Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Routage, interfaces et NAT pour les systèmes logiques utilisateur

Le système logique utilisateur vous permet de configurer les protocoles de routage, les interfaces et le NAT. Les protocoles de routage gèrent tous les messages de routage. Le NAT est un mécanisme permettant de traduire l’adresse IP d’un ordinateur ou d’un groupe d’ordinateurs en une seule adresse publique lorsque les paquets sont envoyés sur Internet. Pour plus d’informations, consultez les rubriques suivantes :

Comprendre les systèmes logiques Traduction des adresses réseau

La traduction d’adresses réseau (NAT) est une méthode permettant de modifier ou de traduire les informations d’adresse réseau dans les en-têtes de paquets. L’une ou l’autre des adresses source et de destination d’un paquet ou les deux peut être traduite. Le NAT peut inclure la traduction des numéros de port et des adresses IP.

N’importe quelle combinaison de NAT statique, de destination ou source peut être configurée dans les systèmes logiques racine ou utilisateur. La configuration de NAT dans un système logique est identique à la configuration de NAT dans un système racine. L’administrateur principal peut configurer et surveiller le NAT dans le système logique principal ainsi que dans n’importe quel système logique utilisateur.

À partir de la version 18.2R1 de Junos OS, la fonctionnalité NAT est prise en charge pour les systèmes logiques sur les équipements SRX4100 et SRX4200, en plus de la prise en charge existante sur les équipements SRX1500, SRX5400, SRX5600 et SRX5800.

Pour chaque système logique utilisateur, l’administrateur principal peut configurer le nombre maximal et le nombre réservé pour les ressources NAT suivantes :

  • Pools NAT source et pools NAT de destination

  • Adresses IP dans les pools NAT sources avec et sans traduction d’adresse de port

  • Règles pour la source, la destination et la NAT statique

  • Liaisons NAT persistantes

  • Adresses IP qui prennent en charge la surcharge de ports

À partir d’un système logique utilisateur, l’administrateur du système logique utilisateur peut utiliser la commande show system security-profile opérationnelle avec une option NAT pour afficher le nombre de ressources NAT allouées au système logique utilisateur.

Remarque :

L’administrateur principal peut configurer un profil de sécurité pour le système logique principal qui spécifie le nombre maximal et réservé de ressources NAT appliquées au système logique principal. Le nombre de ressources configurées dans le système logique principal est pris en compte dans le nombre maximal de ressources NAT disponibles sur l’appareil.

À partir d’un système logique utilisateur, l’administrateur du système logique utilisateur peut utiliser la show security nat commande pour afficher les informations sur le NAT pour le système logique utilisateur. À partir du système logique principal, l’administrateur principal peut utiliser la même commande pour afficher les informations du système logique principal, d’un système logique utilisateur spécifique ou de tous les systèmes logiques.

Voir aussi

Exemple : configuration de la traduction d’adresses réseau pour les systèmes logiques d’un utilisateur

Cet exemple montre comment configurer la NAT statique pour un système logique utilisateur.

Exigences

Avant de commencer :

Vue d’ensemble

Cet exemple configure le système logique utilisateur ls-product-design illustré dans Exemple : création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.

Les appareils de la zone ls-product-design-untrust accèdent à un hôte spécifique de la zone ls-product-design-trust via l’adresse 12.1.1.200/32. Pour les paquets qui entrent dans le système logique ls-product-design à partir de la zone ls-product-design-untrust avec l’adresse IP de destination 12.1.1.200/32, l’adresse IP de destination est traduite en 12.1.1.100/32. Cet exemple configure le NAT statique décrit dans le Tableau 1.

Tableau 1 : configuration NAT statique du système logique utilisateur

Fonctionnalité

Nom

Paramètres de configuration

Jeu de règles NAT statiques

rs1

  • Règle r1 pour faire correspondre les paquets de la zone ls-product-design-untrust avec l’adresse de destination 12.1.1.200/32.

  • L’adresse IP de destination dans les paquets correspondants est traduite en 12.1.1.100/32.

Proxy ARP

Adresse 12.1.1.200 sur l’interface lt-0/0/0.3.

La configuration

Procédure

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.

Pour configurer le NAT dans un système logique utilisateur :

  1. Connectez-vous au système logique de l’utilisateur en tant qu’administrateur du système logique et entrez en mode configuration.

  2. Configurez un ensemble de règles NAT statiques.

  3. Configurez une règle qui correspond aux paquets et traduit l’adresse de destination dans les paquets.

  4. Configurez l’ARP du proxy.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.

Vérification

Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :

Vérification de la configuration NAT statique

Objet

Vérifiez qu’il existe un trafic correspondant à l’ensemble de règles NAT statiques.

Mesures à prendre

À partir du mode opérationnel, entrez la show security nat static rule commande. Affichez le champ Accès à la traduction pour vérifier le trafic qui correspond à la règle.

Vérification de l’application NAT pour le trafic

Objet

Vérifiez que le NAT est appliqué au trafic spécifié.

Mesures à prendre

À partir du mode opérationnel, entrez la show security flow session commande.

Voir aussi

Exemple : Configuration d’interfaces et d’instances de routage pour un système logique utilisateur

Cet exemple montre comment configurer des interfaces et des instances de routage pour un système de location.

Exigences

Avant de commencer :

Vue d’ensemble

Cet exemple configure le système logique utilisateur ls-product-design illustré dans Exemple : création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.

Cet exemple configure les interfaces et les instances de routage décrites dans le tableau 2.

Tableau 2 : configuration de l’interface du système logique utilisateur et de l’instance de routage

Fonctionnalité

Nom

Paramètres de configuration

Interface utilisateur

GE-0/0/5.1

  • Adresse IP 12.1.1.1/24

  • ID de VLAN 700

Instance de routage

-VR1

  • Type d’instance : routeur virtuel

  • Comprend les interfaces ge-0/0/5.1 et lt-0/0/0.3

  • Routes statiques :

    • 13.1.1.0/24 saut suivant 10.0.1.3

    • 14.1.1.0/24 saut suivant 10.0.1.4

    • 12.12.1.0/24 saut suivant 10.0.1.1

La configuration

Procédure

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.

Pour configurer une interface et une instance de routage dans un système logique utilisateur :

  1. Connectez-vous au système logique de l’utilisateur en tant qu’administrateur du système logique et entrez en mode configuration.

  2. Configurez l’interface logique d’un système logique utilisateur.

  3. Configurez l’instance de routage et attribuez des interfaces.

  4. Configurez des routes statiques.

Résultats

En mode configuration, confirmez votre configuration en entrant les show interfaces commandes and show routing-instances . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Remarque :

L’administrateur principal configure l’interface lt-0/0/0.3. Ainsi, la configuration lt-0/0/0.3 apparaît dans la show interfaces sortie même si vous n’avez pas configuré cet élément.

Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.

Voir aussi

Exemple : Configuration du protocole de routage OSPF pour un système logique utilisateur

Cet exemple montre comment configurer OSPF pour un système logique utilisateur.

Exigences

Avant de commencer :

Vue d’ensemble

Dans cet exemple, vous configurez OSPF pour le système logique utilisateur ls-product-design, illustré dans Exemple : Création de systèmes logiques utilisateur, de leurs administrateurs, de leurs utilisateurs et d’un système logique d’interconnexion.

Cet exemple active le routage OSPF sur les interfaces ge-0/0/5.1 et lt-0/0/0.3 dans le système logique utilisateur ls-product-design. Vous configurez les stratégies de routage suivantes pour exporter des routes de la table de routage de Junos OS vers OSPF dans l’instance de routage-vr1 :

  • ospf-redist-direct : routes apprises à partir d’interfaces directement connectées.

  • ospf-redist-static : routes statiques.

  • ospf-to-ospf : routes apprises d’OSPF.

La configuration

Procédure

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode Configuration dans le Guide de l’utilisateur de la CLI.

Pour configurer OSPF pour le système logique de l’utilisateur :

  1. Connectez-vous au système logique utilisateur en tant qu’administrateur du système logique utilisateur et entrez en mode configuration.

  2. Créez des stratégies de routage qui acceptent les routes.

  3. Appliquez les stratégies de routage aux routes exportées depuis la table de routage de Junos OS vers OSPF.

  4. Activez OSPF sur les interfaces logiques.

Résultats

En mode configuration, confirmez votre configuration en entrant les show policy-options commandes and show routing-instances . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Par souci de concision, cette show sortie de commande inclut uniquement la configuration pertinente pour cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).

Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification des interfaces OSPF

Objet

Vérifiez les interfaces compatibles OSPF.

Mesures à prendre

Dans la CLI, entrez la show ospf interface instance pd-vr1 commande.

Vérification des voisins OSPF

Objet

Vérifiez les voisins OSPF.

Mesures à prendre

Dans la CLI, entrez la show ospf neighbor instance pd-vr1 commande.

Vérification des routes OSPF

Objet

Vérifiez les routes OSPF.

Mesures à prendre

Dans la CLI, entrez la show ospf route instance pd-vr1 commande.

Voir aussi

Documentation connexe