SUR CETTE PAGE
Comprendre la traduction des adresses réseau des systèmes logiques
Exemple : configuration de la traduction d’adresses réseau pour un système logique utilisateur
Exemple : configuration d’interfaces et d’instances de routage pour un système logique utilisateur
Exemple : configuration du protocole de routage OSPF pour un système logique utilisateur
Routage, interfaces et NAT pour les systèmes logiques utilisateur
Le système logique utilisateur vous permet de configurer des protocoles de routage, des interfaces et des NAT. Les protocoles de routage gèrent tous les messages de routage. Le NAT est un mécanisme permettant de traduire l’adresse IP d’un ordinateur ou d’un groupe d’ordinateurs en une seule adresse publique lorsque les paquets sont envoyés sur Internet. Pour plus d’informations, consultez les sujets suivants :
Comprendre la traduction des adresses réseau des systèmes logiques
La traduction des adresses réseau (NAT) est une méthode permettant de modifier ou de traduire les informations d’adresse réseau dans les en-têtes de paquets. L’une ou l’autre des adresses source et de destination d’un paquet peuvent être traduites. Le NAT peut inclure la traduction des numéros de port ainsi que des adresses IP.
N’importe quelle combinaison de NAT statique, de destination ou source peut être configurée dans les systèmes logiques racine ou utilisateur. La configuration nat dans un système logique est la même que la configuration NAT dans un système racine. L’administrateur principal peut configurer et surveiller le NAT dans le système logique principal ainsi que dans n’importe quel système logique utilisateur.
À partir de la version 18.2R1 de Junos OS, la fonctionnalité NAT est prise en charge pour les systèmes logiques sur SRX4100 et les équipements SRX4200, en plus de la prise en charge existante sur les équipements SRX1500, SRX5400, SRX5600 et SRX5800.
Pour chaque système logique utilisateur, l’administrateur principal peut configurer les nombres maximum et réservés pour les ressources NAT suivantes :
Pools NAT source et pools NAT de destination
Adresses IP dans les pools NAT source avec et sans traduction d’adresses de port
Règles pour la source, la destination et le NAT statique
Liaisons NAT persistantes
Adresses IP qui prennent en charge la surcharge des ports
À partir d’un système logique utilisateur, l’administrateur système logique utilisateur peut utiliser la commande show system security-profile
opérationnelle avec une option NAT pour afficher le nombre de ressources NAT allouées au système logique utilisateur.
L’administrateur principal peut configurer un profil de sécurité pour le système logique principal qui spécifie le nombre maximal et réservé de ressources NAT appliquées au système logique principal. Le nombre de ressources configurées dans le système logique principal compte dans le nombre maximal de ressources NAT disponibles sur l’équipement.
À partir d’un système logique utilisateur, l’administrateur système logique utilisateur peut utiliser la show security nat
commande pour afficher les informations sur le NAT pour le système logique utilisateur. À partir du système logique principal, l’administrateur principal peut utiliser la même commande pour afficher les informations relatives au système logique principal, à un système logique utilisateur spécifique ou à tous les systèmes logiques.
Voir aussi
Exemple : configuration de la traduction d’adresses réseau pour un système logique utilisateur
Cet exemple montre comment configurer un NAT statique pour un système logique utilisateur.
Exigences
Avant de commencer :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique. Voir la présentation de la configuration des systèmes logiques des utilisateurs.
Utilisez la
show system security-profile nat-static-rule
commande pour voir les ressources NAT statiques allouées au système logique.Configurez les stratégies de sécurité. Voir l’exemple de configuration des stratégies de sécurité dans un système logique utilisateur.
Aperçu
Cet exemple configure le système logique utilisateur ls-product-design illustré dans l’exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Les équipements de la zone ls-product-design-untrust accèdent à un hôte spécifique dans la zone de confiance ls-product-design-trust via l’adresse 12.1.1.200/32. Pour les paquets entrant dans le système logique ls-product-design depuis la zone ls-product-design-untrust avec l’adresse IP de destination 12.1.1.200/32, l’adresse IP de destination est traduite en 12.1.1.100/32. Cet exemple configure le NAT statique décrit dans le tableau 1.
Fonction |
Nom |
Paramètres de configuration |
---|---|---|
Ensemble de règles NAT statiques |
rs1 |
|
Proxy ARP |
|
Adresse 12.1.1.200 sur l’interface lt-0/0/0.3. |
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit]
hiérarchie, puis entrez commit
à partir du mode de configuration.
set security nat static rule-set rs1 from zone ls-product-design-untrust set security nat static rule-set rs1 rule r1 match destination-address 12.1.1.200/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 12.1.1.100/32 set security nat proxy-arp interface lt-0/0/0.3 address 12.1.1.200/32
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface CLI Junos OS.
Pour configurer le NAT dans un système logique utilisateur :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique et entrez en mode de configuration.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Configurez un ensemble de règles NAT statiques.
[edit security nat static] lsdesignadmin1@host:ls-product-design# set rule-set rs1 from zone ls-product-design-untrust
Configurez une règle qui correspond aux paquets et traduit l’adresse de destination dans les paquets.
[edit security nat static] lsdesignadmin1@host:ls-product-design# set rule-set rs1 rule r1 match destination-address 12.1.1.200/32 lsdesignadmin1@host:ls-product-design# set rule-set rs1 rule r1 then static-nat prefix 12.1.1.100/32
Configurez l’ARP proxy.
[edit security nat] lsdesignadmin1@host:ls-product-design# set proxy-arp interface lt-0/0/0.3 address 12.1.1.200/32
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
lsdesignadmin1@host:ls-product-design# show security nat static { rule-set rs1 { from zone ls-product-design-untrust; rule r1 { match { destination-address 12.1.1.200/32; } then { static-nat prefix 12.1.1.100/32; } } } } proxy-arp { interface lt-0/0/0.3 { address { 12.1.1.200/32; } } }
Si vous avez fini de configurer l’équipement, saisissez commit
à partir du mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérification de la configuration NAT statique
But
Vérifiez que le trafic correspond à l’ensemble de règles NAT statique.
Action
Depuis le mode opérationnel, saisissez la show security nat static rule
commande. Consultez le champ Traduction hits pour vérifier que le trafic correspond à la règle.
Exemple : configuration d’interfaces et d’instances de routage pour un système logique utilisateur
Cet exemple montre comment configurer des interfaces et des instances de routage pour un système locataire.
Exigences
Avant de commencer :
Connectez-vous au système logique utilisateur en tant qu’administrateur système logique utilisateur. Voir la présentation de la configuration des systèmes logiques des utilisateurs.
Déterminez quelles interfaces logiques et, éventuellement, quelles interfaces de tunnel logique sont allouées à votre système logique utilisateur par l’administrateur principal. L’administrateur principal configure les interfaces de tunnel logique. Voir Comprendre les systèmes logiques primaires et le rôle d’administrateur principal.
Aperçu
Cet exemple configure le système logique utilisateur ls-product-design illustré dans l’exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Cet exemple configure les interfaces et les instances de routage décrites dans le tableau 2.
Fonction |
Nom |
Paramètres de configuration |
---|---|---|
Interface |
ge-0/0/5.1 |
|
Instance de routage |
pd-vr1 |
|
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit]
hiérarchie, puis entrez commit
à partir du mode de configuration.
set interfaces ge-0/0/5 unit 1 family inet address 12.1.1.1/24 set interfaces ge-0/0/5 unit 1 vlan-id 700 set routing-instances pd-vr1 instance-type virtual-router set routing-instances pd-vr1 interface ge-0/0/5.1 set routing-instances pd-vr1 interface lt-0/0/0.3 set routing-instances pd-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 set routing-instances pd-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 set routing-instances pd-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface CLI Junos OS.
Pour configurer une interface et une instance de routage dans un système logique utilisateur :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique et entrez en mode de configuration.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Configurez l’interface logique d’un système logique utilisateur.
[edit interfaces] lsdesignadmin1@host:ls-product-design# set ge-0/0/5 unit 1 family inet address 12.1.1.1/24 lsdesignadmin1@host:ls-product-design# set ge-0/0/5 unit 1 vlan-id 700
Configurez l’instance de routage et attribuez des interfaces.
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 instance-type virtual-router lsdesignadmin1@host:ls-product-design# set pd-vr1 interface ge-0/0/5.1 lsdesignadmin1@host:ls-product-design# set pd-vr1 interface lt-0/0/0.3
Configurez des routes statiques.
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 lsdesignadmin1@host:ls-product-design# set pd-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 lsdesignadmin1@host:ls-product-design# set pd-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show interfaces
commandes et show routing-instances
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
L’administrateur principal configure lt-0/0/0.3 lt-interface. Ainsi, la configuration lt-0/0/0.3 apparaît dans la show interfaces
sortie même si vous n’avez pas configuré cet élément.
lsdesignadmin1@host:ls-product-design# show interfaces ge-0/0/5 { unit 1 { vlan-id 700; family inet { address 12.1.1.1/24; } } } lt-0/0/0 { unit 3 { encapsulation ethernet; peer-unit 2; family inet { address 10.0.1.2/24; } } } lsdesignadmin1@host:ls-product-design# show routing-instances pd-vr1 { instance-type virtual-router; interface ge-0/0/5.1; interface lt-0/0/0.3; routing-options { static { route 13.1.1.0/24 next-hop 10.0.1.3; route 14.1.1.0/24 next-hop 10.0.1.4; route 12.12.1.0/24 next-hop 10.0.1.1; } } }
Si vous avez fini de configurer l’équipement, saisissez commit
à partir du mode de configuration.
Exemple : configuration du protocole de routage OSPF pour un système logique utilisateur
Cet exemple montre comment configurer OSPF pour un système logique utilisateur.
Exigences
Avant de commencer :
Connectez-vous au système logique utilisateur en tant qu’administrateur système logique utilisateur. Voir la présentation de la configuration des systèmes logiques des utilisateurs.
Configurez l’interface logique ge-0/0/5.1. Attribuez ge-0/0/5.1 et lt-0/0/0.3 à l’instance de routage pd-vr1. Voir l’exemple : Configuration d’interfaces et d’instances de routage pour un système logique utilisateur.
Aperçu
Dans cet exemple, vous configurez OSPF pour le système logique utilisateur ls-product-design, illustré dans Exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.
Cet exemple permet le routage OSPF sur les interfaces ge-0/0/5.1 et lt-0/0/0.3 dans le système logique utilisateur ls-product-design. Vous configurez les stratégies de routage suivantes pour exporter des routes de la table de routage Junos OS vers OSPF dans l’instance de routage pd-vr1 :
ospf-redist-direct : routes apprises à partir d’interfaces directement connectées.
ospf-redist-static : routes statiques.
ospf à ospf : routes apprises par OSPF.
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit]
hiérarchie, puis entrez commit
à partir du mode de configuration.
set policy-options policy-statement ospf-redist-direct from protocol direct set policy-options policy-statement ospf-redist-direct then accept set policy-options policy-statement ospf-redist-static from protocol static set policy-options policy-statement ospf-redist-static then accept set policy-options policy-statement ospf-to-ospf from protocol ospf set policy-options policy-statement ospf-to-ospf then accept set routing-instances pd-vr1 protocols ospf export ospf-redist-direct set routing-instances pd-vr1 protocols ospf export ospf-redist-static set routing-instances pd-vr1 protocols ospf export ospf-to-ospf set routing-instances pd-vr1 protocols ospf area 0.0.0.1 interface ge-0/0/5.1 set routing-instances pd-vr1 protocols ospf area 0.0.0.1 interface lt-0/0/0.3
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer OSPF pour le système logique utilisateur :
Connectez-vous au système logique de l’utilisateur en tant qu’administrateur système logique utilisateur et entrez en mode configuration.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Créez des stratégies de routage qui acceptent les routes.
[edit policy-options] lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-direct from protocol direct lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-direct then accept lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-static from protocol static lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-static then accept lsdesignadmin1@host:ls-product-design# set policy-statement ospf-to-ospf from protocol ospf lsdesignadmin1@host:ls-product-design# set policy-statement ospf-to-ospf then accept
Appliquez les stratégies de routage aux routes exportées de la table de routage Junos OS vers OSPF.
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf export ospf-redist-direct lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf export ospf-redist-static lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf export ospf-to-ospf
Activez OSPF sur les interfaces logiques.
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf area 0.0.0.1 interface ge-0/0/5.1 lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf area 0.0.0.1 interface lt-0/0/0.3
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show policy-options
commandes et show routing-instances
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Par souci de brièveté, cette show
sortie de commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
[edit] lsdesignadmin1@host:ls-product-design# show policy-options policy-statement ospf-redist-direct { from protocol direct; then accept; } policy-statement ospf-redist-static { from protocol static; then accept; } policy-statement ospf-to-ospf { from protocol ospf; then accept; } [edit] lsdesignadmin1@host:ls-product-design# show routing-instances pd-vr1 { ... protocols { ospf { export [ ospf-redist-direct ospf-to-ospf ospf-redist-static ]; area 0.0.0.1 { interface lt-0/0/0.3; interface ge-0/0/5.1; } } } }
Si vous avez fini de configurer l’équipement, saisissez commit
à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification des interfaces OSPF
But
Vérifiez les interfaces compatibles OSPF.
Action
À partir de la CLI, saisissez la show ospf interface instance pd-vr1
commande.
lsdesignadmin1@host:ls-product-design> show ospf interface instance pd-vr1 Interface State Area DR ID BDR ID Nbrs lt-0/0/0.3 DR 0.0.0.0 10.0.1.2 0.0.0.0 0 ge-0/0/5.1 DR 0.0.0.1 10.0.1.2 0.0.0.0 0
Vérification des voisins OSPF
But
Vérifiez les voisins OSPF.
Action
À partir de la CLI, saisissez la show ospf neighbor instance pd-vr1
commande.
lsdesignadmin1@host:ls-product-design> show ospf neighbor instance pd-vr1 Address Interface State ID Pri Dead 10.0.1.1 plt0.1 Full 0.0.0.0 128 39
Vérification des routes OSPF
But
Vérifiez les routes OSPF.
Action
À partir de la CLI, saisissez la show ospf route instance pd-vr1
commande.
lsdesignadmin1@host:ls-product-design> show ospf route instance pd-vr1 Topology default Route Table: Prefix Path Route NH Metric NextHop Nexthop Type Type Type Interface Address/LSP 10.0.1.0/24 Intra Network IP 1 lt-0/0/0.3 12.12.1.0/24 Intra Network IP 1 ge-0/0/5.1