SUR CETTE PAGE
Présentation de la traduction des préfixes réseau source sans état pour IPv6
interopérabilité des fonctionnalités avec la traduction des préfixes réseau pour IPv6
Instructions pour la configuration de la traduction des préfixes réseau sources sans état
Fonctionnement de NPTv6 avec des ensembles de services de style interface et de style saut suivant
Traduction du préfixe réseau source sans état pour IPv6
Présentation de la traduction des préfixes réseau source sans état pour IPv6
À partir de la version 15.1 de Junos OS, vous pouvez configurer la traduction sans état des préfixes d’adresses sources dans les réseaux IPv6 (IPv6 vers IPv6). Cette fonctionnalité est prise en charge sur les routeurs MX Series avec MPC où le NAT en ligne est pris en charge. Pour configurer la traduction des préfixes de réseau sans état pour les paquets IPv6 (NPTv6), incluez l’instruction translation-type nptv6 au niveau de la [edit services nat rule rule-name term term-name then translated] hiérarchie. Le traducteur NPTv6 traduit le préfixe de l’adresse source de telle sorte que la somme de contrôle de la couche transport du paquet n’a pas besoin d’être recalculée. NPTv6 définit une méthode sans état de traduction des préfixes réseau IPv6 entre les réseaux internes et externes. NPTv6 ne conserve pas l’état de chaque nœud ou flux dans le traducteur. Vous pouvez utiliser la show services nat mappings nptv6 (internal | external) commande pour afficher les mappages NAT pour NPTv6 pour les adresses internes et externes respectivement. Vous pouvez également utiliser les commandes et show services inline nat pool pour afficher des informations sur le show services inline nat statistics NAT en ligne avec NPTv6 configuré.
Avantages de la traduction des préfixes réseau sources sans état
Pour les réseaux de périphérie, il n’est pas nécessaire de renuméroter les adresses IPv6 utilisées à l’intérieur du réseau local pour les interfaces, les listes d’accès et les messages de journalisation du système si :
Les préfixes globaux utilisés par le réseau périphérique sont modifiés.
Les adresses IPv6 sont utilisées à l’intérieur du réseau de périphérie ou dans d’autres réseaux en amont (tels que les appareils multihoming) lorsqu’un site ajoute, abandonne ou modifie des réseaux en amont.
Les adresses IPv6 utilisées par le réseau de périphérie n’ont pas besoin de filtrage entrant dans les réseaux en amont, ni de préfixes spécifiques au client annoncés sur les réseaux en amont.
Les connexions qui traversent la fonction de traduction ne sont pas interrompues par une réinitialisation ou une brève panne d’un traducteur NPTv6.
NPTv6
La traduction des préfixes réseau pour IPv6 (NPTv6) définit une manière sans état de traduire les préfixes d’adresses IPv6 entre les réseaux internes et externes. NPTv6 ne conserve pas l’état de chaque nœud ou flux dans le traducteur. La maintenance de l’état de mappage n’est pas nécessaire pour le mappage d’adresse des paquets entrants ou sortants. Une fonction NPTv6 sans état et indépendante du transport offre l’avantage de l’indépendance des adresses associée au NAT IPv4-IPv4 (NAPT44) et fournit une relation 1:1 entre les adresses des préfixes internes et externes , préservant ainsi l’accessibilité de bout en bout au niveau de la couche réseau. Dans les réseaux en amont, les adresses IPv6 utilisées par le réseau périphérique contiennent toujours un préfixe attribué par le fournisseur.
NPTv6 est conçu pour fournir une indépendance d’adressage aux réseaux de périphérie afin d’assurer la stabilité des adresses internes, indépendamment des réseaux de fournisseurs de services en amont. Toutefois, l’utilisation d’adresses indépendantes du fournisseur sans traduction peut s’avérer très coûteuse, car la table de routage énumère les réseaux de périphérie au lieu d’énumérer le domaine de transit qui fournit le service aux réseaux périphériques. Ce phénomène peut entraîner une table de routage massive et ingérable. NPTv6 est un mécanisme qui assure de manière efficace et cohérente l’indépendance des adresses sans annoncer un préfixe réseau interne aux réseaux externes. En revanche, l’objectif principal de la traduction de ports d’adresses réseau (NAPT) pour IPv4 (NAPT44) est de résoudre l’épuisement des adresses IPv4, bien qu’elle apporte le même avantage d’indépendance des adresses. NAPT pour IPv6, en particulier NAPT66, est déjà pris en charge dans le micronoyau. Cependant, comme pour NAPT44, NAPT66 nécessite la préservation des informations sur l’état de flux. NPTv6 fournit une technique simple et rationalisée pour éviter autant de limitations associées au NAPT66 que possible. Il est défini comme incluant une fonction de traduction bidirectionnelle, neutre en somme de contrôle et algorithmique.
NPTv6 ne conserve pas les informations d’état d’un nœud, d’un flux ou d’une connexion dans le traducteur. Les paquets internes vers externes et externes vers internes sont traduits algorithmiquement à l’aide des informations présentes dans l’en-tête IPv6. En raison de sa nature sans état, s’il existe plusieurs traducteurs NPTv6 entre les deux mêmes réseaux, la charge peut se déplacer ou être partagée dynamiquement entre eux. De plus, contrairement à NAPT44, comme le mappage peut être effectué dans les deux sens, le traducteur n’interfère pas avec l’établissement de la connexion entrante. À la place, un pare-feu peut être utilisé conjointement avec un traducteur NPTv6. Ce comportement offre à l’administrateur réseau plus de flexibilité pour spécifier la politique de sécurité qu’avec un NAT traditionnel.
Un autre avantage de NPTv6 est la traduction neutre de la somme de contrôle. Le traducteur n’a pas besoin de réécrire l’en-tête de transport pour mettre à jour la somme de contrôle et n’effectue pas de mappage de ports. Par conséquent, pour déployer de nouveaux protocoles de couche transport, vous n’avez pas besoin de modifier le traducteur. Comme la couche de transport n’est pas modifiée, l’algorithme n’interfère pas avec le chiffrement de la charge utile IP. Bien que NPTv6 se compare favorablement à NAPT44 ou NAPT66 à plusieurs égards, il n’élimine pas tous les problèmes architecturaux. Étant donné que NPTv6 modifie les en-têtes IP des paquets, il n’est pas compatible avec les mécanismes de sécurité tels que l’en-tête d’authentification IPsec. L’utilisation de préfixes internes et externes distincts complique le déploiement du système de noms de domaine (DNS). De même, les applications qui nécessitent des passerelles de couche Application (ALG) pour fonctionner correctement via des périphériques NAPT44 ou NAPT66 peuvent nécessiter des ALG similaires pour fonctionner via des traducteurs NPTv6. Étant donné que NPTv6 ne maintient pas les états de connexion, la défaillance du traducteur n’a pas d’impact sur le trafic TPC (Non-Transmit Power Control) via le serveur. Les connexions TCP peuvent être interrompues en raison du changement de l’adresse IP source d’une connexion. Dans ce cas, les connexions peuvent être expirées, puis rétablies.
NPTv6 utilise le NAT en ligne. Le NAT en ligne utilise les capacités de la carte d’interface MPC (Modular Port Concentrator), éliminant ainsi le besoin d’un DPC multiservices (MS-DPC) pour le NAT. Pour configurer le NAT en ligne, vous définissez votre interface de service en tant qu’interface de type si- (service-inline). Vous devez également réserver une bande passante adéquate à l’interface en ligne. Cela vous permet de configurer à la fois les ensembles de services d’interface et les ensembles de services de saut suivant utilisés pour le NAT. L’interface si- sert de PIC de service virtuel.
interopérabilité des fonctionnalités avec la traduction des préfixes réseau pour IPv6
Cette rubrique contient les sections suivantes qui décrivent le comportement de fonctionnement de différentes fonctionnalités avec la traduction du préfixe IPv6 source sans état et les différentes conditions du système :
- Algorithme de mappage d’adresses
- Traduction interne vers externe
- Traduction externe vers interne
- Traduction neutre de la somme de contrôle
- Multihébergement
- Épingle à cheveux
- Équilibrage de charge
- ICMPv6 pour NPTv6
Algorithme de mappage d’adresses
Le traducteur NPTv6 filtre les paquets sortant du réseau et, si l’adresse source du paquet correspond à l’adresse source définie dans la règle (l’adresse from source ou dans la configuration), l’adresse source est remplacée par un préfixe d’adresse du pool défini pour la règle. Les 16 bits suivants après le préfixe de l’adresse source sont remplacés par la valeur ajustée de la somme de contrôle pour s’assurer que la somme de contrôle reste la même dans le paquet sortant même si l’adresse source est modifiée. Lors de la définition de la règle de configuration et du pool pour les paquets sortant du réseau, une règle denat et un pool sont créés pour la traduction de l’adresse de destination des paquets entrant dans le réseau.
Traduction interne vers externe
Lorsqu’un paquet va du réseau interne vers le réseau externe, le préfixe IPv6 dans l’adresse source du paquet (provenant du nœud intérieur) est mappé au préfixe externe. Après ajustement de la somme de contrôle, le paquet est acheminé vers le réseau externe.
Traduction externe vers interne
Lorsqu’un paquet provient d’un réseau externe à un autre réseau interne, le préfixe IPv6 dans l’adresse de destination du paquet (provenant d’un hôte externe) est mappé au préfixe interne. Après ajustement de la somme de contrôle, le paquet est acheminé vers le réseau interne.
Traduction neutre de la somme de contrôle
Le traducteur NPTv6 traduit le préfixe de l’adresse source de telle sorte que la somme de contrôle de la couche transport du paquet n’a pas besoin d’être recalculée. Une modification de la somme de contrôle causée par la modification d’une partie de la zone couverte par la somme de contrôle peut être corrigée en apportant une modification supplémentaire à une autre zone de 16 bits couverte par la même somme de contrôle. Cette méthode neutre de somme de contrôle calcule d'abord la somme de contrôle du complément de 1 de et internal-prefix de .external-prefix
Pour les paquets provenant du réseau interne, l’ajustement est calculé comme l’effectif de 1 et il est calculé comme suit :
Ajustement = Somme de contrôle du préfixe interne – Somme de contrôle du préfixe externe.
La valeur d’ajustement est ajoutée au mot de 16 bits de l’adresse source après le préfixe.
Pour les paquets provenant de réseaux externes, l’ajustement correspond au complément de 1 et il est calculé comme suit :
Ajustement = Somme de contrôle du préfixe externe – Somme de contrôle du préfixe interne.
L’ajustement est ajouté au mot de 16 bits de l’adresse de destination après le préfixe traduit.
Multihébergement
S’il existe deux traducteurs NPTv6 avec des configurations de préfixe IPv6 externes différentes pour le même préfixe IPv6 interne, ces deux traducteurs NPTV6 traduiront le même préfixe de réseau IPv6 interne en deux préfixes de réseau IPv6 externes différents, en fonction du traducteur que le paquet traverse.
Épingle à cheveux
Lorsqu’un nœud interne n’a connaissance que de l’adresse externe (c’est-à-dire globale) d’un autre nœud interne, il utilise cette adresse pour envoyer un paquet à ce nœud interne. Si un tel paquet est reçu par un traducteur NPTv6, ce paquet est à nouveau acheminé vers le réseau interne après avoir subi la traduction de l’adresse source et de l’adresse de destination.
Équilibrage de charge
Le partage de charge est réalisé lorsque deux traducteurs ont la même configuration de mappage interne-externe et que la charge de paquets est partagée entre eux. La façon dont l’équilibrage de charge est réalisé dépasse le champ d’application de NPTv6.
L’équilibrage peut être implémenté en fonction de la partie ID de sous-réseau de l’adresse IPv6. Il peut y avoir deux interfaces si- logiques avec le même mappage du préfixe interne au préfixe externe. Les paquets sont acheminés vers l’une des interfaces logiques en fonction de l’ID de sous-réseau.
ICMPv6 pour NPTv6
La génération d’erreurs ICMPv6 NPTv6 n’est pas prise en charge pour hextet non mappé.
Instructions pour la configuration de la traduction des préfixes réseau sources sans état
Gardez les points suivants à l’esprit lorsque vous configurez la traduction sans état des préfixes IPv6 sources :
Cette rubrique contient les sections suivantes qui décrivent le comportement de fonctionnement de différentes fonctionnalités avec la traduction du préfixe IPv6 source sans état et les différentes conditions du système :
La prise en charge du basculement GRES (Graceful moteur de routage switchover) est la même que pour NAT44.
La ISSU unifiée et la mise à niveau logicielle ininterrompue (NSSU) ne sont pas prises en charge.
Le déploiement NPTv6 permet d’établir des connexions entrantes directes vers des nœuds internes à partir de réseaux externes. Ce mécanisme provoque une légère vulnérabilité car il ouvre les nœuds internes aux attaques extérieures. La traduction sans état de NPTv6 rend difficile le traçage des demandes de connexion externes en fonction des états de connexion. Ce comportement permet aux réseaux NAT44 d’être bien protégés contre les attaques externes. La meilleure option pour sécuriser un traducteur NPTv6 est d’ajouter un pare-feu au-dessus du traducteur NPTv6.
Un 6ème concentrateur de fils souples interagit avec NPTv6. Tous les autres mécanismes qui ne nécessitent pas que la passerelle de la couche Application (ALG) modifie l’adresse IP source dans la charge utile sont pris en charge. TCP, UDP, ICMP, SSH et Telnet sont pris en charge par le traducteur NPTv6. Les protocoles FTP et SIP (Session Initiation Protocol) qui nécessitent que l’ALG modifie l’adresse IP source dans la charge utile ne sont pas pris en charge.
Les pools NPTv6 sont alloués dans la mémoire de données externe. La structure de données du pool se compose du préfixe d’adresse, de la longueur du préfixe et de la somme de contrôle. La taille de chaque enregistrement est de 192 bits. Pour chaque pool, un pool denat est alloué automatiquement. La taille du bassin denat est de 192 bits. Il y a une allocation totale de 8000 entrées 64 bits pour les pools NPTv6 traités par NAT et non traduits. Cette allocation provient des 64 000 entrées allouées aux services en ligne (JNH_APP_INLINE_SVCS).
Le chaînage de services en ligne pour l’interopérabilité de 6rd avec NPTv6 n’est pas pris en charge.
Vous devez configurer un pool source et spécifier l’adresse (source) lors de la
fromconfiguration de NPTv6.La longueur des préfixes externe et interne doit être supérieure ou égale au masque de sous-réseau /16 et inférieure ou égale au masque de sous-réseau /112.
Deux préfixes internes différents ne peuvent pas être traduits en le même préfixe externe.
NPTv6 ne peut pas être appliqué aux paquets IPSec et Internet Key Exchange (IKE). Le traducteur NPTv6 est contourné dans ce cas.
Comme la traduction est celle d’un préfixe d’adresse IPv6, il n’y a qu’une seule adresse dans le pool. Si plusieurs adresses sont configurées par l’utilisateur, le système ne génère aucune erreur, mais seul le premier préfixe d’adresse du pool est choisi pour la traduction.
Pour les paquets allant d’un réseau interne à un réseau externe, si le sous-réseau interne n’est pas mappé ou est défini sur 0xFFFF, le datagramme est ignoré et une erreur ICMP inaccessible est générée.
Pour les paquets allant d’un réseau interne à un réseau externe, si l’ajustement du mot de 16 bits a été ajouté à l’aide de la méthode du complément de 1 et est égal à 0xFFFF, alors la valeur est écrite comme zéro.
Pour les paquets provenant du réseau externe vers le réseau interne, si l’ajustement du mot de 16 bits est soustrait à l’aide de la méthode du complément de 1 et est égal à 0xFFFF, le mot de 16 bits est remplacé par zéro.
Pour la traduction des préfixes /48 ou plus courts, l’ajustement doit être ajouté ou soustrait des 16 premiers bits après le masque de sous-réseau /48, dont les valeurs ne sont pas 0xFFFF. Si le préfixe est /49 ou plus, l’ajustement doit être ajouté ou soustrait des 16 premiers bits (de 64 à 123), dont les valeurs ne sont pas 0xFFFF.
Fonctionnement de NPTv6 avec des ensembles de services de style interface et de style saut suivant
L’objectif est d’ajouter un service en ligne de traduction des préfixes réseau pour IPv6 (NPTv6) qui effectue une traduction sans état de l’adresse IPv6 source. Considérons un exemple de topologie dans laquelle NPTv6 est implémenté entre un réseau interne avec le préfixe FD01:0203:0405 :/48 et un réseau externe avec le préfixe 2001:0DB8:0001 :/48.
Les adresses sources FD01:0203:0405 :/48 dans les paquets d’un seul domaine administratif (réseau interne) destinés aux hôtes du réseau global (réseau externe) seront traduits en 2001:0DB8:0001 :/48. Les paquets destinés au réseau interne provenant d’un réseau externe auront leur adresse de destination 2001:0DB8:0001 :/48. Cette adresse de destination sera mappée à l’adresse réseau interne FD01:0203:0405 :/48 et sera transmise à l’hôte du réseau interne. Les longueurs des deux sous-réseaux sont supposées être les mêmes dans ce cas. S’ils diffèrent, le plus court serait étendu à la longueur du préfixe du plus long en suffixant des zéros.
L’algorithme de mappage d’adresses utilisé pour NPTv6 est neutre vis-à-vis de la somme de contrôle. Les en-têtes IP traduits génèrent la même pseudo-somme de contrôle IPv6. La somme de contrôle est calculée à l’aide de l’algorithme de somme de contrôle standard d’Internet. Les modifications apportées lors de la traduction du préfixe IPv6 sont compensées par les modifications calculées apportées aux autres parties de l’adresse IPv6. Il en résulte que les couches de transport qui utilisent la somme de contrôle Internet (telle que TCP et UDP) calculent la même pseudo-somme de contrôle IPv6 pour les formes internes et externes du même datagramme et évitent d’avoir à modifier les en-têtes de la couche de transport pour corriger la valeur de la somme de contrôle. L’algorithme peut mapper les adresses des paquets entrants et sortants.
Le traducteur NPTv6 fonctionne à la fois pour les paquets fragmentés et pour les paquets avec des options IP activées. Les changements de configuration requis pour NPTv6 sont abordés dans les sections suivantes.
La configuration d’un routeur pour gérer les services se fait par la définition d’une interface de service logique, d’ensembles de services et de règles d’ensemble de services. Ceux-ci définissent la manière dont le service est appliqué aux paquets.
L’interface logique de services en ligne, si-ifl, implémentation disponible pour l’adresse source statique v4-v4 inline-NAT peut être réutilisée pour NPTv6 en ligne. La configuration du NPTv6 implémenté pour MS-DPC peut être modifiée pour l’implémentation NPTv6 en ligne. Il existe deux types de configurations d’ensemble de services : le style d’interface et le style de saut suivant.
Pour le service de saut suivant, une entrée de route est configurée pour diriger les paquets vers une interface de service en ligne. Là, le paquet passait par les règles de service. Si le paquet correspond aux règles de service, il est traité conformément aux règles de service. Pour le service de type interface, l’ensemble de services est configuré directement sur l’interface multimédia et affecte le trafic lorsqu’il quitte et entre dans l’interface. Les paquets sont dirigés vers l’interface de service en ligne par le filtre de service appliqué à l’interface multimédia.
Exemple : Obtenir l’indépendance des adresses en configurant la traduction des préfixes de réseau sans état dans les réseaux IPv6 à l’aide d’ensembles de services de style interface
Vous pouvez configurer la traduction sans état des préfixes d’adresse source dans les réseaux IPv6 (IPv6 vers IPv6) sur les routeurs MX Series dotés de MPC prenant en charge le NAT en ligne. Le traducteur NPTv6 traduit le préfixe de l’adresse source de telle sorte que la somme de contrôle de la couche transport du paquet n’a pas besoin d’être recalculée. NPTv6 définit une méthode sans état de traduction des préfixes réseau IPv6 entre les réseaux internes et externes. NPTv6 ne conserve pas l’état de chaque nœud ou flux dans le traducteur. Vous pouvez utiliser la show services nat mappings nptv6 (internal | external) commande pour afficher les mappages NAT pour NPTv6 pour les adresses internes et externes respectivement. Vous pouvez également utiliser les commandes et show services inline nat pool pour afficher des informations sur le show services inline nat statistics NAT en ligne avec NPTv6 configuré.
Cette fonctionnalité est prise en charge sur les routeurs MX Series avec des FPC basés sur Trio (MPC).
Cet exemple décrit comment configurer la traduction de préfixes de source sans état pour des paquets IPv6 à l’aide d’ensembles de services de type interface sur des routeurs MX Series avec MPC, et contient les sections suivantes :
- Exigences
- Présentation et topologie de la traduction des préfixes de réseau sans état dans les réseaux IPv6 à l’aide d’ensembles de services de type interface
- La configuration
- Vérification
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un routeur MX Series avec une MPC.
Junos OS version 15.1R1 ou ultérieure pour les routeurs MX Series
Présentation et topologie de la traduction des préfixes de réseau sans état dans les réseaux IPv6 à l’aide d’ensembles de services de type interface
Pour le service de style d’interface, l’ensemble de services est configuré directement sur l’interface multimédia et affecte le trafic lorsqu’il quitte et entre dans l’interface. Les paquets sont dirigés vers l’interface de service en ligne par le filtre de service appliqué à l’interface multimédia.
Une fois que vous avez défini et regroupé les règles de service en configurant la définition de l’ensemble de services, vous pouvez appliquer des services à une ou plusieurs interfaces installées sur le routeur. Lorsque vous appliquez l’ensemble de services à une interface, il s’assure automatiquement que les paquets sont dirigés vers le PIC.
Prenons un exemple de scénario de configuration dans lequel NPTv6 est configuré à l’aide d’ensembles de services de style interface. Une interface de services en ligne, si-0/1/0, est configurée avec une bande passante réservée à 10 gigabits par seconde. L’interface si-0/1/0 est définie avec la famille inet6. Un pool d’adresses NAT, nptv6_pool, est configuré avec l’adresse abcd :ef12:3456 ::/48. Une règle NAT est appliquée dans le sens d’entrée pour effectuer la traduction NPTv6 sur les paquets qui arrivent de l’adresse source de 1234:5678:9abc ::/48. Pour les paquets provenant de l’adresse source 1234:5678:9abc ::/48 qui correspondent au critère de la règle NAT, l’adresse du pool d’adresses NAT est allouée. Un ensemble de services, ss_nptv6, est spécifié avec la règle NAT. Une interface Ethernet gigabit, ge-5/0/0, est configurée et l’ensemble des services est appliqué à cette interface.
La configuration
Pour configurer la traduction de préfixes de réseau sans état pour IPv6 à l’aide d’ensembles de services de type interface, effectuez les tâches suivantes :
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans la CLI au niveau de la hiérarchie [edit] :
Configuration des interfaces
set interfaces si-0/1/0 unit 0 family inet6
Configuration des interfaces pour le trafic à gérer par l’ensemble de services
set interfaces ge-5/0/0 unit 0 family inet6 service input service-set nptv6-service-set set interfaces ge-5/0/0 unit 0 family inet6 service output service-set nptv6-service-set set interfaces ge-5/0/0 unit 0 family inet6 address 1234:5678:9abc::1/64
Configuration de la bande passante pour l’interface en ligne de service (si-)
set chassis fpc 0 pic 1 inline-services bandwidth 10g
Configuration d’un pool et de règles NAT
set services nat pool ss_nptv6_pool address abcd:ef12:3456::/48 set services nat rule ss_nptv6_rule match-direction input term t0 from source-address 1234:5678:9abc::/48 set services nat rule ss_nptv6_rule match-direction input term t0 then translated source-pool ss_nptv6_pool set services nat rule ss_nptv6_rule match-direction input term t0 then translated translation-type nptv6
Configuration de l’ensemble de services
set services service-set ss_nptv6 nat-rules ss_nptv6_rule set services service-set ss_nptv6 nat-options nptv6 icmpv6-error-messages set services service-set ss_nptv6 interface-service service-interface si-0/1/0.0
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI.
Pour configurer la traduction des préfixes de réseau sans état pour IPv6 à l’aide d’ensembles de services de type interface :
Configurez une interface de services en ligne (si-).
[edit] user@host# set interfaces si-0/1/0 unit 0 family inet6
Configurez les interfaces pour que le trafic soit géré par l’ensemble de services.
[edit] user@host# set interfaces ge-5/0/0 unit 0 family inet6 service input service-set nptv6-service-set user@host# set interfaces ge-5/0/0 unit 0 family inet6 service output service-set nptv6-service-set user@host# set interfaces ge-5/0/0 unit 0 family inet6 address 1234:5678:9abc::1/64
Configurez la bande passante de l’interface de service en ligne (si-).
[edit] user@host# set chassis fpc 0 pic 1 inline-services bandwidth 10g
Configurez un pool et une règle NAT.
[edit] user@host# set services nat pool ss_nptv6_pool address abcd:ef12:3456::/48 user@host# set services nat rule ss_nptv6_rule match-direction input term t0 from source-address 1234:5678:9abc::/48 user@host# set services nat rule ss_nptv6_rule match-direction input term t0 then translated source-pool ss_nptv6_pool user@host# set services nat rule ss_nptv6_rule match-direction input term t0 then translated translation-type nptv6
Configurer l’ensemble des services
[edit] user@host# set services service-set ss_nptv6 nat-rules ss_nptv6_rule user@host# set services service-set ss_nptv6 nat-options nptv6 icmpv6-error-messages user@host# set services service-set ss_nptv6 interface-service service-interface si-0/1/0.0
Résultats
En mode configuration, confirmez votre configuration en entrant les show chassiscommandes , show interfaceset show services . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show chassis
chassis {
fpc 0 {
pic 1 {
inline-services {
bandwidth 10g;
}
}
}
}
user@host# show interfaces
interfaces {
si-0/1/0 {
unit 0 {
family inet6;
}
}
ge-5/0/0 {
unit 0 {
family inet6 {
service {
input {
service-set nptv6-service-set;
}
output {
service-set nptv6-service-set;
}
}
address 1234:5678:9abc::1/64;
}
}
}
}
user@host# show services
services {
service-set ss_nptv6 {
nat-rules ss_nptv6_rule;
nat-options {
nptv6 {
icmpv6-error-messages;
}
}
interface-service {
service-interface si-0/1/0.0;
}
}
nat {
pool ss_nptv6_pool {
address abcd:ef12:3456::/48;
}
rule ss_nptv6_rule {
match-direction input;
term t0 {
from {
source-address {
1234:5678:9abc::/48;
}
}
then {
translated {
source-pool ss_nptv6_pool;
translation-type {
nptv6;
}
}
}
}
}
}
}
Vérification
Pour confirmer que la configuration fonctionne correctement, procédez comme suit :
Vérification des mappages de pools NAT
Objet
Vérifiez les pools d’adresses et les mappages NAT existants pour la traduction des préfixes réseau IPv6.
Mesures à prendre
En mode opérationnel, utilisez la show services nat mappings nptv6 commande :
user@host> show services nat mappings nptv6 internal 1111:2222:3333:aaaa:bbbb::1 Interface Service-set NAT-Pool Address Mapping si-0/1/0 ss_nptv6 ss_nptv6_pool 1111:2222:3333:aaaa:bbbb::1 -> aaaa:bbbb:cccc:dddd:bbbb::1
user@host> show services nat mappings nptv6 external aaaa:bbbb:cccc:dddd:bbbb::1 Interface Service-set NAT-Pool Address Mapping si-0/1/0 ss_nptv6 ss_nptv6_pool 1111:2222:3333:aaaa:bbbb::1 -> aaaa:bbbb:cccc:dddd:bbbb::1
Signification
La sortie montre le mappage entre les adresses NAT et les ports pour la traduction du préfixe de réseau sans état IPv6 des adresses externes et internes. Les détails de l’adresse et du port qui ont été envoyés et convertis à l’origine à l’aide de NAT sont affichés.
Vérification des pools et des statistiques NAT en ligne
Objet
Vérifiez les pools et les statistiques NAT en ligne pour la traduction des préfixes réseau IPv6.
Mesures à prendre
En mode opérationnel, utilisez la show services inline nat commande :
user@host> show services inline nat statistics interface si-4/0/0
Service PIC Name: si-4/0/0
Control Plane Statistics
ICMPv4 errors packets pass through :0
ICMPv4 errors packets locally generated :0
ICMPv6 errors packets pass through :0
ICMPv6 errors packets locally generated :0
Dropped packets :0
Data Plane Statistics
NATed packets :0
deNATed packets :0
Errors :0
user@host> show services inline nat pool
Interface: si-4/0/0, Service set: ss_nptv6
NAT pool: ss_nptv6_pool1, Translation type: NPTV6
Address range: abcd:ef12:3456::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
NAT pool: ss_nptv6_pool2, Translation type: NPTV6
Address range: 1111:2222:3333::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
user@host> show services inline nat pool ss_nptv6_pool1
Interface: si-4/0/0, Service set: ss_nptv6
NAT pool: ss_nptv6_pool1, Translation type: NPTV6
Address range: abcd:ef12:3456::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
Signification
La sortie affiche des informations sur les traductions d’adresses NAT en ligne, telles que le nombre de paquets soumis au traitement NAT, les paquets qui ne sont pas traduits et les paquets avec des erreurs de traduction pour un ensemble de services spécifié et une interface si.
Exemple : Obtenir l’indépendance des adresses en configurant la traduction des préfixes de réseau sans état dans les réseaux IPv6 à l’aide d’ensembles de services de type saut suivant
Vous pouvez configurer la traduction sans état des préfixes d’adresse source dans les réseaux IPv6 (IPv6 vers IPv6) sur les routeurs MX Series avec MPC où le NAT en ligne est pris en charge. Le traducteur NPTv6 traduit le préfixe de l’adresse source de telle sorte que la somme de contrôle de la couche transport du paquet n’a pas besoin d’être recalculée. NPTv6 définit une méthode sans état de traduction des préfixes réseau IPv6 entre les réseaux internes et externes. NPTv6 ne conserve pas l’état par nœud ou par flux dans le traducteur. Vous pouvez utiliser la commande show services nat mappings nptv6 (internal | external) pour afficher les mappages NAT pour NPTv6 pour les adresses internes et externes respectivement. Vous pouvez également utiliser les commandes show services inline nat statistics et show services inline nat pool pour afficher des informations sur le NAT en ligne avec NPTv6 configuré.
Cette fonctionnalité est prise en charge sur les routeurs MX Series avec des FPC basés sur Trio (MPC).
Cet exemple décrit comment configurer la traduction de préfixe source sans état pour des paquets IPv6 à l’aide d’ensembles de services de style saut suivant sur des routeurs MX Series avec MPC, et contient les sections suivantes :
- Exigences
- Présentation et topologie de la traduction des préfixes de réseau sans état dans les réseaux IPv6 à l’aide d’ensembles de services de style de saut suivant
- La configuration
- Vérification
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un routeur MX Series avec une MPC.
Junos OS version 15.1R1 ou ultérieure pour les routeurs MX Series
Présentation et topologie de la traduction des préfixes de réseau sans état dans les réseaux IPv6 à l’aide d’ensembles de services de style de saut suivant
Un ensemble de services de saut suivant est une méthode d’application d’un service particulier basée sur le routage. Seuls les paquets destinés à un saut suivant spécifique sont traités par la création de routes statiques explicites. Cette configuration est utile lorsque des services doivent être appliqués à l’ensemble d’une table VRF (Virtual Private Network) entière, ou lorsque des décisions de routage déterminent que des services doivent être exécutés.
Pour le service de type saut suivant, une entrée de route est configurée pour diriger les paquets vers une interface de service en ligne. Le paquet est validé par le biais des règles de service. Si le paquet correspond aux règles de service, il est traité conformément aux règles de service.
Prenons un exemple de scénario de configuration dans lequel NPTv6 est configuré à l’aide d’ensembles de services de style saut suivant. Une interface de services en ligne, si-0/1/0, est configurée avec une bande passante réservée à 10 gigabits par seconde. L’interface si-0/1/0 est définie avec la famille inet6. Un pool d’adresses NAT, nptv6_pool, est configuré avec l’adresse abcd :ef12:3456 ::/48. Une règle NAT est appliquée dans le sens d’entrée pour effectuer la traduction NPTv6 sur les paquets qui arrivent de l’adresse source de 1234:5678:9abc ::/48. Pour les paquets provenant de l’adresse source 1234:5678:9abc ::/48 qui correspondent au critère de la règle NAT, l’adresse du pool d’adresses NAT est allouée. L’ensemble de services est configuré pour le transfert de sauts suivants avec l’interface de service si-0/1/0.1 associée à l’ensemble de services appliqué à l’intérieur du réseau. avec des paramètres pour les interfaces de service de saut suivant pour le réseau interne et SI-/1/0,2 associé à l’ensemble de services appliqué à l’extérieur du réseau. Un ensemble de services, ss_nptv6, est spécifié avec la règle NAT. Le domaine de l’interface de service est spécifié pour l’interface si, le domaine de service interne étant configuré pour si-0/1/0.1 et le domaine de service externe configuré pour si-0/1/0.2. Une instance de routage, inst1, est configurée avec le type d’instance en tant qu’instance VRF. L’interface SI-0/1/0.1 et l’interface GE-5/0/0 sont associées à INST1. Le domaine d’interface interne et externe correspond à celui spécifié avec les instructions inside-service-interface et external-service-interface. Une stratégie est configurée pour les événements NAT avec l’action de rejeter tous les paquets.
La configuration
Pour configurer la traduction de préfixes de réseau sans état pour IPv6 à l’aide d’ensembles de services de style saut suivant, effectuez les tâches suivantes :
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans la CLI au niveau de la hiérarchie [edit] :
Configuration des interfaces en ligne
set interfaces si-0/1/0 unit 0 family inet6 set interfaces si-0/1/0 unit 1 family inet6 set interfacessi-0/1/0 unit 1 service-domain inside set interfaces si-0/1/0 unit 2 family inet6 set interfaces si-0/1/0 unit 2 service-domain outside set interfaces ge-5/0/0 unit 0 family inet6 address 1234:5678:9abc::1/64
Configuration de la bande passante pour les services en ligne
set chassis fpc 0 pic 1 inline-services bandwidth 10g
Configuration d’un pool et d’une règle NAT
set services nat pool ss_nptv6_pool address abcd:ef12:3456::/48 set services nat rule ss_nptv6_rule match-direction input term t0 from source-address 1234:5678:9abc::/48 set services nat rule ss_nptv6_rule match-direction input term t0 then translated source-pool ss_nptv6_pool set services nat rule ss_nptv6_rule match-direction input term t0 then translated translation-type nptv6
Configuration d’un ensemble de services
set services service-set ss_nptv6 nat-rules ss_nptv6_rule set services service-set ss_nptv6 nat-options nptv6 icmpv6-error-messages set services service-set ss_nptv6 nexthop-service inside-service-interface si-0/1/0.1 set services service-set ss_nptv6 nexthop-service outside-service-interface si-0/1/0.2
Configuration des instances de routage
set routing-instances inst1 instance-type vrf set routing-instances inst1 interface si-0/1/0.1 set routing-instances inst1 interface ge-5/0/0.0 set routing-instances inst1 route-distinguisher 1234:5678 set routing-instances inst1 vrf-import reject-all set routing-instances inst1 vrf-export reject-all set routing-instances inst1 routing-options rib inst1.inet6.0 static route ::0/0 next-hop si-0/1/0.1
Configuration de la stratégie et du modificateur d’action
set policy-options policy-statement reject-all then reject
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, consultez Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI.
Pour configurer la traduction des préfixes de réseau sans état pour IPv6 à l’aide d’ensembles de services de style saut suivant :
Configurez l’interface en ligne pour les services NAT.
[edit] user@host# set interfaces si-0/1/0 unit 0 family inet6 user@host# set interfaces si-0/1/0 unit 1 family inet6 user@host# set interfacessi-0/1/0 unit 1 service-domain inside user@host# set interfaces si-0/1/0 unit 2 family inet6 user@host# set interfaces si-0/1/0 unit 2 service-domain outside user@host# set interfaces ge-5/0/0 unit 0 family inet6 address 1234:5678:9abc::1/64
Définissez la bande passante pour les services en ligne.
[edit] user@host# set chassis fpc 0 pic 1 inline-services bandwidth 10g
Configurez le pool et la règle de NAT.
[edit] user@host# set services nat pool ss_nptv6_pool address abcd:ef12:3456::/48 user@host# set services nat rule ss_nptv6_rule match-direction input term t0 from source-address 1234:5678:9abc::/48 user@host# set services nat rule ss_nptv6_rule match-direction input term t0 then translated source-pool ss_nptv6_pool user@host# set services nat rule ss_nptv6_rule match-direction input term t0 then translated translation-type nptv6
Configurez un ensemble de services à l’aide de la règle NAT associée au pool NAT.
[edit] user@host# set services service-set ss_nptv6 nat-rules ss_nptv6_rule user@host# set services service-set ss_nptv6 nat-options nptv6 icmpv6-error-messages user@host# set services service-set ss_nptv6 nexthop-service inside-service-interface si-0/1/0.1 user@host# set services service-set ss_nptv6 nexthop-service outside-service-interface si-0/1/0.2
Configurez les instances de routage qui utilisent les interfaces si configurées.
[edit] user@host# set routing-instances inst1 instance-type vrf user@host# set routing-instances inst1 interface si-0/1/0.1 user@host# set routing-instances inst1 interface ge-5/0/0.0 user@host# set routing-instances inst1 route-distinguisher 1234:5678 user@host# set routing-instances inst1 vrf-import reject-all user@host# set routing-instances inst1 vrf-export reject-all user@host# set routing-instances inst1 routing-options rib inst1.inet6.0 static route ::0/0 next-hop si-0/1/0.1
Configurez la stratégie et le modificateur d’action pour les paquets NAT.
[edit] user@host# set policy-options policy-statement reject-all then reject
Résultats
En mode configuration, confirmez votre configuration en entrant les show chassiscommandes , , show routing-instancesshow interfacesshow policy-options, , et .show services Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show chassis
chassis {
fpc 0 {
pic 1 {
inline-services {
bandwidth 10g;
}
}
}
}
user@host# show interfaces
chassis {
fpc 0 {
pic 1 {
inline-services {
bandwidth 10g;
}
}
}
}
interfaces {
si-0/1/0 {
unit 0 {
family inet6;
}
unit 1 {
family inet6;
service-domain inside;
}
unit 2 {
family inet6;
service-domain outside;
}
}
ge-5/0/0 {
unit 0 {
family inet6 {
address 1234:5678:9abc::1/64;
}
}
}
}
user@host# show policy-options
policy-options {
policy-statement reject-all {
then reject;
}
}
user@host# show routing-instances
routing-instances {
inst1 {
instance-type vrf;
interface si-0/1/0.1;
interface ge-5/0/0.0;
route-distinguisher 1234:5678;
vrf-import reject-all;
vrf-export reject-all;
routing-options {
rib inst1.inet6.0 {
static {
route ::0/0 next-hop si-0/1/0.1;
}
}
}
}
}
user@host# show services
services {
service-set ss_nptv6 {
nat-rules ss_nptv6_rule;
nat-options {
nptv6 {
icmpv6-error-messages;
}
}
nexthop-service {
inside-service-interface si-0/1/0.1;
outside-service-interface si-0/1/0.2;
}
}
nat {
pool ss_nptv6_pool {
address abcd:ef12:3456::/48;
}
rule ss_nptv6_rule {
match-direction input;
term t0 {
from {
source-address {
1234:5678:9abc::/48;
}
}
then {
translated {
source-pool ss_nptv6_pool;
translation-type {
nptv6;
}
}
}
}
}
}
}
Vérification
Pour confirmer que la configuration fonctionne correctement, procédez comme suit :
Vérification des mappages de pools NAT
Objet
Vérifiez les pools d’adresses et les mappages NAT existants pour la traduction des préfixes réseau IPv6.
Mesures à prendre
En mode opérationnel, utilisez la show services nat mappings nptv6 commande :
user@host> show services nat mappings nptv6 internal 1111:2222:3333:aaaa:bbbb::1 Interface Service-set NAT-Pool Address Mapping si-0/1/0 ss_nptv6 ss_nptv6_pool 1111:2222:3333:aaaa:bbbb::1 -> aaaa:bbbb:cccc:dddd:bbbb::1
user@host> show services nat mappings nptv6 external aaaa:bbbb:cccc:dddd:bbbb::1 Interface Service-set NAT-Pool Address Mapping si-0/1/0 ss_nptv6 ss_nptv6_pool 1111:2222:3333:aaaa:bbbb::1 -> aaaa:bbbb:cccc:dddd:bbbb::1
Signification
La sortie affiche des informations sur les traductions d’adresses NAT en ligne, telles que le nombre de paquets soumis au traitement NAT, les paquets qui ne sont pas traduits et les paquets avec des erreurs de traduction pour un ensemble de services spécifié et une interface si.
Vérification des pools et des statistiques NAT en ligne
Objet
Vérifiez les pools et les statistiques NAT en ligne pour la traduction des préfixes réseau IPv6.
Mesures à prendre
En mode opérationnel, utilisez la show services inline nat commande :
user@host> show services inline nat statistics interface si-4/0/0
Service PIC Name :si-4/0/0
Control Plane Statistics
ICMPv4 errors packets pass through :0
ICMPv4 errors packets locally generated :0
ICMPv6 errors packets pass through :0
ICMPv6 errors packets locally generated :0
Dropped packets :0
Data Plane Statistics
NATed packets :0
deNATed packets :0
Errors :0
user@host> show services inline nat pool
Interface: si-0/1/0, Service set: ss_nptv6
NAT pool: ss_nptv6_pool1, Translation type: NPTV6
Address range: abcd:ef12:3456::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
NAT pool: ss_nptv6_pool2, Translation type: NPTV6
Address range: 1111:2222:3333::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
user@host> show services inline nat pool ss_nptv6_pool1
Interface: si-0/1/0, Service set: ss_nptv6
NAT pool: ss_nptv6_pool1, Translation type: NPTV6
Address range: abcd:ef12:3456::/48
NATed packets: 0, deNATed packets: 0, Errors: 0
Signification
La sortie montre le mappage entre les adresses NAT et les ports pour la traduction du préfixe de réseau sans état IPv6 des adresses externes et internes. Les détails de l’adresse et du port qui ont été envoyés et convertis à l’origine à l’aide de NAT sont affichés.