NAT source statique
Configuration de la traduction de sources statiques dans les réseaux IPv4
Pour configurer le type de traduction basic-nat44, vous devez configurer le pool et la règle de NAT, l’ensemble de services avec l’interface de service et les options de trace. Cette rubrique comprend les tâches suivantes :
- Configuration du pool et de la règle NAT
- Configuration de l’ensemble de services pour le NAT
- Configuration des options de traçage
- Exemple de configuration - NAT source statique utilisant un pool statique avec un préfixe d’adresse et une plage d’adresses
- Exemple de configuration - Nat source statique pour un mappage un-à-un entre un sous-réseau privé et un sous-réseau public
Configuration du pool et de la règle NAT
Pour configurer le pool, la règle et le terme NAT :
Si vous ne configurez pas de règle de pare-feu dynamique (SFW) pour votre trafic, chaque paquet est soumis à la règle de pare-feu dynamique par défaut suivante :
Autorisez tous les paquets valides de l’intérieur vers l’extérieur.
Créez des flux aller et retour basés sur les paquets 5-tuple.
Seuls les paquets valides correspondant aux flux de retour de l’extérieur vers l’intérieur sont autorisés.
Les contrôles de validité des paquets du pare-feu dynamique sont décrits dans la section Vérification des anomalies du pare-feu dynamique dans Présentation de Junos Network Secure. Lorsqu’un paquet passe la vérification de validité du pare-feu dynamique mais n’est pas suivi par une règle NAT, il n’est pas traduit et peut être transféré si le nœud NAT dispose d’une route valide vers les adresses IP de destination des paquets.
Lorsque vous ajoutez ou supprimez un paramètre dans l’instruction from (NAT condition de correspondance de terme de règle) au niveau de la [edit services service-set service-set-name nat-rules rule-name term term- name] hiérarchie, cette modification de configuration déclenche la suppression et l’ajout de la stratégie de NAT (ce qui équivaut à la désactivation et à l’activation d’un ensemble de services) qui entraîne la suppression de tous les mappages de NAT existants. Étant donné que les sessions ne sont pas fermées en raison de la modification de la stratégie NAT, ce comportement entraîne l’expiration du délai d’expiration des mappages immédiatement après la fermeture des sessions. Ce comportement est normal et ne s’applique qu’avec les packages Extension-Provider de Junos OS installés sur un équipement. Lorsqu’une stratégie NAT est supprimée et rajoutée, seuls les mappages EIM sont supprimés. Cette modification de la stratégie NAT ne désactive pas et n’active pas l’ensemble de services. Nous vous recommandons de désactiver et de réactiver le service défini dans de tels scénarios dans Junos OS version 14.2 et antérieure.
Configuration de l’ensemble de services pour le NAT
Pour configurer l’ensemble de services pour le NAT :
Configuration des options de traçage
Pour configurer les options de traçage :
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat44;
interface-service {
service-interface ms-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat44 {
match-direction input;
term t1 {
from {
source-address {
3.1.1.2/32;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Exemple de configuration - NAT source statique utilisant un pool statique avec un préfixe d’adresse et une plage d’adresses
[edit services nat]
pool p1 {
address 30.30.30.252/30;
address-range low 20.20.20.1 high 20.20.20.2;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.252/30;
}
}
then {
translated {
source-pool p1;
translation-type basic-nat44;
}
}
}
}
Exemple de configuration - Nat source statique pour un mappage un-à-un entre un sous-réseau privé et un sous-réseau public
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat44;
interface-service {
service-interface ms-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat44 {
match-direction input;
term t1 {
from {
source-address {
3.1.1.2/32;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
[edit interfaces]
user@host# show
xe-1/1/0 {
unit 0 {
family inet {
service {
input {
service-set s1;
}
output {
service-set s1;
}
}
address 10.255.247.2/24;
}
}
}
Configuration de la traduction de source statique dans les réseaux IPv6
Pour configurer le type de traduction , basic-nat66vous devez configurer le pool et la règle de NAT, l’ensemble de services avec l’interface de service et les options de trace. Le basic-nat66 type de traduction n’est pas disponible si vous utilisez des MS-MPC ou des MS-MIC.
Cette rubrique comprend les tâches suivantes :
- Configuration du pool et de la règle NAT
- Configuration de l’ensemble de services pour le NAT
- Configuration des options de traçage
Configuration du pool et de la règle NAT
Pour configurer le pool, la règle et le terme NAT :
Configuration de l’ensemble de services pour le NAT
Pour configurer l’ensemble de services pour le NAT :
Configuration des options de traçage
Pour configurer les options de traçage au niveau de la [edit services adaptive-services-pics] hiérarchie :
L’exemple suivant configure le type de traduction en tant que basic-nat66.
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat66;
interface-service {
service-interface sp-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat66 {
match-direction input;
term t1 {
from {
source-address {
2001:db8:10::0/96/96;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Exemple : configuration de NAT44 de base
Cet exemple décrit comment implémenter une configuration NAT44 de base.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Une plate-forme de routage universelle 5G MX Series avec un DPC de services ou une périphérie multiservice M Series routeur avec un PIC de services
Un serveur de noms de domaine (DNS)
Junos OS version 11.4 ou supérieure
Vue d’ensemble
Cet exemple montre une configuration CGN NAT44 complète et des options avancées.
Configuration de NAT44 de base
Configuration du châssis
Procédure étape par étape
Pour configurer le PIC de service (FPC 5 Slot 0) avec le package de services de couche 3 :
Allez au niveau hiérarchique [edit chassis].
user@host# edit chassisConfigurez le package de services de couche 3.
[edit chassis]user@host# set fpc 5 pic 0 adaptive-services service-package layer-3
Interfaces Configuration
Procédure étape par étape
Pour configurer des interfaces vers le réseau privé et l’Internet public :
Définissez l’interface avec le réseau privé.
user@host# edit interfaces ge-1/3/5
[edit interfaces ge-1/3/5]user@host# set description “Private” user@host# edit unit 0 family inet[edit interfaces ge-1/3/5 unit 0 family inet]user@host# set service input service-set ss2 user@host# set service output service-set ss2 user@host# set address 9.0.0.1/24Définissez l’interface avec l’Internet public.
user@host# edit interfaces ge-1/3/6
[edit interfaces ge-1/3/6]user@host# set description “Public” user@host# set unit 0 family inet address 128.0.0.1/24Définissez l’interface de service pour le traitement NAT.
user@host# edit interfaces sp-5/0/0
[edit interfaces sp-5/0/0]user@host# set unit 0 family inet
Résultats
user@host# show interfaces ge-1/3/5
description Private;
unit 0 {
family inet {
service {
input {
service-set sset2;
}
output {
service-set sset2;
}
}
address 9.0.0.1/24;
}
}
}
user@host# show interfaces ge-1/3/6
description Public:;
unit 0 {
family inet {
address 128.0.0.1/24;
}
}
user@host# show interfaces sp-5/0/0
unit 0 {
family inet;
}
Exemple : Configuration de NAT pour le trafic multicast
La figure 1 illustre la configuration réseau pour la configuration suivante, qui permet d’envoyer le trafic multicast IP au PIC multiservices.
multicast
Configuration du point de rendez-vous
Au point de rendez-vous (RP), tout le trafic entrant de la source multicast à 192.168.254.0/27 est envoyé au pool de NAT statique mcast_pool, où sa source est traduite en 20.20.20.0/27. L’ensemble de services nat_ss est un ensemble de services de saut suivant qui permet d’envoyer du trafic multicast IP vers le DPC multiservices ou le PIC multiservices. L’interface interne du PIC est ms-1/1/0.1 et l’interface externe est ms-1/1/0.2.
[edit services]
nat {
pool mcast_pool {
address 20.20.20.0/27;
}
rule nat_rule_1 {
match-direction input;
term 1 {
from {
source-address 192.168.254.0/27;
}
}
then {
translated {
source-pool mcast_pool;
translation-type basic-nat44;
}
syslog;
}
}
}
service-set nat_ss {
allow-multicast;
nat-rules nat_rule_1;
next-hop-service {
inside-service-interface ms-1/1/0.1;
outside-service-interface ms-1/1/0.2;
}
}
L’interface Gigabit Ethernet ge-0/3/0 transporte le trafic du RP vers le routeur 1. L’interface multiservices ms-1/1/0 possède deux interfaces logiques : l’unité 1 est l’interface interne pour les services de saut suivant et l’unité 2 est l’interface externe pour les services de saut suivant. Le trafic source multicast arrive sur l’interface Fast Ethernet fe-1/2/1, à laquelle le filtre de pare-feu fbf est appliqué au trafic entrant.
[edit interfaces]
ge-0/3/0 {
unit 0 {
family inet {
address 10.10.1.1/30;
}
}
}
ms-1/1/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
fe-1/2/1 {
unit 0 {
family inet {
filter {
input fbf;
}
address 192.168.254.27/27;
}
}
}
Les paquets multicast ne peuvent être dirigés vers le DPC multiservices ou le PIC multiservices qu’à l’aide d’un ensemble de services de saut suivant. Dans le cas du NAT, vous devez également configurer une instance de routage et de transfert VPN (VRF). Par conséquent, l’étape d’instance de routage est créée en tant qu’instance de transfert « factice ». Pour diriger les paquets entrants vers l’étape, vous configurez le transfert basé sur un filtre par le biais d’un filtre de pare-feu appelé fbf, qui est appliqué à l’interface entrante fe-1/2/1. Une recherche est effectuée dans stage.inet.0, qui a une route statique de multicast qui est installée avec le saut suivant pointant vers l’interface interne du PIC. Tout le trafic de multicast correspondant à cette route est envoyé au PIC.
[edit firewall]
filter fbf {
term 1 {
then {
routing-instance stage;
}
}
}
L’étape d’instance de routage transfère le trafic multicast IP vers l’interface interne ms-1/1/0.1 sur le DPC multiservices ou le PIC multiservices :
[edit]
routing-instances stage {
instance-type forwarding;
routing-options {
static {
route 224.0.0.0/4 next-hop ms-1/1/0.1;
}
}
}
Vous activez OSPF et Protocol Independent Multicast (PIM) sur les interfaces logiques Fast Ethernet et Gigabit Ethernet sur lesquelles le trafic multicast IP entre et sort du RP. Vous activez également PIM sur l’interface externe (ms-1/1/0.2) de l’ensemble de services de saut suivant.
[edit protocols]
ospf {
area 0.0.0.0 {
interface fe-1/2/1.0 {
passive;
}
interface lo0.0;
interface ge-0/3/0.0;
}
}
pim {
rp {
local {
address 10.255.14.160;
}
}
interface fe-1/2/1.0;
interface lo0.0;
interface ge-0/3/0.0;
interface ms-1/1/0.2;
}
Comme pour toute configuration de transfert basée sur un filtre, pour que la route statique de l’étape d’instance de transfert ait un saut suivant accessible, vous devez configurer les groupes de tables de routage de sorte que toutes les routes d’interface soient copiées de inet.0 vers la table de routage de l’instance de transfert. Vous configurez les tables de routage inet.0 et stage.inet.0 en tant que membres de fbf_rib_group, de sorte que toutes les routes d’interface soient importées dans les deux tables.
[edit routing-options]
interface-routes {
rib-group inet fbf_rib_group;
}
rib-groups fbf_rib_group {
import-rib [ inet.0 stage.inet.0 ];
}
multicast {
rpf-check-policy no_rpf;
}
La vérification RPF (Reverse Path Forwarding) doit être désactivée pour le groupe de multicast sur lequel le NAT source est appliqué. Vous pouvez désactiver la vérification RPF pour des groupes de multicast spécifiques en configurant une stratégie similaire à celle de l’exemple suivant. Dans ce cas, la stratégie no_rpf désactive la vérification RPF pour les groupes multicast appartenant à 224.0.0.0/4.
[edit policy-options]
policy-statement no_rpf {
term 1 {
from {
route-filter 224.0.0.0/4 orlonger;
}
then reject;
}
}
Configuration du routeur 1
La configuration du protocole IGMP (Internet Group Management Protocol), d’OSPF et de PIM sur le routeur 1 est la suivante. En raison de la configuration de groupe statique IGMP, le trafic est transféré fe-3/0/0.0 vers le récepteur de multicast sans recevoir de rapports d’appartenance des membres hôtes.
[edit protocols]
igmp {
interface fe-3/0/0.0 {
}
}
ospf {
area 0.0.0.0 {
interface fe-3/0/0.0 {
passive;
}
interface lo0.0;
interface ge-7/2/0.0;
}
pim {
rp {
static {
address 10.255.14.160;
}
}
interface fe-3/0/0.0;
interface lo0.0;
interface ge-7/2/0.0;
}
}
L’option de routage crée une route statique vers le pool de NAT, mcast_pool, sur le RP.
[edit routing-options]
static {
route 20.20.20.0/27 next-hop 10.10.1.1;
}
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.