Source NAT

Le NAT source est la traduction de l’adresse IP source d’un paquet quittant l’équipement Juniper Networks. Le NAT source est utilisé pour permettre aux hôtes disposant d’adresses IP privées d’accéder à un réseau public.

Le NAT source permet d’établir des connexions uniquement pour les connexions réseau sortantes, par exemple, d’un réseau privé vers Internet. Le NAT source est couramment utilisé pour effectuer les traductions suivantes :

• Convertir une seule adresse IP en une autre adresse (par exemple, pour fournir un accès à Internet à un seul appareil d’un réseau privé).

• Convertir un bloc d’adresses contiguës en un autre bloc d’adresses de même taille.

• Traduisez un bloc d’adresses contiguës en un autre bloc d’adresses de plus petite taille.

• Traduisez un bloc d’adresses contiguës en une seule adresse IP ou en un bloc d’adresses plus petit à l’aide de la traduction de ports.

• Traduisez un bloc d’adresses contiguës en adresse de l’interface de sortie.

La traduction vers l’adresse de l’interface de sortie ne nécessite pas de pool d’adresses ; toutes les autres traductions NAT sources nécessitent la configuration d’un pool d’adresses. Les traductions un-à-un et plusieurs-à-plusieurs pour des blocs d’adresses de même taille ne nécessitent pas de traduction de port, car il existe une adresse disponible dans le pool pour chaque adresse à traduire.

Si la taille du pool d’adresses est inférieure au nombre d’adresses à traduire, le nombre total d’adresses simultanées pouvant être traduites est limité par la taille du pool d’adresses ou la traduction de ports doit être utilisée. Par exemple, si un bloc de 253 adresses est converti en un pool d’adresses de 10 adresses, un maximum de 10 périphériques peuvent être connectés simultanément, sauf si la traduction de ports est utilisée.

Les types de NAT source suivants sont pris en charge :

• Traduction de l’adresse IP source d’origine en adresse IP de l’interface de sortie (également appelée NAT d’interface). La traduction des adresses de port est toujours effectuée.

• Traduction de l’adresse IP source d’origine en adresse IP à partir d’un pool d’adresses défini par l’utilisateur sans traduction de l’adresse de port. L’association entre l’adresse IP source d’origine et l’adresse IP source traduite est dynamique. Toutefois, une fois qu’il existe une association, la même association est utilisée pour la même adresse IP source d’origine pour le nouveau trafic qui correspond à la même règle NAT.

• Traduction de l’adresse IP source d’origine en adresse IP à partir d’un pool d’adresses défini par l’utilisateur avec traduction de l’adresse de port. L’association entre l’adresse IP source d’origine et l’adresse IP source traduite est dynamique. Même s’il existe une association, la même adresse IP source d’origine peut être traduite en une adresse différente pour le nouveau trafic qui correspond à la même règle NAT.

• Conversion de l’adresse IP source d’origine en adresse IP à partir d’un pool d’adresses défini par l’utilisateur en décalant les adresses IP. Ce type de traduction est individuel, statique et sans traduction d’adresse de port. Si la plage d’adresses IP source d’origine est supérieure à la plage d’adresses IP du pool défini par l’utilisateur, les paquets non traduits sont abandonnés.

Sur le périphérique MX Series, si vous utilisez le NAT source sur une interface AMS (Aggregated Multiservices). La service set commande crée une entrée distincte pour chaque interface AMS. Par conséquent, l’utilisation de la mémoire s’épuise et si vous configurez une interface AMS supplémentaire, cela entraîne une erreur de validation de configuration.

• L’architecture des points centraux ne prend plus en charge les sessions de points centraux. Par conséquent, le NAT doit maintenir un tracker NAT pour suivre l’allocation et l’utilisation des adresses IP ou des ports. Le traqueur NAT est un tableau global pour l’ID de session SPU vers l’adresse IP NAT ou le mappage de ports utilisé pour gérer les ressources NAT.

• Par défaut, un message de mise à jour des statistiques d’alarme et d’interruption de la règle NAT est envoyé de l’unité de traitement des services (SPU) au point central à des intervalles de 1 seconde au lieu de mettre à jour les statistiques en fonction de chaque déclencheur de session dans le système de points centraux.

• Pour prendre en charge une adresse IP NAT spécifique ou un port alloué de manière à ce que le hachage à 5 uplets après NAT soit identique au hachage à 5 uplets d’origine avant NAT, sélectionnez un port NAT qui donne le même hachage que le hachage d’origine selon le calcul spécifique. Par conséquent, la session de transfert est réduite. Lorsque NAT est utilisé, l’aile arrière est hachée vers un autre SPU. Une session de transfert doit être installée pour transférer le trafic inverse vers un SPU de session. NAT tente de sélectionner un port qui peut être utilisé par l’algorithme de hachage pour que l’aile arrière soit hachée sur le même SPU que l’aile initiale. Cette approche améliore à la fois les performances NAT et le débit.

• Pour améliorer les performances NAT, la gestion du pool de décalage IP (pool non-PAT) est déplacée du point central vers l’USP afin que toutes les ressources NAT locales de ce pool soient gérées localement au lieu d’envoyer la demande NAT au point central. Par conséquent, les connexions de pool NAT avec changement d’adresse IP par seconde et le débit sont améliorés.

Le mode rafale de dépassement de capacité de port vous permet d’utiliser les ports au-delà des blocs de ports alloués. Vous pouvez configurer un pool de rafales avec une plage de ports dans une adresse IP à réserver pour la rafale.

Il existe des types de pool principal et de pool en rafales, l’appareil utilise le pool en rafales une fois que les abonnés atteignent la limite configurée dans le pool principal.

Le mode Brust est pris en charge sur :

1. Pool NAT source NAT déterministe avec pool en rafales de type PBA.

2. NAT déterministe pool NAT source avec pool en rafales dynamique de type NAPT (Network Address Port Translation).

3. Pool NAT source PBA standard avec pool en rafales de type PBA.

4. Pool NAT source PBA standard avec pool dynamique en rafales de type NAPT.

Méthode de type rafale PBA : PBA prend en charge les modes de fonctionnement APP et non-APP.

• Mode APP : les ports sont alloués à partir du pool principal. Lorsque la limite d’abonnés dépasse le pool principal, s’il existe des ports disponibles pour la même adresse IP à partir du pool en rafales, de nouvelles sessions sont créées.

• non-APP Mode : les ports sont alloués à partir du pool principal. Lorsque la limite d’abonnés dépasse celle du pool principal, de nouvelles sessions sont créées à partir du pool en rafales avec toutes les adresses IP et tous les ports disponibles.

Méthode de type rafale DetNAT : les ports sont alloués à partir du pool principal. Si la même adresse IP du pool de rafales ou tous les ports disponibles ne sont pas disponibles à partir de la même adresse IP, de nouvelles sessions sont créées avec une autre adresse IP. Si le pool de rafales est configuré avec une adresse IP différente de celle du pool principal, utilise une autre adresse IP du pool de rafales.

• Mode de randomisation des ports (par défaut)
• Round-Robin Mode
• Mode d’affinité de session

• But
• Action

Cet exemple décrit comment configurer un mappage NAT source d’adresses privées à l’adresse publique d’une interface de sortie.

Cet exemple décrit comment configurer un mappage NAT source d’une seule adresse privée à une adresse publique.

Cet exemple décrit comment configurer les mappages NAT source et de destination.

Les règles NAT source spécifient deux couches de conditions de correspondance :

• Traffic direction (Direction du trafic) : vous permet de spécifier des combinaisons de , from zone, ou from routing-instance , from interfaceto zone, to interfaceou to routing-instance. Vous ne pouvez pas configurer les mêmes from contextes et to pour différents ensembles de règles.

• Informations sur les paquets : il peut s’agir d’adresses IP ou de sous-réseaux source et de destination, de numéros ou de plages de ports source, de numéros de ports de destination ou de plages de ports, de protocoles ou d’applications.

Pour tout le trafic ALG, à l’exception du FTP, nous vous recommandons de ne pas utiliser l’option de source-port règle. La création d’une session de données peut échouer si cette option est utilisée, car l’adresse IP et la valeur du port source, qui est une valeur aléatoire, peuvent ne pas correspondre à la règle.

En outre, nous vous recommandons de ne pas utiliser l’option destination-port ou l’option comme conditions de correspondance pour le application trafic ALG. Si ces options sont utilisées, la traduction peut échouer, car la valeur du port dans la charge utile de l’application peut ne pas correspondre à la valeur du port dans l’adresse IP.

Si plusieurs règles NAT source se chevauchent dans les conditions de correspondance, la règle la plus spécifique est choisie. Par exemple, si les règles A et B spécifient les mêmes adresses IP source et de destination, mais que la règle A spécifie le trafic de la zone 1 vers la zone 2 et que la règle B spécifie le trafic de la zone 1 vers l’interface ge-0/0/0, la règle B est utilisée pour exécuter le NAT source. Une correspondance d’interface est considérée comme plus spécifique qu’une correspondance de zone, qui est plus spécifique qu’une correspondance d’instance de routage.

Les actions que vous pouvez spécifier pour une règle NAT source sont les suivantes :

• off : n’exécute pas le NAT source.

• pool : utilisez le pool d’adresses spécifié défini par l’utilisateur pour effectuer le NAT source.

• interface : utilisez l’adresse IP de l’interface de sortie pour effectuer le NAT source.

Les règles NAT source sont appliquées au trafic du premier paquet traité pour le flux ou du chemin rapide pour l’ALG. Les règles NAT source sont traitées après les règles NAT statiques, les règles NAT de destination et le mappage inverse des règles NAT statiques, et après recherche des stratégies de routage et de sécurité.

Lorsque les zones ne sont pas configurées sous un ensemble de règles et lorsque le NAT source active est configuré avec l'instruction obligatoire manquante « from », le message suivant s'affiche lors de l'exécution de la validation « Instruction obligatoire manquante : erreur 'from' : échec de l'extraction de la configuration » et échec de l'extraction de la configuration.

Cet exemple décrit comment configurer des mappages NAT source avec plusieurs règles.

Un pool NAT est un ensemble défini par l’utilisateur d’adresses IP utilisées pour la traduction. Contrairement au NAT statique, où il existe un mappage un-à-un qui inclut la traduction de l’adresse IP de destination dans un sens et la traduction de l’adresse IP source dans le sens inverse, avec le NAT source, vous traduisez l’adresse IP source d’origine en une adresse IP dans le pool d’adresses.

Pour les pools d’adresses NAT (Network Address Translation) sources, spécifiez les éléments suivants :

• Nom du pool d’adresses NAT source.

• Jusqu’à 64 plages d’adresses.

  Ne chevauchez pas les adresses NAT du NAT source, du NAT de destination et du NAT statique au sein d’une même instance de routage.

• Instance de routage : instance de routage à laquelle appartient le pool (la valeur par défaut est l’instance de routage inet.0 principale).

• Port —Traduction d’adresse de port (PAT) d’un pool source. Par défaut, le PAT est effectué avec le NAT source. Si vous spécifiez l’option no-translation , le nombre d’hôtes que le pool NAT source peut prendre en charge est limité au nombre d’adresses du pool. Si vous spécifiez block-allocation, un bloc de ports est alloué à la traduction, au lieu de ports individuels. Si vous spécifiez deterministic, une adresse IP entrante (source) et un port sont toujours mappés à l’adresse de destination et au bloc de ports spécifiques, en fonction d’un algorithme NAT déterministe prédéfini. Si vous spécifiez port-overloading, vous pouvez configurer la capacité de surcharge de port dans le NAT source. Si vous spécifiez range, vous pouvez fournir la plage de numéros de port attachée à chaque adresse du pool et la plage de ports jumeaux pour les pools NAT source.

• Pool de débordement (facultatif) : les paquets sont abandonnés s’il n’y a pas d’adresses disponibles dans le pool NAT source désigné. Pour éviter que cela ne se produise lorsque l’option de port sans traduction est configurée, vous pouvez spécifier un pool de débordement. Une fois que les adresses du pool NAT source d’origine sont épuisées, les adresses IP et les numéros de port sont alloués à partir du pool de débordement. Un pool NAT source défini par l’utilisateur ou une interface de sortie peut être utilisé comme pool de débordement. (Lorsque la piscine de débordement est utilisée, l’ID de la piscine est renvoyé avec l’adresse.)

• Décalage d’adresse IP (facultatif) : une plage d’adresses IP source d’origine peut être mappée à une autre plage d’adresses IP, ou à une seule adresse IP, en décalant les adresses IP. Spécifiez l’option host-address-base avec l’adresse de base de la plage d’adresses IP source d’origine.

• Partage d’adresse (facultatif) : plusieurs adresses IP internes peuvent être mappées à la même adresse IP externe. Cette option ne peut être utilisée que lorsque le pool NAT source est configuré sans traduction de port. Spécifiez l’option lorsqu’un address-shared pool NAT source dispose de peu d’adresses IP externes ou d’une seule adresse IP externe. Avec un mappage plusieurs-à-un, l’utilisation de cette option permet d’augmenter les ressources NAT et d’améliorer le trafic.

• Groupement d’adresses (facultatif) : le regroupement d’adresses peut être configuré comme étant apparié ou non apparié. Spécifiez address-pooling paired pour les applications qui nécessitent que toutes les sessions associées à une adresse IP interne soient mappées à la même adresse IP externe pendant la durée d’une session. Cela diffère de l’option persistent-address , dans laquelle la même adresse interne est traduite en la même adresse externe à chaque fois. Spécifiez address-pooling no-paired pour les applications qui peuvent être peuvent se voir attribuer des adresses IP selon un tourniquet. Si l’un ou l’autre address-pooling paired est address-pooling no-paired configuré pour un pool NAT source avec PAT, l’option d’adresse persistante est désactivée. Si address-shared est configuré sur un pool NAT source sans PAT, l’option persistent-address est activée. Les deux address-shared peuvent address-pooling paired être configurés sur le même pool NAT source sans PAT.

• Alarme d’utilisation du pool (facultatif) : lorsque l’option raise-threshold est configurée pour le NAT source, une interruption SNMP est déclenchée si l’utilisation du pool NAT source dépasse ce seuil. Si l’option facultative clear-threshold est configurée, une interruption SNMP est déclenchée si l’utilisation du pool NAT source tombe en dessous de ce seuil. Si clear-threshold n’est pas configuré, il est défini par défaut à 80 % de la valeur raise-threshold .

Vous pouvez utiliser la commande show security nat resource usage source pool pour afficher l’utilisation des adresses dans un pool NAT source sans PAT, et pour afficher l’utilisation des ports dans un pool NAT source avec PAT.

L’augmentation du nombre total d’adresses IP utilisées pour le NAT source, soit en augmentant le nombre de pools dans la configuration et/ou en augmentant la capacité ou les adresses IP par pool, consomme la mémoire nécessaire à l’allocation des ports. Lorsque les limites du pool NAT source et des adresses IP sont atteintes, les plages de ports doivent être réaffectées. En d’autres termes, le nombre de ports pour chaque adresse IP doit être réduit lorsque le nombre d’adresses IP et de pools NAT sources augmente. Cela permet de s’assurer que NAT ne consomme pas trop de mémoire.

Consultez la section Informations supplémentaires sur la plate-forme pour plus d’informations.

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version. D’autres plates-formes peuvent être prises en charge.

Utilisez les range options et range twin-port au niveau de la [edit security nat source pool port] hiérarchie pour attribuer une nouvelle plage de ports ou une plage de ports jumeaux à un pool spécifique. Utilisez les options et pool-default-port-range les pool-default-twin-port-range au niveau de la [edit security nat source] hiérarchie pour spécifier la plage de ports globale par défaut ou la plage de ports jumeaux pour tous les pools NAT source.

La configuration de la surcharge de ports doit également être effectuée avec précaution lorsque les pools NAT sources sont augmentés.

Pour un pool source avec PAT dans la plage (63 488 à 65 535), deux ports sont alloués en même temps pour les applications RTP/RTCP, telles que SIP, H.323 et RTSP. Dans ces scénarios, chaque adresse IP prend en charge le PAT, occupant 2 048 ports (63 488 à 65 535) pour l’utilisation du module ALG.

Par défaut, la traduction des adresses de port est effectuée avec le NAT source. Toutefois, il se peut qu’une adresse source d’origine ne soit pas traduite en la même adresse IP pour un trafic différent provenant du même hôte. L’option NAT address-persistent source garantit que la même adresse IP est attribuée à partir du pool NAT source à un hôte spécifique pour plusieurs sessions simultanées.

Cette option diffère de l’option d’appariement de pools d’adresses, dans laquelle l’adresse interne est mappée à une adresse externe dans le pool selon le principe du premier arrivé, premier servi, et peut être mappée à une adresse externe différente pour chaque session.

Cet exemple décrit comment configurer la capacité des pools NAT sources avec la traduction d’adresses de port (PAT) si une plage de ports par défaut n’est pas définie ou si vous souhaitez la remplacer. Les traductions sont définies pour chaque adresse IP. Lorsque le pool source est augmenté, les ports doivent être réaffectés si le numéro de port actuel dépasse les limites.

Lorsqu’un hôte lance plusieurs sessions correspondant à une stratégie qui nécessite le NAT et qu’une adresse IP est attribuée à partir d’un pool source pour lequel la traduction des adresses de port est activée, une adresse IP source différente est utilisée pour chaque session.

Étant donné que certaines applications nécessitent la même adresse IP source pour chaque session, vous pouvez utiliser cette address-pooling paired fonctionnalité pour permettre à toutes les sessions associées à une adresse IP interne d’être mappées à la même adresse IP externe pendant la durée des sessions. À la fin des sessions, le mappage entre l’adresse IP interne et l’adresse IP externe s’arrête. La prochaine fois que l’hôte lancera une session, une adresse IP différente de celle du pool pourra lui être attribuée.

Cela diffère de la fonctionnalité NAT address-persistent source, qui maintient le mappage statique : la même adresse IP interne est mappée à la même adresse IP externe à chaque fois. Elle diffère également de la address-persistent fonctionnalité configurée address-pooling paired pour un pool spécifique. Il address-persistent s’agit d’une configuration globale qui s’applique à tous les pools sources.

Les conditions de correspondance d’un ensemble de règles NAT source ne vous permettent pas de spécifier une plage d’adresses ; Seuls les préfixes d’adresse peuvent être spécifiés dans une règle. Lors de la configuration d’un pool NAT source, vous pouvez spécifier l’option host-base-address ; cette option spécifie l’adresse IP à partir de laquelle commence la plage d’adresses IP source d’origine.

La plage d’adresses IP sources d’origine traduites est déterminée par le nombre d’adresses dans le pool NAT source. Par exemple, si le pool NAT source contient une plage de dix adresses IP, il est possible de traduire jusqu’à dix adresses IP sources d’origine, en commençant par une adresse de base spécifiée. Ce type de traduction est individuel, statique et sans traduction d’adresse de port.

La condition de correspondance d’une règle NAT source peut définir une plage d’adresses plus grande que celle spécifiée dans le pool NAT source. Par exemple, une condition de correspondance peut spécifier un préfixe d’adresse qui contient 256 adresses, mais le pool NAT source peut contenir une plage de quelques adresses IP seulement, ou d’une seule adresse IP. L’adresse IP source d’un paquet peut correspondre à une règle NAT source, mais si l’adresse IP source ne se trouve pas dans la plage d’adresses spécifiée dans le pool NAT source, l’adresse IP source n’est pas traduite.

Cet exemple décrit comment configurer un mappage NAT source d’une plage d’adresses privées vers des adresses publiques, avec un décalage d’adresse facultatif. Ce mappage est un-à-un entre les adresses IP sources d’origine et les adresses IP traduites.

Les conditions de correspondance d’un ensemble de règles NAT source ne vous permettent pas de spécifier une plage d’adresses ; Seuls les préfixes d’adresse peuvent être spécifiés dans une règle. Lors de la configuration d’un pool NAT source, vous pouvez spécifier l’option host-base-address ; cette option spécifie l’adresse IP où commence la plage d’adresses IP source d’origine et désactive la traduction de port.

La plage d’adresses IP sources d’origine traduites est déterminée par le nombre d’adresses dans le pool NAT source. Par exemple, si le pool NAT source contient une plage de dix adresses IP, il est possible de traduire jusqu’à dix adresses IP sources d’origine, en commençant par une adresse de base spécifiée.

La condition de correspondance d’une règle NAT source peut définir une plage d’adresses plus grande que celle spécifiée dans le pool NAT source. Par exemple, une condition de correspondance peut spécifier un préfixe d’adresse qui contient 256 adresses, mais le pool NAT source contient une plage de seulement dix adresses IP. L’adresse IP source d’un paquet peut correspondre à une règle NAT source, mais si l’adresse IP source ne se trouve pas dans la plage d’adresses spécifiée dans le pool NAT source, l’adresse IP source n’est pas traduite.

À l’aide du pool source avec la traduction d’adresses de ports (PAT), Junos OS traduit à la fois l’adresse IP source et le numéro de port des paquets. Lorsque PAT est utilisé, plusieurs hôtes peuvent partager la même adresse IP.

Junos OS tient à jour une liste de numéros de port attribués pour distinguer quelle session appartient à quel hôte. Lorsque PAT est activé, jusqu’à 63 488 hôtes peuvent partager une seule adresse IP. Chaque pool source peut contenir plusieurs adresses IP, plusieurs plages d’adresses IP, ou les deux. Dans le cas d’un pool source avec PAT, Junos OS peut attribuer différentes adresses à un même hôte pour différentes sessions simultanées, sauf si la fonctionnalité d’adresse persistante ou la fonctionnalité de regroupement d’adresses appariées est activée dans le pool source ou Junos OS.

Pour le pool source d’interface et le pool source avec PAT, la plage (1024, 65535) est disponible pour le mappage de numéro de port par adresse IP. Dans la plage (1024, 63487), un port est alloué à la fois, pour un total de 62 464 ports. Dans la plage (63488, 65535), deux ports sont alloués à la fois pour les applications RTP/RTCP telles que SIP, H.323 et RTSP, pour un total de 2 048 ports.

Lorsqu’un hôte lance plusieurs sessions correspondant à une stratégie nécessitant la traduction d’adresses réseau et qu’une adresse provient d’un pool source sur lequel le PAT est activé, l’équipement attribue une adresse IP source différente pour chaque session. Une telle attribution d’adresse aléatoire peut être problématique pour les services qui créent plusieurs sessions nécessitant la même adresse IP source pour chaque session. Par exemple, il est important d’avoir la même adresse IP pour plusieurs sessions lors de l’utilisation du client de messagerie instantanée AOL (AIM).

Pour vous assurer que le routeur attribue la même adresse IP d’un pool source à un hôte pour plusieurs sessions simultanées, vous pouvez activer une adresse IP persistante par routeur. Pour vous assurer que l’appareil attribue la même adresse IP d’un pool source à un hôte pendant la durée d’une session unique, vous pouvez activer le regroupement d’adresses appariées.

Cet exemple décrit comment configurer un mappage NAT source d’un bloc d’adresses privé vers un bloc d’adresses publiques plus petit à l’aide de la traduction d’adresses de port.

Lorsque vous définissez un pool source, Junos OS active le PAT par défaut. Pour désactiver PAT, vous devez spécifier aucune traduction de port lors de la définition d’un pool source.

Lors de l’utilisation d’un pool source sans PAT, Junos OS effectue la traduction des adresses réseau sources pour l’adresse IP sans effectuer de PAT pour le numéro de port source. Pour les applications qui nécessitent qu’un numéro de port source particulier reste fixe, vous devez utiliser le pool source sans PAT.

Le pool source peut contenir plusieurs adresses IP, plusieurs plages d’adresses IP, ou les deux. Pour les pools sources sans PAT, Junos OS attribue une adresse source traduite au même hôte pour toutes ses sessions simultanées, sauf si l’option de regroupement d’adresses sans appariement est activée.

Le nombre d’hôtes qu’un pool NAT source sans PAT peut prendre en charge est limité au nombre d’adresses dans le pool. Lorsque vous avez un pool avec une seule adresse IP, un seul hôte peut être pris en charge et le trafic des autres hôtes est bloqué car il n’y a pas de ressources disponibles. Si une seule adresse IP est configurée pour un pool NAT source sans PAT alors que l’affectation des ressources NAT n’est pas en mode de sauvegarde active dans un cluster de châssis, le trafic via le nœud 1 est bloqué.

L’utilisation des pools pour chaque pool source sans PAT est calculée. Vous pouvez activer l’alarme d’utilisation du pool en configurant des seuils d’alarme. Une interruption SNMP est déclenchée chaque fois que l’utilisation du pool dépasse un certain seuil ou passe en dessous d’un certain seuil.

Si une règle NAT statique est destinée à la traduction IP un-à-un, évitez de diviser la règle en une règle de destination et une règle source lorsqu’un pool source sans correspondance sans partage d’adresse est utilisé. Si vous choisissez de diviser la règle, vous devrez alors utiliser un pool de pat-pool source avec une seule adresse IP ou un pool source no-pat avec plusieurs adresses IP.

Cet exemple décrit comment configurer un bloc d’adresses privé vers une seule adresse publique dans un pool NAT source sans traduction d’adresse de port.

Le PAT est activé par défaut pour les pools NAT sources. Lorsque PAT est désactivé, le nombre de traductions que le pool NAT source peut prendre en charge simultanément est limité au nombre d’adresses dans le pool. Les paquets sont abandonnés s’il n’y a pas d’adresses disponibles dans le pool NAT source. Toutefois, à l’aide de cette address-shared option, vous pouvez mapper plus d’une adresse IP privée à une seule adresse IP publique, à condition que le trafic provienne de ports sources différents.

Cet exemple décrit comment configurer un mappage NAT source d’un bloc d’adresses privé vers un bloc d’adresses publiques plus petit sans traduction d’adresse de port.

La traduction des adresses de port est activée par défaut pour les pools NAT source. Lorsque la traduction des adresses de port est désactivée, le nombre de traductions que le pool NAT source peut prendre en charge simultanément est limité au nombre d’adresses du pool. Les paquets sont abandonnés s’il n’y a pas d’adresses disponibles dans le pool NAT source. Vous pouvez éventuellement spécifier un pool de débordement à partir duquel les adresses IP et les numéros de port sont alloués lorsqu’aucune adresse n’est disponible dans le pool NAT source d’origine.

Les pools NAT source sans traduction d’adresse de port effectuent des mappages statiques un à un d’une adresse IP source vers une adresse IP externe. Lorsqu’il n’y a qu’une seule adresse IP externe, ou très peu d’adresses disponibles dans un pool source no-pat, cette address-shared option vous permet de mapper plusieurs adresses IP sources à une adresse IP externe, à condition que le trafic provienne de différents ports source.

Par exemple, s’il existe un pool NAT source sans traduction de port contenant uniquement deux adresses IP, IP 1 et IP 2, lorsqu’un paquet arrive de

1. IP source 1, port 1, il est traduit en IP 1, port 1.

2. IP source 2, port 2, il est traduit en IP 2, port 2.

3. IP source 3, port 1, il est traduit en IP 2, port 1. (Il ne peut pas être traduit en IP 1 port 1 car ce port est déjà utilisé.

   Cependant, si un autre paquet arrive de l’IP source 3, port 1 pour une adresse IP et un port de destination différents, il ne peut pas être traduit en IP 1, port 1 ou IP 2, port 1 car le port 1 est déjà utilisé pour les deux adresses IP disponibles. La session échouera.

Cette option augmente les ressources NAT et améliore les chances de configurer un trafic traduit réussi. Il ne peut pas être utilisé sur les pools NAT sources avec traduction d’adresses de port, car le partage d’adresses est déjà leur comportement par défaut.

La persistance des sessions de traduction d’adresses réseau (NAT) permet de conserver les sessions existantes, au lieu de les effacer, lorsque la configuration NAT change. Si la persistance des sessions est activée, les sessions conservées continuent de traiter et de transférer les paquets au fur et à mesure que le temps et les ressources sont utilisés de manière optimale pour reconstruire les sessions affectées. Ainsi, le transfert de paquets ne s’arrête pas même si la configuration NAT est modifiée pour certaines ou toutes les sessions.

À partir de la version 18.3R1 de Junos OS, avec la prise en charge de la persistance de session NAT, le moteur de transfert de paquets analyse les sessions et décide de conserver les sessions ou de les effacer. Dans les versions antérieures à Junos OS version 18.3R1, les sessions NAT sont effacées en cas de modification de la configuration NAT.

Le moteur de transfert de paquets effectue les deux types d’analyses suivants pour décider de conserver ou d’abandonner les sessions :

• Source NAT pool session persistence scan: le moteur de transfert de paquets compare l’adresse IP de session existante avec la plage d’adresses du pool source. Si l’adresse IP de session existante se trouve dans la plage d’adresses du pool source spécifiée, la session est maintenue active, sinon la session est effacée.

• Source NAT rule session persistence scan: le moteur de transfert de paquets utilise l’ID de règle pour comparer l’adresse IP source, le port source, l’adresse IP de destination et le port de destination entre l’ancienne et la nouvelle configuration. Si la nouvelle et l’ancienne configuration sont identiques, la session est maintenue active, sinon la session est effacée.

La persistance de session NAT n’est pas prise en charge pour le NAT statique et le NAT de destination.

La persistance de session NAT n’est pas prise en charge si le pool PAT est configuré avec les champs adresse persistante, paire de pools d’adresses, adresse source-persistante, allocation de bloc de ports, déterministe de port, NAT persistant et facteur de surcharge de port.

La persistance de session NAT est prise en charge uniquement pour le NAT source dans les scénarios suivants :

• Pool source : modification d’une plage d’adresses dans un pool PAT (Port Address Translation).

• Règle source : modification des conditions de correspondance pour le carnet d’adresses, l’application, l’adresse IP de destination, le port de destination, l’adresse IP source et les informations sur le port de destination.

Pour activer l’analyse de persistance de session NAT, incluez l’instruction session-persistence-scan au niveau de la [edit security nat source] hiérarchie.

Vous pouvez également configurer une valeur de délai d’expiration pour conserver les sessions pendant la période spécifiée à l’aide de la set security nat source session-drop-hold-down commande CLI. La valeur de l’option session-drop-hold-down varie de 30 à 28 800 secondes (huit heures). La session expire après le délai d’expiration configuré.

La configuration de la traduction d’adresses réseau (NAT) change souvent pour prendre en charge plus d’utilisateurs et pour améliorer le chemin le plus court pour transférer le trafic. En cas de modification de l’interface de sortie en raison d’un réacheminement du trafic, vous pouvez utiliser la set security flow enable-reroute-uniform-link-check nat commande pour conserver la configuration et la règle NAT existantes.

Lorsque la enable-reroute-uniform-link-check nat commande est activée :

• La session est conservée avec la règle NAT existante, si la nouvelle interface de sortie et l’interface de sortie précédente se trouvent dans la même zone de sécurité, et qu’aucune modification n’est apportée à la règle NAT correspondante ou si aucune règle n’est appliquée avant et après le réacheminement.

• La session expire si la nouvelle interface de sortie et l’interface de sortie précédente se trouvent dans la même zone de sécurité et que la règle NAT correspondante est modifiée.

Lorsque la enable-reroute-uniform-link-check nat commande est désactivée :

• Le trafic est transféré vers la nouvelle interface de sortie si la nouvelle interface de sortie et l’interface de sortie précédente se trouvent dans la même zone de sécurité.

Configuration

Pour activer la configuration NAT d’une session existante lorsqu’il y a une modification de l’interface de sortie en raison du reroutage, utilisez la commande suivante :

[edit] user@host# set security flow enable-reroute-uniform-link-check natLa nouvelle configuration est appliquée lorsque vous validez les modifications de configuration.

Le enable-reroute-uniform-link-check nat command est désactivé par défaut.

Limitations

La conservation de la configuration NAT à l’aide de la set security flow enable-reroute-uniform-link-check nat commande présente les limitations suivantes :

• La synchronisation TCP n’autorise pas la nouvelle session à transférer le trafic. Vous devez désactiver la synchronisation TCP pour autoriser le transfert du trafic dans les nouvelles sessions.

• Les informations sur le paquet peuvent être perdues si un reroutage est initié après une négociation tridirectionnelle pour initialiser la communication. Vous devez désactiver le cadre de services Junos OS (JSF) tel que la passerelle de la couche applicative (ALG) pour autoriser le transfert du trafic dans les nouvelles sessions.

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version. D’autres plates-formes peuvent être prises en charge.