NAT source statique
Configuration de la traduction de source statique dans les réseaux IPv4
Pour configurer le type de traduction en tant que basic-nat44, vous devez configurer le pool et la règle NAT, l’ensemble de services avec l’interface de service et les options de traçage. Cette rubrique comprend les tâches suivantes :
- Configuration du pool et de la règle NAT
- Configuration de l’ensemble de services pour NAT
- Configuration des options de traçage
- Exemple de configuration : NAT source statique à l’aide d’un pool statique avec un préfixe d’adresse et une plage d’adresses
- Exemple de configuration : source statique pour le mappage un-à-un entre un sous-réseau privé et un sous-réseau public
Configuration du pool et de la règle NAT
Pour configurer le pool, la règle et la durée NAT :
Si vous ne configurez pas de règle de pare-feu dynamique (SFW) pour votre trafic, chaque paquet est soumis à la règle de pare-feu dynamique par défaut suivante :
Autorisez tous les paquets valides de l’intérieur vers l’extérieur.
Créez un flux aller et retour basé sur les paquets à 5 tuples.
N’autorisez que les paquets valides correspondant aux flux de retour de l’extérieur vers l’intérieur.
Les contrôles de validité des paquets du pare-feu dynamique sont décrits dans la présentation de la vérification des anomalies du pare-feu dynamique dans Junos Network Secure. Lorsqu’un paquet passe avec succès la vérification de validité du pare-feu dynamique, mais qu’il ne correspond pas à une règle NAT, il n’est pas traduit et peut être transféré si le nœud NAT dispose d’un itinéraire valide vers les adresses IP de destination des paquets.
Lorsque vous ajoutez ou supprimez un paramètre dans l’instruction from (condition de correspondance de terme de règle NAT) au niveau de la [edit services service-set service-set-name nat-rules rule-name term term- name] hiérarchie, cette modification de configuration déclenche la suppression et l’ajout de la stratégie NAT (qui équivaut à la désactivation et à l’activation d’un ensemble de services) qui entraîne la suppression de tous les mappages NAT existants. Étant donné que les sessions ne sont pas fermées en raison de la modification de la stratégie NAT, ce comportement entraîne l’expiration des mappages immédiatement après la fermeture des sessions. Ce comportement est normal et ne s’applique qu’avec les packages Junos OS Extension-Provider installés sur un périphérique. Lorsqu’une stratégie NAT est supprimée et rajoutée, seuls les mappages EIM sont supprimés. Cette modification de la stratégie NAT ne désactive pas et n’active pas l’ensemble de services. Nous vous recommandons de désactiver et de réactiver l’ensemble de services dans de tels scénarios dans Junos OS version 14.2 et antérieure.
Configuration de l’ensemble de services pour NAT
Pour configurer l’ensemble de services pour NAT :
Configuration des options de traçage
Pour configurer les options de traçage :
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat44;
interface-service {
service-interface ms-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat44 {
match-direction input;
term t1 {
from {
source-address {
3.1.1.2/32;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Exemple de configuration : NAT source statique à l’aide d’un pool statique avec un préfixe d’adresse et une plage d’adresses
[edit services nat]
pool p1 {
address 30.30.30.252/30;
address-range low 20.20.20.1 high 20.20.20.2;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.252/30;
}
}
then {
translated {
source-pool p1;
translation-type basic-nat44;
}
}
}
}
Exemple de configuration : source statique pour le mappage un-à-un entre un sous-réseau privé et un sous-réseau public
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat44;
interface-service {
service-interface ms-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat44 {
match-direction input;
term t1 {
from {
source-address {
3.1.1.2/32;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
[edit interfaces]
user@host# show
xe-1/1/0 {
unit 0 {
family inet {
service {
input {
service-set s1;
}
output {
service-set s1;
}
}
address 10.255.247.2/24;
}
}
}
Configuration de la traduction de source statique dans les réseaux IPv6
Pour configurer le type de traduction en tant que basic-nat66, vous devez configurer le pool et la règle NAT, l’ensemble de services avec interface de service et les options de traçage. Le basic-nat66 type de traduction n’est pas disponible si vous utilisez des MS-MPC ou des MS-MIC.
Cette rubrique comprend les tâches suivantes :
- Configuration du pool et de la règle NAT
- Configuration de l’ensemble de services pour NAT
- Configuration des options de traçage
Configuration du pool et de la règle NAT
Pour configurer le pool, la règle et la durée NAT :
Configuration de l’ensemble de services pour NAT
Pour configurer l’ensemble de services pour NAT :
Configuration des options de traçage
Pour configurer les options de traçage au niveau de la [edit services adaptive-services-pics] hiérarchie :
L’exemple suivant configure le type de traduction en tant que basic-nat66.
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat66;
interface-service {
service-interface sp-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat66 {
match-direction input;
term t1 {
from {
source-address {
2001:db8:10::0/96/96;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Exemple : Configuration de NAT44 de base
Cet exemple décrit comment implémenter une configuration NAT44 de base.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Une plate-forme de routage universelle 5G MX Series avec un DPC de services ou un routeur de périphérie multiservice M Series avec un PIC de services
Un serveur de noms de domaine (DNS)
Junos OS version 11.4 ou supérieure
Aperçu
Cet exemple montre une configuration complète de CGN NAT44 et des options avancées.
Configuration de NAT44 de base
Configuration du châssis
Procédure étape par étape
Pour configurer le service PIC (FPC 5 Slot 0) avec le package de services de couche 3 :
Allez au niveau hiérarchique [Modifier châssis].
user@host# edit chassisConfigurez le package de services de couche 3.
[edit chassis]user@host# set fpc 5 pic 0 adaptive-services service-package layer-3
Interfaces Configuration
Procédure étape par étape
Pour configurer les interfaces avec le réseau privé et l’Internet public :
Définissez l’interface avec le réseau privé.
user@host# edit interfaces ge-1/3/5
[edit interfaces ge-1/3/5]user@host# set description “Private” user@host# edit unit 0 family inet[edit interfaces ge-1/3/5 unit 0 family inet]user@host# set service input service-set ss2 user@host# set service output service-set ss2 user@host# set address 9.0.0.1/24Définissez l’interface avec l’Internet public.
user@host# edit interfaces ge-1/3/6
[edit interfaces ge-1/3/6]user@host# set description “Public” user@host# set unit 0 family inet address 128.0.0.1/24Définissez l’interface de service pour le traitement NAT.
user@host# edit interfaces sp-5/0/0
[edit interfaces sp-5/0/0]user@host# set unit 0 family inet
Résultats
user@host# show interfaces ge-1/3/5
description Private;
unit 0 {
family inet {
service {
input {
service-set sset2;
}
output {
service-set sset2;
}
}
address 9.0.0.1/24;
}
}
}
user@host# show interfaces ge-1/3/6
description Public:;
unit 0 {
family inet {
address 128.0.0.1/24;
}
}
user@host# show interfaces sp-5/0/0
unit 0 {
family inet;
}
Exemple : Configuration de NAT pour le trafic multicast
La figure 1 illustre la configuration réseau pour la configuration suivante, qui permet d’envoyer le trafic multicast IP au pic multiservices.
multicast
Configuration du point de rendez-vous
Sur le point de rendez-vous (RP), tout le trafic entrant provenant de la source de multidiffusion à 192.168.254.0/27 est envoyé au mcast_pool de pool NAT statique, où sa source est traduite en 20.20.20.0/27. L’ensemble de services nat_ss est un ensemble de services de saut suivant qui permet d’envoyer le trafic multicast IP au DPC multiservices ou au PIC multiservices. L’interface interne du PIC est ms-1/1/0.1 et l’interface externe est ms-1/1/0.2.
[edit services]
nat {
pool mcast_pool {
address 20.20.20.0/27;
}
rule nat_rule_1 {
match-direction input;
term 1 {
from {
source-address 192.168.254.0/27;
}
}
then {
translated {
source-pool mcast_pool;
translation-type basic-nat44;
}
syslog;
}
}
}
service-set nat_ss {
allow-multicast;
nat-rules nat_rule_1;
next-hop-service {
inside-service-interface ms-1/1/0.1;
outside-service-interface ms-1/1/0.2;
}
}
L’interface Ethernet Gigabit ge-0/3/0 achemine le trafic du RP vers le routeur 1. L’interface multiservices ms-1/1/0 possède deux interfaces logiques : l’unité 1 est l’interface interne pour les services de saut suivant et l’unité 2 est l’interface externe pour les services de saut suivant. Le trafic source multicast arrive sur l’interface Fast Ethernet fe-1/2/1, sur laquelle le filtre de pare-feu FBF est appliqué au trafic entrant.
[edit interfaces]
ge-0/3/0 {
unit 0 {
family inet {
address 10.10.1.1/30;
}
}
}
ms-1/1/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
fe-1/2/1 {
unit 0 {
family inet {
filter {
input fbf;
}
address 192.168.254.27/27;
}
}
}
Les paquets multicast ne peuvent être dirigés vers le DPC multiservices ou le PIC multiservices qu’à l’aide d’un ensemble de services de saut suivant. Dans le cas du NAT, vous devez également configurer une instance de routage et de transfert VPN (VRF). Par conséquent, l’étape d’instance de routage est créée en tant qu’instance de transfert « factice ». Pour diriger les paquets entrants vers l’étape intermédiaire, vous configurez le transfert basé sur un filtre à travers un filtre de pare-feu appelé fbf, qui est appliqué à l’interface entrante fe-1/2/1. Une recherche est effectuée dans stage.inet.0, qui dispose d’une route statique multicast installée avec le saut suivant pointant vers l’interface interne du PIC. Tout le trafic multicast correspondant à cet itinéraire est envoyé au PIC.
[edit firewall]
filter fbf {
term 1 {
then {
routing-instance stage;
}
}
}
L’étape d’instance de routage transfère le trafic multicast IP vers l’interface interne ms-1/1/0.1 sur le DPC multiservices ou le PIC multiservices :
[edit]
routing-instances stage {
instance-type forwarding;
routing-options {
static {
route 224.0.0.0/4 next-hop ms-1/1/0.1;
}
}
}
Vous activez OSPF et PIM (Protocol Independent Multicast) sur les interfaces logiques Fast Ethernet et Gigabit Ethernet sur lesquelles le trafic multicast IP entre et sort du RP. Vous activez également PIM sur l’interface externe (ms-1/1/0.2) de l’ensemble de services de saut suivant.
[edit protocols]
ospf {
area 0.0.0.0 {
interface fe-1/2/1.0 {
passive;
}
interface lo0.0;
interface ge-0/3/0.0;
}
}
pim {
rp {
local {
address 10.255.14.160;
}
}
interface fe-1/2/1.0;
interface lo0.0;
interface ge-0/3/0.0;
interface ms-1/1/0.2;
}
Comme pour toute configuration de transfert basée sur des filtres, pour que la route statique de l’étape de l’instance de transfert dispose d’un prochain saut accessible, vous devez configurer des groupes de tables de routage afin que toutes les routes d’interface soient copiées d’inet.0 vers la table de routage de l’instance de transfert. Vous configurez les tables de routage inet.0 et stage.inet.0 en tant que membres de fbf_rib_group, de sorte que toutes les routes d’interface soient importées dans les deux tables.
[edit routing-options]
interface-routes {
rib-group inet fbf_rib_group;
}
rib-groups fbf_rib_group {
import-rib [ inet.0 stage.inet.0 ];
}
multicast {
rpf-check-policy no_rpf;
}
La vérification RPF (Reverse Path Forwarding) doit être désactivée pour le groupe de multicast auquel le NAT source est appliqué. Vous pouvez désactiver la vérification RPF pour des groupes de multicast spécifiques en configurant une stratégie similaire à celle de l’exemple suivant. Dans ce cas, la stratégie de no_rpf désactive la vérification RPF pour les groupes multicast appartenant à 224.0.0.0/4.
[edit policy-options]
policy-statement no_rpf {
term 1 {
from {
route-filter 224.0.0.0/4 orlonger;
}
then reject;
}
}
Configuration du routeur 1
La configuration des protocoles IGMP (Internet Group Management Protocol), OSPF et PIM sur le routeur 1 est la suivante. En raison de la configuration de groupe statique IGMP, le trafic est transféré vers fe-3/0/0.0 au récepteur multicast sans recevoir de rapports d’appartenance des membres hôtes.
[edit protocols]
igmp {
interface fe-3/0/0.0 {
}
}
ospf {
area 0.0.0.0 {
interface fe-3/0/0.0 {
passive;
}
interface lo0.0;
interface ge-7/2/0.0;
}
pim {
rp {
static {
address 10.255.14.160;
}
}
interface fe-3/0/0.0;
interface lo0.0;
interface ge-7/2/0.0;
}
}
L’option de routage crée une route statique vers le pool NAT, mcast_pool, sur le RP.
[edit routing-options]
static {
route 20.20.20.0/27 next-hop 10.10.1.1;
}
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.