Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Présentation du NAT

La traduction d’adresses réseau (NAT) est un mécanisme permettant de traduire l’adresse IP d’un ordinateur ou d’un groupe d’ordinateurs en une seule adresse publique lorsque les paquets sont envoyés sur Internet. En traduisant l’adresse IP, une seule adresse IP est communiquée au réseau externe. Étant donné qu’une seule adresse IP est visible pour le monde extérieur, le NAT offre une sécurité supplémentaire et il ne peut avoir qu’une seule adresse publique pour l’ensemble du réseau au lieu d’avoir plusieurs adresses IP.

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques. D’autres plates-formes peuvent être prises en charge.

Introduction au NAT

La traduction d’adresses réseau (NAT) est une méthode permettant de modifier ou de traduire les informations d’adresse réseau dans les en-têtes de paquets. L’une ou l’autre des adresses source et de destination d’un paquet ou les deux peut être traduite. Le NAT peut inclure la traduction des numéros de port et des adresses IP.

Le NAT est décrit dans la RFC 1631 pour résoudre les problèmes d’épuisement des adresses IP (version 4). Depuis lors, le NAT s’est avéré être un outil utile pour les pare-feu, la redirection du trafic, le partage de charge, les migrations de réseau, etc.

Les types de NAT suivants sont pris en charge sur les équipements Juniper Networks :

  • NAT statique

  • Destination NAT

  • Source NAT

Les pare-feu SRX Series effectuent à la fois une recherche de stratégie et une recherche de service en fonction du port de destination traduit.

Vous pouvez utiliser l’assistant NAT pour effectuer une configuration NAT de base. Pour effectuer une configuration plus avancée, utilisez l’interface J-Web ou la CLI.

Voir aussi

Comprendre les ensembles de règles et les règles NAT

Le traitement NAT est centré sur l’évaluation des ensembles de règles et des règles NAT. Un ensemble de règles détermine la direction globale du trafic à traiter. Par exemple, un ensemble de règles peut sélectionner le trafic provenant d’une interface particulière ou d’une zone spécifique. Un ensemble de règles peut contenir plusieurs règles. Une fois qu’un ensemble de règles correspond à un trafic spécifique, chaque règle de l’ensemble de règles est évalué pour une correspondance. Chaque règle de l’ensemble de règles spécifie en outre le trafic à mettre en correspondance et l’action à entreprendre lorsque le trafic correspond à la règle.

Cette rubrique comprend les sections suivantes :

Ensembles de règles NAT

Un ensemble de règles spécifie un ensemble général de conditions de correspondance pour le trafic. Pour les NAT statiques et les NAT de destination, un ensemble de règles spécifie l’un des éléments suivants :

  • Interface source

  • Zone source

  • Instance de routage source

Pour les ensembles de règles NAT source, vous configurez les conditions source et de destination :

  • Interface, zone ou instance de routage source

  • Interface, zone ou instance de routage de destination

Il est possible qu’un paquet corresponde à plus d’un ensemble de règles ; Dans ce cas, l’ensemble de règles avec la correspondance la plus spécifique est utilisé. Une correspondance d’interface est considérée comme plus spécifique qu’une correspondance de zone, qui est plus spécifique qu’une correspondance d’instance de routage. Si un paquet correspond à la fois à un ensemble de règles NAT de destination qui spécifie une zone source et à un ensemble de règles NAT de destination qui spécifie une interface source, l’ensemble de règles qui spécifie l’interface source est la correspondance la plus spécifique.

La correspondance de l’ensemble de règles NAT source est plus complexe, car vous spécifiez à la fois les conditions source et de destination dans un ensemble de règles NAT source. Dans le cas où un paquet correspond à plusieurs ensembles de règles NAT source, l’ensemble de règles choisi est basé sur les conditions source/destination suivantes (par ordre de priorité) :

  1. Interface source/interface de destination

  2. Zone source/interface de destination

  3. Instance de routage source/interface de destination

  4. Interface source/zone de destination

  5. Zone source/zone de destination

  6. Instance de routage source/zone de destination

  7. Interface source/instance de routage de destination

  8. Zone source/instance de routage de destination

  9. Instance de routage source/instance de routage de destination

Par exemple, vous pouvez configurer l’ensemble de règles A, qui spécifie une interface source et une zone de destination, et l’ensemble de règles B, qui spécifie une zone source et une interface de destination. Si un paquet correspond aux deux ensembles de règles, l’ensemble de règles B est la correspondance la plus spécifique.

Vous ne pouvez pas spécifier les mêmes conditions source et de destination pour les ensembles de règles NAT source.

Règles NAT

Une fois qu’un ensemble de règles correspondant au trafic a été trouvé, chaque règle de l’ensemble de règles est évalué afin d’établir une correspondance. Les règles NAT peuvent correspondre aux informations de paquet suivantes :

  • Adresses source et de destination

  • Port source (pour la source et la NAT statique uniquement)

  • Port de destination

La première règle de l’ensemble de règles qui correspond au trafic est utilisée. Si un paquet correspond à une règle d’un ensemble de règles lors de l’établissement de la session, le trafic est traité conformément à l’action spécifiée par cette règle.

Vous pouvez utiliser les commandes show security nat source rule et show security nat destination rule et show security nat static rule pour afficher le nombre de sessions d’une règle spécifique.

Traitement des règles

Le type de NAT détermine l’ordre dans lequel les règles NAT sont traitées. Lors du premier traitement de paquets d’un flux, les règles NAT sont appliquées dans l’ordre suivant :

  1. Règles NAT statiques

  2. Règles NAT de destination

  3. Recherche de route

  4. Recherche de stratégies de sécurité

  5. Mappage inverse des règles NAT statiques

  6. Règles de NAT source

La figure 1 illustre l’ordre de traitement des règles NAT.

Figure 1 : Traitement des Flowchart showing packet processing in a network device focusing on NAT and policy checks: Static NAT, Destination NAT, Route/Zone Lookup, Reverse Static NAT, Policy Lookup, Source NAT, Permit Packet. règles NAT

Les règles de NAT statique et de NAT de destination sont traitées avant la recherche de routage et de stratégie de sécurité. Les règles NAT statiques sont prioritaires sur les règles NAT de destination. Le mappage inverse des règles NAT statiques a lieu après la recherche de stratégies de routage et de sécurité et est prioritaire sur les règles NAT source. Les règles NAT sources sont traitées après la recherche de routes et de stratégies de sécurité et après le mappage inverse des règles NAT statiques.

La configuration des règles et des ensembles de règles est fondamentalement la même pour chaque type de NAT (source, destination ou statique). Toutefois, comme la NAT de destination et statique sont traitées avant la recherche de route, vous ne pouvez pas spécifier la zone de destination, l’interface ou l’instance de routage dans l’ensemble de règles.

Capacité des règles NAT

La capacité requise des règles NAT dépend du pare-feu SRX Series et de la version de Junos OS.

La restriction sur le nombre de règles par ensemble de règles est une limitation à l’échelle de l’appareil sur le nombre de règles qu’un appareil peut prendre en charge. Cette restriction est fournie pour vous aider à mieux planifier et configurer les règles NAT pour l’appareil.

Pour la consommation de mémoire, il n’y a aucune garantie de prendre en charge ces nombres (règle source maximale ou ensemble de règles + règle de destination maximale ou ensemble de règles + règle statique maximale ou ensemble de règles).

La capacité requise des règles NAT dépend du pare-feu SRX Series et de la version de Junos OS.

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques. D’autres plates-formes peuvent être prises en charge.

Voir la section Informations supplémentaires sur la plate-forme pour plus d’informations.

Informations supplémentaires sur la plate-forme

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques. D’autres plates-formes peuvent être prises en charge.

Type de règle NAT

SRX300 et SRX320

SRX340 et SRX345

SRX1500 SRX1600

SRX2300, SRX4120SRX4100SRX4200

SRX4600 SRX5400SRX5600SRX5800

SRX4700

Règle NAT source

1024

2048

8192

20,480

30,720

51200

Règle NAT de destination

1024

2048

8192

20,480

30,720

51200

Règle de NAT statique

1024

2048

8192

20,480

30,720

51200

Objets

SRX1600 SRX2300, SRX4120

SRX4600 SRX5400SRX5600SRX5800

SRX4700

Nombre total d’ensembles de règles NAT par système

10,000

30,720

51200

Nombre total de règles NAT par ensemble de règles

10,000

30,720

51200
Plateforme : Nombre d’adresses IP prises en charge avec OL
vSRX petit VSRX-2CPU-4G 1
SRX1600 2
SRX2300, SRX4120 16
SRX4300 16
vSRX XL VSRX-17CPU-32G 64
SRX4700 128
Gamme SRX5000 d’appareils 128

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libération
Descriptif
19.3R1
À partir de Junos OS version 19.3R1, les équipements Gamme SRX5000 équipés d’une carte SRX5K-SPC3, d’instances SRX4100, SRX4200 et Pare-feu virtuel vSRX prennent en charge des fonctionnalités NAT telles que la NAT source, le NAT de destination et l’NAT statique pour le trafic IPv4 et IPv6 en mode PowerMode IPsec (PMI). NAT64 n’est pas pris en charge en mode PMI. Cependant, NAT64 fonctionne correctement en mode normal, lorsque PMI est activé.