SUR CETTE PAGE
IPv6 NAT
Le NAT IPv6 permet de traduire les adresses IPv4 en adresses IPv6 des équipements réseau. Le NAT IPv6 permet également de traduire l’adresse entre les hôtes IPv6. Le NAT IPv6 prend en charge le NAT source, le NAT de destination et le NAT statique.
Lorsque vous effectuez des traductions NAT64, pour éviter les problèmes d’en-tête de fragmentation IPv6, utilisez la set security nat natv6v4 no-v6-frag-header commande.
Présentation du NAT IPv6
IPv6 dispose d’un espace d’adressage beaucoup plus grand que l’espace d’adressage IPv4 épuisé imminent. IPv4 a été étendu à l’aide de techniques telles que la traduction d’adresses réseau (NAT), qui permet de représenter des plages d’adresses privées par une seule adresse publique, et l’attribution temporaire d’adresses. Il existe de nombreuses technologies permettant à l’hôte IPv4 hérité de conserver la connexion à Internet. Le NAT IPv6 assure la traduction des adresses entre les périphériques réseau adressés IPv4 et IPv6. Il assure également la traduction des adresses entre les hôtes IPv6. Le NAT entre hôtes IPv6 s’effectue de la même manière et à des fins similaires que le NAT IPv4.
Le NAT IPv6 dans Junos OS fournit les types de NAT suivants :
Source NAT
Destination NAT
NAT statique
- Traductions NAT source prises en charge par NAT IPv6
- Mappages NAT de destination pris en charge par le NAT IPv6
- Mappages NAT statiques pris en charge par le NAT IPv6
Traductions NAT source prises en charge par NAT IPv6
Le NAT source est la traduction de l’adresse IP source d’un paquet quittant l’équipement Juniper Networks. Le NAT source est utilisé pour permettre aux hôtes disposant d’adresses IP privées d’accéder à un réseau public.
Le NAT IPv6 dans Junos OS prend en charge les traductions NAT sources suivantes :
Conversion d’un sous-réseau IPv6 vers un autre sous-réseau IPv6 sans traduction de l’adresse de port
Traduction des adresses IPv4 en préfixe IPv6 + adresses IPv4
Conversion d’hôtes IPv6 en hôtes IPv6 avec ou sans traduction d’adresse de port
Conversion d’hôtes IPv6 en hôtes IPv4 avec ou sans traduction d’adresse de port
Traduction d’hôtes IPv4 en hôtes IPv6 avec ou sans traduction d’adresse de port
Mappages NAT de destination pris en charge par le NAT IPv6
Le NAT de destination est la traduction de l’adresse IP de destination d’un paquet entrant dans l’équipement Juniper Networks. Le NAT de destination est utilisé pour rediriger le trafic destiné à un hôte virtuel (identifié par l’adresse IP de destination d’origine) vers l’hôte réel (identifié par l’adresse IP de destination traduite).
Le NAT IPv6 de Junos OS prend en charge les traductions NAT de destination suivantes :
Traduction du préfixe entre le préfixe IPv4 et le préfixe IPv6
Mappage d’un sous-réseau IPv6 à un autre sous-réseau IPv6
Mappage d’un sous-réseau IPv6 à un hôte IPv6
Mappage d’un sous-réseau IPv6 à un sous-réseau IPv4
Mappage d’un sous-réseau IPv4 à un sous-réseau IPv6
Mappage d’un hôte IPv6 (et numéro de port en option) à un hôte IPv6 spécial (et numéro de port en option)
Mappage d’un hôte IPv6 (et numéro de port facultatif) à un hôte IPv4 spécial (et numéro de port facultatif)
Mappage d’un hôte IPv4 (et numéro de port facultatif) à un hôte IPv6 spécial (et numéro de port facultatif)
Mappages NAT statiques pris en charge par le NAT IPv6
Le NAT statique définit un mappage un-à-un d’un sous-réseau IP à un autre sous-réseau IP. Le mappage comprend la traduction de l’adresse IP de destination dans un sens et la traduction de l’adresse IP source dans le sens inverse. À partir du périphérique NAT, l’adresse de destination d’origine est l’adresse IP de l’hôte virtuel, tandis que l’adresse mappée est l’adresse IP réelle de l’hôte.
Le NAT IPv6 dans Junos OS prend en charge les traductions NAT statiques suivantes :
Conversion d’un sous-réseau IPv6 vers un autre sous-réseau IPv6
Conversion d’un hôte IPv6 vers un autre hôte IPv6
Traduction d’une adresse IPv4 a.b.c.d en adresse IPv6 Préfixe ::a.b.c.d
Conversion d’hôtes IPv4 en hôtes IPv6
Conversion d’hôtes IPv6 en hôtes IPv4
Mappage d’un préfixe IPv6 à un préfixe IPv4
Mappage d’un préfixe IPv4 à un préfixe IPv6
Présentation de NAT PT IPv6
La traduction du protocole de traduction d’adresses réseau IPv6 (NAT-PT) permet d’attribuer des adresses et de traduire des protocoles entre les périphériques réseau adressés IPv4 et IPv6. Le processus de traduction est basé sur la méthode de traduction IP/ICMP sans état (SIIT) ; Toutefois, l’état et le contexte de chaque communication sont conservés pendant toute la durée de vie de la session. IPv6 NAT-PT prend en charge les paquets ICMP (Internet Control Message Protocol), TCP et UDP.
Le NAT-PT IPv6 prend en charge les types de NAT-PT suivants :
NAT-PT traditionnel : dans le NAT-PT traditionnel, les sessions sont unidirectionnelles et sortantes du réseau IPv6. Le NAT-PT traditionnel permet aux hôtes d’un réseau IPv6 d’accéder aux hôtes d’un réseau IPv4. Il existe deux variantes du NAT-PT traditionnel : le NAT-PT de base et le NAPT-PT.
Dans le cadre du protocole NAT-PT de base, un bloc d’adresses IPv4 au niveau d’une interface IPv4 est mis de côté pour traduire les adresses en hôtes IPv6 lorsqu’elles initient des sessions vers les hôtes IPv4. Le NAT-PT de base traduit l’adresse IP source et les champs associés tels que les sommes de contrôle des en-têtes IP, TCP, UDP et ICMP pour les paquets sortants du domaine IPv6. Pour les paquets entrants, il traduit l’adresse IP de destination et les sommes de contrôle.
NAPT-PT (Network Address Port Translation-Protocol Translation) peut être combiné avec le NAT-PT de base, de sorte qu’un pool d’adresses externes est utilisé en conjonction avec la traduction de ports. Le protocole NAPT-PT permet à un ensemble d’hôtes IPv6 de partager une seule adresse IPv4. NAPT-PT traduit l’adresse IP source, l’identifiant de transport source et les champs associés tels que les sommes de contrôle des en-têtes IP, TCP, UDP et ICMP, pour les paquets sortants du réseau IPv6. Il peut s’agir d’un port TCP/UDP ou d’un ID de requête ICMP. Pour les paquets entrants, il traduit l’adresse IP de destination, l’identifiant de transport de destination, ainsi que les sommes de contrôle de l’adresse IP et de l’en-tête de transport.
NAT-PT bidirectionnel : dans le NAT bidirectionnelle-PT, les sessions peuvent être lancées à partir d’hôtes du réseau IPv4 ainsi que du réseau IPv6. Les adresses réseau IPv6 sont liées aux adresses IPv4, de manière statique ou dynamique, lorsque des connexions sont établies dans un sens ou dans l’autre. La configuration statique est similaire à la traduction NAT statique. Les hôtes du domaine IPv4 accèdent aux hôtes du domaine IPv6 à l’aide du DNS pour la résolution des adresses. Un ALG DNS doit être utilisé en conjonction avec le NAT bidirectionnel-PT pour faciliter le mappage nom-adresse. Plus précisément, l’ALG DNS doit être capable de traduire les adresses IPv6 des requêtes et réponses DNS en leurs liaisons d’adresses IPv4, et vice versa, lorsque les paquets DNS transitent entre les domaines IPv6 et IPv4.
Les appareils prennent partiellement en charge la spécification NAT bidirectionnelle-PT. Il prend en charge le flux de trafic bidirectionnel, en supposant qu’il existe d’autres moyens de transmettre le mappage entre l’adresse IPv6 et l’adresse IPv4 allouée dynamiquement. Par exemple, un DNS local peut être configuré avec les entrées mappées pour les nœuds IPv4 afin d’identifier les adresses.
Opération NAT-PT : les périphériques prennent en charge le NAT-PT traditionnel et permettent à l’utilisateur de mapper statiquement de communiquer entre IPv4 et IPv6. L’utilisateur doit configurer statiquement le serveur DNS avec une adresse IPv4 pour le nom d’hôte, puis créer un NAT statique sur l’appareil pour que le nœud IPv6 uniquement puisse communiquer entre un nœud IPv4 uniquement et un nœud IPv6 uniquement basé sur le DNS.
Voir aussi
Présentation de la communication NAT-PT IPv6
NAT-PT communication with static mapping— La traduction des protocoles de traduction d’adresses réseau (NAT-PT) peut être effectuée dans deux sens, de IPv6 à IPv4 et vice versa. Pour chaque direction, le NAT statique est utilisé pour mapper l’hôte de destination à une adresse locale et un NAT d’adresse source est utilisé pour traduire l’adresse source. Il existe deux types de mappage NAT statique et NAT source : le mappage un-à-un et le mappage basé sur des préfixes.
NAT- PT communication with DNS ALG: un mécanisme basé sur DNS mappe dynamiquement les adresses IPv6 aux serveurs IPv4 uniquement. NAT-PT utilise le DNS ALG pour effectuer les traductions de manière transparente. Par exemple, une entreprise utilisant un réseau IPv6 interne doit pouvoir communiquer avec des serveurs IPv4 externes qui n’ont pas encore d’adresses IPv6.
Pour prendre en charge la liaison d’adresse dynamique, un DNS doit être utilisé pour la résolution de noms. L’hôte IPv4 recherche le nom du nœud IPv6 dans son serveur DNS IPv4 configuré localement, qui transmet ensuite la requête au serveur DNS IPv6 par le biais d’un périphérique utilisant NAT-PT.
Le DNS ALG dans le périphérique NAT :
La résolution de l’adresse IPv6 est remplacée par la résolution de l’adresse IPv4.
Attribue une adresse IPv6 pour le mappage.
Stocke un mappage de l’adresse IPv4 allouée à l’adresse IPv6 renvoyée dans la résolution d’adresse IPv6 afin que la session puisse être établie à partir de n’importe quel hôte IPv4 vers l’hôte IPv6.
Voir aussi
Exemple : configuration d’une connexion initiée par IPv4 à un nœud IPv6 à l’aide du mappage statique du préfixe d’adresse de destination par défaut
Cet exemple montre comment configurer une connexion initiée par IPv4 à un nœud IPv6 à l’aide du mappage statique de préfixe d’adresse de destination par défaut.
Exigences
Avant de commencer, configurez les interfaces et affectez-les aux zones de sécurité.
Aperçu
L’exemple suivant décrit comment configurer une connexion initiée par IPv4 à un nœud IPv6 sur lequel une adresse IPv6 basée sur le mappage statique 126 est définie sur son interface et un mappage statique /126 configuré sur le périphérique. Cet exemple suppose que les adresses IPv6 à mapper aux adresses IPv4 font en sorte que les adresses IPv4 fassent partie de l’espace d’adressage IPv6.
La configuration d’une connexion initiée par IPv4 à un nœud IPv6 est utile lorsque les appareils du réseau IPv4 doivent être interconnectés aux appareils du réseau IPv6 et lors de la migration d’un réseau IPv4 vers un réseau IPv6. Le mappage peut être utilisé pour DNS ALG pour la recherche inverse d’adresses IPv4 à partir d’adresses IPv6, pour le trafic initié à partir du réseau IPv6. Ce processus assure également la connectivité des sessions initiées à partir de nœuds IPv4 avec des nœuds IPv6 situés de l’autre côté du périphérique NAT/PT.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat static rule-set test_rs from interface ge-0/0/0.0 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.0/30 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::/126 set security nat source pool myipv6_prefix address 2001:db8::/126 set security nat source rule-set myipv6_rs from interface ge-0/0/0.0 set security nat source rule-set myipv6_rs to interface ge-0/0/1.0 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.1.1.45/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::/96 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration.
Pour configurer une connexion initiée par IPv4 à un nœud IPv6 à l’aide du mappage d’adresse de destination statique :
-
Configurez l’ensemble de règles NAT statiques pour une interface.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/0.0
-
Définissez la règle pour qu’elle corresponde au préfixe d’adresse de destination.
Le numéro de l’adresse de destination dans la règle de correspondance doit être égal à la plage de préfixes static-nat.
Il n’y a pas de limitation sur le numéro d’adresse source dans la règle de correspondance.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.0/30
Définissez le préfixe NAT statique de l’appareil.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::/126
-
Configurez le pool NAT source avec un préfixe d’adresse IPv6.
[edit security nat source] user@host# set pool myipv6_prefix address 2001:db8::/126
-
Configurez l’ensemble de règles NAT source pour l’interface.
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/0.0 user@host# set rule-set myipv6_rs to interface ge-0/0/1.0
-
Configurez l’adresse source NAT source source IPv6.
Le numéro d’adresse source dans la règle d’appariement doit être un numéro d’adresse égal à la plage du pool source. Par exemple, ^2(32 – 30) = 2^(128 – 126) =>.
Il n’y a pas de limitation sur le numéro d’adresse de destination dans la règle de correspondance.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.1.1.45/30
-
Configurez l’adresse de destination du NAT source IPv6.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::/96
-
Définissez le pool IPv6 NAT source configuré dans la règle.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
source {
pool myipv6_prefix {
address {
2001:db8::/126;
}
}
rule-set myipv6_rs {
from interface ge-0/0/0.0;
to interface ge-0/0/1.0;
rule ipv6_rule {
match {
source-address 10.1.1.45/30;
destination-address 2001:db8::/96;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/0.0;
rule test_rule {
match {
destination-address 10.1.1.0/30;
}
then {
static-nat {
prefix {
2001:db8::/126;
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la configuration du NAT statique
But
Vérifiez si le NAT statique est configuré avec une interface, une adresse de destination et un préfixe.
Action
À partir du mode opérationnel, entrez la show security nat static commande.
Exemple : configuration d’une connexion initiée IPv4 à un nœud IPv6 à l’aide du mappage d’adresse de destination statique
Cet exemple montre comment configurer une connexion initiée par IPv4 à un nœud IPv6 à l’aide du mappage d’adresse de destination statique en un à un.
Exigences
Avant de commencer, configurez les interfaces et affectez-les aux zones de sécurité.
Aperçu
L’exemple suivant décrit comment configurer un nœud IPv4 pour qu’il communique avec un nœud IPv6 à l’aide du NAT statique un-à-un sur l’appareil.
La communication d’un nœud IPv4 avec un nœud IPv6 est utile pour les hôtes IPv4 qui accèdent à un serveur IPv6, pour les nouveaux serveurs qui prennent en charge IPv6 uniquement et qui doivent être connectés au réseau IPv6, et pour la migration d’anciens hôtes vers le nouveau serveur lorsque la plupart des machines sont déjà passées à IPv6. Par exemple, vous pouvez utiliser cette fonctionnalité pour connecter un nœud IPv4 uniquement à une imprimante IPv6 uniquement. Ce mappage peut également être utilisé pour DNS ALG pour la recherche inverse d’adresses IPv4 à partir d’adresses IPv6 pour le trafic initié à partir du réseau IPv6.
Dans cet exemple, l’adresse IPv4 source correspondant au préfixe 10.10.10.1/30 est ajoutée avec le préfixe IPv6 2001 :db8 ::/96 pour former l’adresse IPv6 source traduite et l’adresse IPv4 de destination 10.1.1.25/32 est traduite en adresse IPv6 2001 :db8 ::25/128.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.25/32 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::25/128 set security nat source pool myipv6_prefix address 2001:db8::/96 set security nat source rule-set myipv6_rs from interface ge-0/0/1 set security nat source rule-set myipv6_rs to interface ge-0/0/2 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.10.10.1/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::25 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer une connexion initiée par IPv4 à un nœud IPv6 à l’aide du mappage d’adresse de destination statique :
Configurez l’ensemble de règles NAT statiques pour une interface.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Définissez la règle et l’adresse de destination.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.25/32
Définissez le préfixe NAT statique.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::25/128
Configurez un pool NAT source avec une adresse de préfixe IPv6.
[edit security] user@host# set nat source pool myipv6_prefix address 2001:db8::/96
Configurez l’ensemble de règles NAT source.
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/1 user@host# set rule-set myipv6_rs to interface ge-0/0/2
Configurez l’adresse source du NAT source.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.10.10.1/30
Configurez l’adresse de destination NAT source.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::25
Définissez un pool IPv6 NAT source configuré dans la règle.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool myipv6_prefix {
address {
2001:db8::/96;
}
}
rule-set myipv6_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv6_rule {
match {
source-address 10.10.10.1/30;
destination-address 2001:db8::25;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 10.1.1.25/32;
}
then {
static-nat prefix 2001:db8::25/128;
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la configuration du NAT statique
But
Vérifiez si le NAT statique est configuré avec une interface, une adresse de destination et un préfixe.
Action
À partir du mode opérationnel, entrez la show security nat static commande.
Exemple : configuration d’une connexion initiée IPv6 à un nœud IPv4 à l’aide du mappage statique du préfixe d’adresse de destination par défaut
Cet exemple montre comment configurer une connexion initiée par IPv6 à un nœud IPv4 à l’aide du mappage statique du préfixe d’adresse de destination par défaut. Cet exemple ne montre pas comment configurer la traduction NAT pour le sens inverse.
Exigences
Avant de commencer, configurez les interfaces et affectez-les aux zones de sécurité.
Aperçu
L’exemple suivant décrit la communication d’un nœud IPv6 avec un nœud IPv4 pour lequel un NAT statique basé sur des préfixes est défini sur l’appareil. Le NAT statique suppose que le réseau IPv4 est un réseau IPv6 spécial (c’est-à-dire un réseau IPv6 mappé IPv4) et masque l’intégralité du réseau IPv4 derrière un préfixe IPv6.
La communication d’un nœud IPv6 avec un nœud IPv4 est utile lorsque l’IPv6 est utilisé dans le réseau et doit être connecté au réseau IPv4, ou lorsqu’IPv4 et IPv6 sont utilisés dans le réseau et qu’un mécanisme est nécessaire pour interconnecter les deux réseaux pendant la migration. Cela permet également de connecter les sessions initiées à partir de nœuds IPv6 avec des nœuds IPv4 situés de l’autre côté de l’équipement NAT/PT.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::1/96 set security nat static rule-set test_rs rule test_rule then static-nat inet set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.5 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.1.1.15/30 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::2/96 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer une connexion initiée par IPv6 à un nœud IPv4 à l’aide du mappage statique du préfixe d’adresse de destination par défaut :
Configurez le NAT statique d’une interface.
[edit security nat static] user@host# set rule test_rs from interface ge-0/0/1
Définissez la règle et l’adresse de destination avec le préfixe de la traduction NAT statique définie sur l’équipement.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::1/96
Définissez le NAT statique en tant qu’inet à traduire en adresse IPv4.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat inet
Configurez l’adresse du pool NAT source IPv4.
[edit security nat source] user@host# set pool myipv4 address 203.0.113.2 to 203.0.113.5
Configurez l’ensemble de règles NAT source.
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1 user@host# set rule-set myipv4_rs to interface ge-0/0/2
Configurez l’adresse de destination du NAT source IPv4.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.1.1.15/30
Définissez l’adresse source avec le préfixe du NAT source défini sur l’appareil.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::2/96
Définissez un pool IPv4 NAT source configuré dans la règle.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.5/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.1.1.15/30;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::1/96;
}
then {
static-nat inet;
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la configuration du NAT statique
But
Vérifiez si le NAT statique est configuré avec une interface, une adresse de destination et un préfixe.
Action
À partir du mode opérationnel, entrez la show security nat static rule commande.
user@host> show security nat static rule test_rule
Static NAT rule: test_rule Rule-set: test_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
Destination addresses : 2001:db8::1
Host addresses : 0.0.0.0
Netmask : 96
Host routing-instance : N/A
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Vérification de la configuration du NAT source
But
Vérifiez si le NAT source est configuré.
Action
À partir du mode opérationnel, entrez la show security nat source rule commande.
user@host> show security nat source rule ipv4_rule
source NAT rule: ipv4_rule Rule-set: myipv4_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
To interface : ge-0/0/2.0
Match
Source addresses : 2001:db8:: - 2001:db8::ffff:ffff
Destination addresses : 10.1.1.15 - 10.1.1.15
Action : myipv4
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
À partir du mode opérationnel, entrez la show security nat source pool commande.
user@host> show security nat source pool myipv4
Pool name : myipv4
Pool id : 5
Routing instance : default
Host address base : 0.0.0.0
Port : [1024, 63487]
Twin port : [63488, 65535]
Port overloading : 1
Address assignment : no-paired
Total addresses : 4
Translation hits : 0
Address range Single Ports Twin Ports
203.0.113.2 - 203.0.113.5 0 0
Exemple : configuration d’une connexion initiée IPv6 à un nœud IPv4 à l’aide du mappage d’adresse de destination statique
Cet exemple montre comment configurer une connexion initiée par IPv6 à un nœud IPv4 à l’aide du mappage d’adresse de destination statique en un à un.
Exigences
Avant de commencer, configurez les interfaces et affectez-les aux zones de sécurité.
Aperçu
L’exemple suivant décrit la communication d’un nœud IPv6 avec un nœud IPv4 dont l’adresse NAT statique est définie sur l’appareil. La communication d’un nœud IPv6 avec un nœud IPv4 permet aux hôtes IPv6 d’accéder à un serveur IPv4 lorsqu’aucun des équipements n’a de pile double et doit dépendre du périphérique NAT/PT pour communiquer. Ainsi, certaines applications serveur héritées d’IPv4 peuvent fonctionner même après la migration du réseau vers IPv6.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat static rule test_rs from interface ge-0/0/1 set security nat static rule test_rs rule test_rule match destination-address 2001:db8::15/128 set security nat static rule test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.3 set security nat source rule myipv4_rs from interface ge-0/0/1 set security nat source rule myipv4_rs to interface ge-0/0/2 set security nat source rule myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule myipv4_rs rule ipv4_rule then source-nat pool myipv4
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer une connexion initiée par IPv6 à un nœud IPv4 à l’aide du mappage d’adresse de destination statique :
Configurez l’ensemble de règles NAT statiques pour une interface.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Définissez une règle correspondant à l’adresse de destination.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::15/128
Définissez le préfixe NAT statique de la règle.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 10.2.2.15/32
Configurez un pool NAT source avec des adresses IPv4.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2 203.0.113.3
Configurez l’adresse IPv4 de l’interface.
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1
Configurez l’adresse source sur l’adresse NAT source IPv4.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::/96
Configurez l’adresse de destination vers l’adresse NAT source IPv4.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.2.2.15
Définissez le pool IPv4 NAT source configuré dans la règle.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.3/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::15/128;
}
then {
static-nat prefix 10.2.2.15/32;
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la configuration du NAT statique
But
Vérifiez si le NAT statique est configuré avec une interface, une adresse de destination et un préfixe.
Action
À partir du mode opérationnel, entrez la show security nat static commande.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.