Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Présentation de la configuration NAT

Cette rubrique explique comment configurer la traduction d’adresses réseau (NAT) et plusieurs FAI. En outre, cette rubrique permet de vérifier le trafic NAT en configurant les options de suivi et en surveillant la table NAT.

configuration NAT à l’aide de l’assistant NAT

Vous pouvez utiliser l’assistant NAT pour effectuer une configuration NAT de base. Pour effectuer une configuration plus avancée, utilisez l’interface J-Web ou l’interface de ligne de commande.

Pour configurer NAT à l’aide de l’Assistant NAT :

  1. Sélectionnez Configure>Tasks>Configure NAT dans l’interface J-Web.
  2. Cliquez sur le bouton Lancer l’assistant NAT.
  3. Suivez les instructions de l’assistant.

La partie supérieure gauche de la page de l’Assistant indique où vous en êtes dans le processus de configuration. La partie inférieure gauche de la page affiche l’aide adaptée aux champs. Lorsque vous cliquez sur un lien sous l’en-tête Ressources, le document s’ouvre dans votre navigateur. Si le document s’ouvre dans un nouvel onglet, assurez-vous de fermer uniquement l’onglet (et non la fenêtre du navigateur) lorsque vous fermez le document.

Exemple : configuration de NAT pour plusieurs FAI

Cet exemple montre comment configurer un équipement Juniper Networks pour la traduction d’adresses de plusieurs FAI.

Exigences

Avant de commencer :

  1. Configurez les interfaces réseau sur l’équipement. Reportez-vous au Guide de l’utilisateur des interfaces pour les équipements de sécurité.

  2. Créez des zones de sécurité et attribuez-leur des interfaces. Reportez-vous à la section Présentation des zones de sécurité.

Aperçu

Dans cet exemple, vous pouvez configurer un pare-feu SRX Series en connectant le réseau local à Internet à l’aide de la fonction NAT via deux connexions FAI. Dans cette configuration, l’approbation est la zone de sécurité de l’espace d’adressage privé et les deux zones de sécurité non fiables de l’espace d’adressage public sont utilisées pour se connecter du LAN aux deux FAI et vice versa. L’exemple est une combinaison de règles NAT source pour se connecter à Internet à partir du réseau local, et de règles NAT de destination et statiques pour se connecter au réseau local à partir d’Internet.

Configuration

Configuration NAT pour plusieurs FAI

Configuration rapide de la CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [edit], puis passez commit en mode configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande Junos OS.

  1. Configurez les instances de routage.

  2. Configurez les groupes de nervures et les options de routage.

  3. Configurez les politiques de sécurité.

  4. Configurez les pools et les règles NAT source.

  5. Configurez les pools et les règles NAT de destination.

  6. Configurez des règles NAT statiques.

Résultats

À partir du mode configuration, confirmez votre configuration en entrant la commande show configuration . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérification des interfaces

But

Vérifiez que les interfaces sont correctement configurées.

Action

À partir du mode opérationnel, entrez les commandes suivantes :

  • show interfaces

  • show zones

  • show routing-instances

  • show routing-options

  • show policies

  • show source nat

  • show destination nat

  • show static nat

Configuration du proxy ARP pour NAT (procédure CLI)

La fonctionnalité ARP du proxy NAT permet de configurer les entrées ARP du proxy pour les adresses IP qui nécessitent un NAT source ou de destination et qui se trouvent dans le même sous-réseau que l’interface entrante. Sur les pare-feu SRX Series, vous devez configurer explicitement NAT proxy ARP.

Lors de la configuration de l’ARP du proxy NAT, vous devez spécifier l’interface logique sur laquelle configurer l’ARP du proxy. Ensuite, vous entrez une adresse ou une plage d’adresses.

L’appareil effectue un ARP proxy dans les conditions suivantes :

  • Lorsque les adresses définies dans le NAT statique et le pool NAT source se trouvent dans le même sous-réseau que celui de l’interface entrante

  • Lorsque les adresses de l’entrée d’adresse de destination d’origine dans les règles NAT de destination se trouvent dans le même sous-réseau que celui de l’interface entrante

Configuration des options de traçage NAT

But

La hiérarchie des options de trace NAT configure le fichier de trace et les indicateurs à des fins de vérification.

Les pare-feu SRX Series possèdent deux composants principaux : le moteur de routage (RE) et le moteur de transfert de paquets (PFE). Le PFE est divisé en la partie ukernel et la partie temps réel.

Lorsqu’une configuration NAT est validée, elle est d’abord vérifiée et validée sur le RE. Après validation, la configuration est poussée vers le PFE. La configuration est installée sur le PFE ukernel, puis une action est effectuée sur chaque paquet qui correspond aux règles NAT sur le PFE en temps réel.

À des fins de vérification, vous pouvez activer les indicateurs individuellement pour déboguer la fonctionnalité NAT sur le RE, le PFE ukernel ou le PFE en temps réel :

  • L’indicateur nat-re enregistre la trace de la validation de la configuration NAT sur le RE et du push de configuration vers le PFE.

  • L’indicateur nat-pfe enregistre la trace de l’installation de la configuration NAT sur le PFE ukernel.

  • L’indicateur nat-rt enregistre la trace de la correspondance de la règle NAT et l’action subséquente sur le PFE en temps réel.

Les données de trace sont écrites dans /var/log/security-trace par défaut et peuvent être visualisées à l’aide de la commande show log security-trace.

Si la journalisation des sessions a été activée dans les configurations de stratégie sur l’appareil, les journaux de session incluent des détails NAT spécifiques à chaque session. Reportez-vous à la section Surveillance des statistiques de la stratégie de sécurité pour plus d’informations sur l’activation de la journalisation des sessions et aux Informations fournies dans les entrées du journal de session pour les passerelles de services SRX Series pour obtenir une description des informations fournies dans les journaux de session.

Action

Pour vérifier que les configurations NAT sont correctement mises à jour sur l’appareil lors de la validation, et que la correspondance de la règle NAT et les actions subséquentes sont correctes, utilisez l’instruction security nat traceoptions .

Pour vérifier que les traductions NAT sont appliquées au trafic et pour afficher le traitement de flux de trafic individuel avec les traductions NAT, utilisez la commande et la security nat traceoptions security flow traceoptions commande ensemble. Les commandes sont utilisées ensemble, car la trace NAT, configurée à l’aide de la security nat traceoptions commande, n’est enregistrée que si la flow traceoptions commande est également configurée.

Pour filtrer un flux spécifique, vous pouvez définir un filtre de paquets et l’utiliser comme traceoption :

Pour vérifier le trafic NAT et activer toute la trace du trafic dans le plan de données, utilisez la commande traceoptions set security flow traceoptions flag basic-datapath , comme illustré dans l’exemple suivant utilisant un simple filtre de paquets :

Surveillance des informations de la table entrante NAT

But

Affichez les informations de la table NAT.

Action

Sélectionnez Monitor>NAT>Incoming Table dans l’interface utilisateur de J-Web ou entrez la commande CLI suivante :

show security nat incoming-table

Le tableau 1 récapitule les principaux champs de sortie dans l’affichage de la table entrante.

Tableau 1 : Récapitulatif des principaux champs de sortie de la table entrante

Champ

Valeurs
Statistiques

En usage

Nombre d’entrées dans la table NAT.

Maximum

Nombre maximum d’entrées possible dans la table NAT.

Échec de l’attribution des entrées

Nombre d’entrées ayant échoué pour l’allocation.
Table entrante

Clair

Destination

Adresse IP de destination et numéro de port.

Hôte

Adresse IP de l’hôte et numéro de port auquel l’adresse IP de destination est mappée.

Références

Nombre de sessions référençant l’entrée.

Timeout

Délai d’expiration, en secondes, de l’entrée dans la table NAT.

Pool source

Nom du pool source où la traduction est allouée.

Informations sur les ports NAT de l’interface de surveillance

But

Affichez l’utilisation des ports pour les informations du pool source d’interface.

Action

Pour surveiller les informations de port NAT de l’interface, effectuez l’une des opérations suivantes :

  • Sélectionnez Monitor>Firewall/NAT>Interface NAT ou Monitor>NAT>Interface NAT Ports dans l’interface utilisateur J-Web ou entrez la commande show security nat interface-nat-portsCLI .

Le Tableau 2 récapitule les champs de sortie clés de l’affichage NAT de l’interface.

Tableau 2 : Récapitulatif des champs de sortie NAT de l’interface clé

Champ

Valeurs

Informations complémentaires
Tableau récapitulatif NAT de l’interface

Pool Index

Index du pool de ports.

Total Ports

Nombre total de ports dans un pool de ports.

Ports uniques alloués

Nombre de ports alloués un par un en cours d’utilisation.

Ports uniques disponibles

Nombre de ports alloués, un à la fois, dont l’utilisation est gratuite.

Ports jumeaux alloués

Nombre de ports alloués, deux à la fois, en cours d’utilisation.

Deux ports disponibles

Nombre de ports alloués, deux à la fois, dont l’utilisation est gratuite.