Traduction de ports d’adresses réseau
Présentation de la configuration des pools d’adresses pour la traduction de ports d’adresses réseau (NAPT)
Avec la traduction de ports d’adresses réseau (NAPT), vous pouvez configurer jusqu’à 32 plages d’adresses avec un maximum de 65 536 adresses chacune.
L’instruction port spécifie l’affectation des ports pour les adresses traduites. Pour configurer l’affectation automatique des ports, incluez l’instruction port automatic au niveau de la [edit services nat pool nat-pool-name] hiérarchie. Par défaut, l’attribution séquentielle des ports a lieu.
À partir de la version 14.2 de Junos OS, vous pouvez inclure l’option sequential avec l’instruction port automatic au niveau de la [edit services nat pool nat-pool-name] hiérarchie pour l’allocation séquentielle des ports de la plage spécifiée. Pour configurer une plage spécifique de numéros de ports, incluez l’instruction port range low minimum-value high maximum-value au niveau de la [edit services nat pool nat-pool-name] hiérarchie.
Lorsque 99 % du total des ports disponibles dans le pool pour napt-44 , aucun nouveau flux n’est autorisé sur ce pool NAT.
À partir de la version 14.2 de Junos OS, l’option est masquée et obsolète, et n’est auto conservée qu’à des fins de rétrocompatibilité. Il pourrait être complètement supprimé dans une future version du logiciel.
Junos OS propose plusieurs alternatives pour l’attribution des ports :
- Allocation Round-Robin pour NAPT
- Allocation séquentielle pour NAPT
- Préserver la parité et la plage pour NAPT
- Regroupement d’adresses et mappage indépendant des points de terminaison pour NAPT
- Attribution de blocs de ports sécurisés pour NAPT
- Comparaison des méthodes de mise en œuvre du NAPT
Allocation Round-Robin pour NAPT
Pour configurer l’allocation Round-Robin pour les pools NAT, incluez l’instruction de configuration Address-Allocation Round-Robin au niveau de la [edit services nat pool pool-name] hiérarchie. Lorsque vous utilisez l’allocation Round Robin, un port est alloué à chaque adresse d’une plage avant de répéter le processus pour chaque adresse de la plage suivante. Une fois que les ports ont été alloués à toutes les adresses de la dernière plage, le processus d’allocation s’enroule et alloue le port inutilisé suivant aux adresses de la première plage.
La première connexion est allouée à l’adresse : port 100.0.0.1:3333.
La deuxième connexion est allouée à l’adresse : port 100.0.0.2:3333.
La troisième connexion est allouée à l’adresse : port 100.0.0.3:3333.
La quatrième connexion est allouée à l’adresse : port 100.0.0.4:3333.
La cinquième connexion est allouée à l’adresse : port 100.0.0.5:3333.
La sixième connexion est allouée à l’adresse : port 100.0.0.6:3333.
La septième connexion est allouée à l’adresse : port 100.0.0.7:3333.
La huitième connexion est allouée à l’adresse : port 100.0.0.8:3333.
La neuvième connexion est allouée à l’adresse : port 100.0.0.9:3333.
La dixième connexion est allouée à l’adresse : port 100.0.0.10:3333.
La onzième connexion est allouée à l’adresse : port 100.0.0.11:3333.
La douzième connexion est allouée à l’adresse : port 100.0.0.12:3333.
Un retour à la ligne se produit et la treizième connexion est allouée à l’adresse : port 100.0.0.1:3334.
Allocation séquentielle pour NAPT
Avec l’allocation séquentielle, la prochaine adresse disponible dans le pool NAT n’est sélectionnée que lorsque tous les ports disponibles à partir d’une adresse sont épuisés.
L’allocation séquentielle ne peut être configurée que pour MS-DPC et les PIC multiservices MS-100, MS-400 et MS-500. Les cartes MS-MPC et MS-MIC utilisent uniquement l’approche d’attribution à tour de rôle.
Cette implémentation héritée offre une rétrocompatibilité et n’est plus une approche recommandée.
Le pool NAT appelé napt dans l’exemple de configuration suivant utilise l’implémentation séquentielle :
pool napt {
address-range low 100.0.0.1 high 100.0.0.3;
address-range low 100.0.0.4 high 100.0.0.6;
address-range low 100.0.0.8 high 100.0.0.10;
address-range low 100.0.0.12 high 100.0.0.13;
port {
range low 3333 high 3334;
}
}
Dans cet exemple, les ports sont alloués à partir de la première adresse de la première plage d’adresses, et l’allocation se poursuit à partir de cette adresse jusqu’à ce que tous les ports disponibles aient été utilisés. Lorsque tous les ports disponibles ont été utilisés, l’adresse suivante (dans la même plage d’adresses ou dans la plage d’adresses suivante) est allouée et tous ses ports sont sélectionnés selon les besoins. Dans le cas de l’exemple de pool napt , l’adresse de uplet, port 100.0.0.4:3333, n’est allouée que lorsque tous les ports de toutes les adresses de la première plage ont été utilisés.
La première connexion est allouée à l’adresse : port 100.0.0.1:3333.
La deuxième connexion est allouée à l’adresse : port 100.0.0.1:3334.
La troisième connexion est allouée à l’adresse : port 100.0.0.2:3333.
La quatrième connexion est allouée à l’adresse : port 100.0.0.2:3334, et ainsi de suite.
Préserver la parité et la plage pour NAPT
Les options de préservation de la parité et de préservation de la plage sont disponibles pour le NAPT et sont prises en charge par les MS-DPC et les PIC multiservices MS-100, MS-400 et MS-500. La prise en charge des MS-MPC et MS-MIC commence à partir de la version 15.1R1 de Junos OS. Les options suivantes sont disponibles pour le NAPT :
Préservation de la parité : utilisez la commande pour allouer des
preserve-parityports pairs aux paquets avec des ports source pairs et des ports impairs aux paquets avec des ports source impairs.Préservation de la plage : utilisez la
preserve-rangecommande pour allouer des ports dans une plage comprise entre 0 et 1023, en supposant que le paquet d’origine contient un port source dans la plage réservée. Cela s’applique aux sessions de contrôle, pas aux sessions de données.
Regroupement d’adresses et mappage indépendant des points de terminaison pour NAPT
- Mise en commun d’adresses
- Mappage indépendant des points de terminaison et filtrage indépendant des points de terminaison
Mise en commun d’adresses
Le regroupement d’adresses ou le regroupement d’adresses apparié (APP) garantit l’attribution de la même adresse IP externe à toutes les sessions provenant du même hôte interne. Vous pouvez utiliser cette fonctionnalité lors de l’attribution d’adresses IP externes à partir d’un pool. Cette option n’affecte pas l’utilisation des ports
Le regroupement d’adresses résout les problèmes d’ouverture de connexions multiples par une application. Par exemple, lorsque le client SIP (Session Initiation Protocol) envoie des paquets RTP (Real-Time Transport Protocol) et RTCP (Real-Time Control Protocol), le serveur SIP exige généralement qu’ils proviennent de la même adresse IP, même s’ils ont été soumis à NAT. Si les adresses IP RTP et RTCP sont différentes, le point de terminaison récepteur peut perdre des paquets. Tout protocole point à point (P2P) qui négocie des ports (en supposant la stabilité des adresses) bénéficie du regroupement d’adresses apparié.
Les cas d’utilisation du regroupement d’adresses sont les suivants :
Un site qui offre des services de messagerie instantanée exige que le chat et ses sessions de contrôle proviennent de la même adresse source publique. Lorsque l’utilisateur se connecte au chat, une session de contrôle authentifie l’utilisateur. Une session différente commence lorsque l’utilisateur démarre une session de chat. Si la session de chat provient d’une adresse source différente de la session d’authentification, le serveur de messagerie instantanée rejette la session de chat, car elle provient d’une adresse non autorisée.
Certains sites Web, tels que les sites bancaires en ligne, exigent que toutes les connexions d’un hôte donné proviennent de la même adresse IP.
À partir de la version 14.1 de Junos OS, lorsque vous désactivez un ensemble de services qui contient une association de regroupements d’adresses (APP) pour cet ensemble de services, les messages s’affichent sur la console du PIC et les mappages sont effacés pour cet ensemble de services. Ces messages sont déclenchés lorsque la suppression d’un ensemble de services commence et générés à nouveau lorsque la suppression de l’ensemble de services est terminée. Les exemples de messages suivants s’affichent au début et à la fin de la suppression :
Nov 15 08:33:13.974 LOG : Critique] SVC-SET ss1 (iid 5) Désactiver/Supprimer : Mappages NAT et suppression de flux initiée
Nov 15 08:33:14.674 LOG : Critique] SVC-SET ss1 (iid 5) Désactivation/suppression : Suppression des mappages et des flux NAT terminée
Dans un environnement mis à l’échelle qui contient un grand nombre d’applications dans un ensemble de services, un volume important de messages est généré, ce qui prend un certain temps. Nous vous recommandons d’attendre que les messages de la console indiquant la fin de la suppression de l’ensemble de services soient terminés avant de réactiver l’ensemble de services.
Mappage indépendant des points de terminaison et filtrage indépendant des points de terminaison
Le mappage indépendant des points de terminaison (EIM) garantit l’attribution de la même adresse et du même port externes pour toutes les connexions d’un hôte donné s’ils utilisent le même port interne. Cela signifie que s’ils proviennent d’un port source différent, vous êtes libre d’attribuer une adresse externe différente.
L’EIM et l’APP diffèrent comme suit :
L’application assure l’attribution de la même adresse IP externe.
EIM fournit une adresse IP externe stable et un port (pendant un certain temps) auxquels les hôtes externes peuvent se connecter. Le filtrage indépendant des points de terminaison (EIF) contrôle quels hôtes externes peuvent se connecter à un hôte interne.
À partir de la version 14.1 de Junos OS, lorsque vous désactivez un ensemble de services qui contient un mappage indépendant des points de terminaison (EIM) pour cet ensemble de services, des messages s’affichent sur la console du PIC et les mappages sont effacés pour cet ensemble de services. Ces messages sont déclenchés lorsque la suppression d’un ensemble de services commence et générés à nouveau lorsque la suppression de l’ensemble de services est terminée. Les exemples de messages suivants s’affichent au début et à la fin de la suppression :
Nov 15 08:33:13.974 LOG : Critique] SVC-SET ss1 (iid 5) Désactiver/Supprimer : Mappages NAT et suppression de flux initiée
Nov 15 08:33:14.674 LOG : Critique] SVC-SET ss1 (iid 5) Désactivation/suppression : Suppression des mappages et des flux NAT terminée
Dans un environnement mis à l’échelle qui contient un grand nombre de mappages EIM dans un ensemble de services, un volume important de messages est généré, ce qui prend un certain temps. Nous vous recommandons d’attendre que les messages de la console indiquant la fin de la suppression de l’ensemble de services soient terminés avant de réactiver l’ensemble de services.
Attribution de blocs de ports sécurisés pour NAPT
L’attribution de blocs de ports est prise en charge sur les routeurs MX Series avec MS-DPC et sur les routeurs M Series avec MS-100, MS-400 et MS-500 MultiServices PICS. L’attribution de blocs de ports est prise en charge sur les routeurs MX Series avec MS-MPC et MS-MICs à partir de Junos OS version 14.2R2.
Les opérateurs suivent les abonnés à l’aide du journal des adresses IP (RADIUS ou DHCP). S’ils utilisent NAPT, une adresse IP est partagée par plusieurs abonnés, et l’opérateur doit suivre l’adresse IP et le port, qui font partie du journal NAT. Étant donné que les ports sont utilisés et réutilisés à un rythme très élevé, le suivi des abonnés à l’aide du journal devient difficile en raison du grand nombre de messages, qui sont difficiles à archiver et à corréler. En permettant d’attribuer des ports en blocs, l’attribution de blocs de ports peut réduire considérablement le nombre de journaux, ce qui facilite le suivi des abonnés.
- Attribution de blocs de ports sécurisés pour NAPT
- Journalisation provisoire pour l’attribution de blocs de ports
Attribution de blocs de ports sécurisés pour NAPT
L’attribution de blocs de ports sécurisés peut être utilisée pour les types de traduction napt-44 et stateful-nat64.
Lors de l’attribution de blocs de ports, le bloc le plus récemment alloué est le bloc actif actuel. Les nouvelles demandes de ports NAT sont traitées à partir du bloc actif. Les ports sont alloués de manière aléatoire à partir du bloc actif actuel.
Lorsque vous configurez l’allocation de blocs de ports sécurisés, vous pouvez spécifier les éléments suivants :
block-sizemax-blocks-per-addressactive-block-timeout
Journalisation provisoire pour l’attribution de blocs de ports
Avec l’allocation de blocs de ports, nous générons un journal syslog par ensemble de ports alloués à un abonné. Ces journaux sont basés sur UDP et peuvent être perdus dans le réseau, en particulier pour les flux de longue durée. La journalisation provisoire déclenche le renvoi des journaux ci-dessus à un intervalle configuré pour les blocs actifs dont le trafic se trouve sur au moins un des ports du bloc.
La journalisation provisoire est activée en incluant l’instruction pba-interim-logging-interval sous services-options pour les interfaces sp.
Voir aussi
Comparaison des méthodes de mise en œuvre du NAPT
Le Tableau 1 présente une comparaison des méthodes d’implémentation NAPT disponibles.
Caractéristique/Fonction |
Allocation dynamique des ports |
Attribution de blocs de ports sécurisés |
Attribution déterministe du bloc de ports |
|---|---|---|---|
Utilisateurs par IP |
Élevé |
Douleur moyenne |
Faible |
Risque de sécurité |
Faible |
Douleur moyenne |
Douleur moyenne |
Journalisation de l’utilisation |
Élevé |
Faible |
Aucun (aucun journal nécessaire) |
Réduction des risques de sécurité |
Répartition aléatoire |
fonctionnalité active-block-timeout |
S.O. |
Augmentation du nombre d’utilisateurs par IP |
S.O. |
Configurez plusieurs blocs de ports plus petits pour maximiser les utilisateurs/IP publiques |
Attribution de ports basée sur des algorithmes |
Configuration de NAPT dans les réseaux IPv4
La traduction de ports d’adresses réseau (NAPT) est une méthode par laquelle de nombreuses adresses réseau et leurs ports TCP/UDP sont traduits en une seule adresse réseau et ses ports TCP/UDP. Cette traduction peut être configurée dans les réseaux IPv4 et IPv6. Cette section décrit les étapes de configuration de NAPT dans les réseaux IPv4.
Pour configurer NAPT, vous devez configurer une règle au niveau de la [edit services nat] hiérarchie pour la traduction dynamique des adresses IPv4 source.
Pour configurer le NAPT dans les réseaux IPv4 :
L’exemple suivant configure le type de traduction comme napt-44.
[edit services]
user@host# show
service-set s1 {
nat-rules rule-napt-44;
interface-service {
service-interface ms-0/1/0;
}
}
nat {
pool napt-pool {
address 10.10.10.0/32;
port {
automatic auto;
}
}
rule rule-napt-44 {
match-direction input;
term t1 {
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Traduction dynamique des adresses vers un petit pool avec repli vers le NAT
La configuration suivante montre la traduction dynamique des adresses d’un grand préfixe vers un petit pool, traduisant un sous-réseau /24 en un pool de 10 adresses. Lorsque les adresses du pool source (src-pool) sont épuisées, le NAT est fourni par le pool de surcharge NAPT (pat-pool).
[edit services nat]
pool src-pool {
address-range low 192.16.2.1 high 192.16.2.10;
}
pool pat-pool {
address-range low 192.16.2.11 high 192.16.2.12;
port automatic auto;
rule myrule {
match-direction input;
term myterm {
from {
source-address 10.150.1.0/24;
}
then {
translated {
source-pool src-pool;
overload-pool pat-pool;
translation-type napt-44;
}
}
}
}
Traduction dynamique des adresses avec un petit pool
La configuration suivante montre la traduction dynamique des adresses d’un grand préfixe vers un petit pool, traduisant un sous-réseau /24 en un pool de 10 adresses. Les sessions des 10 premières sessions hôtes se voient attribuer une adresse du pool selon le principe du premier arrivé, premier servi, et toute demande supplémentaire est rejetée. Chaque hôte avec un NAT attribué peut participer à plusieurs sessions.
[edit services nat]
pool my-pool {
address-range low 10.10.10.1 high 10.10.10.10;
}
rule src-nat {
match-direction input;
term t1 {
from {
source-address 192.168.1.0/24;
}
then {
translated {
translation-type dynamic-nat44;
source-pool my-pool;
}
}
}
}
Configuration de NAPT dans les réseaux IPv6
La traduction de ports d’adresses réseau (NAPT) est une méthode par laquelle de nombreuses adresses réseau et leurs ports TCP/UDP sont traduits en une seule adresse réseau et ses ports TCP/UDP. Cette traduction peut être configurée dans les réseaux IPv4 et IPv6. Cette section décrit les étapes de configuration de NAPT dans les réseaux IPv6. La configuration de NAPT dans les réseaux IPv6 n’est pas prise en charge si vous utilisez des MS-MPC ou MS-MIC. Pour plus d’informations sur la configuration de NAPT dans les réseaux IPv4, consultez Configuration de NAPT dans les réseaux IPv4.
Pour configurer NAPT, vous devez configurer une règle au niveau de la [edit services nat] hiérarchie pour la traduction dynamique des adresses IPv6 sources.
Pour configurer NAPT dans les réseaux IPv6 :
L’exemple suivant configure la traduction dynamique des sources (adresse et port) ou NAPT pour un réseau IPv6.
[edit services]
user@host# show
service-set IPV6-NAPT-ServiceSet {
nat-rules IPV6-NAPT-Rule;
interface-service {
service-interface sp-0/1/0;
}
}
nat {
pool IPV6-NAPT-Pool {
address 2002::1/96;
port automatic sequential;
}
rule IPV6-NAPT-Rule {
match-direction input;
term term1 {
then {
translated {
source-pool IPV6-NAPT-Pool;
translation-type {
napt-66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
}
Exemple : configuration de la solution NAT avec la traduction de ports
Cet exemple montre comment configurer le NAT avec la traduction de ports.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Une plate-forme de routage universelle 5G MX Series avec un DPC de services ou une périphérie multiservice M Series routeur avec un PIC de services
Un serveur de noms de domaine (DNS)
Junos OS version 11.4 ou supérieure
Vue d’ensemble
Cet exemple montre une configuration CGN NAT44 complète et des options avancées.
Configuration du NAT avec la traduction de ports
Procédure
Procédure étape par étape
Pour configurer l’ensemble de services :
-
Configurez un ensemble de services.
user@host# edit services service-set ss2 -
En mode configuration, rendez-vous au niveau de la
[edit services nat]hiérarchie.[edit] user@host# edit services nat
-
Définissez le pool d’adresses sources qui doit être utilisé pour la traduction dynamique. Pour NAPT, spécifiez également les numéros de port lors de la configuration du pool source.
[edit services nat] user@host# set pool pool name address source addresses user@host# set pool pool name port source ports
Par exemple :
[edit services nat] user@host# set pool NAPT-Pool address 192.168.2.1/24; user@host# set pool NAPT-Pool port automatic
-
Spécifiez la règle NAT à utiliser.
[edit services service-set ss2]host# set nat-rules r1 - Définissez une règle NAT pour la traduction des adresses sources. Pour ce faire, définissez l’énoncé
match-directionde la règle commeinput. En outre, définissez un terme qui utilisenapt-44comme type de traduction pour traduire les adresses du pool défini à l’étape précédente.[edit services nat] user@host# set rule rule name match-direction input user@host# set rule rule name term term name from source-address source-address user@host# set rule rule name term term name then translated source-pool pool name user@host# set rule rule name term term name then translated translation-type napt-44
Par exemple :
[edit services nat] user@host# set rule r1 match-direction input user@host# set rule r1 term t1 from source-address 10.10.10.1 user@host# set rule r1 term t1 then translated source-pool NAPT-Pool user@host# set rule r1 term t1 then translated translation-type napt-44
-
Spécifiez le service d’interface.
[edit services service-set ss2]host# set interface-service service-interface sp-5/0/0
Résultats
user@host# show services service-sets sset2
service-set ss2 {
nat-rules r1;
interface-service {
service-interface sp-5/0/0;
}
}
nat {
pool NAPT-Pool {
address 192.168.2.1/24;
port automatic;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.1/32;
}
}
then {
translated {
source-pool NAPT-Pool;
translation-type {
napt-44;
}
}
}
}
}
}
Exemple : configuration NAPT sur le MS-MPC avec un ensemble de services d’interface
Cet exemple montre comment configurer la traduction d’adresses réseau avec traduction de ports (NAPT) sur un routeur MX Series à l’aide d’un concentrateur de ports modulaires multiservices (MS-MPC) en tant que carte d’interface de services.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Routeur MX-Series
concentrateur de ports modulaires multiservices (MS-MPC)
Junos OS version 13.2R1 ou supérieure
Vue d’ensemble
Un fournisseur de services a choisi une plate-forme MS-MPC pour fournir des services NAT afin d’accueillir de nouveaux abonnés.
La configuration
Pour configurer NAPT44 à l’aide de la carte d’interface MS-MPC en tant que services, effectuez les tâches suivantes :
- Configuration rapide de la CLI
- Configuration des interfaces
- Configurer un ensemble d’applications avec le trafic applicatif acceptable
- Configuration d’une règle de pare-feu dynamique
- Configuration d’un pool et d’une règle NAT
- Configuration de l’ensemble de services
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans la CLI au niveau de la hiérarchie [modifier].
set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24 set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1 set interfaces ms-3/0/0 unit 0 family inet set applications application-set accept-algs application junos-http set applications application-set accept-algs application junos-ftp set applications application-set accept-algs application junos-tftp set applications application-set accept-algs application junos-telnet set applications application-set accept-algs application junos-sip set applications application-set accept-algs application junos-rtcp set services stateful-firewall rule sf-rule1 match-direction input-output set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs set services stateful-firewall rule sf-rule1 term sf-term1 then accept set services nat pool napt-pool address 1.1.1.0/24 set services nat pool napt-pool port automatic * nat rule for napt set services nat rule nat-rule1 match-direction input set services nat rule nat-rule1 term nat-term1 from source-address 10.255.247.0/24 set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44 * nat rule for basic nat set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
Configuration des interfaces
Procédure étape par étape
Configurez les interfaces requises pour le traitement NAT. Vous aurez besoin des interfaces suivantes :
Une interface orientée client qui gère le trafic en provenance et à destination du client.
Une interface connectée à Internet.
Une interface de services qui fournit des services de pare-feu NAT et dynamiques à l’interface orientée client
Configurez l’interface pour l’interface client.
user@host# edit [edit ] user@host# set interfaces xe-1/1/0 unit 0 family inet address 10.255.247.2/24 user@host# set interfaces xe-1/1/0 unit 0 family inet service input service-set sset1 user@host# set interfaces xe-1/1/0 unit 0 family inet service output service-set sset1
Configurez l’interface pour l’interface Internet.
[edit ] set interfaces ge-0/2/0 unit 0 family inet address 10.255.248.2/24
Configurez l’interface pour l’ensemble de services qui connectera les services à l’interface côté client. Dans notre exemple, l’interface réside sur une MS-MPC.
[edit ] user@host# set interfaces ms-3/0/0 unit 0 family inet
Configurer un ensemble d’applications avec le trafic applicatif acceptable
Procédure étape par étape
Identifier les applications acceptables pour le trafic entrant.
Spécifiez un ensemble d’applications qui contient un trafic applicatif entrant acceptable.
user@host# set applications application-set accept-algs application junos-http user@host# set applications application-set accept-algs application junos-ftp user@host# set applications application-set accept-algs application junos-tftp user@host# set applications application-set accept-algs application junos-telnet user@host# set applications application-set accept-algs application junos-sip user@host# set applications application-set accept-algs application junos-rtcp
Résultats
user@host#edit services applications application-set accept-algs user@host#show application junos-http; application junos-ftp; application junos-tftp; application junos-telnet; application junos-sip; application junos-
Configuration d’une règle de pare-feu dynamique
Procédure étape par étape
Configurez une règle de pare-feu dynamique qui acceptera tout le trafic entrant.
Spécifier la correspondance du pare-feu pour toutes les entrées et sorties
user@hos#t set services stateful-firewall rule sf-rule1 match-direction input-output
Identifiez l’adresse source et le trafic applicatif acceptable à partir de l’interface orientée client.
user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from source-address 10.255.247.0/24 user@host# set services stateful-firewall rule sf-rule1 term sf-term1 from application-sets accept-algs user@host# set services stateful-firewall rule sf-rule1 term sf-term1 then accept
Résultats
user@host# edit services stateful-firewall
user@host# show
rule sf-rule1 {
match-direction input-output;
term sf-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
accept;
}
}
}
Configuration d’un pool et d’une règle NAT
Procédure étape par étape
Configurez un pool et une règle NAT pour la traduction d’adresses avec attribution automatique des ports.
Configurez le pool NAT avec l’attribution automatique des ports.
user@host# set services nat pool napt-pool address 1.1.1.0/24 user@host# set services nat pool napt-pool port automatic auto
Configurez une règle NAT qui applique le type
napt-44de traduction à l’aide du pool de NAT défini.user@host# set services nat rule nat-rule1 term nat-term1 from application-sets accept-algs user@host# set services nat rule nat-rule1 term nat-term1 then translated source-pool napt-pool user@host# set services nat rule nat-rule1 term nat-term1 then translated translation-type napt-44
Résultats
user@host#edit services nat
user@host#show
pool napt-pool {
address 1.1.1.0/24;
port {
automatic;
}
}
rule nat-rule1 {
match-direction input;
term nat-term1 {
from {
source-address {
10.255.247.0/24;
}
application-sets accept-algs;
}
then {
translated {
source-pool napt-pool;
translation-type {
napt-44;
}
}
}
}
}
Configuration de l’ensemble de services
Procédure étape par étape
Configurez un ensemble de services de type d’interface.
Spécifiez les règles de pare-feu dynamiques et NAT qui s’appliquent au trafic client.
user@host set services service-set sset1 stateful-firewall-rules sf-rule1 user@host set services service-set sset1 nat-rules bat-rule1
Spécifiez l’interface de services qui applique les règles au trafic client.
set services service-set sset1 interface-service service-interface ms-3/0/0
Résultats
user@host# edit services service-set sset1 user@host# show set services service-set sset1 stateful-firewall-rules sf-rule1 set services service-set sset1 nat-rules nat-rule1 set services service-set sset1 interface-service service-interface ms-3/0/0
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
sequential avec l’instruction
port automatic au niveau de la
[edit services nat pool nat-pool-name] hiérarchie pour l’allocation séquentielle des ports de la plage spécifiée.
auto conservée qu’à des fins de rétrocompatibilité.
sequential option vous permet de configurer l’allocation séquentielle des ports.