Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Présentation de la configuration NAT

Cette rubrique décrit comment configurer la traduction d’adresses réseau (NAT) et plusieurs FAI. Cette rubrique permet également de vérifier le trafic NAT en configurant les options de traçage et en surveillant NAT table.

Configuration du NAT à l’aide de l’assistant NAT

Vous pouvez utiliser l’assistant NAT pour effectuer une configuration NAT de base. Pour effectuer une configuration plus avancée, utilisez l’interface J-Web ou la CLI.

Pour configurer le NAT à l’aide de l’assistant NAT :

  1. Sélectionnez Configure>Tasks>Configure NAT dans l’interface J-Web.
  2. Cliquez sur le bouton Lancer l’assistant NAT.
  3. Suivez les invites de l’assistant.

La zone supérieure gauche de la page de l’assistant indique où vous en êtes dans le processus de configuration. La zone inférieure gauche de la page affiche l’aide sensible au champ. Lorsque vous cliquez sur un lien sous l’en-tête Ressources, le document s’ouvre dans votre navigateur. Si le document s’ouvre dans un nouvel onglet, veillez à fermer uniquement l’onglet (et non la fenêtre du navigateur) lorsque vous fermez le document.

Exemple : configuration de la solution NAT pour plusieurs FAI

Cet exemple montre comment configurer un appareil Juniper Networks pour la traduction d’adresses de plusieurs FAI.

Exigences

Avant de commencer :

  1. Configurez les interfaces réseau de l’appareil. Voir Guide de l’utilisateur des interfaces pour les équipements de sécurité.

  2. Créez des zones de sécurité et attribuez-leur des interfaces. Voir Présentation des zones de sécurité.

Vue d’ensemble

Dans cet exemple, vous pouvez configurer un pare-feu SRX Series en connectant le réseau LAN à Internet à l’aide de la fonctionnalité NAT via deux connexions FAI. Dans cette configuration, la confiance est la zone de sécurité pour l’espace d’adressage privé et les deux zones de sécurité non approuvées pour l’espace d’adressage public sont utilisées pour se connecter du LAN aux deux FAI et vice versa. L’exemple est une combinaison de règles NAT source pour se connecter à Internet à partir du réseau LAN, et de règles NAT de destination et statiques pour se connecter au LAN à partir d’Internet.

La configuration

Configuration de NAT pour plusieurs FAI

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la hiérarchie [modifier], puis entrez commit en mode configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.

  1. Configurez les instances de routage.

  2. Configurez les groupes de nervures et les options de routage.

  3. Configurez les politiques de sécurité.

  4. Configurez les pools et les règles de NAT source.

  5. Configurez les pools et les règles NAT de destination.

  6. Configurez des règles de NAT statiques.

Résultats

En mode configuration, confirmez votre configuration en entrant la commande show configuration . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.

Vérification

Vérification des interfaces

Objet

Vérifiez que les interfaces sont correctement configurées.

Mesures à prendre

À partir du mode opérationnel, entrez les commandes suivantes :

  • show interfaces

  • show zones

  • show routing-instances

  • show routing-options

  • show policies

  • show source nat

  • show destination nat

  • show static nat

Configuration de l’ARP du proxy pour le NAT (procédure CLI)

Utilisez la fonctionnalité ARP de proxy NAT pour configurer des entrées ARP de proxy pour les adresses IP qui nécessitent un NAT source ou de destination et qui se trouvent dans le même sous-réseau que l’interface entrante. Sur les pare-feu SRX Series, vous devez configurer explicitement l’ARP du proxy NAT.

Lors de la configuration de l’ARP du proxy NAT, vous devez spécifier l’interface logique sur laquelle configurer l’ARP du proxy. Ensuite, vous entrez une adresse ou une plage d’adresses.

L’équipement effectue un ARP proxy dans les conditions suivantes :

  • Lorsque les adresses définies dans le NAT statique et le pool NAT source se trouvent dans le même sous-réseau que celui de l’interface entrante

  • Lorsque les adresses de l’entrée d’adresse de destination d’origine dans les règles NAT de destination se trouvent dans le même sous-réseau que celui de l’interface entrante

Configuration des options de trace NAT

Objet

La hiérarchie des options de trace NAT configure le fichier de trace et les indicateurs à des fins de vérification.

Les pare-feu SRX Series possèdent deux composants principaux : le moteur de routage (RE) et le moteur de transfert de paquets (PFE). Le PFE est divisé en une partie ukernel et une partie temps réel.

Lorsqu’une configuration NAT est validée, elle est d’abord vérifiée et validée sur le RE. Après validation, la configuration est poussée vers le PFE. La configuration est installée sur le PFE ukernel, puis une action est effectuée sur chaque paquet qui correspond aux règles NAT sur le PFE en temps réel.

Pour vérification, vous pouvez activer les indicateurs individuellement pour déboguer la fonctionnalité NAT sur le RE, le PFE ukernel ou le PFE en temps réel :

  • L’indicateur nat-re enregistre la trace de la validation de la configuration NAT sur le RE et de l’envoi de la configuration au PFE.

  • L’indicateur nat-pfe enregistre la trace de l’installation de la configuration NAT sur le PFE ukernel.

  • L’indicateur nat-rt enregistre la trace de la correspondance de la règle NAT et l’action ultérieure sur le PFE en temps réel.

Les données de trace sont écrites par défaut dans /var/log/security-trace et peuvent être consultées à l’aide de la commande show log security-trace.

Si la journalisation des sessions a été activée dans les configurations de stratégie sur l’appareil, les journaux de session incluront des détails NAT spécifiques pour chaque session. Pour plus d’informations sur l’activation de la journalisation des sessions, reportez-vous aux sections Surveillance des statistiques de stratégie de sécurité et Informations fournies dans les entrées du journal de session pour les passerelles de services SRX Series pour obtenir une description des informations fournies dans les journaux de session.

Mesures à prendre

Pour vérifier que les configurations NAT sont correctement mises à jour sur l’appareil lors de la validation, que la correspondance de la règle NAT et les actions ultérieures sont correctes, utilisez l’instruction security nat traceoptions .

Pour vérifier que les conversions NAT sont appliquées au trafic et pour afficher le traitement du flux de trafic individuel avec les conversions NAT, utilisez à la fois la security nat traceoptions commande et la security flow traceoptions commande. Les commandes sont utilisées conjointement car la trace NAT, configurée à l’aide de la commande, n’est security nat traceoptions pas enregistrée à moins que la flow traceoptions commande ne soit également configurée.

Pour filtrer un flux spécifique, vous pouvez définir un filtre de paquets et l’utiliser comme traceoption :

Pour vérifier le trafic NAT et activer le suivi de tout le trafic dans le plan de données, utilisez la commande traceoptions set security flow traceoptions flag basic-datapath , comme illustré dans l’exemple suivant utilisant un filtre de paquets simple :

Surveillance des informations de table entrantes du NAT

Objet

Afficher les informations de la table NAT.

Mesures à prendre

Sélectionnez Monitor>NAT>Incoming Table dans l’interface utilisateur J-Web ou entrez la commande CLI suivante :

show security nat incoming-table

Le Tableau 1 résume les principaux champs de sortie dans l’affichage de table entrant.

Tableau 1 : Récapitulatif des principaux champs de sortie de table entrants

Champ

Valeurs
Statistiques

En cours d’utilisation

Nombre d’entrées dans la table NAT.

Maximum

Nombre maximal d’entrées possibles dans la table NAT.

Échec de l’allocation des entrées

Nombre d’entrées ayant échoué pour l’attribution.
Table entrante

Effacer

Destination

Adresse IP et numéro de port de destination.

Hôte

Adresse IP de l’hôte et numéro de port auxquels l’adresse IP de destination est mappée.

Références

Nombre de sessions faisant référence à l’entrée.

Délai d’expiration

Délai d’expiration, en secondes, de l’entrée dans la table NAT.

Source-pool

Nom du pool source où la traduction est allouée.

Informations sur les ports NAT de l’interface de surveillance

Objet

Afficher l’utilisation des ports pour les informations sur le pool source d’interface.

Mesures à prendre

Pour surveiller les informations des ports NAT de l’interface, effectuez l’une des opérations suivantes :

  • Sélectionnez Monitor>Firewall/NAT>Interface NAT ou Monitor>NAT>Interface NAT Ports dans l’interface utilisateur J-Web ou saisissez la commande show security nat interface-nat-portsCLI .

Le Tableau 2 récapitule les principaux champs de sortie de l’affichage NAT de l’interface.

Tableau 2 : récapitulatif des champs clés de sortie NAT de l’interface

Champ

Valeurs

Informations complémentaires
Tableau récapitulatif du NAT d’interface

Index des pools

Index du pool de ports.

Total Ports

Nombre total de ports dans un pool de ports.

Ports individuels alloués

Nombre de ports alloués un par un qui sont utilisés.

Ports simples disponibles

Nombre de ports alloués un par un qui sont libres d’utilisation.

Deux ports alloués

Nombre de ports alloués deux à la fois qui sont utilisés.

Deux ports disponibles

Nombre de ports alloués deux à la fois qui sont libres d’utilisation.