NAT pour les flux multicast
Pour implémenter la traduction d’adresses de groupe multicast, on utilise soit le NAT statique, soit le NAT de destination. À l’aide de NAT, les adresses sources en IPv4 sont traduites en adresses de destination de groupe de multicast IPv4.
Comprendre le NAT pour les flux multicast
La traduction d’adresses réseau (NAT) peut être utilisée pour traduire des adresses sources dans des flux de multicast IPv4 et pour traduire des adresses de destination de groupe de multicast IPv4.
Le NAT statique ou le NAT de destination peut être utilisé pour effectuer la traduction d’adresses de groupe multicast. Le NAT statique permet d’établir des connexions de part et d’autre du réseau, mais la traduction est limitée aux adresses un-à-un ou à des blocs d’adresses de même taille. Aucun pool d’adresses n’est nécessaire. Utilisez l’instruction static configuration au niveau de la hiérarchie [edit security nat] pour configurer les ensembles de règles NAT statiques pour le trafic multicast. Le NAT de destination permet d’initier des connexions uniquement pour les connexions réseau entrantes, par exemple depuis Internet vers un réseau privé. Utilisez l’instruction destination de configuration au niveau de la hiérarchie [edit security nat] pour configurer les pools NAT de destination et les ensembles de règles.
Le NAT source pour le trafic multicast est pris en charge uniquement en utilisant le décalage d’adresse IP pour convertir l’adresse IP source d’origine en une adresse IP à partir d’un pool d’adresses défini par l’utilisateur. Il s’agit d’une traduction individuelle, statique et sans adresse de port. Si la plage d’adresses IP source d’origine est supérieure à la plage d’adresses IP du pool défini par l’utilisateur, les paquets non traduits sont perdus. Le mappage ne fournit pas de mappage bidirectionnel, comme le fait le NAT statique. Utilisez l’instruction de source configuration au niveau de la hiérarchie [edit security nat] pour configurer les pools NAT sources et les ensembles de règles. Lorsque vous définissez le pool de NAT source pour ce type de NAT source, utilisez l’option host-address-base pour spécifier le début de la plage d’adresses IP source d’origine.
Voir aussi
Exemple : configuration de la solution NAT pour les flux multicast
Cet exemple montre comment configurer un appareil Juniper Networks pour la traduction d’adresses de flux multicast.
Exigences
Avant de commencer :
Configurez les interfaces réseau de l’appareil. Voir le guide de l’utilisateur des interfaces pour les équipements de sécurité.
Créez des zones de sécurité et attribuez-leur des interfaces. Voir Présentation des zones de sécurité.
-
Configurez l’appareil pour le transfert multicast. Voir la présentation du multicast.
Vue d’ensemble
Cet exemple utilise la zone de sécurité approuvée pour l’espace d’adressage privé et la zone de sécurité non approuvée pour l’espace d’adressage public. La figure 1 représente un déploiement typique de l’appareil Juniper Networks pour le transfert de multicast. Le routeur source R1 envoie des paquets de multicast avec des adresses sources comprises entre 203.0.113.100 et 203.0.113.110 et l’adresse de groupe 233.252.0.1/32 vers l’équipement Juniper Networks. Le routeur source R1 se trouve dans le réseau privé (zone de confiance) en amont de l’appareil Juniper Networks. Il existe plusieurs récepteurs dans le réseau public (zone non approuvée) en aval de l’équipement.
L’équipement Juniper Networks traduit les paquets multicast entrants à partir de R1 avant de les transférer sur les interfaces en aval. Les traductions suivantes sont appliquées :
Pour l’interface vers R2, l’adresse source n’est pas traduite et l’adresse de groupe est traduite en 233.252.0.2/32.
Pour l’interface vers R3, l’adresse source est traduite en une adresse comprise entre 198.51.100.200 et 198.51.100.210, et l’adresse de groupe est traduite en 233.252.0.2/32.
Pour l’interface vers R4, l’adresse source est traduite en une adresse comprise entre 10.10.10.100 et 10.10.10.110, et l’adresse de groupe est traduite en 233.252.0.2/32.
multicast
Cet exemple décrit les configurations suivantes :
Pool
dst-nat-poolde NAT de destination contenant l’adresse IP 233.252.0.2/32.Jeu de règles
rs1NAT de destination avec une règler1pour faire correspondre les paquets arrivant sur l’interface xe-2/0/1.0 avec l’adresse IP de destination 233.252.0.1/32. Pour faire correspondre les paquets, l’adresse de destination est traduite en adresse IP dans ledst-nat-poolpool.Pool
src-nat-shift-1NAT source contenant la plage d’adresses IP 198.51.100.200/32 à 198.51.100.210/32. Pour ce pool, le début de la plage d’adresses IP source d’origine est 203.0.113.100/32 et est spécifié avec l’optionhost-address-base.Jeu de règles
rs-shift1NAT source avec une règler1pour faire correspondre les paquets de la zone d’approbation à l’interface xe-1/0/1.0 avec une adresse IP source dans le sous-réseau 203.0.113.96/28. Pour les paquets correspondants qui se trouvent dans la plage d’adresses IP source spécifiée par lasrc-nat-shift-1configuration, l’adresse source est traduite en adresse IP dans lesrc-nat-shift-1pool.Pool
src-nat-shift-2NAT source contenant la plage d’adresses IP 10.10.10.100/32 à 10.10.10.110/32. Pour ce pool, le début de la plage d’adresses IP source d’origine est 203.0.113.100/32 et est spécifié avec l’optionhost-address-base.Ensemble
rs-shift2de règles NAT source avec une règler1pour faire correspondre les paquets de la zone d’approbation à l’interface xe-2/0/0.0 avec une adresse IP source dans le sous-réseau 203.0.113.96/28. Pour les paquets correspondants qui se trouvent dans la plage d’adresses IP source spécifiée par lasrc-nat-shift-2configuration, l’adresse source est traduite en adresse IP dans lesrc-nat-shift-2pool.ARP de proxy pour les adresses 203.0.113.100 à 203.0.113.110 sur l’interface xe-1/0/0.0, les adresses 198.51.100.200 à 198.51.100.210 sur l’interface xe-1/0/1.0 et les adresses 10.10.10.100 à 10.10.10.110 sur l’interface xe-2/0/0.0. Cela permet à l’équipement de sécurité de Juniper Networks de répondre aux requêtes ARP reçues sur l’interface pour ces adresses.
Stratégie de sécurité pour autoriser le trafic de la zone approuvée vers la zone non approuvée.
Stratégie de sécurité pour autoriser le trafic de la zone non approuvée vers l’adresse IP de destination traduite dans la zone approuvée.
Topologie
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security nat source pool src-nat-shift-1 address 198.51.100.200/32 to 198.51.100.210/32 set security nat source pool src-nat-shift-1 host-address-base 203.0.113.100/32 set security nat source pool src-nat-shift-2 address 10.10.10.100/32 to 10.10.10.110/32 set security nat source pool src-nat-shift-2 host-address-base 203.0.113.100/32 set security nat source rule-set rs-shift1 from zone trust set security nat source rule-set rs-shift1 to interface xe-1/0/1.0 set security nat source rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1 set security nat source rule-set rs-shift2 from zone trust set security nat source rule-set rs-shift2 to interface xe-2/0/0.0 set security nat source rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2 set security nat destination pool dst-nat-pool address 233.252.0.2/32 set security nat destination rule-set rs1 from interface xe-2/0/1.0 set security nat destination rule-set rs1 rule r1 match destination-address 233.252.0.1/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool set security nat proxy-arp interface xe-1/0/0.0 address 203.0.113.100/32 to 203.0.113.110/32 set security nat proxy-arp interface xe-1/0/1.0 address 198.51.100.200/32 to 198.51.100.210/32 set security nat proxy-arp interface xe-2/0/0.0 address 10.10.10.100/32 to 10.10.10.110/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match destination-address 233.252.0.1/21 set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Pour configurer les traductions NAT de destination et source pour les flux de multicast :
Créez un pool NAT de destination.
[edit security nat destination] user@host# set pool dst-nat-pool address 233.252.0.2/32
Créez un ensemble de règles NAT de destination.
[edit security nat destination] user@host# set rule-set rs1 from interface xe-2/0/1.0
Configurez une règle qui correspond aux paquets et traduit l’adresse de destination en adresse du pool NAT de destination.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 233.252.0.1/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool
Créez un pool NAT source.
[edit security nat source] user@host# set pool src-nat-shift-1 address 198.51.100.200 to 198.51.100.210
Spécifiez le début de la plage d’adresses IP source d’origine.
[edit security nat source] user@host# set pool src-nat-shift-1 host-address-base 203.0.113.100
Créez un ensemble de règles NAT source.
[edit security nat source] user@host# set rule-set rs-shift1 from zone trust user@host# set rule-set rs-shift1 to interface xe-1/0/1.0
Configurez une règle qui correspond aux paquets et traduit l’adresse de destination en adresse dans le pool NAT source.
[edit security nat source] user@host# set rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1
Créez un pool NAT source.
[edit security nat source] user@host# set pool src-nat-shift-2 address 10.10.10.100 to 10.10.10.110
Spécifiez le début de la plage d’adresses IP source d’origine.
[edit security nat source] user@host# set pool src-nat-shift-2 host-address-base 203.0.113.100/32
Créez un ensemble de règles NAT source.
[edit security nat source] user@host# set rule-set rs-shift2 from zone trust user@host# set rule-set rs-shift2 to interface xe-2/0/0.0
Configurez une règle qui correspond aux paquets et traduit l’adresse de destination en adresse dans le pool NAT source.
[edit security nat source] user@host# set rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2
Configurez l’ARP du proxy.
[edit security nat] user@host# set proxy-arp interface xe-1/0/0.0 address 203.0.113.100 to 203.0.113.110 user@host# set proxy-arp interface xe-1/0/1.0 address 198.51.100.200 to 198.51.100.210 user@host# set proxy-arp interface xe-2/0/0.0 address 10.10.10.100 to 10.10.10.110
Configurez une stratégie de sécurité qui autorise le trafic de la zone approuvée vers la zone non approuvée.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Configurez une stratégie de sécurité qui autorise le trafic de la zone non approuvée vers la zone approuvée.
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-access match source-address any destination-address 233.252.0.1/32 application any user@host# set policy dst-nat-pool-access then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show security nat commandes and show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool src-nat-shift-1 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
host-address-base 203.0.113.100/32;
}
pool src-nat-shift-2 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
host-address-base 203.0.113.100/32;
}
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
rule-set rs-shift1 {
from zone trust;
to interface xe-1/0/1.0;
rule r1 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift1;
}
}
}
}
}
rule-set rs-shift2 {
from zone trust;
to interface xe-2/0/0.0;
rule r2 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift2;
}
}
}
}
}
}
destination {
pool dst-nat-pool {
address 233.252.0.1/32;
}
rule-set rs1 {
from interface xe-2/0/1.0;
rule r1 {
match {
destination-address 233.252.0.1/32;
}
then {
destination-nat pool dst-nat-pool;
}
}
}
}
proxy-arp {
interface xe-1/0/0.0 {
address {
203.0.113.100/32 to 203.0.113.110/32;
}
}
interface xe-1/0/1.0 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
}
interface xe-2/0/0.0 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification de l’utilisation du pool NAT de destination
- Vérification de l’utilisation des règles NAT de destination
- Vérification de l’utilisation du pool de NAT source
- Vérification de l’utilisation des règles NAT source
- Vérification de l’application NAT pour le trafic
Vérification de l’utilisation du pool NAT de destination
Objet
Vérifiez qu’il existe du trafic à l’aide des adresses IP du pool NAT de destination.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat destination pool all commande. Affichez le champ Accès à la traduction pour vérifier le trafic utilisant les adresses IP du pool.
Vérification de l’utilisation des règles NAT de destination
Objet
Vérifiez qu’il existe un trafic correspondant à la règle NAT de destination.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat destination rule all commande. Affichez le champ Accès à la traduction pour vérifier le trafic qui correspond à la règle.
Vérification de l’utilisation du pool de NAT source
Objet
Vérifiez qu’il existe du trafic à l’aide des adresses IP du pool NAT source.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat source pool all commande. Affichez le champ Accès à la traduction pour vérifier le trafic utilisant les adresses IP du pool.
Vérification de l’utilisation des règles NAT source
Objet
Vérifiez qu’il existe du trafic correspondant à la règle NAT source.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat source rule all commande. Affichez le champ Accès à la traduction pour vérifier le trafic qui correspond à la règle.
Vérification de l’application NAT pour le trafic
Objet
Vérifiez que le NAT est appliqué au trafic spécifié.
Mesures à prendre
À partir du mode opérationnel, entrez la show security flow session commande.