Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Routage, interfaces et NAT pour les systèmes logiques utilisateur

Le système logique utilisateur vous permet de configurer des protocoles de routage, des interfaces et des NAT. Les protocoles de routage gèrent tous les messages de routage. Le NAT est un mécanisme permettant de traduire l’adresse IP d’un ordinateur ou d’un groupe d’ordinateurs en une seule adresse publique lorsque les paquets sont envoyés sur Internet. Pour plus d’informations, consultez les sujets suivants :

Comprendre la traduction des adresses réseau des systèmes logiques

La traduction des adresses réseau (NAT) est une méthode permettant de modifier ou de traduire les informations d’adresse réseau dans les en-têtes de paquets. L’une ou l’autre des adresses source et de destination d’un paquet peuvent être traduites. Le NAT peut inclure la traduction des numéros de port ainsi que des adresses IP.

N’importe quelle combinaison de NAT statique, de destination ou source peut être configurée dans les systèmes logiques racine ou utilisateur. La configuration nat dans un système logique est la même que la configuration NAT dans un système racine. L’administrateur principal peut configurer et surveiller le NAT dans le système logique principal ainsi que dans n’importe quel système logique utilisateur.

À partir de la version 18.2R1 de Junos OS, la fonctionnalité NAT est prise en charge pour les systèmes logiques sur SRX4100 et les équipements SRX4200, en plus de la prise en charge existante sur les équipements SRX1500, SRX5400, SRX5600 et SRX5800.

Pour chaque système logique utilisateur, l’administrateur principal peut configurer les nombres maximum et réservés pour les ressources NAT suivantes :

  • Pools NAT source et pools NAT de destination

  • Adresses IP dans les pools NAT source avec et sans traduction d’adresses de port

  • Règles pour la source, la destination et le NAT statique

  • Liaisons NAT persistantes

  • Adresses IP qui prennent en charge la surcharge des ports

À partir d’un système logique utilisateur, l’administrateur système logique utilisateur peut utiliser la commande show system security-profile opérationnelle avec une option NAT pour afficher le nombre de ressources NAT allouées au système logique utilisateur.

Note:

L’administrateur principal peut configurer un profil de sécurité pour le système logique principal qui spécifie le nombre maximal et réservé de ressources NAT appliquées au système logique principal. Le nombre de ressources configurées dans le système logique principal compte dans le nombre maximal de ressources NAT disponibles sur l’équipement.

À partir d’un système logique utilisateur, l’administrateur système logique utilisateur peut utiliser la show security nat commande pour afficher les informations sur le NAT pour le système logique utilisateur. À partir du système logique principal, l’administrateur principal peut utiliser la même commande pour afficher les informations relatives au système logique principal, à un système logique utilisateur spécifique ou à tous les systèmes logiques.

Exemple : configuration de la traduction d’adresses réseau pour un système logique utilisateur

Cet exemple montre comment configurer un NAT statique pour un système logique utilisateur.

Exigences

Avant de commencer :

Aperçu

Cet exemple configure le système logique utilisateur ls-product-design illustré dans l’exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.

Les équipements de la zone ls-product-design-untrust accèdent à un hôte spécifique dans la zone de confiance ls-product-design-trust via l’adresse 12.1.1.200/32. Pour les paquets entrant dans le système logique ls-product-design depuis la zone ls-product-design-untrust avec l’adresse IP de destination 12.1.1.200/32, l’adresse IP de destination est traduite en 12.1.1.100/32. Cet exemple configure le NAT statique décrit dans le tableau 1.

Tableau 1 : Configuration NAT statique du système logique utilisateur

Fonction

Nom

Paramètres de configuration

Ensemble de règles NAT statiques

rs1

  • Règle r1 pour faire correspondre les paquets de la zone ls-product-design-untrust avec l’adresse de destination 12.1.1.200/32.

  • L’adresse IP de destination des paquets correspondants est traduite en 12.1.1.100/32.

Proxy ARP

Adresse 12.1.1.200 sur l’interface lt-0/0/0.3.

Configuration

Procédure

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface CLI Junos OS.

Pour configurer le NAT dans un système logique utilisateur :

  1. Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique et entrez en mode de configuration.

  2. Configurez un ensemble de règles NAT statiques.

  3. Configurez une règle qui correspond aux paquets et traduit l’adresse de destination dans les paquets.

  4. Configurez l’ARP proxy.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Vérification de la configuration NAT statique

But

Vérifiez que le trafic correspond à l’ensemble de règles NAT statique.

Action

Depuis le mode opérationnel, saisissez la show security nat static rule commande. Consultez le champ Traduction hits pour vérifier que le trafic correspond à la règle.

Vérification de l’application NAT vers le trafic

But

Vérifiez que le NAT est appliqué au trafic spécifié.

Action

Depuis le mode opérationnel, saisissez la show security flow session commande.

Exemple : configuration d’interfaces et d’instances de routage pour un système logique utilisateur

Cet exemple montre comment configurer des interfaces et des instances de routage pour un système locataire.

Exigences

Avant de commencer :

Aperçu

Cet exemple configure le système logique utilisateur ls-product-design illustré dans l’exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.

Cet exemple configure les interfaces et les instances de routage décrites dans le tableau 2.

Tableau 2 : Configuration de l’interface du système logique utilisateur et de l’instance de routage

Fonction

Nom

Paramètres de configuration

Interface

ge-0/0/5.1

  • Adresse IP 12.1.1.1/24

  • ID VLAN 700

Instance de routage

pd-vr1

  • Type d’instance : routeur virtuel

  • Inclut les interfaces ge-0/0/5.1 et lt-0/0/0.3

  • Routes statiques :

    • 13.1.1.0/24 saut suivant 10.0.1.3

    • 14.1.1.0/24 saut suivant 10.0.1.4

    • 12.12.1.0/24 saut suivant 10.0.1.1

Configuration

Procédure

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface CLI Junos OS.

Pour configurer une interface et une instance de routage dans un système logique utilisateur :

  1. Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique et entrez en mode de configuration.

  2. Configurez l’interface logique d’un système logique utilisateur.

  3. Configurez l’instance de routage et attribuez des interfaces.

  4. Configurez des routes statiques.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show interfaces commandes et show routing-instances . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Note:

L’administrateur principal configure lt-0/0/0.3 lt-interface. Ainsi, la configuration lt-0/0/0.3 apparaît dans la show interfaces sortie même si vous n’avez pas configuré cet élément.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Exemple : configuration du protocole de routage OSPF pour un système logique utilisateur

Cet exemple montre comment configurer OSPF pour un système logique utilisateur.

Exigences

Avant de commencer :

Aperçu

Dans cet exemple, vous configurez OSPF pour le système logique utilisateur ls-product-design, illustré dans Exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.

Cet exemple permet le routage OSPF sur les interfaces ge-0/0/5.1 et lt-0/0/0.3 dans le système logique utilisateur ls-product-design. Vous configurez les stratégies de routage suivantes pour exporter des routes de la table de routage Junos OS vers OSPF dans l’instance de routage pd-vr1 :

  • ospf-redist-direct : routes apprises à partir d’interfaces directement connectées.

  • ospf-redist-static : routes statiques.

  • ospf à ospf : routes apprises par OSPF.

Configuration

Procédure

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.

Pour configurer OSPF pour le système logique utilisateur :

  1. Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique utilisateur et entrez en mode configuration.

  2. Créez des stratégies de routage qui acceptent les routes.

  3. Appliquez les stratégies de routage aux routes exportées de la table de routage Junos OS vers OSPF.

  4. Activez OSPF sur les interfaces logiques.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show policy-options commandes et show routing-instances . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Par souci de brièveté, cette show sortie de commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification des interfaces OSPF

But

Vérifiez les interfaces compatibles OSPF.

Action

À partir de la CLI, saisissez la show ospf interface instance pd-vr1 commande.

Vérification des voisins OSPF

But

Vérifiez les voisins OSPF.

Action

À partir de la CLI, saisissez la show ospf neighbor instance pd-vr1 commande.

Vérification des routes OSPF

But

Vérifiez les routes OSPF.

Action

À partir de la CLI, saisissez la show ospf route instance pd-vr1 commande.