Source NAT

Le NAT source est la traduction de l’adresse IP source d’un paquet quittant l’appareil Juniper Networks. Le NAT source est utilisé pour permettre aux hôtes avec des adresses IP privées d’accéder à un réseau public.

Le NAT source permet d’initier des connexions uniquement pour les connexions réseau sortantes, par exemple d’un réseau privé à Internet. Le NAT source est couramment utilisé pour effectuer les traductions suivantes :

• Convertir une adresse IP unique en une autre adresse (par exemple, pour fournir à un seul appareil d’un réseau privé un accès à Internet).

• Traduisez un bloc d’adresses contigu en un autre bloc d’adresses de même taille.

• Traduisez un bloc d’adresses contigu en un autre bloc d’adresses de plus petite taille.

• Traduisez un bloc d’adresses contiguë en une seule adresse IP ou en un bloc d’adresses plus petit à l’aide de la traduction de ports.

• Traduisez un bloc d’adresses contiguë en adresse de l’interface de sortie.

La traduction à l’adresse de l’interface de sortie ne nécessite pas de pool d’adresses ; toutes les autres traductions NAT sources nécessitent la configuration d’un pool d’adresses. Les traductions un-à-un et plusieurs-à-plusieurs pour des blocs d’adresses de même taille ne nécessitent pas de traduction de port, car il existe une adresse disponible dans le pool pour chaque adresse à traduire.

Si la taille du pool d’adresses est inférieure au nombre d’adresses à traduire, le nombre total d’adresses simultanées pouvant être traduites est limité par la taille du pool d’adresses ou la traduction de ports doit être utilisé. Par exemple, si un bloc de 253 adresses est traduit en un pool d’adresses de 10 adresses, un maximum de 10 périphériques peuvent être connectés simultanément, sauf si la traduction de port est utilisée.

Les types de NAT source suivants sont pris en charge :

• Conversion de l’adresse IP source d’origine en adresse IP de l’interface de sortie (également appelée NAT d’interface). La traduction des adresses de ports est toujours effectuée.

• Conversion de l’adresse IP source d’origine en adresse IP à partir d’un pool d’adresses défini par l’utilisateur sans traduction d’adresse de port. L’association entre l’adresse IP source d’origine et l’adresse IP source traduite est dynamique. Toutefois, une fois qu’il existe une association, la même association est utilisée pour la même adresse IP source d’origine pour le nouveau trafic qui correspond à la même règle NAT.

• Conversion de l’adresse IP source d’origine en adresse IP à partir d’un pool d’adresses défini par l’utilisateur avec traduction d’adresse de port. L’association entre l’adresse IP source d’origine et l’adresse IP source traduite est dynamique. Même si une association existe, la même adresse IP source d’origine peut être traduite en une adresse différente pour le nouveau trafic qui correspond à la même règle NAT.

• Conversion de l’adresse IP source d’origine en une adresse IP à partir d’un pool d’adresses défini par l’utilisateur en déplaçant les adresses IP. Il s’agit d’une traduction individuelle, statique et sans adresse de port. Si la plage d’adresses IP source d’origine est supérieure à la plage d’adresses IP du pool défini par l’utilisateur, les paquets non traduits sont perdus.

Sur l’équipement MX Series, si vous utilisez le NAT source sur une interface AMS (Aggregated Multiservices). La service set commande crée une entrée distincte pour chaque interface AMS. Par conséquent, l’utilisation de la mémoire s’épuise et si vous configurez une interface AMS supplémentaire, cela entraîne une erreur de validation de configuration.

• L’architecture de point central ne prend plus en charge les sessions de point central. Par conséquent, le NAT doit maintenir un tracker NAT pour suivre l’adresse IP ou l’attribution et l’utilisation des ports. NAT tracker est un tableau global permettant à l’ID de session SPU de NAT l’IP ou le mappage de port utilisé pour gérer NAT ressources.

• Par défaut, un message de mise à jour du compteur de statistiques d’alarme et d’interruption de la règle NAT est envoyé de l’unité de traitement des services (SPU) au point central à des intervalles de 1 seconde au lieu de mettre à jour les statistiques en fonction de chaque déclencheur de session dans le système de points central.

• Pour prendre en charge une adresse IP ou un port NAT spécifique alloué de sorte que le hachage à 5 uplets après NAT soit identique au hachage à 5 uplets d’origine avant NAT, sélectionnez un port NAT qui génère le même hachage que le hachage d’origine selon le calcul spécifique. Par conséquent, la session de transfert est réduite. Lorsque le NAT est utilisé, l’aile inverse est hachée vers un SPU différent. Une session de transfert doit être installée pour transférer le trafic inverse vers une SPU de session. NAT essaie de sélectionner un port qui peut être utilisé par l’algorithme de hachage pour que l’aile inverse soit hachée à la même SPU que l’aile initiale. Cette approche améliore donc les performances et le débit du NAT.

• Pour améliorer NAT performances, la gestion du pool de décalage IP (pool sans PAT) est déplacée du point central vers le SPU afin que toutes les ressources NAT locales de ce pool soient gérées localement au lieu d’envoyer la demande NAT au point central. Ainsi, les connexions de pool de NAT à décalage d’adresse IP par seconde et par débit sont améliorées.

Le mode rafale de dépassement de port vous permet d’utiliser les ports au-delà des blocs de ports alloués. Vous pouvez configurer un pool de rafales avec une plage de ports dans une adresse IP à réserver pour le rafale.

Il existe des types de pool primaire et de rafale, l’appareil utilise le pool de rafale une fois que les abonnés atteignent la limite configurée dans le pool principal.

Le mode Brust est pris en charge sur :

1. Pool NAT source de NAT déterministe avec pool de rafale de type PBA.

2. Déterministe NAT pool NAT source avec un pool dynamique de type NAPT.

3. Pool NAT source PBA standard avec pool de rafale de type PBA.

4. Pool NAT source PBA standard avec pool de rafale dynamique de type NAPT.

Méthode de type rafale PBA : PBA prend en charge les modes de fonctionnement APP et non-APP.

• Mode APP : les ports sont alloués à partir du pool principal. Lorsque la limite d’abonnés dépasse le pool principal, s’il existe des ports disponibles pour la même adresse IP à partir du pool de rafales, de nouvelles sessions sont créées.

• Mode non-APP : les ports sont alloués à partir du pool principal. Lorsque la limite d’abonnés dépasse le pool principal, de nouvelles sessions sont créées à partir du pool de rafales avec n’importe quelle adresse IP et tout port disponibles.

Méthode de type rafale DetNAT : les ports sont alloués à partir du pool principal. Si la même adresse IP du pool de rafales ou tous les ports disponibles ne sont pas disponibles à partir de la même adresse IP, une nouvelle session est créée avec une autre adresse IP. Si le pool de rafales est configuré avec une adresse IP différente du pool principal, utilise une autre adresse IP du pool de rafales.

• Mode de randomisation des ports (par défaut)
• Round-Robin Mode
• Mode d’affinité de session

• Objet
• Mesures à prendre

Cet exemple décrit comment configurer un mappage NAT source d’adresses privées à l’adresse publique d’une interface de sortie.

Cet exemple décrit comment configurer un mappage NAT source d’une adresse privée unique à une adresse publique.

Cet exemple décrit comment configurer les mappages NAT source et de destination.

Les règles de NAT source spécifient deux couches de conditions de correspondance :

• Direction du trafic : permet de spécifier des combinaisons de from interface, from zone, ou from routing-instance et to interface, to zone, ou to routing-instance. Vous ne pouvez pas configurer le même et to les mêmes from contextes pour différents ensembles de règles.

• Informations sur les paquets : adresses IP ou sous-réseaux source et de destination, numéros de ports sources ou plages de ports, numéros de ports de destination, protocoles ou applications.

Pour tout le trafic ALG, à l’exception de FTP, nous vous recommandons de ne pas utiliser l’option de source-port règle. La création de session de données peut échouer si cette option est utilisée, car l’adresse IP et la valeur du port source, qui est une valeur aléatoire, peuvent ne pas correspondre à la règle.

En outre, nous vous recommandons de ne pas utiliser l’option destination-port ou l’option comme conditions de correspondance pour le application trafic ALG. Si ces options sont utilisées, la traduction peut échouer car la valeur du port dans la charge utile de l’application peut ne pas correspondre à la valeur du port dans l’adresse IP.

Si plusieurs règles NAT source se chevauchent dans les conditions de correspondance, la règle la plus spécifique est choisie. Par exemple, si les règles A et B spécifient les mêmes adresses IP source et de destination, mais que la règle A spécifie le trafic de la zone 1 à la zone 2 et que la règle B spécifie le trafic de la zone 1 à l’interface ge-0/0/0, la règle B est utilisée pour effectuer les NAT source. Une correspondance d’interface est considérée comme plus spécifique qu’une correspondance de zone, qui est plus spécifique qu’une correspondance d’instance de routage.

Les actions que vous pouvez spécifier pour une règle NAT source sont les suivantes :

• off : ne pas effectuer de NAT source.

• pool : utilise le pool d’adresses défini par l’utilisateur spécifié pour effectuer le NAT source.

• interface : utilisez l’adresse IP de l’interface de sortie pour effectuer le NAT source.

Les règles NAT source sont appliquées au trafic dans le premier paquet traité pour le flux ou dans le chemin rapide pour l’ALG. Les règles NAT sources sont traitées après les règles NAT statiques, les règles NAT de destination, le mappage inverse des règles NAT statiques et après la recherche de stratégies de routage et de sécurité.

Lorsque les zones ne sont pas configurées sous l'ensemble de règles et lorsque le NAT source actif est configuré avec l'instruction obligatoire manquante « from », le message suivant s'affiche lors de l'exécution de la validation « Missing mandatory statement : 'from' error : configuration check-out failed » et la configuration check-out échoue.

Cet exemple décrit comment configurer des mappages NAT sources avec plusieurs règles.

Un pool NAT est un ensemble d’adresses IP défini par l’utilisateur qui est utilisé pour la traduction. Contrairement au NAT statique, où il existe un mappage un-à-un qui inclut la traduction des adresses IP de destination dans un sens et la traduction des adresses IP source dans le sens inverse, avec le NAT source, vous convertissez l’adresse IP source d’origine en une adresse IP dans le pool d’adresses.

Pour les pools d’adresses NAT source, spécifiez les éléments suivants :

• Nom du pool d’adresses NAT source.

• Jusqu’à 64 plages d’adresses.

  Ne chevauchez pas NAT adresses pour les NAT source, les NAT de destination et les NAT statiques au sein d’une même instance de routage.

• Instance de routage : instance de routage à laquelle appartient le pool (la valeur par défaut est l’instance de routage principale inet.0 ).

• Port : traduction d’adresse de port (PAT) pour un pool source. Par défaut, PAT est exécuté avec le NAT source. Si vous spécifiez l’option no-translation , le nombre d’hôtes que le pool NAT source peut prendre en charge est limité au nombre d’adresses dans le pool. Si vous spécifiez block-allocation, un bloc de ports est alloué pour la traduction, au lieu d’allouer des ports individuels. Si vous spécifiez deterministic, une adresse IP et un port entrants (source) sont toujours mappés à l’adresse de destination et au bloc de ports spécifiques, en fonction d’un algorithme NAT déterministe prédéfini. Si vous spécifiez port-overloading, vous pouvez configurer la capacité de surcharge des ports dans le NAT source. Si vous spécifiez range, vous pouvez fournir la plage de numéros de port attachée à chaque adresse du pool et la plage de ports jumeaux pour les pools NAT source.

• Pool de débordement (facultatif) : les paquets sont abandonnés s’il n’y a pas d’adresses disponibles dans le pool NAT source désigné. Pour éviter que cela ne se produise lorsque l’option de non-traduction de port est configurée, vous pouvez spécifier un pool de débordement. Une fois que les adresses du pool NAT source d’origine sont épuisées, les adresses IP et les numéros de port sont alloués à partir du pool de débordement. Un pool NAT source défini par l’utilisateur ou une interface de sortie peut être utilisé comme pool de débordement. (Lorsque le pool de débordement est utilisé, l’ID du pool est renvoyé avec l’adresse.)

• Décalage d’adresse IP (facultatif) : une plage d’adresses IP source d’origine peut être mappée à une autre plage d’adresses IP ou à une adresse IP unique en déplaçant les adresses IP. Spécifiez l’option host-address-base avec l’adresse de base de la plage d’adresses IP source d’origine.

• Partage d’adresses (facultatif) : plusieurs adresses IP internes peuvent être mappées à la même adresse IP externe. Cette option ne peut être utilisée que lorsque le pool NAT source est configuré sans conversion de port. Spécifiez l’option address-shared lorsqu’un pool NAT source a peu d’adresses IP externes disponibles ou une seule adresse IP externe. Avec un mappage plusieurs-à-un, l’utilisation de cette option augmente les ressources NAT et améliore le trafic.

• Regroupement d’adresses (facultatif) : le regroupement d’adresses peut être configuré comme apparié ou non apparié. Spécifiez address-pooling paired les applications qui nécessitent que toutes les sessions associées à une adresse IP interne soient mappées à la même adresse IP externe pendant la durée d’une session. Cela diffère de l’option persistent-address dans laquelle la même adresse interne est traduite à chaque fois en la même adresse externe. Spécifiez address-pooling no-paired les applications qui peuvent se voir attribuer des adresses IP de manière circulaire. Si l’un address-pooling paired ou address-pooling no-paired est configuré pour un pool NAT source avec PAT, l’option d’adresse persistante est désactivée. Si address-shared est configuré sur un pool NAT source sans PAT, l’option persistent-address est activée. Les deux address-shared et address-pooling paired peut être configuré sur le même pool NAT source sans PAT.

• Alarme d’utilisation du pool (facultatif) : lorsque l’option raise-threshold est configurée pour le NAT source, une interruption SNMP est déclenchée si l’utilisation du pool NAT source dépasse ce seuil. Si l’option facultative clear-threshold est configurée, une interruption SNMP est déclenchée si l’utilisation du pool NAT source tombe en dessous de ce seuil. Si clear-threshold n’est pas configuré, il est défini par défaut sur 80 % de la valeur raise-threshold .

Vous pouvez utiliser la commande show security nat resource usage source pool pour afficher l’utilisation des adresses dans un pool NAT source sans PAT, et pour afficher l’utilisation des ports dans un pool NAT source avec PAT.

L’augmentation du nombre total d’adresses IP utilisées pour le NAT source, soit en augmentant le nombre de pools dans la configuration et/ou en augmentant la capacité ou les adresses IP par pool, consomme la mémoire nécessaire à l’allocation des ports. Lorsque les limites du pool NAT source et des adresses IP sont atteintes, les plages de ports doivent être réattribuées. En d’autres termes, le nombre de ports pour chaque adresse IP doit être diminué lorsque le nombre d’adresses IP et de pools NAT source est augmenté. Cela garantit que le NAT ne consomme pas trop de mémoire.

Voir la section Informations supplémentaires sur la plate-forme pour plus d’informations.

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques. D’autres plates-formes peuvent être prises en charge.

Utilisez les range options et range twin-port au niveau de la [edit security nat source pool port] hiérarchie pour attribuer une nouvelle plage de ports ou une plage de ports jumeaux à un pool spécifique. Utilisez les pool-default-port-range options et au pool-default-twin-port-range niveau de la [edit security nat source] hiérarchie pour spécifier la plage de ports globale par défaut ou la plage de ports jumeaux pour tous les pools NAT source.

La configuration de la surcharge de ports doit également être effectuée avec précaution lorsque les pools de NAT sources sont augmentés.

Pour un pool source avec des PAT compris (63 488 à 65 535), deux ports sont alloués simultanément aux applications RTP/RTCP, telles que SIP, H.323 et RTSP. Dans ces scénarios, chaque adresse IP prend en charge PAT, occupant 2 048 ports (63 488 à 65 535) pour l’utilisation du module ALG.

Par défaut, la traduction des adresses de ports est effectuée avec le NAT source. Toutefois, une adresse source d’origine peut ne pas être traduite dans la même adresse IP pour un trafic différent provenant du même hôte. L’option NAT address-persistent source garantit que la même adresse IP est attribuée du pool NAT source à un hôte spécifique pour plusieurs sessions simultanées.

Cette option diffère de l’option de mise en commun d’adresses jumelée, où l’adresse interne est mappée à une adresse externe au sein du pool selon le principe du premier arrivé, premier servi, et peut être mappée à une adresse externe différente pour chaque session.

Cet exemple décrit comment configurer la capacité des pools NAT sources avec la traduction d’adresses de ports (PAT) si une plage de ports par défaut n’est pas définie ou si vous souhaitez la remplacer. Les traductions sont définies pour chaque adresse IP. Lorsque le pool source est augmenté, les ports doivent être réattribués si le nombre de ports actuel dépasse les limites.

Lorsqu’un hôte lance plusieurs sessions qui correspondent à une stratégie qui nécessite NAT et qu’une adresse IP provient d’un pool source pour lequel la traduction d’adresse de port est activée, une adresse IP source différente est utilisée pour chaque session.

Étant donné que certaines applications nécessitent la même adresse IP source pour chaque session, vous pouvez utiliser la address-pooling paired fonctionnalité pour permettre à toutes les sessions associées à une adresse IP interne de mapper à la même adresse IP externe pendant la durée des sessions. À la fin des sessions, le mappage entre l’adresse IP interne et l’adresse IP externe cesse. La prochaine fois que l’hôte lancera une session, une adresse IP différente du pool pourra lui être attribuée.

Cela diffère de la fonctionnalité NAT address-persistent source, qui maintient le mappage statique ; la même adresse IP interne est mappée à la même adresse IP externe à chaque fois. Elle diffère également de la address-persistent fonctionnalité configurée address-pooling paired pour un pool spécifique. La address-persistent fonctionnalité est une configuration globale qui s’applique à tous les pools sources.

Les conditions de correspondance pour un ensemble de règles NAT source ne vous permettent pas de spécifier une plage d’adresses ; Seuls les préfixes d’adresse peuvent être spécifiés dans une règle. Lors de la configuration d’un pool NAT source, vous pouvez spécifier l’option host-base-address ; cette option spécifie l’adresse IP où commence la plage d’adresses IP source d’origine.

La plage d’adresses IP source d’origine traduites est déterminée par le nombre d’adresses dans le pool NAT source. Par exemple, si le pool NAT source contient une plage de dix adresses IP, vous pouvez traduire jusqu’à dix adresses IP source d’origine, en commençant par une adresse de base spécifiée. Il s’agit d’une traduction individuelle, statique et sans adresse de port.

La condition de correspondance dans une règle de NAT source peut définir une plage d’adresses plus grande que celle spécifiée dans le pool NAT source. Par exemple, une condition de correspondance peut spécifier un préfixe d’adresse qui contient 256 adresses, mais le pool NAT source peut contenir une plage de quelques adresses IP seulement ou une seule adresse IP. L’adresse IP source d’un paquet peut correspondre à une règle NAT source, mais si l’adresse IP source ne se trouve pas dans la plage d’adresses spécifiée dans le pool de NAT source, l’adresse IP source n’est pas traduite.

Cet exemple décrit comment configurer un mappage NAT source d’une plage d’adresses privées à des adresses publiques, avec un décalage d’adresse facultatif. Ce mappage est un à un entre les adresses IP source d’origine et les adresses IP traduites.

Les conditions de correspondance pour un ensemble de règles NAT source ne vous permettent pas de spécifier une plage d’adresses ; Seuls les préfixes d’adresse peuvent être spécifiés dans une règle. Lors de la configuration d’un pool NAT source, vous pouvez spécifier l’option host-base-address ; cette option spécifie l’adresse IP où commence la plage d’adresses IP source d’origine et désactive la conversion de port.

La plage d’adresses IP source d’origine traduites est déterminée par le nombre d’adresses dans le pool NAT source. Par exemple, si le pool NAT source contient une plage de dix adresses IP, vous pouvez traduire jusqu’à dix adresses IP source d’origine, en commençant par une adresse de base spécifiée.

La condition de correspondance dans une règle de NAT source peut définir une plage d’adresses plus grande que celle spécifiée dans le pool NAT source. Par exemple, une condition de correspondance peut spécifier un préfixe d’adresse qui contient 256 adresses, mais le pool NAT source ne contient qu’une plage de dix adresses IP. L’adresse IP source d’un paquet peut correspondre à une règle NAT source, mais si l’adresse IP source ne se trouve pas dans la plage d’adresses spécifiée dans le pool de NAT source, l’adresse IP source n’est pas traduite.

En utilisant le pool source avec la traduction d’adresses de ports (PAT), Junos OS traduit à la fois l’adresse IP source et le numéro de port des paquets. Lorsque le PAT est utilisé, plusieurs hôtes peuvent partager la même adresse IP.

Junos OS gère une liste des numéros de port attribués afin de distinguer quelle session appartient à quel hôte. Lorsque le PAT est activé, jusqu’à 63 488 hôtes peuvent partager une seule adresse IP. Chaque pool source peut contenir plusieurs adresses IP, plusieurs plages d’adresses IP ou les deux. Pour un pool source avec PAT, Junos OS peut attribuer des adresses différentes à un seul hôte pour différentes sessions simultanées, sauf si la fonctionnalité d’adresses persistantes ou la fonctionnalité de regroupement d’adresses paires est activée dans le pool source ou Junos OS.

Pour le pool source d’interface et le pool source avec PAT, la plage (1024, 65535) est disponible pour le mappage de numéro de port par adresse IP. Dans la plage (1024, 63487), un port est attribué à la fois, pour un total de 62 464 ports. Dans la plage (63488, 65535), deux ports sont alloués à la fois pour les applications RTP/RTCP telles que SIP, H.323 et RTSP, pour un total de 2 048 ports.

Lorsqu’un hôte lance plusieurs sessions qui correspondent à une stratégie qui nécessite la traduction des adresses réseau et qu’une adresse provient d’un pool source sur lequel la PAT est activée, l’équipement attribue une adresse IP source différente pour chaque session. Cette attribution d’adresses aléatoires peut être problématique pour les services qui créent plusieurs sessions nécessitant la même adresse IP source pour chaque session. Par exemple, il est important d’avoir la même adresse IP pour plusieurs sessions lorsque vous utilisez le client AOL Instant Message (AIM).

Pour vous assurer que le routeur attribue la même adresse IP d’un pool source à un hôte pendant plusieurs sessions simultanées, vous pouvez activer une adresse IP persistante par routeur. Pour vous assurer que l’appareil attribue la même adresse IP d’un pool source à un hôte pendant la durée d’une seule session, vous pouvez activer le regroupement d’adresses appariées.

Cet exemple décrit comment configurer un mappage NAT source d’un bloc d’adresses privé à un bloc d’adresses publiques plus petit à l’aide de la traduction d’adresses de port.

Lorsque vous définissez un pool source, Junos OS active le PAT par défaut. Pour désactiver le PAT, vous devez spécifier aucune conversion de port lorsque vous définissez un pool source.

Lors de l’utilisation d’un pool source sans PAT, Junos OS effectue la traduction des adresses réseau source pour l’adresse IP sans effectuer de PAT pour le numéro de port source. Pour les applications qui nécessitent qu’un numéro de port source particulier reste fixe, vous devez utiliser le pool source sans PAT.

Le pool source peut contenir plusieurs adresses IP, plusieurs plages d’adresses IP ou les deux. Pour un pool source sans PAT, Junos OS attribue une adresse source traduite au même hôte pour toutes ses sessions simultanées, sauf si l’option de regroupement d’adresses sans appairage est activée.

Le nombre d’hôtes qu’un pool NAT source sans PAT peut prendre en charge est limité au nombre d’adresses dans le pool. Lorsque vous disposez d’un pool avec une seule adresse IP, un seul hôte peut être pris en charge et le trafic des autres hôtes est bloqué car aucune ressource n’est disponible. Si une adresse IP unique est configurée pour un pool NAT source sans PAT lorsque l’affectation de ressources NAT n’est pas en mode de sauvegarde active dans un cluster de châssis, le trafic via le nœud 1 sera bloqué.

L’utilisation du pool pour chaque pool source sans PAT est calculée. Vous pouvez activer l’alarme d’utilisation des pools en configurant des seuils d’alarme. Une interruption SNMP est déclenchée chaque fois que l’utilisation du pool dépasse un seuil et passe en dessous d’un seuil.

Si une règle NAT statique concerne la traduction IP un-à-un, évitez de diviser la règle en une règle de destination et une règle source lorsque le pool source no-pat sans partage d’adresse est utilisé. Si vous choisissez de diviser la règle, vous devrez alors utiliser un pat-pool source avec une seule IP ou un pool source no-pat avec plusieurs IP.

Cet exemple décrit comment configurer un bloc d’adresses privées en une seule adresse publique dans un pool NAT source sans traduction d’adresses de ports.

PAT est activé par défaut pour les pools NAT source. Lorsque PAT est désactivé, le nombre de conversions que le pool NAT source peut prendre en charge simultanément est limité au nombre d’adresses dans le pool. Les paquets sont abandonnés s’il n’y a pas d’adresses disponibles dans le pool NAT source. Toutefois, à l’aide de cette address-shared option, vous pouvez mapper plusieurs adresses IP privées à une seule adresse IP publique, à condition que le trafic provienne de ports sources différents.

Cet exemple décrit comment configurer un mappage NAT source d’un bloc d’adresses privé à un bloc d’adresses publiques plus petit sans traduction d’adresse de port.

La traduction d’adresse de port est activée par défaut pour les pools NAT source. Lorsque la traduction d’adresses de port est désactivée, le nombre de conversions que le pool NAT source peut prendre en charge simultanément est limité au nombre d’adresses dans le pool. Les paquets sont abandonnés s’il n’y a pas d’adresses disponibles dans le pool NAT source. Vous pouvez éventuellement spécifier un pool de dépassement à partir duquel les adresses IP et les numéros de port sont alloués lorsqu’aucune adresse n’est disponible dans le pool NAT source d’origine.

Les pools de NAT source sans traduction d’adresse de port effectuent des mappages statiques un-à-un d’une adresse IP source à une adresse IP externe. Lorsqu’il n’y a qu’une seule adresse IP externe, ou très peu disponible dans un pool source sans contact , l’option address-shared vous permet de mapper plusieurs adresses IP sources à une adresse IP externe tant que le trafic provient de différents ports sources.

Par exemple, s’il existe un pool NAT source sans traduction de port contenant seulement deux adresses IP, IP 1 et IP 2, lorsqu’un paquet provient de

1. IP source 1, port 1, il est traduit en IP 1, port 1.

2. IP source 2, port 2, il est traduit en IP 2, port 2.

3. IP source 3, port 1, il est traduit en IP 2, port 1. (Il ne peut pas être traduit en IP 1 port 1 car ce port est déjà utilisé.

   Cependant, si un autre paquet arrive de l’IP source 3, port 1 pour une adresse IP et un port de destination différents, il ne peut pas être traduit en IP 1, port 1 ou IP 2, port 1 car le port 1 est déjà utilisé pour les deux adresses IP disponibles. La session échouera.

Cette option augmente les ressources NAT et améliore les chances de configurer avec succès le trafic traduit. Il ne peut pas être utilisé sur des pools NAT sources avec la traduction d’adresse de port, car le partage d’adresse est déjà leur comportement par défaut.

La persistance des sessions de la traduction d’adresses réseau (NAT) permet de conserver les sessions existantes au lieu de les effacer lorsque la configuration NAT est modifiée. Si la persistance des sessions est activée, les sessions conservées continuent de traiter et de transférer les paquets, car le temps et les ressources sont utilisés de manière optimale pour reconstruire les sessions concernées. Ainsi, le transfert de paquets ne s’arrête pas, même si la configuration NAT est modifiée pour certaines ou toutes les sessions.

À partir de la version 18.3R1 de Junos OS, avec la prise en charge de la persistance de session NAT, le moteur de transfert de paquets analyse les sessions et décide de conserver ou d’effacer les sessions. Dans les versions antérieures à Junos OS version 18.3R1, les sessions NAT sont effacées en cas de modification de la configuration NAT.

Le moteur de transfert de paquets effectue les deux types d’analyses suivants pour décider de conserver ou d’abandonner des sessions :

• Source NAT pool session persistence scan: le moteur de transfert de paquets compare l’adresse IP de session existante avec la plage d’adresses du pool source. Si l’adresse IP de la session existante se trouve dans la plage d’adresses du pool source spécifiée, la session est maintenue active, sinon la session est effacée.

• Source NAT rule session persistence scan: le moteur de transfert de paquets utilise l’ID de règle pour comparer l’adresse IP source, le port source, l’adresse IP de destination et le port de destination entre l’ancienne et la nouvelle configuration. Si la nouvelle et l’ancienne configuration sont identiques, la session est maintenue active, sinon la session est effacée.

La persistance de session NAT n’est pas prise en charge pour le NAT statique et le NAT de destination.

La persistance de session NAT n’est pas prise en charge si le pool PAT est configuré avec les champs persistance d’adresses, regroupement d’adresses appariées, persistant d’adresse source, attribution de blocs de ports, déterministe de ports, NAT persistant et facteur de surcharge de ports.

La persistance de session NAT est prise en charge uniquement pour le NAT source dans les scénarios suivants :

• Pool source : modification d’une plage d’adresses dans un pool de traduction d’adresses de ports (PAT).

• Règle source : modification des conditions de correspondance pour le carnet d’adresses, l’application, l’adresse IP de destination, le port de destination, l’adresse IP source et les informations sur le port de destination.

Pour activer l’analyse de persistance de session NAT, incluez l’instruction session-persistence-scan au niveau de la [edit security nat source] hiérarchie.

Vous pouvez également configurer une valeur de délai d’expiration pour conserver les sessions pendant la période spécifiée à l’aide de la set security nat source session-drop-hold-down commande CLI. La valeur de l’option session-drop-hold-down varie de 30 à 28 800 secondes (huit heures). La session expire après le délai d’expiration configuré.

La configuration de la traduction d’adresses réseau (NAT) change souvent pour prendre en charge davantage d’utilisateurs et pour réduire l’itinéraire le plus court pour transférer le trafic. S’il y a un changement dans l’interface de sortie en raison du réacheminement du trafic, vous pouvez utiliser la set security flow enable-reroute-uniform-link-check nat commande pour conserver la configuration et la règle NAT existantes.

Lorsque la enable-reroute-uniform-link-check nat commande est activée :

• La session est conservée avec la règle NAT existante, si la nouvelle interface de sortie et l’interface de sortie précédente se trouvent dans la même zone de sécurité, et qu’aucune modification n’est apportée à la règle NAT correspondante ou si aucune règle n’est appliquée avant et après le réacheminement.

• La session expire si la nouvelle interface de sortie et l’ancienne interface de sortie se trouvent dans la même zone de sécurité et que la règle NAT correspondante est modifiée.

Lorsque la enable-reroute-uniform-link-check nat commande est désactivée :

• Le trafic est transféré vers la nouvelle interface de sortie si la nouvelle interface de sortie et l’ancienne interface de sortie se trouvent dans la même zone de sécurité.

Configuration

Pour activer la configuration NAT pour une session existante lorsqu’il y a une modification de l’interface de sortie en raison d’un réroutage, utilisez la commande suivante :

[edit] user@host# set security flow enable-reroute-uniform-link-check natLa nouvelle configuration est appliquée lorsque vous validez les modifications de configuration.

est enable-reroute-uniform-link-check nat command désactivé par défaut.

Limitations

La conservation de la configuration NAT à l’aide de la set security flow enable-reroute-uniform-link-check nat commande présente les limitations suivantes :

• La synchronisation TCP ne permet pas à la nouvelle session de transférer le trafic. Vous devez désactiver la synchronisation TCP pour permettre le transfert de trafic dans les nouvelles sessions.

• Les informations sur le paquet peuvent être perdues si un reroutage est initié après un établissement de liaison à trois voies pour initialiser la communication. Vous devez désactiver le framework de services Junos OS (JSF) tel que la passerelle de couche applicative (ALG) pour autoriser le transfert de trafic dans les nouvelles sessions.

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques. D’autres plates-formes peuvent être prises en charge.