Traduction des ports d’adresse réseau
Présentation de la configuration des pools d’adresses pour la traduction des ports d’adresses réseau (NAPT)
Avec la traduction de ports d’adresses réseau (NAPT), vous pouvez configurer jusqu’à 32 plages d’adresses avec jusqu’à 65 536 adresses chacune.
L’instruction port spécifie l’attribution de ports pour les adresses traduites. Pour configurer l’affectation automatique des ports, incluez l’instruction port automatic au niveau de la [edit services nat pool nat-pool-name] hiérarchie. Par défaut, l’attribution séquentielle des ports se produit.
À partir de la version 14.2 de Junos OS, vous pouvez inclure l’option sequential avec l’instruction au niveau de la port automatic [edit services nat pool nat-pool-name] hiérarchie pour l’allocation séquencée des ports de la plage spécifiée. Pour configurer une plage spécifique de numéros de port, incluez l’instruction port range low minimum-value high maximum-value au niveau de la [edit services nat pool nat-pool-name] hiérarchie.
Lorsque 99 % du total des ports disponibles dans le pool pour napt-44 , aucun nouveau flux n’est autorisé sur ce pool NAT.
À partir de la version 14.2 de Junos OS, l’option auto est masquée et obsolète, et n’est conservée qu’à des fins de rétrocompatibilité. Il sera peut-être complètement supprimé dans une prochaine version du logiciel.
Junos OS propose plusieurs alternatives pour l’allocation des ports :
- Allocation du tournoi à la ronde pour le NAPT
- Allocation séquentielle pour NAPT
- Préserver la parité et préserver l’aire de répartition pour le NAPT
- Mise en commun d’adresses et mappage indépendant des points de terminaison pour NAPT
- Allocation sécurisée de blocs de ports pour NAPT
- Comparaison des méthodes de mise en œuvre du NAPT
Allocation du tournoi à la ronde pour le NAPT
Pour configurer l’allocation Round-Robin pour les pools NAT, incluez l’instruction de configuration Round-Robin d’allocation d’adresses au niveau de la [edit services nat pool pool-name] hiérarchie. Lorsque vous utilisez l’allocation Round-Robin, un port est alloué à partir de chaque adresse d’une plage avant de répéter le processus pour chaque adresse de la plage suivante. Une fois que les ports ont été alloués à toutes les adresses de la dernière plage, le processus d’allocation s’encapsule et attribue le port inutilisé suivant aux adresses de la première plage.
La première connexion est allouée à l’adresse :port 100.0.0.1:3333.
La deuxième connexion est allouée à l’adresse :port 100.0.0.2:3333.
La troisième connexion est allouée à l’adresse :port 100.0.0.3:3333.
La quatrième connexion est allouée à l’adresse :port 100.0.0.4:3333.
La cinquième connexion est allouée à l’adresse :port 100.0.0.5:3333.
La sixième connexion est allouée à l’adresse :port 100.0.0.6:3333.
La septième connexion est allouée à l’adresse :port 100.0.0.7:3333.
La huitième connexion est allouée à l’adresse :port 100.0.0.8:3333.
La neuvième connexion est allouée à l’adresse :port 100.0.0.9:3333.
La dixième connexion est allouée à l’adresse :port 100.0.0.10:3333.
La onzième connexion est allouée à l’adresse :port 100.0.0.11:3333.
La douzième connexion est allouée à l’adresse :port 100.0.0.12:3333.
Le retour à la ligne se produit et la treizième connexion est allouée à l’adresse :port 100.0.0.1:3334.
Allocation séquentielle pour NAPT
Avec l’allocation séquentielle, la prochaine adresse disponible dans le pool NAT n’est sélectionnée que lorsque tous les ports disponibles à partir d’une adresse sont épuisés.
L’allocation séquentielle ne peut être configurée que pour le MS-DPC et les PICS multiservices MS-100, MS-400 et MS-500. Les cartes MS-MPC et MS-MIC utilisent uniquement l’approche d’allocation par tourniquet.
Cette implémentation héritée offre une rétrocompatibilité et n’est plus recommandée.
Le pool NAT appelé napt dans l’exemple de configuration suivant utilise l’implémentation séquentielle :
pool napt {
address-range low 100.0.0.1 high 100.0.0.3;
address-range low 100.0.0.4 high 100.0.0.6;
address-range low 100.0.0.8 high 100.0.0.10;
address-range low 100.0.0.12 high 100.0.0.13;
port {
range low 3333 high 3334;
}
}
Dans cet exemple, les ports sont alloués à partir de la première adresse de la première plage d’adresses, et l’allocation se poursuit à partir de cette adresse jusqu’à ce que tous les ports disponibles aient été utilisés. Lorsque tous les ports disponibles ont été utilisés, l’adresse suivante (dans la même plage d’adresses ou dans la plage d’adresses suivante) est allouée et tous ses ports sont sélectionnés selon les besoins. Dans le cas de l’exemple de pool napt , l’adresse de tuple, port 100.0.0.4:3333, n’est allouée que lorsque tous les ports de toutes les adresses de la première plage ont été utilisés.
La première connexion est allouée à l’adresse :port 100.0.0.1:3333.
La deuxième connexion est allouée à l’adresse :port 100.0.0.1:3334.
La troisième connexion est allouée à l’adresse :port 100.0.0.2:3333.
La quatrième connexion est allouée à l’adresse :port 100.0.0.2:3334, et ainsi de suite.
Préserver la parité et préserver l’aire de répartition pour le NAPT
Les options de préservation de la parité et de préservation de la plage sont disponibles pour le NAPT et sont prises en charge sur les MS-DPC et les PICS multiservices MS-100, MS-400 et MS-500. La prise en charge des MS-MPC et MS-MIC commence dans la version 15.1R1 de Junos OS. Les options suivantes sont disponibles pour NAPT :
Préservation de la parité : utilisez la
preserve-paritycommande pour allouer des ports pairs aux paquets avec des ports source pairs et des ports impairs pour les paquets avec des ports source impairs.Preserving range (Préserver la plage) : utilisez la
preserve-rangecommande pour allouer des ports dans une plage comprise entre 0 et 1023, en supposant que le paquet d’origine contient un port source dans la plage réservée. Cela s’applique aux sessions de contrôle, pas aux sessions de données.
Mise en commun d’adresses et mappage indépendant des points de terminaison pour NAPT
- Mise en commun d’adresses
- Mappage indépendant des points de terminaison et filtrage indépendant des points de terminaison
Mise en commun d’adresses
Le regroupement d’adresses (ou APP) garantit l’attribution de la même adresse IP externe pour toutes les sessions provenant du même hôte interne. Vous pouvez utiliser cette fonctionnalité lors de l’attribution d’adresses IP externes à partir d’un pool. Cette option n’affecte pas l’utilisation des ports
Le regroupement d’adresses résout les problèmes liés à l’ouverture de plusieurs connexions par une application. Par exemple, lorsque le client SIP (Session Initiation Protocol) envoie des paquets RTP (Real-Time Transport Protocol) et RTCP (Real-Time Control Protocol), le serveur SIP exige généralement qu’ils proviennent de la même adresse IP, même s’ils ont été soumis à NAT. Si les adresses IP RTP et RTCP sont différentes, le point de terminaison récepteur peut abandonner des paquets. Tout protocole point à point (P2P) qui négocie des ports (en supposant la stabilité de l’adresse) bénéficie d’un regroupement d’adresses appariées.
Voici les cas d’utilisation du regroupement d’adresses :
Un site qui offre des services de messagerie instantanée exige que le chat et ses sessions de contrôle proviennent de la même adresse source publique. Lorsque l’utilisateur se connecte au chat, une session de contrôle authentifie l’utilisateur. Une autre session commence lorsque l’utilisateur démarre une session de chat. Si la session de chat provient d’une adresse source différente de la session d’authentification, le serveur de messagerie instantanée rejette la session de chat, car elle provient d’une adresse non autorisée.
Certains sites Web, tels que les sites de banque en ligne, exigent que toutes les connexions d’un hôte donné proviennent de la même adresse IP.
À partir de la version 14.1 de Junos OS, lorsque vous désactivez un ensemble de services qui contient un appariement de pools d’adresses (APP) pour cet ensemble de services, des messages s’affichent sur la console PIC et les mappages sont effacés pour cet ensemble de services. Ces messages sont déclenchés lorsque la suppression d’un ensemble de services commence et générés à nouveau lorsque la suppression de l’ensemble de services est terminée. Les exemples de messages suivants s’affichent au début et à la fin de la suppression :
Nov 15 08:33:13.974 LOG : Critique] SVC-SET ss1 (iid 5) désactiver/supprimer : Mappages NAT et suppression des flux initiés
Nov 15 08:33:14.674 LOG : Critique] SVC-SET ss1 (iid 5) désactiver/supprimer : Mappages NAT et suppression des flux terminés
Dans un environnement à l’échelle qui contient un grand nombre d’applications dans un ensemble de services, un volume important de messages est généré et ce processus prend un certain temps. Nous vous recommandons d’attendre que les messages de la console indiquant la fin de la suppression de l’ensemble de services soient terminés avant de réactiver l’ensemble de services.
Mappage indépendant des points de terminaison et filtrage indépendant des points de terminaison
Le mappage indépendant du point de terminaison (EIM) garantit l’attribution de la même adresse externe et du même port à toutes les connexions d’un hôte donné si celles-ci utilisent le même port interne. Cela signifie que s’ils proviennent d’un port source différent, vous êtes libre d’attribuer une adresse externe différente.
L’EIM et l’APP diffèrent comme suit :
APP garantit l’attribution de la même adresse IP externe.
EIM fournit une adresse IP externe et un port stables (pendant un certain temps) auxquels les hôtes externes peuvent se connecter. Le filtrage indépendant des points de terminaison (EIF) contrôle quels hôtes externes peuvent se connecter à un hôte interne.
À partir de Junos OS version 14.1, lorsque vous désactivez un ensemble de services qui contient un mappage EIM (Endpoint Independent Mapping) pour cet ensemble de services, des messages s’affichent sur la console PIC et les mappages sont effacés pour cet ensemble de services. Ces messages sont déclenchés lorsque la suppression d’un ensemble de services commence et générés à nouveau lorsque la suppression de l’ensemble de services est terminée. Les exemples de messages suivants s’affichent au début et à la fin de la suppression :
Nov 15 08:33:13.974 LOG : Critique] SVC-SET ss1 (iid 5) désactiver/supprimer : Mappages NAT et suppression des flux initiés
Nov 15 08:33:14.674 LOG : Critique] SVC-SET ss1 (iid 5) désactiver/supprimer : Mappages NAT et suppression des flux terminés
Dans un environnement à l’échelle qui contient un grand nombre de mappages EIM dans un ensemble de services, un volume important de messages est généré, ce qui prend un certain temps. Nous vous recommandons d’attendre que les messages de la console indiquant la fin de la suppression de l’ensemble de services soient terminés avant de réactiver l’ensemble de services.
Allocation sécurisée de blocs de ports pour NAPT
L’allocation de bloc de ports est prise en charge sur les routeurs MX Series avec MS-DPC et sur les routeurs M Series avec MS-100, MS-400 et MS-500 MultiServices PICS. L’allocation de blocs de ports est prise en charge sur les routeurs MX Series avec MS-MPC et MS-MIC à partir de Junos OS version 14.2R2.
Les opérateurs suivent les abonnés à l’aide du journal des adresses IP (RADIUS ou DHCP). S’ils utilisent NAPT, une adresse IP est partagée par plusieurs abonnés, et l’opérateur doit suivre l’adresse IP et le port, qui font partie du journal NAT. Étant donné que les ports sont utilisés et réutilisés à un rythme très élevé, le suivi des abonnés à l’aide du journal devient difficile en raison du grand nombre de messages, qui sont difficiles à archiver et à corréler. En permettant l’allocation de ports par blocs, l’allocation de blocs de ports peut réduire considérablement le nombre de journaux, ce qui facilite le suivi des abonnés.
- Allocation sécurisée de blocs de ports pour NAPT
- Journalisation intermédiaire pour l’attribution des blocs de ports
Allocation sécurisée de blocs de ports pour NAPT
L’allocation de blocs de ports sécurisés peut être utilisée pour les types napt-44 de traduction et stateful-nat64.
Lors de l’allocation de blocs de ports, le dernier bloc alloué est le bloc actif actuel. Les nouvelles requêtes de ports NAT sont traitées à partir du bloc actif. Les ports sont alloués de manière aléatoire à partir du bloc actif actuel.
Lorsque vous configurez l’allocation de blocs de ports sécurisés, vous pouvez spécifier les éléments suivants :
block-sizemax-blocks-per-addressactive-block-timeout
Journalisation intermédiaire pour l’attribution des blocs de ports
Avec l’allocation de bloc de ports, nous générons un journal syslog par ensemble de ports alloués à un abonné. Ces journaux sont basés sur UDP et peuvent être perdus dans le réseau, en particulier pour les flux de longue durée. La journalisation intermédiaire déclenche le renvoi des journaux ci-dessus à un intervalle configuré pour les blocs actifs dont le trafic se trouve sur au moins un des ports du bloc.
La journalisation intermédiaire est activée en incluant l’instruction pba-interim-logging-interval sous services-options pour les interfaces sp-.
Voir aussi
Comparaison des méthodes de mise en œuvre du NAPT
Le tableau 1 présente une comparaison des méthodes de mise en œuvre du NAPT disponibles.
Caractéristique/Fonction |
Allocation dynamique de ports |
Attribution de blocs de ports sécurisés |
Attribution déterministe des blocs de ports |
|---|---|---|---|
Utilisateurs par adresse IP |
Haut |
Douleur moyenne |
Bas |
Risque de sécurité |
Bas |
Douleur moyenne |
Douleur moyenne |
Utilisation des journaux |
Haut |
Bas |
Aucun (aucun journal n’est nécessaire) |
Réduction des risques de sécurité |
Allocation aléatoire |
fonctionnalité active-block-timeout |
n/a |
Augmentation du nombre d’utilisateurs par IP |
n/a |
Configurez plusieurs blocs de ports plus petits pour maximiser le nombre d’utilisateurs et l’adresse IP publique |
Allocation de ports basée sur des algorithmes |
Configuration de NAPT dans les réseaux IPv4
La traduction de ports d’adresses réseau (NAPT) est une méthode par laquelle de nombreuses adresses réseau et leurs ports TCP/UDP sont traduits en une seule adresse réseau et ses ports TCP/UDP. Cette traduction peut être configurée dans les réseaux IPv4 et IPv6. Cette section décrit les étapes de configuration de NAPT dans les réseaux IPv4.
Pour configurer NAPT, vous devez configurer une règle au niveau de la [edit services nat] hiérarchie afin de traduire dynamiquement les adresses IPv4 sources.
Pour configurer le NAPT dans les réseaux IPv4 :
L’exemple suivant configure le type de traduction en tant que napt-44.
[edit services]
user@host# show
service-set s1 {
nat-rules rule-napt-44;
interface-service {
service-interface ms-0/1/0;
}
}
nat {
pool napt-pool {
address 10.10.10.0/32;
port {
automatic auto;
}
}
rule rule-napt-44 {
match-direction input;
term t1 {
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Traduction dynamique des adresses dans un petit pool avec repli vers NAT
La configuration suivante illustre la traduction dynamique d’adresses d’un grand préfixe vers un petit pool, traduisant ainsi un sous-réseau /24 en un pool de 10 adresses. Lorsque les adresses du pool source (src-pool) sont épuisées, le NAT est fourni par le pool de surcharge NAPT (pat-pool).
[edit services nat]
pool src-pool {
address-range low 192.16.2.1 high 192.16.2.10;
}
pool pat-pool {
address-range low 192.16.2.11 high 192.16.2.12;
port automatic auto;
rule myrule {
match-direction input;
term myterm {
from {
source-address 10.150.1.0/24;
}
then {
translated {
source-pool src-pool;
overload-pool pat-pool;
translation-type napt-44;
}
}
}
}
Traduction dynamique d’adresses avec un petit pool
La configuration suivante illustre la traduction dynamique d’adresses d’un grand préfixe vers un petit pool, traduisant ainsi un sous-réseau /24 en un pool de 10 adresses. Une adresse du pool est attribuée aux sessions des 10 premières sessions hôtes selon le principe du premier arrivé, premier servi, et toute demande supplémentaire est rejetée. Chaque hôte auquel un NAT est attribué peut participer à plusieurs sessions.
[edit services nat]
pool my-pool {
address-range low 10.10.10.1 high 10.10.10.10;
}
rule src-nat {
match-direction input;
term t1 {
from {
source-address 192.168.1.0/24;
}
then {
translated {
translation-type dynamic-nat44;
source-pool my-pool;
}
}
}
}
Configuration de NAPT dans les réseaux IPv6
La traduction de ports d’adresses réseau (NAPT) est une méthode par laquelle de nombreuses adresses réseau et leurs ports TCP/UDP sont traduits en une seule adresse réseau et ses ports TCP/UDP. Cette traduction peut être configurée dans les réseaux IPv4 et IPv6. Cette section décrit les étapes de configuration de NAPT dans les réseaux IPv6. La configuration de NAPT dans les réseaux IPv6 n’est pas prise en charge si vous utilisez des MS-MPC ou des MS-MIC. Pour plus d’informations sur la configuration de NAPT dans les réseaux IPv4, consultez Configuration de NAPT dans les réseaux IPv4.
Pour configurer NAPT, vous devez configurer une règle au niveau de la [edit services nat] hiérarchie pour la traduction dynamique des adresses IPv6 source.
Pour configurer NAPT dans les réseaux IPv6 :
L’exemple suivant configure la traduction de source dynamique (adresse et port) ou NAPT pour un réseau IPv6.
[edit services]
user@host# show
service-set IPV6-NAPT-ServiceSet {
nat-rules IPV6-NAPT-Rule;
interface-service {
service-interface sp-0/1/0;
}
}
nat {
pool IPV6-NAPT-Pool {
address 2002::1/96;
port automatic sequential;
}
rule IPV6-NAPT-Rule {
match-direction input;
term term1 {
then {
translated {
source-pool IPV6-NAPT-Pool;
translation-type {
napt-66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
}
Exemple : Configuration de NAT avec la traduction de ports
Cet exemple montre comment configurer NAT avec la traduction de ports.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Une plate-forme de routage universelle 5G MX Series avec un DPC de services ou un routeur de périphérie multiservice M Series avec un PIC de services
Un serveur de noms de domaine (DNS)
Junos OS version 11.4 ou supérieure
Aperçu
Cet exemple montre une configuration complète de CGN NAT44 et des options avancées.
Configuration de NAT avec la traduction de ports
Procédure
Procédure étape par étape
Pour configurer l’ensemble de services :
-
Configurez un ensemble de services.
user@host# edit services service-set ss2 -
En mode configuration, allez au niveau de la
[edit services nat]hiérarchie.[edit] user@host# edit services nat
-
Définissez le pool d’adresses source qui doit être utilisé pour la traduction dynamique. Pour NAPT, spécifiez également les numéros de port lors de la configuration du pool source.
[edit services nat] user@host# set pool pool name address source addresses user@host# set pool pool name port source ports
Par exemple:
[edit services nat] user@host# set pool NAPT-Pool address 192.168.2.1/24; user@host# set pool NAPT-Pool port automatic
-
Spécifiez la règle NAT à utiliser.
[edit services service-set ss2]host# set nat-rules r1 - Définissez une règle NAT pour la traduction des adresses sources. Pour ce faire, définissez l’énoncé
match-directionde la règle surinput. En outre, définissez un terme qui utilisenapt-44comme type de traduction pour traduire les adresses du pool défini à l’étape précédente.[edit services nat] user@host# set rule rule name match-direction input user@host# set rule rule name term term name from source-address source-address user@host# set rule rule name term term name then translated source-pool pool name user@host# set rule rule name term term name then translated translation-type napt-44
Par exemple:
[edit services nat] user@host# set rule r1 match-direction input user@host# set rule r1 term t1 from source-address 10.10.10.1 user@host# set rule r1 term t1 then translated source-pool NAPT-Pool user@host# set rule r1 term t1 then translated translation-type napt-44
-
Spécifiez le service d’interface.
[edit services service-set ss2]host# set interface-service service-interface sp-5/0/0
Résultats
user@host# show services service-sets sset2
service-set ss2 {
nat-rules r1;
interface-service {
service-interface sp-5/0/0;
}
}
nat {
pool NAPT-Pool {
address 192.168.2.1/24;
port automatic;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.1/32;
}
}
then {
translated {
source-pool NAPT-Pool;
translation-type {
napt-44;
}
}
}
}
}
}
Exemple : configuration NAPT sur la MS-MPC avec un ensemble de services d’interface
Cet exemple montre comment configurer la traduction d’adresses réseau avec traduction de ports (NAPT) sur un routeur MX Series en utilisant un concentrateur de ports modulaire multiservices (MS-MPC) comme carte d’interface de services.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Routeur MX Series
Concentrateur de port modulaire multiservices (MS-MPC)
Junos OS version 13.2R1 ou supérieure
Aperçu
Un fournisseur de services a choisi une plate-forme MS-MPC pour fournir des services NAT aux nouveaux abonnés.
Configuration
Pour configurer NAPT44 à l’aide de la carte MS-MPC comme carte d’interface de services, effectuez les tâches suivantes :
- Configuration rapide de la CLI
- Configuration des interfaces
- Configurer un ensemble de trafic applicatif acceptable
- Configuration d’une règle de pare-feu dynamique
- Configuration du pool et de la règle NAT
- Configuration de l’ensemble de services
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier].
set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24 set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1 set interfaces ms-3/0/0 unit 0 family inet set applications application-set accept-algs application junos-http set applications application-set accept-algs application junos-ftp set applications application-set accept-algs application junos-tftp set applications application-set accept-algs application junos-telnet set applications application-set accept-algs application junos-sip set applications application-set accept-algs application junos-rtcp set services stateful-firewall rule sf-rule1 match-direction input-output set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs set services stateful-firewall rule sf-rule1 term sf-term1 then accept set services nat pool napt-pool address 1.1.1.0/24 set services nat pool napt-pool port automatic * nat rule for napt set services nat rule nat-rule1 match-direction input set services nat rule nat-rule1 term nat-term1 from source-address 10.255.247.0/24 set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44 * nat rule for basic nat set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
Configuration des interfaces
Procédure étape par étape
Configurez les interfaces requises pour le traitement NAT. Vous aurez besoin des interfaces suivantes :
Une interface orientée client qui gère le trafic en provenance et à destination du client.
Une interface orientée Internet.
Une interface de services qui fournit des services NAT et de pare-feu dynamique à l’interface côté client
Configurez l’interface pour l’interface côté client.
user@host# edit [edit ] user@host# set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 user@host# set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 user@host# set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1
Configurez l’interface de l’interface Internet.
[edit ] set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24
Configurez l’interface de l’ensemble de services qui connectera les services à l’interface côté client. Dans notre exemple, l’interface réside sur un MS-MPC.
[edit ] user@host# set interfaces ms-3/0/0 unit 0 family inet
Configurer un ensemble de trafic applicatif acceptable
Procédure étape par étape
Identifier les applications acceptables pour le trafic entrant.
Spécifiez un ensemble d’applications qui contient un trafic d’application entrant acceptable.
user@host# set applications application-set accept-algs application junos-http user@host# set applications application-set accept-algs application junos-ftp user@host# set applications application-set accept-algs application junos-tftp user@host# set applications application-set accept-algs application junos-telnet user@host# set applications application-set accept-algs application junos-sip user@host# set applications application-set accept-algs application junos-rtcp
Résultats
user@host#edit services applications application-set accept-algs user@host#show application junos-http; application junos-ftp; application junos-tftp; application junos-telnet; application junos-sip; application junos-
Configuration d’une règle de pare-feu dynamique
Procédure étape par étape
Configurez une règle de pare-feu dynamique qui acceptera tout le trafic entrant.
Spécifier la correspondance du pare-feu pour toutes les entrées et sorties
user@hos#t set services stateful-firewall rule sf-rule1 match-direction input-output
Identifiez l’adresse source et le trafic applicatif acceptable à partir de l’interface côté client.
user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs user@host# set services stateful-firewall rule sf-rule1 term sf-term1 then accept
Résultats
user@host# edit services stateful-firewall
user@host# show
rule sf-rule1 {
match-direction input-output;
term sf-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
accept;
}
}
}
Configuration du pool et de la règle NAT
Procédure étape par étape
Configurez un pool NAT et une règle pour la traduction d’adresses avec attribution automatique de ports.
Configurez le pool NAT avec l’attribution automatique des ports.
user@host# set services nat pool napt-pool address 1.1.1.0/24 user@host# set services nat pool napt-pool port automatic auto
Configurez une règle NAT qui applique le type
napt-44de traduction à l’aide du pool NAT défini.user@host# set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs user@host# set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool user@host# set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44
Résultats
user@host#edit services nat
user@host#show
pool napt-pool {
address 1.1.1.0/24;
port {
automatic;
}
}
rule nat-rule1 {
match-direction input;
term nat-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
Configuration de l’ensemble de services
Procédure étape par étape
Configurez un ensemble de services de type d’interface.
Spécifiez les règles NAT et de pare-feu dynamique qui s’appliquent au trafic client.
user@host set services service-set sset1 stateful-firewall-rules sf-rule1 user@host set services service-set sset1 nat-rules bat-rule1
Spécifiez l’interface de services qui applique les règles au trafic client.
set services service-set sset1 interface-service service-interface ms-3/0/0
Résultats
user@host# edit services service-set sset1 user@host# show set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
sequential avec l’instruction au niveau de la
port automatic
[edit services nat pool nat-pool-name] hiérarchie pour l’allocation séquencée des ports de la plage spécifiée.
auto est masquée et obsolète, et n’est conservée qu’à des fins de rétrocompatibilité.
sequential séquentielle des ports.