NAT pour les flux multicast
Pour implémenter la traduction d’adresses de groupe multicast, on utilise soit le NAT statique, soit le NAT de destination. À l’aide de NAT, les adresses source dans IPv4 sont converties en adresses de destination de groupe de multidiffusion IPv4.
Présentation de NAT pour les flux multicast
La traduction d’adresses réseau (NAT) peut être utilisée pour traduire les adresses sources dans les flux multicast IPv4 et pour traduire les adresses de destination des groupes multicast IPv4.
Vous pouvez utiliser le NAT statique ou le NAT de destination pour effectuer la traduction d’adresses de groupe multicast. Le NAT statique permet d’établir des connexions de part et d’autre du réseau, mais la traduction est limitée aux adresses un-à-un ou entre blocs d’adresses de même taille. Aucun pool d’adresses n’est nécessaire. Utilisez l’instruction static de configuration au niveau de la hiérarchie [edit security nat] pour configurer des ensembles de règles NAT statiques pour le trafic multicast. Le NAT de destination permet d’établir des connexions uniquement pour les connexions réseau entrantes, par exemple, d’Internet vers un réseau privé. Utilisez l’instruction destination de configuration au niveau de la hiérarchie [edit security nat] pour configurer les pools NAT de destination et les ensembles de règles.
Le NAT source pour le trafic multicast est pris en charge uniquement en utilisant le décalage d’adresse IP pour traduire l’adresse IP source d’origine en une adresse IP à partir d’un pool d’adresses défini par l’utilisateur. Ce type de traduction est individuel, statique et sans traduction d’adresse de port. Si la plage d’adresses IP source d’origine est supérieure à la plage d’adresses IP du pool défini par l’utilisateur, les paquets non traduits sont abandonnés. Le mappage ne fournit pas de mappage bidirectionnel, contrairement au NAT statique. Utilisez l’instruction source de configuration au niveau de la hiérarchie [edit security nat] pour configurer les pools NAT sources et les ensembles de règles. Lorsque vous définissez le pool NAT source pour ce type de NAT source, utilisez l’option host-address-base permettant de spécifier le début de la plage d’adresses IP source d’origine.
Voir aussi
Exemple : Configuration de NAT pour les flux de multicast
Cet exemple montre comment configurer un équipement Juniper Networks pour la traduction d’adresses de flux multicast.
Exigences
Avant de commencer :
Configurez les interfaces réseau sur l’équipement. Reportez-vous au Guide de l’utilisateur des interfaces pour les dispositifs de sécurité.
Créez des zones de sécurité et attribuez-leur des interfaces. Reportez-vous à la section Présentation des zones de sécurité.
-
Configurez l’appareil pour le transfert multicast. Reportez-vous à la présentation du multicast.
Aperçu
Cet exemple utilise la zone de sécurité de confiance pour l’espace d’adressage privé et la zone de sécurité de non-confiance pour l’espace d’adressage public. La Figure 1 illustre un déploiement typique de l’équipement Juniper Networks pour le transfert multicast. Le routeur source R1 envoie des paquets multicast avec des adresses sources comprises entre 203.0.113.100 et 203.0.113.110 et l’adresse de groupe 233.252.0.1/32 vers l’équipement Juniper Networks. Le routeur source R1 se trouve dans le réseau privé (zone de confiance) en amont de l’équipement Juniper Networks. Il existe plusieurs récepteurs sur le réseau public (zone non approuvée) en aval de l’appareil.
L’équipement Juniper Networks traduit les paquets multicast entrants à partir de R1 avant de les transférer sur les interfaces en aval. Les traductions suivantes sont appliquées :
Pour l’interface vers R2, l’adresse source n’est pas traduite et l’adresse de groupe est traduite en 233.252.0.2/32.
Pour l’interface vers R3, l’adresse source est traduite en une adresse comprise entre 198.51.100.200 et 198.51.100.210, et l’adresse de groupe est traduite en 233.252.0.2/32.
Pour l’interface vers R4, l’adresse source est traduite en une adresse comprise entre 10.10.10.100 et 10.10.10.110, et l’adresse de groupe est traduite en 233.252.0.2/32.
multicast
Cet exemple décrit les configurations suivantes :
Pool
dst-nat-poolNAT de destination contenant l’adresse IP 233.252.0.2/32.Ensemble
rs1de règles NAT de destination avec une règler1pour faire correspondre les paquets arrivant sur l’interface xe-2/0/1.0 avec l’adresse IP de destination 233.252.0.1/32. Pour les paquets correspondants, l’adresse de destination est traduite en adresse IP dans ledst-nat-poolpool.Pool
src-nat-shift-1NAT source contenant la plage d’adresses IP 198.51.100.200/32 à 198.51.100.210/32. Pour ce pool, le début de la plage d’adresses IP source d’origine est 203.0.113.100/32 et est spécifié avec l’optionhost-address-base.Ensemble
rs-shift1de règles NAT source avec une règler1pour faire correspondre les paquets de la zone de confiance à l’interface xe-1/0/1.0 avec une adresse IP source dans le sous-réseau 203.0.113.96/28. Pour les paquets correspondants qui se trouvent dans la plage d’adresses IP source spécifiée par lasrc-nat-shift-1configuration, l’adresse source est traduite en adresse IP dans lesrc-nat-shift-1pool.Pool
src-nat-shift-2NAT source contenant la plage d’adresses IP 10.10.10.100/32 à 10.10.10.110/32. Pour ce pool, le début de la plage d’adresses IP source d’origine est 203.0.113.100/32 et est spécifié avec l’optionhost-address-base.Ensemble
rs-shift2de règles NAT source avec règler1pour faire correspondre les paquets de la zone de confiance à l’interface xe-2/0/0.0 avec une adresse IP source dans le sous-réseau 203.0.113.96/28. Pour les paquets correspondants qui se trouvent dans la plage d’adresses IP source spécifiée par lasrc-nat-shift-2configuration, l’adresse source est traduite en adresse IP dans lesrc-nat-shift-2pool.ARP proxy pour les adresses 203.0.113.100 à 203.0.113.110 sur l’interface xe-1/0/0.0, les adresses 198.51.100.200 à 198.51.100.210 sur l’interface xe-1/0/1.0 et les adresses 10.10.10.100 à 10.10.10.110 sur l’interface xe-2/0/0.0. Cela permet à l’équipement de sécurité Juniper Networks de répondre aux requêtes ARP reçues sur l’interface pour ces adresses.
Politique de sécurité autorisant le trafic de la zone de confiance vers la zone de non-confiance.
Politique de sécurité autorisant le trafic de la zone non approuvée vers l’adresse IP de destination traduite dans la zone de confiance.
Topologie
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat source pool src-nat-shift-1 address 198.51.100.200/32 to 198.51.100.210/32 set security nat source pool src-nat-shift-1 host-address-base 203.0.113.100/32 set security nat source pool src-nat-shift-2 address 10.10.10.100/32 to 10.10.10.110/32 set security nat source pool src-nat-shift-2 host-address-base 203.0.113.100/32 set security nat source rule-set rs-shift1 from zone trust set security nat source rule-set rs-shift1 to interface xe-1/0/1.0 set security nat source rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1 set security nat source rule-set rs-shift2 from zone trust set security nat source rule-set rs-shift2 to interface xe-2/0/0.0 set security nat source rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 set security nat source rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2 set security nat destination pool dst-nat-pool address 233.252.0.2/32 set security nat destination rule-set rs1 from interface xe-2/0/1.0 set security nat destination rule-set rs1 rule r1 match destination-address 233.252.0.1/32 set security nat destination rule-set rs1 rule r1 then destination-nat pool dst-nat-pool set security nat proxy-arp interface xe-1/0/0.0 address 203.0.113.100/32 to 203.0.113.110/32 set security nat proxy-arp interface xe-1/0/1.0 address 198.51.100.200/32 to 198.51.100.210/32 set security nat proxy-arp interface xe-2/0/0.0 address 10.10.10.100/32 to 10.10.10.110/32 set security policies from-zone trust to-zone untrust policy internet-access match source-address any set security policies from-zone trust to-zone untrust policy internet-access match destination-address any set security policies from-zone trust to-zone untrust policy internet-access match application any set security policies from-zone trust to-zone untrust policy internet-access then permit set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match source-address any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match destination-address 233.252.0.1/21 set security policies from-zone untrust to-zone trust policy dst-nat-pool-access match application any set security policies from-zone untrust to-zone trust policy dst-nat-pool-access then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer les traductions NAT de destination et de source pour les flux multicast :
Créez un pool NAT de destination.
[edit security nat destination] user@host# set pool dst-nat-pool address 233.252.0.2/32
Créez un ensemble de règles NAT de destination.
[edit security nat destination] user@host# set rule-set rs1 from interface xe-2/0/1.0
Configurez une règle qui fait correspondre les paquets et traduit l’adresse de destination en adresse du pool NAT de destination.
[edit security nat destination] user@host# set rule-set rs1 rule r1 match destination-address 233.252.0.1/32 user@host# set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool
Créez un pool NAT source.
[edit security nat source] user@host# set pool src-nat-shift-1 address 198.51.100.200 to 198.51.100.210
Spécifiez le début de la plage d’adresses IP source d’origine.
[edit security nat source] user@host# set pool src-nat-shift-1 host-address-base 203.0.113.100
Créez un ensemble de règles NAT source.
[edit security nat source] user@host# set rule-set rs-shift1 from zone trust user@host# set rule-set rs-shift1 to interface xe-1/0/1.0
Configurez une règle qui met en correspondance les paquets et traduit l’adresse de destination en adresse du pool NAT source.
[edit security nat source] user@host# set rule-set rs-shift1 rule r1 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift1 rule r1 then source-nat pool src-nat-shift1
Créez un pool NAT source.
[edit security nat source] user@host# set pool src-nat-shift-2 address 10.10.10.100 to 10.10.10.110
Spécifiez le début de la plage d’adresses IP source d’origine.
[edit security nat source] user@host# set pool src-nat-shift-2 host-address-base 203.0.113.100/32
Créez un ensemble de règles NAT source.
[edit security nat source] user@host# set rule-set rs-shift2 from zone trust user@host# set rule-set rs-shift2 to interface xe-2/0/0.0
Configurez une règle qui met en correspondance les paquets et traduit l’adresse de destination en adresse du pool NAT source.
[edit security nat source] user@host# set rule-set rs-shift2 rule r2 match source-address 203.0.113.96/28 user@host# set rule-set rs-shift2 rule r2 then source-nat pool src-nat-shift2
Configurez le proxy ARP.
[edit security nat] user@host# set proxy-arp interface xe-1/0/0.0 address 203.0.113.100 to 203.0.113.110 user@host# set proxy-arp interface xe-1/0/1.0 address 198.51.100.200 to 198.51.100.210 user@host# set proxy-arp interface xe-2/0/0.0 address 10.10.10.100 to 10.10.10.110
Configurez une stratégie de sécurité qui autorise le trafic de la zone de confiance vers la zone de non-confiance.
[edit security policies from-zone trust to-zone untrust] user@host# set policy internet-access match source-address any destination-address any application any user@host# set policy internet-access then permit
Configurez une stratégie de sécurité qui autorise le trafic de la zone non approuvée vers la zone de confiance.
[edit security policies from-zone untrust to-zone trust] user@host# set policy dst-nat-pool-access match source-address any destination-address 233.252.0.1/32 application any user@host# set policy dst-nat-pool-access then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show security nat commandes and show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool src-nat-shift-1 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
host-address-base 203.0.113.100/32;
}
pool src-nat-shift-2 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
host-address-base 203.0.113.100/32;
}
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
rule-set rs-shift1 {
from zone trust;
to interface xe-1/0/1.0;
rule r1 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift1;
}
}
}
}
}
rule-set rs-shift2 {
from zone trust;
to interface xe-2/0/0.0;
rule r2 {
match {
source-address 203.0.113.96/28;
}
then {
source-nat {
pool {
src-nat-shift2;
}
}
}
}
}
}
destination {
pool dst-nat-pool {
address 233.252.0.1/32;
}
rule-set rs1 {
from interface xe-2/0/1.0;
rule r1 {
match {
destination-address 233.252.0.1/32;
}
then {
destination-nat pool dst-nat-pool;
}
}
}
}
proxy-arp {
interface xe-1/0/0.0 {
address {
203.0.113.100/32 to 203.0.113.110/32;
}
}
interface xe-1/0/1.0 {
address {
198.51.100.200/32 to 198.51.100.210/32;
}
}
interface xe-2/0/0.0 {
address {
10.10.10.100/32 to 10.10.10.110/32;
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
- Vérification de l’utilisation du pool NAT de destination
- Vérification de l’utilisation de la règle NAT de destination
- Vérification de l’utilisation du pool NAT source
- Vérification de l’utilisation de la règle NAT source
- Vérification de l’application NAT au trafic
Vérification de l’utilisation du pool NAT de destination
But
Vérifiez que le trafic utilise les adresses IP du pool NAT de destination.
Action
À partir du mode opérationnel, entrez la show security nat destination pool all commande. Affichez le champ Traductions pour vérifier le trafic utilisant les adresses IP du pool.
Vérification de l’utilisation de la règle NAT de destination
But
Vérifiez qu’il existe du trafic correspondant à la règle NAT de destination.
Action
À partir du mode opérationnel, entrez la show security nat destination rule all commande. Affichez le champ Traductions pour vérifier le trafic qui correspond à la règle.
Vérification de l’utilisation du pool NAT source
But
Vérifiez que le trafic utilise les adresses IP du pool NAT source.
Action
À partir du mode opérationnel, entrez la show security nat source pool all commande. Affichez le champ Traductions pour vérifier le trafic utilisant les adresses IP du pool.
Vérification de l’utilisation de la règle NAT source
But
Vérifiez qu’il existe du trafic correspondant à la règle NAT source.
Action
À partir du mode opérationnel, entrez la show security nat source rule all commande. Affichez le champ Traductions pour vérifier le trafic qui correspond à la règle.