SUR CETTE PAGE
IPv6 NAT
Le NAT IPv6 permet de convertir les adresses IPv4 en adresses IPv6 des périphériques réseau. Le NAT IPv6 permet également de traduire l’adresse entre les hôtes IPv6. Le NAT IPv6 prend en charge le NAT source, le NAT de destination et le NAT statique.
Lors de l’exécution de traductions NAT64, pour éviter les problèmes d’en-tête de fragmentation IPv6, utilisez la set security nat natv6v4 no-v6-frag-header commande.
Présentation du NAT IPv6
IPv6 dispose d’un espace d’adressage beaucoup plus grand que l’espace d’adressage IPv4 bientôt épuisé. IPv4 a été étendu à l’aide de techniques telles que la traduction d’adresses réseau (NAT), qui permet de représenter des plages d’adresses privées par une seule adresse publique, et l’attribution temporaire d’adresses. De nombreuses technologies permettent à l’hôte IPv4 hérité de rester connecté à Internet. Le NAT IPv6 traduit les adresses entre les périphériques réseau adressés IPv4 et IPv6. Il assure également la traduction des adresses entre les hôtes IPv6. Le NAT entre hôtes IPv6 s’effectue de la même manière et dans le même but que le NAT IPv4.
Le NAT IPv6 en Junos OS fournit les types de NAT suivants :
Source NAT
Destination NAT
NAT statique
- Traductions NAT sources prises en charge par IPv6 NAT
- Mappages NAT de destination pris en charge par le NAT IPv6
- Mappages NAT statiques pris en charge par le NAT IPv6
Traductions NAT sources prises en charge par IPv6 NAT
Le NAT source est la traduction de l’adresse IP source d’un paquet quittant l’appareil Juniper Networks. Le NAT source est utilisé pour permettre aux hôtes avec des adresses IP privées d’accéder à un réseau public.
Le NAT IPv6 de Junos OS prend en charge les traductions NAT sources suivantes :
Conversion d’un sous-réseau IPv6 en un autre sous-réseau IPv6 sans traduction d’adresse de port
Traduction des adresses IPv4 en préfixe IPv6 + adresses IPv4
Conversion d’hôtes IPv6 en hôtes IPv6 avec ou sans traduction d’adresse de port
Conversion d’hôtes IPv6 en hôtes IPv4 avec ou sans traduction d’adresse de port
Conversion d’hôtes IPv4 en hôtes IPv6 avec ou sans traduction d’adresse de port
Mappages NAT de destination pris en charge par le NAT IPv6
Le NAT de destination est la traduction de l’adresse IP de destination d’un paquet entrant dans l’équipement Juniper Networks. Le NAT de destination est utilisé pour rediriger le trafic destiné à un hôte virtuel (identifié par l’adresse IP de destination d’origine) vers l’hôte réel (identifié par l’adresse IP de destination traduite).
Le NAT IPv6 de Junos OS prend en charge les traductions NAT de destination suivantes :
Traduction du préfixe entre IPv4 et préfixe IPv6
Mappage d’un sous-réseau IPv6 à un autre sous-réseau IPv6
Mappage d’un sous-réseau IPv6 à un hôte IPv6
Mappage d’un sous-réseau IPv6 à un sous-réseau IPv4
Mappage d’un sous-réseau IPv4 à un sous-réseau IPv6
Mappage d’un hôte IPv6 (et numéro de port facultatif) à un hôte IPv6 spécial (et numéro de port facultatif)
Mappage d’un hôte IPv6 (et numéro de port facultatif) vers un hôte IPv4 spécial (et numéro de port facultatif)
Mappage d’un hôte IPv4 (et numéro de port facultatif) vers un hôte IPv6 spécial (et numéro de port facultatif)
Mappages NAT statiques pris en charge par le NAT IPv6
Le NAT statique définit un mappage un-à-un d’un sous-réseau IP à un autre. Le mappage comprend la traduction des adresses IP de destination dans un sens et la traduction des adresses IP sources dans le sens inverse. À partir du périphérique NAT, l’adresse de destination d’origine est l’adresse IP de l’hôte virtuel, tandis que l’adresse mappée est l’adresse IP réelle de l’hôte.
IPv6 NAT en Junos OS prend en charge les traductions statiques NAT suivantes :
Conversion d’un sous-réseau IPv6 en un autre sous-réseau IPv6
Conversion d’un hôte IPv6 vers un autre hôte IPv6
Traduction d’une adresse IPv4 a.b.c.d en adresse IPv6 Préfixe ::a.b.c.d
Traduction des hôtes IPv4 en hôtes IPv6
Traduction des hôtes IPv6 en hôtes IPv4
Mappage d’un préfixe IPv6 à un préfixe IPv4
Mappage d’un préfixe IPv4 à un préfixe IPv6
Présentation du PT NAT IPv6
La traduction des adresses réseau IPv6 - La traduction des protocoles (NAT-PT) assure l’attribution d’adresses et la traduction de protocoles entre les appareils réseau adressés IPv4 et IPv6. Le processus de traduction est basé sur la méthode de traduction IP/ICMP sans état (SIIT) ; Toutefois, l’état et le contexte de chaque communication sont conservés pendant la durée de vie de la session. IPv6 NAT-PT prend en charge les paquets ICMP (Internet Control Message Protocol), TCP et UDP.
IPv6 NAT-PT prend en charge les types de NAT-PT suivants :
NAT-PT traditionnel : dans le NAT-PT traditionnel, les sessions sont unidirectionnelles et sortantes du réseau IPv6. Le NAT-PT traditionnel permet aux hôtes d’un réseau IPv6 d’accéder aux hôtes d’un réseau IPv4. Il existe deux variantes du NAT-PT traditionnel : le NAT-PT de base et le NAPT-PT.
Dans le NAT-PT de base, un bloc d’adresses IPv4 sur une interface IPv4 est réservé pour traduire les adresses en hôtes IPv6 lorsqu’ils initient des sessions vers les hôtes IPv4. Le NAT-PT de base traduit l’adresse IP source et les champs associés tels que les sommes de contrôle d’en-tête IP, TCP, UDP et ICMP pour les paquets sortant du domaine IPv6 . Pour les paquets entrants, il traduit l’adresse IP de destination et les sommes de contrôle.
Le NAPT-PT (Network Address Port Translation-Protocol Translation) peut être combiné avec le NAT-PT de base afin d’utiliser un pool d’adresses externes conjointement avec la traduction de ports. Le NAPT-PT permet à un ensemble d’hôtes IPv6 de partager une seule adresse IPv4. NAPT-PT traduit l’adresse IP source, l’identifiant de transport source et les champs associés tels que les sommes de contrôle d’en-tête IP, TCP, UDP et ICMP pour les paquets sortant du réseau IPv6. L’identifiant de transport peut être un port TCP/UDP ou un ID de requête ICMP. Pour les paquets entrants, il traduit l’adresse IP de destination, l’identifiant de transport de destination, ainsi que les sommes de contrôle de l’adresse IP et de l’en-tête de transport.
NAT-PT bidirectionnel : dans le NAT bidirectionnelle-PT, des sessions peuvent être initiées à partir d’hôtes du réseau IPv4 et du réseau IPv6. Les adresses réseau IPv6 sont liées aux adresses IPv4, de manière statique ou dynamique, lorsque les connexions sont établies dans les deux sens. La configuration statique est similaire à la traduction NAT statique. Les hôtes du domaine IPv4 accèdent aux hôtes du domaine IPv6 à l’aide du DNS pour la résolution d’adresses. Un ALG DNS doit être utilisé conjointement avec le NAT bidirectionnelle-PT pour faciliter l’appariement nom-adresse. Plus précisément, l’ALG DNS doit être capable de traduire les adresses IPv6 dans les requêtes et réponses DNS en leurs liaisons d’adresses IPv4, et vice versa, lorsque les paquets DNS traversent les domaines IPv6 et IPv4.
Les appareils prennent partiellement en charge la spécification NAT bidirectionnelle-PT. Il prend en charge le flux de trafic bidirectionnel en supposant qu’il existe d’autres moyens de transmettre le mappage entre l’adresse IPv6 et l’adresse IPv4 allouée dynamiquement. Par exemple, un DNS local peut être configuré avec les entrées mappées pour les nœuds IPv4 afin d’identifier les adresses.
Opération NAT-PT : les appareils prennent en charge le NAT-PT traditionnel et permettent un mappage statique pour que l’utilisateur puisse communiquer d’IPv4 à IPv6. L’utilisateur doit configurer statiquement le serveur DNS avec une adresse IPv4 pour le nom d’hôte, puis créer une NAT statique sur l’appareil pour que le nœud IPv6 uniquement communique d’un nœud IPv4 uniquement à un nœud IPv6 uniquement basé sur le DNS.
Voir aussi
Présentation de la communication IPv6 NAT-PT
NAT-PT communication with static mapping— La traduction des adresses réseau (NAT-PT) peut se faire dans deux directions, d’IPv6 à IPv4 et vice versa. Pour chaque direction, la NAT statique est utilisée pour mapper l’hôte de destination à une adresse locale et une adresse source NAT est utilisée pour traduire l’adresse source. Il existe deux types de mappage de NAT statique et de NAT source : le mappage un-à-un et le mappage basé sur un préfixe.
NAT- PT communication with DNS ALG: un mécanisme basé sur DNS mappe dynamiquement les adresses IPv6 aux serveurs IPv4 uniquement. NAT-PT utilise l’ALG DNS pour effectuer les traductions de manière transparente. Par exemple, une entreprise utilisant un réseau IPv6 interne doit pouvoir communiquer avec des serveurs IPv4 externes qui n’ont pas encore d’adresse IPv6.
Pour prendre en charge la liaison d’adresse dynamique, un DNS doit être utilisé pour la résolution de noms. L’hôte IPv4 recherche le nom du nœud IPv6 sur son serveur DNS IPv4 configuré localement, puis transmet la requête au serveur DNS IPv6 par le biais d’un périphérique utilisant le protocole NAT-PT.
L’ALG DNS dans l’appareil NAT :
Traduit la résolution d’adresse IPv6 en résolution d’adresse IPv4.
Attribue une adresse IPv6 pour le mappage.
Stocke un mappage de l’adresse IPv4 allouée à l’adresse IPv6 renvoyée dans la résolution d’adresse IPv6 afin que la session puisse être établie à partir de n’importe quel hôte IPv4 vers l’hôte IPv6.
Voir aussi
Exemple : configuration d’une connexion IPv4 à un nœud IPv6 à l’aide d’un mappage statique de préfixe d’adresse de destination par défaut
Cet exemple montre comment configurer une connexion initiée par IPv4 à un nœud IPv6 à l’aide d’un mappage statique de préfixe d’adresse de destination par défaut.
Exigences
Avant de commencer, configurez les interfaces et attribuez-les aux zones de sécurité.
Vue d’ensemble
L’exemple suivant décrit comment configurer une connexion initiée par IPv4 à un nœud IPv6 dont l’interface comporte un mappage statique, une adresse IPv6 basée sur 126 et un mappage statique /126 configuré sur l’appareil. Cet exemple suppose que les adresses IPv6 à mapper aux adresses IPv4 intègrent les adresses IPv4 dans l’espace d’adressage IPv6.
La configuration d’une connexion initiée par IPv4 à un nœud IPv6 est utile lorsque les appareils du réseau IPv4 doivent être interconnectés aux appareils du réseau IPv6 et lors de la migration d’un réseau IPv4 vers un réseau IPv6. Le mappage peut être utilisé pour l’ALG DNS pour la recherche inverse d’adresses IPv4 à partir d’adresses IPv6, pour le trafic initié à partir du réseau IPv6. Ce processus fournit également une connectivité pour les sessions initiées à partir de nœuds IPv4 avec des nœuds IPv6 de l’autre côté du périphérique NAT/PT.
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security nat static rule-set test_rs from interface ge-0/0/0.0 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.0/30 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::/126 set security nat source pool myipv6_prefix address 2001:db8::/126 set security nat source rule-set myipv6_rs from interface ge-0/0/0.0 set security nat source rule-set myipv6_rs to interface ge-0/0/1.0 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.1.1.45/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::/96 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration.
Pour configurer une connexion IPv4 à un nœud IPv6 à l’aide d’un mappage un-à-un d’adresse de destination statique :
-
Configurez l’ensemble de règles NAT statiques pour une interface.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/0.0
-
Définissez la règle qui doit correspondre au préfixe d’adresse de destination.
Le numéro d’adresse de destination dans la règle de correspondance doit être un nombre égal à la plage de préfixes static-nat.
Il n’y a pas de limite sur le numéro d’adresse source dans la règle de correspondance.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.0/30
Définissez le préfixe NAT statique pour l’appareil.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::/126
-
Configurez le pool NAT source avec un préfixe d’adresse IPv6.
[edit security nat source] user@host# set pool myipv6_prefix address 2001:db8::/126
-
Configurez le jeu de règles NAT source pour l’interface.
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/0.0 user@host# set rule-set myipv6_rs to interface ge-0/0/1.0
-
Configurez l’adresse source NAT IPv6.
Le numéro d’adresse source dans la règle de correspondance doit être un numéro d’adresse égal à la plage du pool source. Par exemple, ^2(32 – 30) = 2^(128 – 126) =>.
Il n’y a pas de limite sur le numéro d’adresse de destination dans la règle de correspondance.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.1.1.45/30
-
Configurez l’adresse de destination NAT source IPv6.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::/96
-
Définissez la source configurée NAT pool IPv6 dans la règle.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
source {
pool myipv6_prefix {
address {
2001:db8::/126;
}
}
rule-set myipv6_rs {
from interface ge-0/0/0.0;
to interface ge-0/0/1.0;
rule ipv6_rule {
match {
source-address 10.1.1.45/30;
destination-address 2001:db8::/96;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/0.0;
rule test_rule {
match {
destination-address 10.1.1.0/30;
}
then {
static-nat {
prefix {
2001:db8::/126;
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification de la configuration de la solution NAT statique
- Vérification de la configuration du NAT source
Vérification de la configuration de la solution NAT statique
Objet
Vérifiez si la NAT statique est configurée avec une interface, une adresse de destination et un préfixe.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat static commande.
Vérification de la configuration du NAT source
Objet
Vérifiez si le NAT source est configuré.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat source commande.
Exemple : configuration d’une connexion initiée par IPv4 à un nœud IPv6 à l’aide d’une adresse de destination statique Mappage un à un
Cet exemple montre comment configurer une connexion IPv4 à un nœud IPv6 à l’aide d’un mappage un-à-un d’adresse de destination statique.
Exigences
Avant de commencer, configurez les interfaces et attribuez-les aux zones de sécurité.
Vue d’ensemble
L’exemple suivant décrit comment configurer un nœud IPv4 pour communiquer avec un nœud IPv6 à l’aide d’NAT statiques un à un sur l’appareil.
La communication d’un nœud IPv4 avec un nœud IPv6 est utile pour les hôtes IPv4 accédant à un serveur IPv6, pour les nouveaux serveurs qui prennent en charge IPv6 uniquement et qui doivent être connectés au réseau IPv6, et pour la migration des anciens hôtes vers le nouveau serveur lorsque la plupart des machines sont déjà passées à IPv6. Par exemple, vous pouvez utiliser cette fonctionnalité pour connecter un nœud IPv4 uniquement à une imprimante IPv6 uniquement. Ce mappage peut également être utilisé pour l’ALG DNS pour la recherche inverse d’adresses IPv4 à partir d’adresses IPv6 pour le trafic initié à partir du réseau IPv6.
Dans cet exemple, l’adresse IPv4 source correspondant au préfixe 10.10.10.1/30 est ajoutée avec le préfixe IPv6 2001 :db8 ::/96 pour former l’adresse IPv6 source traduite et l’adresse IPv4 de destination 10.1.1.25/32 est traduite en adresse IPv6 2001 :db8 ::25/128.
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 10.1.1.25/32 set security nat static rule-set test_rs rule test_rule then static-nat prefix 2001:db8::25/128 set security nat source pool myipv6_prefix address 2001:db8::/96 set security nat source rule-set myipv6_rs from interface ge-0/0/1 set security nat source rule-set myipv6_rs to interface ge-0/0/2 set security nat source rule-set myipv6_rs rule ipv6_rule match source-address 10.10.10.1/30 set security nat source rule-set myipv6_rs rule ipv6_rule match destination-address 2001:db8::25 set security nat source rule-set myipv6_rs rule ipv6_rule then source-nat pool myipv6_prefix
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Pour configurer une connexion IPv4 à un nœud IPv6 à l’aide d’un mappage un-à-un d’adresse de destination statique :
Configurez l’ensemble de règles NAT statiques pour une interface.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Définissez la règle et l’adresse de destination.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 10.1.1.25/32
Définissez le préfixe NAT statique.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 2001:db8::25/128
Configurez un pool NAT source avec une adresse de préfixe IPv6.
[edit security] user@host# set nat source pool myipv6_prefix address 2001:db8::/96
Configurez l’ensemble de règles NAT source.
[edit security nat source] user@host# set rule-set myipv6_rs from interface ge-0/0/1 user@host# set rule-set myipv6_rs to interface ge-0/0/2
Configurez l’adresse source du NAT source.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match source-address 10.10.10.1/30
Configurez l’adresse de destination du NAT source.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule match destination-address 2001:db8::25
Définissez un pool IPv6 NAT source configuré dans la règle.
[edit security nat source rule-set myipv6_rs] user@host# set rule ipv6_rule then source-nat pool myipv6_prefix
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool myipv6_prefix {
address {
2001:db8::/96;
}
}
rule-set myipv6_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv6_rule {
match {
source-address 10.10.10.1/30;
destination-address 2001:db8::25;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 10.1.1.25/32;
}
then {
static-nat prefix 2001:db8::25/128;
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification de la configuration de la solution NAT statique
- Vérification de la configuration du NAT source
Vérification de la configuration de la solution NAT statique
Objet
Vérifiez si la NAT statique est configurée avec une interface, une adresse de destination et un préfixe.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat static commande.
Vérification de la configuration du NAT source
Objet
Vérifiez si le NAT source est configuré.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat source commande.
Exemple : Configuration d’une connexion initiée par IPv6 à un nœud IPv4 à l’aide du mappage statique du préfixe d’adresse de destination par défaut
Cet exemple montre comment configurer une connexion initiée par IPv6 à un nœud IPv4 à l’aide d’un mappage statique de préfixe d’adresse de destination par défaut. Cet exemple ne montre pas comment configurer la traduction NAT pour la direction inverse.
Exigences
Avant de commencer, configurez les interfaces et attribuez-les aux zones de sécurité.
Vue d’ensemble
L’exemple suivant décrit la communication d’un nœud IPv6 avec un nœud IPv4 sur lequel une connexion NAT statique basée sur un préfixe est définie sur l’appareil. La NAT statique suppose que le réseau IPv4 est un réseau IPv6 spécial (c’est-à-dire un réseau IPv6 mappé IPv4) et masque l’ensemble du réseau IPv4 derrière un préfixe IPv6.
La communication d’un nœud IPv6 avec un nœud IPv4 est utile lorsque IPv6 est utilisé dans le réseau et doit être connecté au réseau IPv4, ou lorsque IPv4 et IPv6 sont utilisés dans le réseau et qu’un mécanisme est nécessaire pour interconnecter les deux réseaux pendant la migration. Cela fournit également la connectivité pour les sessions initiées à partir de nœuds IPv6 avec des nœuds IPv4 de l’autre côté du périphérique NAT/PT.
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::1/96 set security nat static rule-set test_rs rule test_rule then static-nat inet set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.5 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.1.1.15/30 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::2/96 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Pour configurer une connexion initiée par IPv6 à un nœud IPv4 à l’aide d’un mappage statique de préfixe d’adresse de destination par défaut :
Configurez le NAT statique d’une interface.
[edit security nat static] user@host# set rule test_rs from interface ge-0/0/1
Définissez la règle et l’adresse de destination avec le préfixe de la traduction NAT statique définie sur l’appareil.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::1/96
Définissez le NAT statique comme inet pour le traduire en une adresse IPv4.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat inet
Configurez l’adresse du pool NAT source IPv4.
[edit security nat source] user@host# set pool myipv4 address 203.0.113.2 to 203.0.113.5
Configurez l’ensemble de règles NAT source.
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1 user@host# set rule-set myipv4_rs to interface ge-0/0/2
Configurez l’adresse de destination NAT source IPv4.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.1.1.15/30
Définissez l’adresse source avec le préfixe pour le NAT source défini sur l’appareil.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::2/96
Définissez un pool IPv4 NAT source configuré dans la règle.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.5/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.1.1.15/30;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::1/96;
}
then {
static-nat inet;
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification de la configuration de la solution NAT statique
- Vérification de la configuration du NAT source
Vérification de la configuration de la solution NAT statique
Objet
Vérifiez si la NAT statique est configurée avec une interface, une adresse de destination et un préfixe.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat static rule commande.
user@host> show security nat static rule test_rule
Static NAT rule: test_rule Rule-set: test_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
Destination addresses : 2001:db8::1
Host addresses : 0.0.0.0
Netmask : 96
Host routing-instance : N/A
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Vérification de la configuration du NAT source
Objet
Vérifiez si le NAT source est configuré.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat source rule commande.
user@host> show security nat source rule ipv4_rule
source NAT rule: ipv4_rule Rule-set: myipv4_rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.0
To interface : ge-0/0/2.0
Match
Source addresses : 2001:db8:: - 2001:db8::ffff:ffff
Destination addresses : 10.1.1.15 - 10.1.1.15
Action : myipv4
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
À partir du mode opérationnel, entrez la show security nat source pool commande.
user@host> show security nat source pool myipv4
Pool name : myipv4
Pool id : 5
Routing instance : default
Host address base : 0.0.0.0
Port : [1024, 63487]
Twin port : [63488, 65535]
Port overloading : 1
Address assignment : no-paired
Total addresses : 4
Translation hits : 0
Address range Single Ports Twin Ports
203.0.113.2 - 203.0.113.5 0 0
Exemple : configuration d’une connexion initiée par IPv6 à un nœud IPv4 à l’aide d’une adresse de destination statique Mappage un à un
Cet exemple montre comment configurer une connexion initiée par IPv6 à un nœud IPv4 à l’aide d’un mappage un-à-un d’adresse de destination statique.
Exigences
Avant de commencer, configurez les interfaces et attribuez-les aux zones de sécurité.
Vue d’ensemble
L’exemple suivant décrit la communication d’un nœud IPv6 avec un nœud IPv4 dont l’équipement possède une adresse NAT statique un-à-un. La communication d’un nœud IPv6 avec un nœud IPv4 permet aux hôtes IPv6 d’accéder à un serveur IPv4 lorsqu’aucun des équipements n’a une double pile et doit dépendre du périphérique NAT/PT pour communiquer. Cela permet à certaines applications serveur IPv4 héritées de fonctionner même après la migration du réseau vers IPv6.
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security nat static rule test_rs from interface ge-0/0/1 set security nat static rule test_rs rule test_rule match destination-address 2001:db8::15/128 set security nat static rule test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 to 203.0.113.3 set security nat source rule myipv4_rs from interface ge-0/0/1 set security nat source rule myipv4_rs to interface ge-0/0/2 set security nat source rule myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule myipv4_rs rule ipv4_rule then source-nat pool myipv4
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Pour configurer une connexion initiée par IPv6 à un nœud IPv4 à l’aide d’un mappage un-à-un d’adresse de destination statique :
Configurez l’ensemble de règles NAT statiques pour une interface.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Définissez une règle pour correspondre à l’adresse de destination.
[edit security nat static rule-set test_rs] user@host# set rule test_rule match destination-address 2001:db8::15/128
Définissez le préfixe NAT statique de la règle.
[edit security nat static rule-set test_rs] user@host# set rule test_rule then static-nat prefix 10.2.2.15/32
Configurez un pool NAT source avec des adresses IPv4.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2 203.0.113.3
Configurez l’adresse IPv4 de l’interface.
[edit security nat source ] user@host# set rule-set myipv4_rs from interface ge-0/0/1
Configurez l’adresse source sur l’adresse NAT source IPv4.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match source-address 2001:db8::/96
Configurez l’adresse de destination sur l’adresse NAT source IPv4.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule match destination-address 10.2.2.15
Définissez le pool IPv4 NAT source configuré dans la règle.
[edit security nat source rule-set myipv4_rs] user@host# set rule ipv4_rule then source-nat pool myipv4
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool myipv4 {
address {
203.0.113.2/32 to 203.0.113.3/32;
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::15/128;
}
then {
static-nat prefix 10.2.2.15/32;
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification de la configuration de la solution NAT statique
- Vérification de la configuration du NAT source
Vérification de la configuration de la solution NAT statique
Objet
Vérifiez si la NAT statique est configurée avec une interface, une adresse de destination et un préfixe.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat static commande.
Vérification de la configuration du NAT source
Objet
Vérifiez si le NAT source est configuré.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat source commande.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.