trafic de destination.
[edit services nat rule rule-name term term-name] user@host# set then translated translation-type basic-nat-pt
Par exemple :
[edit services nat rule rule2 term term1] user@host# set then translated translation-type basic-nat-pt
Remarque :Dans cet exemple, puisque le NAT est réalisé à l’aide d’une traduction d’adresse uniquement, le type de traduction basic-nat-pt est utilisé. Pour réaliser le NAT à l’aide de la traduction d’adresses et de ports (NAPT), vous devez utiliser le type de traduction napt-pt .
Spécifiez la direction dans laquelle faire correspondre le trafic qui répond aux conditions de la règle.
[edit services nat rule rule-name] user@host# set match-direction (input | output)
Par exemple :
[edit services nat rule rule2] user@host# set match-direction input
Résultats
L’exemple de sortie suivant montre la configuration de la deuxième règle NAT.
[edit services nat]
user@host# show
rule rule2 {
match-direction input;
term term1 {
from {
source-address {
2000::2/128;
}
destination-address {
10:10:10::c0a8:108/128;
}
}
then {
translated {
source-prefix 19.19.19.1/32;
translation-type {
basic-nat-pt;
}
}
}
}
}
Configuration de l’ensemble de services
Procédure étape par étape
Cet ensemble de services est un ensemble de services d’interface utilisé comme modificateur d’action sur l’ensemble de l’interface des services (ms-). Un pare-feu dynamique et des ensembles de règles NAT sont appliqués au trafic traité par l’interface de services.
Pour configurer l’ensemble de services :
En mode configuration, rendez-vous au niveau de la
[edit services]hiérarchie.user@host# edit services
Définir un ensemble de services.
[edit services] user@host# edit service-set service-set-name
Par exemple :
[edit services] user@host# edit service-set ss
Spécifiez les propriétés qui contrôlent la façon dont les messages du journal système sont générés pour l’ensemble de services.
[edit services service-set ss] user@host# set syslog host local services severity-level
L’exemple ci-dessous comprend tous les niveaux de gravité.
[edit services service-set ss] user@host# set syslog host local services any
Spécifiez la règle de pare-feu dynamique incluse dans cet ensemble de services.
[edit services service-set ss] user@host# set stateful-firewall-rules rule1 severity-level
L’exemple ci-dessous fait référence à la règle de pare-feu dynamique définie dans Configuration de la règle de pare-feu dynamique.
[edit services service-set ss] user@host# set stateful-firewall-rules rule1
Définissez les règles NAT incluses dans cet ensemble de services.
[edit services service-set ss] user@host# set nat-rules rule-name
L’exemple ci-dessous fait référence aux deux règles définies dans cet exemple de configuration.
[edit services service-set ss user@host# set nat-rules rule1 user@host# set nat-rules rule2
Configurez une interface de services adaptatifs sur laquelle le service doit être exécuté.
[edit services service-set ss] user@host# set interface-service service-interface interface-name
Par exemple :
[edit services service-set ss user@host# interface-service service-interface ms-2/0/0
Seul le nom de l’appareil est nécessaire, car le logiciel du routeur gère automatiquement les numéros d’unités logiques. L’interface de services doit être une interface de services adaptative pour laquelle vous avez configuré l’inet de la famille d’unités 0 au niveau de la
[edit interfaces interface-name]hiérarchie dans Configuration des interfaces.
Résultats
L’exemple de sortie suivant montre la configuration de l’ensemble de services.
[edit services]
user@host# show
service-set ss {
syslog {
host local {
services any;
}
}
stateful-firewall-rules rule1;
nat-rules rule1;
nat-rules rule2;
interface-service {
service-interface ms-2/0/0;
}
}
Configuration de la règle de pare-feu dynamique
Procédure étape par étape
Cet exemple utilise un pare-feu dynamique pour inspecter les paquets à la recherche d’informations sur l’état dérivées de communications passées et d’autres applications. Le routeur NAT-PT vérifie le flux de trafic correspondant au sens spécifié par la règle, dans ce cas à la fois l’entrée et la sortie. Lorsqu’un paquet est envoyé à l’interface de services (ms-), des informations de direction sont transportées avec lui.
Pour configurer la règle de pare-feu dynamique :
En mode configuration, rendez-vous au niveau de la
[edit services stateful firewall]hiérarchie.user@host# edit services stateful firewall
Spécifiez le nom de la règle de pare-feu dynamique.
[edit services stateful-firewall] user@host# edit rule rule-name
Par exemple :
[edit services stateful-firewall] user@host# edit rule rule1
Spécifiez la direction dans laquelle le trafic doit être apparié.
[edit services stateful-firewall rule rule-name] user@host# set match-direction (input | input-output | output)
Par exemple :
[edit services stateful-firewall rule rule1] user@host# set match-direction input-output
Spécifiez le nom du terme de pare-feu dynamique.
[edit services stateful-firewall rule rule-name] user@host# edit term term-name
Par exemple :
[edit services stateful-firewall rule rule1] user@host# edit term term1
Définissez les termes qui composent cette règle.
[edit services stateful-firewall rule rule-name term term-name] user@host# set then accept
Par exemple :
[edit services stateful-firewall rule rule1 term term1] user@host# set then accept
Résultats
L’exemple de sortie suivant montre la configuration du pare-feu dynamique des services.
[edit services]
user@host# show
stateful-firewall {
rule rule1 {
match-direction input-output;
term term1 {
then {
accept;
}
}
}
}
Configuration des interfaces
Procédure étape par étape
Après avoir défini l’ensemble de services, vous devez appliquer des services à une ou plusieurs interfaces installées sur le routeur. Dans cet exemple, vous configurez une interface sur laquelle vous appliquez l’ensemble de services pour le trafic d’entrée et de sortie. Lorsque vous appliquez l’ensemble de services à une interface, il s’assure automatiquement que les paquets sont dirigés vers l’interface de services (ms-).
Pour configurer les interfaces :
En mode configuration, rendez-vous au niveau de la
[edit interfaces]hiérarchie.user@host# edit interfaces
Configurez l’interface sur laquelle le jeu de services est appliqué pour vous assurer automatiquement que les paquets sont dirigés vers l’interface de services (ms-).
Pour le trafic IPv4, spécifiez l’adresse IPv4.
[edit interfaces] user@host# set ge-1/0/9 unit 0 family inet address 30.1.1.1/24
Appliquez l’ensemble de services défini dans Configuration des interfaces.
[edit interfaces] user@host# set ge-1/0/9 unit 0 family inet6 service input service-set ss user@host# set ge-1/0/9 unit 0 family inet6 service output service-set ss
Pour le trafic IPv6, spécifiez l’adresse IPv6.
[edit interfaces] user@host# set ge-1/0/9 unit 0 family inet6 address 2000::1/64
Spécifiez les propriétés de l’interface de services qui exécute le service.
[edit interfaces] user@host# set ms-2/0/0 services-options syslog host local services any user@host# set ms-2/0/0 unit 0 family inet user@host# set ms-2/0/0 unit 0 family inet6
Résultats
L’exemple de sortie suivant montre la configuration des interfaces pour cet exemple.
[edit interfaces]
user@host# show
ge-1/0/9 {
unit 0 {
family inet {
address 30.1.1.1/24;
}
family inet6 {
service {
input {
service-set ss;
}
output {
service-set ss;
}
}
address 2000::1/64;
}
}
}
ms-2/0/0 {
services-options {
syslog {
host local {
services any;
}
}
}
unit 0 {
family inet;
family inet6;
}
}