SUR CETTE PAGE
NAT statique
La solution NAT statique mappe le trafic réseau d’une adresse IP externe statique à une adresse IP ou à un réseau interne. Il crée une traduction statique des adresses réelles en adresses mappées. Le NAT statique fournit une connectivité Internet aux appareils en réseau via un LAN privé avec une adresse IP privée non enregistrée.
Comprendre la NAT statique
Le NAT statique définit un mappage un-à-un d’un sous-réseau IP à un autre. Le mappage comprend la traduction des adresses IP de destination dans un sens et la traduction des adresses IP sources dans le sens inverse. À partir du périphérique NAT, l’adresse de destination d’origine est l’adresse IP de l’hôte virtuel, tandis que l’adresse mappée est l’adresse IP réelle de l’hôte.
Le NAT statique permet d’établir des connexions de part et d’autre du réseau, mais la traduction est limitée à un à un ou entre des blocs d’adresses de même taille. Pour chaque adresse privée, une adresse publique doit être attribuée. Aucun pool d’adresses n’est nécessaire.
La NAT statique prend également en charge les types de traduction suivants :
Pour mapper plusieurs adresses IP et plages de ports spécifiées à une même adresse IP et à une plage de ports différente
Pour mapper une adresse IP et un port spécifiques à une adresse IP et à un port différents
La traduction d’adresses de ports (PAT) est également prise en charge par l’attribution d’un mappage statique entre le port de destination (plage) et le port mappé (plage).
L’adresse de destination d’origine, ainsi que d’autres adresses dans les pools NAT source et de destination, ne doivent pas se chevaucher au sein de la même instance de routage.
Dans NAT recherche de règles, les règles de NAT statiques sont prioritaires sur les règles de NAT de destination et le mappage inverse des règles de NAT statiques est prioritaire sur les règles de NAT source.
Comprendre les règles de NAT statiques
Les règles de traduction d’adresses réseau statiques (NAT) spécifient deux couches de conditions de correspondance :
Direction du trafic : vous permet de spécifier de l’interface, de la zone ou de l’instance de routage.
Informations sur les paquets : adresses et ports source, et adresses et ports de destination.
Pour tout le trafic ALG, à l’exception de FTP, nous vous recommandons de ne pas utiliser les options source-address de règle NAT statique ou source-port. La création de session de données peut échouer si ces options sont utilisées, car l’adresse IP et la valeur du port source, qui est une valeur aléatoire, peuvent ne pas correspondre à la règle de NAT statique. Pour le trafic FTP ALG, l’option source-address peut être utilisée car une adresse IP peut être fournie pour correspondre à l’adresse source d’une règle NAT statique.
Lorsque les adresses source et de destination sont configurées comme conditions de correspondance pour une règle, le trafic est mis en correspondance à la fois à l’adresse source et à l’adresse de destination. La NAT statique étant bidirectionnelle, le trafic dans la direction opposée correspond à la règle, et l’adresse de destination du trafic est mise en correspondance avec l’adresse source configurée.
Si plusieurs règles NAT statiques se chevauchent dans les conditions de correspondance, la règle la plus spécifique est choisie. Par exemple, si les règles A et B spécifient les mêmes adresses IP source et de destination, mais que la règle A spécifie le trafic de la zone 1 et la règle B spécifie le trafic provenant de l’interface ge-0/0/0, la règle B est utilisée pour effectuer des NAT statiques. Une correspondance d’interface est considérée comme plus spécifique qu’une correspondance de zone, qui est plus spécifique qu’une correspondance d’instance de routage.
Étant donné que les règles de NAT statiques ne prennent pas en charge le chevauchement d’adresses et de ports, elles ne doivent pas être utilisées pour mapper une adresse IP externe à plusieurs adresses IP internes pour le trafic ALG. Par exemple, si différents sites souhaitent accéder à deux serveurs FTP différents, les serveurs FTP internes doivent être mappés à deux adresses IP externes différentes.
Pour l’action de règle NAT statique, spécifiez l’adresse traduite et (éventuellement) l’instance de routage.
Dans NAT recherche, les règles de NAT statiques sont prioritaires sur les règles de NAT de destination et le mappage inverse des règles de NAT statiques est prioritaire sur les règles de NAT source.
Vue d’ensemble de la configuration NAT statique
Les principales tâches de configuration de la NAT statique sont les suivantes :
- Configurez des règles de NAT statiques qui s’alignent sur vos exigences de réseau et de sécurité.
- Configurez les entrées ARP du proxy NAT pour les adresses IP dans le même sous-réseau de l’interface entrante.
Exemple : Configuration d’un NAT statique pour la traduction d’adresses uniques
Cet exemple décrit comment configurer un mappage NAT statique d’une adresse privée unique à une adresse publique.
Exigences
Avant de commencer :
Configurez les interfaces réseau de l’appareil. Voir Guide de l’utilisateur des interfaces pour les équipements de sécurité.
Créez des zones de sécurité et attribuez-leur des interfaces. Voir Présentation des zones de sécurité.
Vue d’ensemble
Cet exemple utilise la zone de sécurité approuvée pour l’espace d’adressage privé et la zone de sécurité non approuvée pour l’espace d’adressage public.
Sur la Figure 1, les appareils de la zone non approuvée accèdent à un serveur de la zone approuvée par le biais de l’adresse publique 203.0.113.200/32. Pour les paquets qui pénètrent dans l’équipement de sécurité de Juniper Networks à partir de la zone non approuvée avec l’adresse IP de destination 203.0.113.200/32, l’adresse IP de destination est traduite en l’adresse privée 192.168.1.200/32. Pour une nouvelle session provenant du serveur, l’adresse IP source dans le paquet sortant est traduite en l’adresse publique 203.0.113.200/32.
d’adresses uniques NAT statique
Cet exemple décrit les configurations suivantes :
Jeu de règles
rs1NAT statiques avec une règler1pour faire correspondre les paquets de la zone non approuvée avec l’adresse de destination 203.0.113.200/32. Pour faire correspondre les paquets, l’adresse IP de destination est traduite en l’adresse privée 192.168.1.200/32.ARP de proxy pour l’adresse 203.0.113.200 sur l’interface ge-0/0/0.0. Cela permet à l’équipement de sécurité de Juniper Networks de répondre aux requêtes ARP reçues sur l’interface de cette adresse.
Des stratégies de sécurité pour autoriser le trafic à destination et en provenance du serveur 192.168.1.200.
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security nat static rule-set rs1 from zone untrust set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.200/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.200/32 set security address-book global address server-1 192.168.1.200/32 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-1 set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-1 set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à travers différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Pour configurer un mappage NAT statique d’une adresse privée à une adresse publique :
Créez un ensemble de règles NAT statiques.
[edit security nat static] user@host# set rule-set rs1 from zone untrust
Configurez une règle qui correspond aux paquets et convertit l’adresse de destination des paquets en une adresse privée.
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.200/32 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32
Configurez l’ARP du proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.200
Configurez une adresse dans le carnet d’adresses global.
[edit security address-book global] user@host# set address server-1 192.168.1.200/32
Configurez une stratégie de sécurité qui autorise le trafic de la zone non approuvée vers le serveur situé dans la zone approuvée.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-1 application any user@host# set policy server-access then permit
Configurez une stratégie de sécurité qui autorise tout le trafic du serveur de la zone approuvée vers la zone non approuvée.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-1 destination-address any application any user@host# set policy permit-all then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show security nat commandes and show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
static {
rule-set rs1 {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.200/32;
}
then {
static-nat prefix 192.168.1.200/32;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.200/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address server-1;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-1;
application any;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérification de la configuration NAT statique
Objet
Vérifiez qu’il existe un trafic correspondant à l’ensemble de règles NAT statiques.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat static rule commande. Affichez le champ Accès à la traduction pour vérifier le trafic qui correspond à la règle.
Vérification de l’application NAT pour le trafic
Objet
Vérifiez que le NAT est appliqué au trafic spécifié.
Mesures à prendre
À partir du mode opérationnel, entrez la show security flow session commande.
Exemple : Configuration de la NAT statique pour la traduction de sous-réseau
Cet exemple décrit comment configurer un mappage NAT statique d’une adresse de sous-réseau privée à une adresse de sous-réseau publique.
Les blocs d’adresse pour le mappage NAT statique doivent être de la même taille.
Exigences
Avant de commencer :
Configurez les interfaces réseau de l’appareil. Voir Guide de l’utilisateur des interfaces pour les équipements de sécurité.
Créez des zones de sécurité et attribuez-leur des interfaces. Voir Présentation des zones de sécurité.
Vue d’ensemble
Cet exemple utilise la zone de sécurité approuvée pour l’espace d’adressage privé et la zone de sécurité non approuvée pour l’espace d’adressage public. Sur la Figure 2, les appareils de la zone non approuvée accèdent aux appareils de la zone approuvée via l’adresse de sous-réseau publique 203.0.113.0/24. Pour les paquets qui pénètrent dans l’équipement de sécurité de Juniper Networks à partir de la zone non approuvée avec une adresse IP de destination dans le sous-réseau 203.0.113.0/24, l’adresse IP de destination est traduite en une adresse privée sur le sous-réseau 192.168.1.0/24. Pour les nouvelles sessions provenant du sous-réseau 192.168.1.0/24, l’adresse IP source des paquets sortants est traduite en une adresse sur le sous-réseau public 203.0.113.0/24.
de sous-réseau NAT statique
Cet exemple décrit les configurations suivantes :
Jeu de règles NAT statiques avec une
rs1règler1pour faire correspondre les paquets reçus sur l’interface ge-0/0/0.0 avec une adresse IP de destination dans le sous-réseau 203.0.113.0/24. Pour les paquets correspondants, l’adresse de destination est traduite en une adresse sur le sous-réseau 192.168.1.0/24.ARP de proxy pour les plages d’adresses 203.0.113.1/32 à 203.0.113.249/32 sur l’interface ge-0/0/0.0. Cela permet à l’équipement de sécurité de Juniper Networks de répondre aux requêtes ARP reçues sur l’interface pour ces adresses. L’adresse 203.0.113.250/32 est affectée à l’interface elle-même, elle n’est donc pas incluse dans la configuration ARP du proxy.
Des stratégies de sécurité pour autoriser le trafic à destination et en provenance du sous-réseau 192.168.1.0/24.
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security nat static rule-set rs1 from interface ge-0/0/0.0 set security nat static rule-set rs1 rule r1 match destination-address 203.0.113.0/24 set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24 set security nat proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32 set security address-book global address server-group 192.168.1.0/24 set security policies from-zone trust to-zone untrust policy permit-all match source-address server-group set security policies from-zone trust to-zone untrust policy permit-all match destination-address any set security policies from-zone trust to-zone untrust policy permit-all match application any set security policies from-zone trust to-zone untrust policy permit-all then permit set security policies from-zone untrust to-zone trust policy server-access match source-address any set security policies from-zone untrust to-zone trust policy server-access match destination-address server-group set security policies from-zone untrust to-zone trust policy server-access match application any set security policies from-zone untrust to-zone trust policy server-access then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à travers différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Pour configurer un mappage NAT statique d’une adresse de sous-réseau privée à une adresse de sous-réseau publique :
Créez un ensemble de règles NAT statiques.
[edit security nat static] user@host# set rule-set rs1 from interface ge-0/0/0.0
Configurez une règle qui correspond aux paquets et traduit l’adresse de destination des paquets en une adresse dans un sous-réseau privé.
[edit security nat static] user@host# set rule-set rs1 rule r1 match destination-address 203.0.113.0/24 user@host# set rule-set rs1 rule r1 then static-nat prefix 192.168.1.0/24
Configurez l’ARP du proxy.
[edit security nat] user@host# set proxy-arp interface ge-0/0/0.0 address 203.0.113.1/32 to 203.0.113.249/32
Configurez une adresse dans le carnet d’adresses global.
[edit security address-book global] user@host# set address server-group 192.168.1.0/24
Configurez une stratégie de sécurité qui autorise le trafic de la zone non approuvée vers le sous-réseau de la zone approuvée.
[edit security policies from-zone untrust to-zone trust] user@host# set policy server-access match source-address any destination-address server-group application any user@host# set policy server-access then permit
Configurez une stratégie de sécurité qui autorise tout le trafic du sous-réseau de la zone approuvée vers la zone non approuvée.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-all match source-address server-group destination-address any application any user@host# set policy permit-all then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show security nat commandes and show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
static {
rule-set rs1 {
from interface ge-0/0/0.0;
rule r1 {
match {
destination-address 203.0.113.0/24;
}
then {
static-nat prefix 192.168.1.0/24;
}
}
}
}
proxy-arp {
interface ge-0/0/0.0 {
address {
203.0.113.1/32 to 203.0.113.249/32;
}
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address server-group;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy server-access {
match {
source-address any;
destination-address server-group;
application any;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérification de la configuration NAT statique
Objet
Vérifiez qu’il existe un trafic correspondant à l’ensemble de règles NAT statiques.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat static rule commande. Affichez le champ Accès à la traduction pour vérifier le trafic qui correspond à la règle.
Vérification de l’application NAT pour le trafic
Objet
Vérifiez que le NAT est appliqué au trafic spécifié.
Mesures à prendre
À partir du mode opérationnel, entrez la show security flow session commande.
Exemple : Configuration de NAT64 statique pour la conversion de sous-réseau
Utilisez cet exemple de configuration pour configurer NAT64 statique afin d’permettre une traduction transparente entre les espaces d’adressage IPv6 et IPv4. Vous pouvez utiliser le NAT64 statique dans les environnements passant d’IPv4 à IPv6 pour garantir une communication fiable entre versions IP.
| Score de lisibilité |
|
| Temps de lecture |
Moins de 15 minutes. |
| Temps de configuration |
Moins d’une heure. |
- Exemples de prérequis
- Avant de commencer
- Aperçu fonctionnel
- Présentation de la topologie
- Illustration de la topologie
- Configurer NAT64 statique sur un équipement sous test (DUT)
- Vérification
- Annexe 1 : Définir des commandes sur tous les appareils
- Annexe 2 : Afficher la sortie de configuration sur l’ASE
Exemples de prérequis
Utilisez cet exemple de configuration pour configurer et vérifier le NAT64 statique sur votre appareil. Le NAT64 statique permet une communication transparente entre les clients IPv6 uniquement et les serveurs IPv4 en traduisant les adresses IPv6 en IPv4 à l’aide d’un préfixe NAT64 bien connu (64 :ff9b ::/96). Cette fonctionnalité est particulièrement utile dans les environnements passant d’IPv4 à IPv6, car elle élimine le besoin de configurations à double pile tout en garantissant une communication fiable entre les versions IP.
| Exigences matérielles |
Pare-feu virtuel vSRX |
| Logiciels exigences |
Junos OS version 24.1R1 ou ultérieure |
| Exigences en matière de licence |
Activez une licence de sécurité pour activer la traduction d’adresses réseau (NAT) et les fonctionnalités de sécurité. |
Avant de commencer
| Avantages |
|
| Ressources utiles : |
|
| En savoir plus |
|
| Expérience pratique |
|
| Pour en savoir plus |
|
Aperçu fonctionnel
| Profils |
|
| Profil de traduction | La configuration NAT64 inclut un profil de traduction pour définir le mappage entre IPv6 et IPv4. |
| Profil de préfixe | Spécifie le préfixe bien connu NAT64 (64 :ff9b ::/96) pour la traduction des adresses IPv6 en IPv4. |
| Mappage d’adresses |
Associe des adresses ou des sous-réseaux IPv6 spécifiques à des adresses IPv4 correspondantes pour faciliter la traduction. |
| Politiques |
|
| Politique d’inbound |
Permet aux clients IPv6 uniquement d’initier le trafic vers les serveurs IPv4 en faisant correspondre les règles de traduction NAT64. |
| Politique sortante |
Autorise le retour du trafic des serveurs IPv4 vers les clients IPv6 en fonction des règles NAT64. |
| Zones de sécurité |
|
|
|
Segment réseau pour les clients IPv6 uniquement qui initient des connexions. |
|
|
Segment de réseau où résident les serveurs IPv4 répondant aux demandes des clients. |
| Zone NAT64 |
Une zone dédiée au traitement NAT64, garantissant une traduction efficace et une gestion du trafic. |
Présentation de la topologie
Dans cette topologie NAT64 statique, un client IPv6 uniquement communique avec un serveur IPv4 via le pare-feu SRX Series. Le pare-feu traduit les adresses IPv6 en IPv4 à l’aide de mappages NAT64 statiques, tandis qu’un serveur DNS64 synthétise les réponses DNS IPv6 pour une résolution transparente des adresses. Cette configuration assure une communication fluide entre les clients IPv6 uniquement et les serveurs IPv4 sans nécessiter de configurations à double pile.
| Composants de la topologie |
Rôle |
Fonction |
|---|---|---|
| Maître d’ouvrage |
Appareil IPv6 uniquement |
Lance des requêtes à partir d’un environnement IPv6 uniquement pour communiquer avec les serveurs IPv4. |
| Pare-feu SRX Series |
Passerelle NAT64 |
Traduit les adresses IPv6 en adresses IPv4 à l’aide du mappage NAT64 statique configuré, pour une communication transparente entre les versions IP. |
| Serveur DNS64 |
Traducteur DNS |
Convertit les réponses DNS IPv4 du client, ce qui permet la résolution d’adresses. |
| Serveur IPv4 |
Serveur de destination |
Répond aux demandes des clients à l’aide de son adresse IPv4, ce qui permet d’interagir avec les clients IPv6 uniquement via NAT64. |
Illustration de la topologie
de sous-réseau NAT64 statique
Configurer NAT64 statique sur un équipement sous test (DUT)
Pour obtenir des exemples complets de configurations sur le DUT, voir :
Vérification
- Vérifier la configuration statique de NAT64
- Vérification de l’application NAT64 par rapport au trafic
Vérifier la configuration statique de NAT64
Objet
Vérifiez qu’il existe un trafic correspondant à l’ensemble de règles statiques NAT64.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat static rule commande. Affichez le champ Accès à la traduction pour vérifier le trafic qui correspond à la règle.
Signification
Vérification de l’application NAT64 par rapport au trafic
Objet
Vérifiez que NAT64 est appliqué au trafic spécifié.
Mesures à prendre
À partir du mode opérationnel, entrez la show security flow session commande.
Signification
Annexe 1 : Définir des commandes sur tous les appareils
L’exemple suivant nécessite de naviguer à travers différents niveaux de la hiérarchie de configuration de Junos OS. Pour obtenir des conseils détaillés sur la navigation dans la CLI, consultez Utilisation de l’éditeur de la CLI en mode Configuration.
set security nat source pool p1 address 10.6.32.0/24 set security nat source rule-set src_rs1 from zone trust set security nat source rule-set src_rs1 to zone untrust set security nat source rule-set src_rs1 rule source_rule match source-address 2001:db8::/96 set security nat source rule-set src_rs1 rule source_rule match destination-address 0.0.0.0/0 set security nat source rule-set src_rs1 rule source_rule then source-nat pool p1 set security nat static rule-set static_rs1 from zone trust set security nat static rule-set static_rs1 rule static_rule match destination-address 64:ff9b::/96 set security nat static rule-set static_rs1 rule static_rule then static-nat inet set security nat proxy-arp interface ge-0/0/2.0 address 10.6.32.1/32 to 10.6.32.249/32 set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/1 unit 0 family inet address 20.20.20.1/24 set interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8::1/96
Annexe 2 : Afficher la sortie de configuration sur l’ASE
Afficher la sortie de commande sur le DUT.
Depuis le mode opérationnel, vérifiez votre configuration à l’aide des commandes suivantes. Si la sortie
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 20.20.20.1/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet6 {
address 2001:db8::1/96;
}
}
}
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
user@host# show security nat
source {
pool p1 {
address {
10.6.32.0/24;
}
}
rule-set src_rs1 {
from zone trust;
to zone untrust;
rule source_rule {
match {
source-address 2001:db8::/96;
destination-address 0.0.0.0/0;
}
then {
source-nat {
pool {
p1;
}
}
}
}
}
}
static {
rule-set static_rs1 {
from zone trust;
rule static_rule {
match {
destination-address 64:ff9b::/96;
}
then {
static-nat {
inet;
}
}
}
}
}
proxy-arp {
interface ge-0/0/2.0 {
address {
10.6.32.1/32 to 10.6.32.249/32;
}
}
}
Exemple : Configuration d’NAT statique pour le mappage de ports
Cet exemple décrit comment configurer des mappages NAT statiques d’une adresse publique à des adresses privées sur une plage de ports spécifiée.
Cette rubrique comprend les sections suivantes :
Exigences
Avant de commencer :
Configurez les interfaces réseau de l’appareil. Voir Guide de l’utilisateur des interfaces pour les équipements de sécurité.
Créez des zones de sécurité et attribuez-leur des interfaces. Voir Présentation des zones de sécurité.
Vue d’ensemble
Cet exemple utilise la zone de sécurité approuvée pour l’espace d’adressage privé et la zone de sécurité non approuvée pour l’espace d’adressage public.
Sur la Figure 4, les appareils de la zone non approuvée accèdent à un serveur de la zone approuvée par le biais des adresses publiques 203.0.113.1/32, 203.0.113.1/32 et 203.0.113.3/32. Pour les paquets qui pénètrent dans l’équipement de sécurité de Juniper Networks à partir de la zone non approuvée avec les adresses IP de destination 203.0.113.1/32, 203.0.113.1/32 et 203.0.113.3/32, l’adresse IP de destination est traduite en adresses privées 10.1.1.1/32, 10.1.1.2/32 et 10.1.1.2/32.
ports
-
Pour configurer le port de destination, vous devez utiliser une adresse IP pour le champ d’adresse de destination au lieu d’un préfixe d’adresse IP.
-
Vous devez configurer le port de destination pour configurer le port mappé et vice versa.
-
Utilisez la même plage de numéros pour les ports lors de la configuration du port de destination et du port mappé.
-
Si vous ne configurez pas le port de destination et le port mappé, le mappage IP sera le mappage un-à-un.
-
Tout chevauchement d’adresses ou de ports n’est pas autorisé.
Cet exemple décrit les configurations suivantes :
Ensemble de règles NAT statiques rs1 avec règle r1 pour faire correspondre les paquets de la zone non approuvée avec l’adresse de destination 203.0.113.1/32 et les ports de destination 100 à 200. Pour faire correspondre les paquets, l’adresse IP de destination est traduite en l’adresse privée 10.1.1.1/32 et mappée aux ports 300 à 400.
Ensemble de règles NAT statiques rs1 avec règle r2 pour faire correspondre les paquets de la zone non approuvée avec l’adresse de destination 203.0.113.1/32 et les ports de destination 300 à 400. Pour faire correspondre les paquets, l’adresse IP de destination est traduite en l’adresse privée 10.1.1.2/32 et mappée sur les ports 300 à 400.
Ensemble de règles NAT statiques rs1 avec règle r3 pour faire correspondre les paquets de la zone non approuvée avec l’adresse de destination 203.0.113.3/32 et le port de destination 300. Pour faire correspondre les paquets, l’adresse IP de destination est traduite en l’adresse privée 10.1.1.2/32 et mappée au port 200.
La configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security nat static rule-set rs from zone untrustset security nat static rule-set rs rule r1 match destination-address 203.0.113.1/32set security nat static rule-set rs rule r1 match destination-port 100 to 200set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1/32set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r2 match destination-address 203.0.113.1/32set security nat static rule-set rs rule r2 match destination-port 300 to 400set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2/32set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r3 match destination-address 203.0.113.3/32set security nat static rule-set rs rule r3 match destination-port 300set security nat static rule-set rs rule r3 then static-nat prefix 10.1.1.2/32set security nat static rule-set rs rule r3 then static-nat prefix mapped-port 200
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à travers différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Pour configurer un mappage NAT statique d’une adresse de sous-réseau privée à une adresse de sous-réseau publique :
Créez un ensemble de règles NAT statiques.
[edit security nat static]user@host# set rule-set rs from zone untrustConfigurez une règle qui correspond aux paquets et convertit l’adresse de destination des paquets en une adresse privée.
[edit security nat static]user@host# set rule-set rs rule r1 match destination-address 203.0.113.1/32user@host# set rule-set rs rule r1 match destination-port 100 to 200user@host# set rule-set rs rule r1 then static-nat prefix 10.1.1.1/32user@host# set rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400Configurez une règle qui correspond aux paquets et convertit l’adresse de destination des paquets en une adresse privée.
[edit security nat static]user@host# set rule-set rs rule r2 match destination-address 203.0.113.1/32user@host# set rule-set rs rule r2 match destination-port 300 to 400user@host# set rule-set rs rule r2 then static-nat prefix 10.1.1.2/32user@host# set rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400Configurez une règle qui correspond aux paquets et convertit l’adresse de destination des paquets en une adresse privée.
[edit security nat static]user@host# set rule-set rs rule r3 match destination-address 203.0.113.3/32user@host# set rule-set rs rule r3 match destination-port 300user@host# set rule-set rs rule r3 then static-nat prefix 10.1.1.2/32user@host# set rule-set rs rule r3 then static-nat prefix mapped-port 200
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
security {
nat {
static {
rule-set rs {
from zone untrust;
rule r1 {
match {
destination-address 203.0.113.1/32;
destination-port 100 to 200;
}
then {
static-nat {
prefix {
10.1.1.1/32;
mapped-port 300 to 400;
}
}
}
}
rule r2 {
match {
destination-address 203.0.113.1/32;
destination-port 300 to 400;
}
then {
static-nat {
prefix {
10.1.1.2/32;
mapped-port 300 to 400;
}
}
}
}
rule r3 {
match {
destination-address 203.0.113.3/32;
destination-port 300;
}
then {
static-nat {
prefix {
10.1.1.2/32;
mapped-port 200;
}
}
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Vérification de la configuration NAT statique
Objet
Vérifiez qu’il existe un trafic correspondant à l’ensemble de règles NAT statiques.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat static rule commande. Affichez le champ Accès à la traduction pour vérifier le trafic qui correspond à la règle.
user@host> show security nat static rule all
Total static-nat rules: 3
Static NAT rule: r2 Rule-set: rs
Rule-Id : 3
Rule position : 2
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 300 - 400
Host addresses : 10.1.1.2
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r3 Rule-set: rs
Rule-Id : 4
Rule position : 3
From zone : untrust
Destination addresses : 203.0.113.3
Destination ports : 300 - 300
Host addresses : 10.1.1.2
Host ports : 200 - 200
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Static NAT rule: r1 Rule-set: rs
Rule-Id : 9
Rule position : 1
From zone : untrust
Destination addresses : 203.0.113.1
Destination ports : 100 - 200
Host addresses : 10.1.1.1
Host ports : 300 - 400
Netmask : 32
Host routing-instance : N/A
Translation hits : 0
Dépannage
Dépannage de la configuration de ports NAT statiques
Problème
Des échecs de configuration de mappage de ports NAT statiques se produisent lors d’une validation.
Les configurations non valides avec des adresses IP et des ports superposés entraînent l’échec de la validation.
L’exemple suivant montre des configurations non valides avec des adresses et des ports superposés :
set security nat static rule-set rs rule r1 match destination-address 203.0.113.1set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1set security nat static rule-set rs rule r2 match destination-address 203.0.113.1set security nat static rule-set rs rule r2 match destination-port 300 to 400set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.2set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r1 match destination-address 203.0.113.1set security nat static rule-set rs rule r1 match destination-port 100 to 200set security nat static rule-set rs rule r1 then static-nat prefix 10.1.1.1set security nat static rule-set rs rule r1 then static-nat prefix mapped-port 300 to 400set security nat static rule-set rs rule r2 match destination-address 203.0.113.2set security nat static rule-set rs rule r2 match destination-port 300 to 400set security nat static rule-set rs rule r2 then static-nat prefix 10.1.1.1set security nat static rule-set rs rule r2 then static-nat prefix mapped-port 390 to 490
Le message d’erreur suivant s’affichait lorsque la configuration susmentionnée était soumise à la validation :
error: 'prefix/mapped-port' of static nat rule r2 overlaps with 'prefix/mapped-port' of static nat rule r1 error: configuration check-out failed
La solution
Pour configurer le port de destination, vous devez éviter tout chevauchement d’adresses ou tout chevauchement d’adresses et de ports. Pour obtenir un exemple de configuration valide, consultez Configuration
Configurer le NAT statique et le PAT pour QFX5120
Pour le NAT de destination et le NAT PAT de destination :
-
Activez l’ARP de proxy sur les interfaces publiques si l’adresse IP publique traduite se trouve dans le même sous-réseau que l’adresse attribuée à l’interface publique.
-
Ajoutez une route statique pour l’adresse IP publique traduite avec le saut suivant comme adresse IP privée locale.
Surveillance des informations NAT statiques
Objet
Afficher les informations des règles NAT statiques.
Mesures à prendre
Sélectionnez Monitor>NAT>Static NAT dans l’interface utilisateur J-Web ou entrez la commande CLI suivante :
show security nat static rule
Le Tableau 3 récapitule les principaux champs de sortie de l’affichage NAT statique.
Champ |
Valeurs |
Mesures à prendre |
|---|---|---|
Nom de l’ensemble de règles |
Nom de l’ensemble de règles. |
Sélectionnez tous les ensembles de règles ou un ensemble de règles spécifique à afficher dans la liste. |
Total des règles |
Nombre de règles configurées. |
– |
ID |
Numéro d’ID de la règle. |
– |
Poste |
Position de la règle qui indique l’ordre dans lequel elle s’applique à la circulation. |
– |
Nom |
Nom de la règle. |
– |
Nom de l’ensemble de règles |
Nom de l’ensemble de règles. |
– |
De |
Nom de l’instance/interface/zone de routage d’où provient le paquet |
– |
Adresses sources |
Adresses IP sources. |
– |
Ports sources |
Numéros de ports source. |
– |
Adresses de destination |
Adresse IP de destination et masque de sous-réseau. |
– |
Ports de destination |
Numéros de ports de destination . |
– |
Adresses des hôtes |
Nom des adresses de l’hôte. |
– |
Ports hôtes |
Numéros de ports hôtes. |
|
Masque de réseau |
Adresse IP du sous-réseau. |
– |
Instance de routage hôte |
Nom de l’instance de routage d’où provient le paquet. |
– |
Seuil d’alarme |
Seuil d’alarme d’utilisation. |
– |
Sessions (Succ/Échec/Actuel) |
Sessions réussies, échouées et en cours.
|
– |
Traductions hits |
Nombre de fois qu’une traduction dans la table de traduction est utilisée pour une règle NAT statique. |
– |
Les 10 meilleurs résultats de traduction Graphique |
Affiche le graphique des 10 principaux résultats de traduction. |
– |