Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Présentation de NAT

La traduction d’adresses réseau (NAT) est un mécanisme permettant de traduire l’adresse IP d’un ordinateur ou d’un groupe d’ordinateurs en une seule adresse publique lorsque les paquets sont envoyés sur Internet. En traduisant l’adresse IP, une seule adresse IP est diffusée sur le réseau externe. Étant donné qu’une seule adresse IP est visible par le monde extérieur, le NAT offre une sécurité supplémentaire et il peut n’avoir qu’une seule adresse publique pour l’ensemble du réseau au lieu d’avoir plusieurs adresses IP.

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version. D’autres plates-formes peuvent être prises en charge.

Introduction à NAT

La traduction d’adresses réseau (NAT) est une méthode permettant de modifier ou de traduire les informations d’adresse réseau dans les en-têtes de paquets. L’une ou l’autre des adresses source et de destination d’un paquet, ou les deux, peuvent être traduites. Le NAT peut inclure la traduction de numéros de ports ainsi que d’adresses IP.

NAT est décrit dans la RFC 1631 pour résoudre les problèmes d’épuisement des adresses IP (version 4). Depuis, le NAT s’est avéré être un outil utile pour les pare-feu, la redirection du trafic, le partage de charge, les migrations réseau, etc.

Les équipements Juniper Networks prennent en charge les types de NAT suivants :

  • NAT statique

  • Destination NAT

  • Source NAT

Les pare-feu SRX Series recherchent à la fois les stratégies et les services en fonction du port de destination traduit.

Vous pouvez utiliser l’assistant NAT pour effectuer une configuration NAT de base. Pour effectuer une configuration plus avancée, utilisez l’interface J-Web ou l’interface de ligne de commande.

Voir aussi

Comprendre les ensembles de règles et les règles NAT

Le traitement NAT est centré sur l’évaluation des ensembles de règles et des règles NAT. Un ensemble de règles détermine la direction globale du trafic à traiter. Par exemple, un ensemble de règles peut sélectionner le trafic provenant d’une interface particulière ou d’une zone spécifique. Un ensemble de règles peut contenir plusieurs règles. Une fois qu’un ensemble de règles correspondant à un trafic spécifique est trouvé, chaque règle de l’ensemble de règles est évaluée pour une correspondance. Chaque règle de l’ensemble de règles spécifie en outre le trafic à mettre en correspondance et l’action à effectuer lorsque le trafic correspond à la règle.

Cette rubrique comprend les sections suivantes :

Ensembles de règles NAT

Un ensemble de règles spécifie un ensemble général de conditions de correspondance pour le trafic. Pour le NAT statique et le NAT de destination, un ensemble de règles spécifie l’un des éléments suivants :

  • Interface source

  • Zone source

  • Instance de routage source

Pour les ensembles de règles NAT source, vous configurez les conditions source et de destination :

  • Interface, zone ou instance de routage source

  • Interface, zone ou instance de routage de destination

Il est possible qu’un paquet corresponde à plus d’un ensemble de règles ; Dans ce cas, c’est l’ensemble de règles avec la correspondance la plus spécifique qui est utilisé. Une correspondance d’interface est considérée comme plus spécifique qu’une correspondance de zone, qui est plus spécifique qu’une correspondance d’instance de routage. Si un paquet correspond à la fois à un ensemble de règles NAT de destination qui spécifie une zone source et à un ensemble de règles NAT de destination qui spécifie une interface source, l’ensemble de règles qui spécifie l’interface source est la correspondance la plus spécifique.

La correspondance d’ensembles de règles NAT source est plus complexe, car vous spécifiez à la fois des conditions source et de destination dans un ensemble de règles NAT source. Dans le cas où un paquet correspond à plusieurs ensembles de règles NAT source, l’ensemble de règles choisi est basé sur les conditions source/destination suivantes (par ordre de priorité) :

  1. Interface source/interface de destination

  2. Zone source/interface de destination

  3. Instance de routage source/interface de destination

  4. Interface source/zone de destination

  5. Zone source/zone de destination

  6. Instance de routage source/zone de destination

  7. Interface source/instance de routage de destination

  8. Zone source/instance de routage de destination

  9. Instance de routage source/instance de routage de destination

Par exemple, vous pouvez configurer l’ensemble de règles A, qui spécifie une interface source et une zone de destination, et l’ensemble de règles B, qui spécifie une zone source et une interface de destination. Si un paquet correspond aux deux ensembles de règles, l’ensemble de règles B est la correspondance la plus spécifique.

Vous ne pouvez pas spécifier les mêmes conditions source et de destination pour les ensembles de règles NAT source.

Règles NAT

Une fois qu’un ensemble de règles correspondant au trafic a été trouvé, chaque règle de l’ensemble de règles est évaluée afin d’obtenir une correspondance. Les règles NAT peuvent correspondre sur les informations de paquet suivantes :

  • Adresse source et adresse de destination

  • Port source (pour le NAT source et statique uniquement)

  • Port de destination

La première règle de l’ensemble de règles qui correspond au trafic est utilisée. Si un paquet correspond à une règle d’un ensemble de règles lors de l’établissement d’une session, le trafic est traité en fonction de l’action spécifiée par cette règle.

Vous pouvez utiliser les commandes show security nat source rule, show security nat destination rule, ainsi que show security nat static rule pour afficher le nombre de sessions d’une règle spécifique.

Traitement des règles

Le type NAT détermine l’ordre dans lequel les règles NAT sont traitées. Lors du premier traitement de paquets d’un flux, les règles NAT sont appliquées dans l’ordre suivant :

  1. Règles NAT statiques

  2. Règles NAT de destination

  3. Recherche d’itinéraire

  4. Recherche de stratégie de sécurité

  5. Mappage inverse de règles NAT statiques

  6. Règles NAT source

La figure 1 illustre l’ordre de traitement des règles NAT.

Figure 1 : traitement NAT Rule Processing des règles NAT

Les règles NAT statiques et NAT de destination sont traitées avant la recherche des stratégies de routage et de sécurité. Les règles NAT statiques sont prioritaires sur les règles NAT de destination. Le mappage inverse des règles NAT statiques a lieu après la recherche du routage et de la stratégie de sécurité et est prioritaire sur les règles NAT source. Les règles NAT source sont traitées après la recherche des stratégies de routage et de sécurité, et après le mappage inverse des règles NAT statiques.

La configuration des règles et des ensembles de règles est fondamentalement la même pour chaque type de NAT : source, de destination ou statique. Toutefois, étant donné que le NAT de destination et le NAT statique sont traités avant la recherche de route, vous ne pouvez pas spécifier la zone de destination, l’interface ou l’instance de routage dans l’ensemble de règles.

Capacité de la règle NAT

La capacité requise pour la règle NAT dépend du pare-feu SRX Series et de la version de Junos OS.

La limitation du nombre de règles par ensemble de règles est une limitation à l’échelle de l’appareil sur le nombre de règles qu’un appareil peut prendre en charge. Cette restriction est fournie pour vous aider à mieux planifier et configurer les règles NAT pour l’appareil.

Pour la consommation de mémoire, il n’y a aucune garantie de prendre en charge ces nombres (règle source maximale ou ensemble de règles + règle de destination maximale ou ensemble de règles + règle statique maximale ou ensemble de règles).

La capacité requise pour la règle NAT dépend du pare-feu SRX Series et de la version de Junos OS.

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version. D’autres plates-formes peuvent être prises en charge.

Consultez la section Informations supplémentaires sur la plate-forme pour plus d’informations.

Informations supplémentaires sur la plate-forme

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version. D’autres plates-formes peuvent être prises en charge.

Type de règle NAT

SRX300SRX320

SRX340SRX345

SRX1500 SRX1600

SRX2300 SRX4100SRX4200

SRX4600 SRX5400SRX5600SRX5800

Règle NAT source

1024

2048

8192

20,480

30,720

Règle NAT de destination

1024

2048

8192

20,480

30,720

Règle NAT statique

1024

2048

8192

20,480

30,720

Objets

SRX1600 SRX2300

SRX4600 SRX5400SRX5600SRX5800

Nombre total d’ensembles de règles NAT par système

10,000

30,720

Nombre total de règles NAT par ensemble de règles

10,000

30,720
Plate-forme Nombre d’IP prises en charge avec OL
vSRX petit VSRX-2CPU-4G 1
SRX1600 2
SRX2300 16
SRX4300 16
vSRX XL VSRX-17CPU-32G 64
Gamme SRX5000 d’équipements 128

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
19.3R1
À partir de Junos OS version 19.3R1, les équipements Gamme SRX5000 dotés d’une carte SRX5K-SPC3, d’instances SRX4100, SRX4200 et Pare-feu virtuel vSRX prennent en charge les fonctionnalités NAT telles que le NAT source, le NAT de destination et le NAT statique pour le trafic IPv4 et IPv6 en mode PowerMode IPsec (PMI). NAT64 n’est pas pris en charge en mode PMI. Cependant, NAT64 fonctionne correctement en mode normal, lorsque PMI est activé.