SUR CETTE PAGE
Présentation des utilitaires de traversée de session pour le protocole NAT (STUN)
Comprendre le préfixe IPv6 NAT64 vers la traduction persistante d’adresse IPv4
Exemple : Configuration de pools NAT64 persistants d’adresses
Exemple : configuration du filtrage dépendant de l’adresse pour les clients IPv6
Exemple : configuration du filtrage indépendant du point de terminaison pour les clients IPv6
Exemple : Définition du nombre maximal de liaisons NAT persistantes
Comportement de prise en charge de la liaison NAT persistante spécifique à la plate-forme
NAT persistant et NAT64
Les traducteurs d’adresses réseau (NAT) sont bien connus pour causer des problèmes très importants avec les applications qui transportent des adresses IP dans la charge utile. Les applications qui souffrent de ce problème comprennent la VoIP et le multimédia sur IP. La NAT persistante améliore le comportement des NAT et définit un ensemble de comportements d’exigence NAT, ce qui est utile pour le fonctionnement des applications VOIP. NAT64 est un mécanisme de traduction utilisé pour traduire des paquets IPv6 en paquets IPv4 et vice versa en traduisant les en-têtes de paquets selon l’algorithme de traduction IP/ICMP.
Comprendre la NAT persistante et NAT64
Le NAT persistant permet aux applications d’utiliser le protocole STUN (Session Traversal Utilities for NAT) lorsqu’elles traversent les pare-feu NAT. Le NAT persistant garantit que toutes les requêtes provenant de la même adresse de transport interne (adresse IP interne et port) sont mappées à la même adresse de transport réflexe (l’adresse IP publique et le port créés par le périphérique NAT le plus proche du serveur STUN).
NAT64 est un mécanisme de conversion de paquets IPv6 en paquets IPv4 et vice versa qui permet aux clients IPv6 de contacter des serveurs IPv4 à l’aide des protocoles UDP, TCP ou ICMP unicast. Il s’agit d’une amélioration de la traduction d’adresses réseau - Traduction de protocoles (NAT-PT).
NAT64 prend en charge les éléments suivants :
-
Mappages indépendants des points de terminaison
-
Filtrage indépendant des points de terminaison et filtrage dépendant de l’adresse
Les comportements de mappage et de filtrage de NAT64 et de NAT persistant sont identiques.
Les types de NAT persistants suivants peuvent être configurés sur l’équipement Juniper Networks :
-
Any remote host : toutes les requêtes provenant d’une adresse IP interne et d’un port spécifiques sont mappées à la même adresse de transport réflexe. Tout hôte externe peut envoyer un paquet à l’hôte interne en envoyant le paquet à l’adresse de transport réflexe.
-
Hôte cible : toutes les demandes provenant d’une adresse IP interne et d’un port spécifiques sont mappées à la même adresse de transport réflexe. Un hôte externe peut envoyer un paquet à un hôte interne en envoyant le paquet à l’adresse de transport réflexe. L’hôte interne doit avoir préalablement envoyé un paquet à l’adresse IP de l’hôte externe.
-
Port de l’hôte cible : toutes les demandes provenant d’une adresse IP interne et d’un port spécifiques sont mappées à la même adresse de transport réflexe. Un hôte externe peut envoyer un paquet à un hôte interne en envoyant le paquet à l’adresse de transport réflexe. L’hôte interne doit avoir préalablement envoyé un paquet à l’adresse IP et au port de l’hôte externe.
La configuration du port hôte-cible n’est pas prise en charge pour NAT64 lorsqu’il est configuré avec une adresse IPv6.
Vous configurez n’importe quel type de NAT persistant avec des règles NAT source. L’action de règle NAT source peut utiliser un pool NAT source (avec ou sans traduction de port) ou une interface de sortie. Le NAT persistant ne s’applique pas au NAT de destination, car les liaisons NAT persistantes sont basées sur les sessions sortantes de l’interne vers l’externe.
La surcharge de ports n’est utilisée dans Junos OS que pour le trafic NAT d’interface normal. Le NAT persistant ne prend pas en charge la surcharge de ports et vous devez la désactiver explicitement à l’aide de l’une des options suivantes au niveau de la hiérarchie [edit security nat source] :
-
surcharge de ports désactivée
-
facteur de surcharge de port 1
Pour configurer des stratégies de sécurité afin d’autoriser ou de refuser le trafic NAT persistant, vous pouvez utiliser deux nouveaux services prédéfinis :junos-stun et junos-persistent-nat.
Le NAT persistant est différent de la fonctionnalité d’adresse persistante (voir Présentation des adresses persistantes pour les pools NAT source). La fonctionnalité d’adresse persistante s’applique aux mappages d’adresses pour les pools NAT sources configurés sur l’appareil. La fonctionnalité NAT persistante s’applique aux mappages d’adresses sur un périphérique NAT externe et est configurée pour un pool NAT source ou une interface de sortie spécifique. En outre, le NAT persistant est destiné à être utilisé avec les applications client/serveur STUN.
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.
Consultez la section Comportement de prise en charge de la liaison NAT persistante spécifique à la plate-forme pour obtenir des remarques relatives à votre plate-forme.
Présentation des utilitaires de traversée de session pour le protocole NAT (STUN)
De nombreuses applications voix et vidéo ne fonctionnent pas correctement dans un environnement NAT. Par exemple, le protocole SIP (Session Initiation Protocol), utilisé avec la VoIP, code les adresses IP et les numéros de port dans les données d’application. S’il existe un pare-feu NAT entre le demandeur et le récepteur, la traduction de l’adresse IP et du numéro de port dans les données invalide les informations.
De plus, un pare-feu NAT ne maintient pas de trou d’épingle pour les messages SIP entrants. Cela oblige l’application SIP soit à actualiser constamment le sténopé avec des messages SIP, soit à utiliser un ALG pour suivre l’enregistrement, une fonction qui peut ou non être prise en charge par le périphérique de passerelle.
Le protocole STUN (Session Traversal Utilities for NAT), défini pour la première fois dans la RFC 3489, Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NAT), puis plus tard dans la RFC 5389, Session Traversal Utilities for NAT, est un protocole client/serveur simple. Un client STUN envoie des requêtes à un serveur STUN, qui renvoie des réponses au client. Un client STUN fait généralement partie d’une application qui nécessite une adresse IP et/ou un port public. Les clients STUN peuvent résider dans un système final tel qu’un PC ou dans un serveur réseau, tandis que les serveurs STUN sont généralement connectés à l’Internet public.
Le client STUN et le serveur STUN doivent tous deux être fournis par l’application. Juniper Networks ne fournit pas de client ou de serveur STUN.
Le protocole STUN permet à un client de :
Découvrez si l’application se trouve derrière un pare-feu NAT.
Déterminez le type de liaison NAT utilisé.
Découvrez l’adresse de transport réflexive, qui correspond à l’adresse IP et à la liaison de port allouées par le périphérique NAT le plus proche du serveur STUN. (Il peut y avoir plusieurs niveaux de NAT entre le client STUN et le serveur STUN.)
L’application cliente peut utiliser les informations de liaison d’adresse IP dans des protocoles tels que SIP et H.323.
Comprendre le préfixe IPv6 NAT64 vers la traduction persistante d’adresse IPv4
Le mécanisme NAT64 permet aux clients IPv6 de contacter les serveurs IPv4 en traduisant les adresses IPv6 en adresses IPv4 (et vice versa). Toutefois, certaines applications et certains services IPv4 ne peuvent pas fonctionner correctement sur des réseaux IPv6 uniquement dotés de la norme NAT64 dans un scénario à double traduction, tel que 464XLAT. Dans ces cas, une traduction persistante d’adresse est requise.
La figure 1 illustre l’architecture 464XLAT, dans laquelle les paquets IPv4 sont convertis en paquets IPv6 sur le traducteur côté client (CLAT), puis passent par le réseau IPv6 uniquement, puis sont reconvertis en paquets IPv4 sur le traducteur côté fournisseur (PLAT) pour accéder au contenu IPv4 global uniquement dans le réseau central. Cette architecture utilise une combinaison de traduction sans état sur le CLAT et de traduction avec état sur le PLAT.
464XLAT
Lorsqu’un périphérique fonctionne comme un PLAT, il est responsable du maintien de la relation de mappage collant entre un préfixe IPv6 spécifique et une adresse IPv4 traduite. L’appareil traite le préfixe IPv6 comme un utilisateur unique. Ce mappage est réalisé en configurant la longueur de préfixe IPv6 spécifique dans un pool NAT source IPv4 à l’aide de cette address-persistent fonctionnalité.
La figure 2 illustre une règle NAT configurée dans le CLAT, qui traduit une adresse IPv4 en une adresse IPv6 avec un préfixe persistant d’adresse. Avec la traduction NAT46 sans état sur le CLAT et la traduction NAT64 dynamique sur le PLAT, le trafic de l’hôte IPv4 192.168.1.2 atteint le serveur global 198.51.100.1 sur un réseau IPv6 uniquement.
Le Tableau 1 répertorie les autres fonctionnalités NAT et leur compatibilité avec la fonctionnalité persistante d’adresse.
Caractéristique |
Compatible |
||
|---|---|---|---|
Pools PAT |
IPv4 (en anglais)
|
NAT IPv4 à IPv6 |
Non |
NAT IPv6 à IPv4 |
Oui |
||
IPv6 (en anglais)
|
NAT IPv4 à IPv6 |
Non |
|
NAT IPv6 à IPv4 |
Non |
||
Pools non-PAT |
Non |
||
Surcharge de ports |
Oui |
||
NAT persistant dans le pool PAT |
Oui |
||
Attribution du bloc de ports |
Oui |
||
NAT déterministe |
Non |
||
Regroupement d’adresses jumelé |
Non |
||
ALG (Traductions NAT ALG existantes, telles que FTP/PPTP/RTSP/DNS/SIP à partir de clients IPv6 natifs.) |
Oui |
||
Présentation de la configuration NAT persistante et NAT64
Pour configurer un NAT persistant, spécifiez les options suivantes avec l’action de règle NAT source (pour un pool NAT source ou une interface de sortie) :
Type de NAT persistant : l’un des éléments suivants : tout hôte distant, hôte cible ou port hôte cible.
(Facultatif) Mappage d’adresses : cette option permet de mapper les requêtes provenant d’une adresse IP interne spécifique à la même adresse IP réflexe ; Les ports internes et reflex peuvent être n’importe lesquels. Un hôte externe utilisant n’importe quel port peut envoyer un paquet à l’hôte interne en envoyant le paquet à l’adresse IP réflexive (avec une stratégie entrante configurée qui autorise le trafic externe vers interne). Si cette option n’est pas configurée, la liaison NAT persistante est destinée à des adresses de transport internes et réflexes spécifiques.
Vous ne pouvez spécifier cette
address-mappingoption que lorsque le type de NAT persistant est un hôte distant et que l’action de règle NAT source est l’une des actions suivantes :Pool NAT source avec décalage d’adresse IP
Pool NAT source, sans traduction de port ni pool de débordement
(Facultatif) Délai d’inactivité : durée, en secondes, pendant laquelle la liaison NAT persistante reste dans la mémoire de l’appareil lorsque toutes les sessions de l’entrée de liaison ont expiré. Lorsque le délai d’expiration configuré est atteint, la liaison est supprimée de la mémoire. La valeur par défaut est de 300 secondes. Configurez une valeur comprise entre 60 et 7200 secondes.
Lorsque toutes les sessions d’une liaison NAT persistante ont expiré, la liaison reste à l’état de requête dans la mémoire de l’appareil pendant le délai d’inactivité spécifié. La liaison de requête est automatiquement supprimée de la mémoire à l’expiration du délai d’inactivité (la valeur par défaut est de 300 secondes). Vous pouvez supprimer explicitement toutes les liaisons de requête NAT persistantes ou certaines d’entre elles à l’aide de la
clear security nat source persistent-nat-tablecommande.(Facultatif) Maximum session number : nombre maximal de sessions auxquelles une liaison NAT persistante peut être associée. La valeur par défaut est de 30 sessions. Configurez une valeur comprise entre 8 et 100.
Pour le NAT d’interface, vous devez désactiver explicitement la surcharge de ports à l’aide de l’une des options suivantes au niveau de la hiérarchie [edit security nat source] :
surcharge de ports désactivée
facteur de surcharge de port 1
Enfin, vous pouvez utiliser deux services prédéfinis dans les stratégies de sécurité pour autoriser ou refuser le trafic STUN et NAT persistant :
junos-stun—ÉTOURDISSEMENT du trafic protocolaire.junos-persistent-nat: trafic NAT persistant.
Pour le type NAT persistant d’hôte distant ou d’hôte cible ou de port hôte cible, la stratégie de sécurité est orientée de l’interne vers l’externe.
Exemple : Configuration de pools NAT64 persistants d’adresses
Cet exemple montre comment configurer des pools NAT64 persistants d’adresses pour assurer une relation de mappage persistant entre un préfixe IPv6 spécifique, qui est calculé en fonction de la longueur du préfixe IPv6 configuré, et une adresse IPv4 traduite.
Exigences
Avant de commencer, assurez-vous que les règles NAT existantes et la configuration du pool n’entrent pas en conflit avec la nouvelle.
Aperçu
Dans cet exemple, vous configurez une longueur de préfixe IPv6 de /64 dans un pool NAT source IPv4 pour les traductions NAT IPv6 vers IPv4. Le trafic correspondant à la règle NAT et au pool NAT effectue la traduction persistante de l’adresse entre le préfixe IPv6 et l’adresse traduite IPv4. Cette configuration peut être utilisée sur le traducteur côté fournisseur (PLAT) dans un scénario à double traduction, 464XLAT, pour permettre aux services IPv4 de fonctionner sur des réseaux IPv6 uniquement.
Configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat source pool NAT64 address 198.51.100.240/32 to 198.51.100.254/32 set security nat source pool NAT64 address-persistent subscriber ipv6-prefix-length 64 set security nat source rule-set RS1 from zone trust set security nat source rule-set RS1 to zone untrust set security nat source rule-set RS1 rule R1 match source-address 2001:db8::/32 set security nat source rule-set RS1 rule R1 match destination-address 198.51.100.198/32 set security nat source rule-set RS1 rule R1 then source-nat pool NAT64
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à travers différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Créez un pool NAT source.
[edit security nat source] user@host# set pool NAT64 address 198.51.100.240/32 to 198.51.100.254/32
Spécifiez la longueur du préfixe IPv6 pour le pool NAT source.
[edit security nat source] user@host# set pool NAT64 address-persistent subscriber ipv6-prefix-length 64
Créez un ensemble de règles.
[edit security nat source] user@host# set rule-set RS1 from zone trust user@host# set rule-set RS1 to zone untrust
Respectez la règle.
[edit security nat source] user@host# set rule-set RS1 rule R1 match source-address 2001:db8::/32 user@host# set rule-set RS1 rule R1 match destination-address 198.51.100.198/32
Indiquez l’action à effectuer lorsque la règle correspond.
[edit security nat source] user@host# set security nat source rule-set RS1 rule R1 then source-nat pool NAT64
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool NAT64 {
address {
198.51.100.240/32 to 198.51.100.254/32;
}
address-persistent subscriber ipv6-prefix-length 64;
}
rule-set RS1 {
from zone trust;
to zone untrust;
rule R1 {
match {
source-address 2001:db8::/32;
destination-address 198.51.100.198/32;
}
then {
source-nat {
pool {
NAT64;
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Exemple : Prise en charge de la configuration du réseau en configurant le NAT persistant avec le NAT d’interface
Vous pouvez configurer n’importe quel type de NAT persistant avec des règles NAT source. Cet exemple illustre comment appliquer un NAT persistant avec une adresse IP d’interface et comment utiliser une adresse IP d’interface comme adresse IP NAT pour effectuer un NAT persistant pour un hôte interne spécifique. Il montre également comment maintenir un comportement persistant de mappage de port d’adresse et un comportement de filtre NAT persistant pour l’hôte. Vous devez désactiver la surcharge de ports pour le NAT d’interface.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
1 pare-feu SRX Series
4 pièces
Avant de commencer :
Comprendre les concepts de NAT persistant. Reportez-vous à la section Présentation de la configuration NAT persistante et NAT64.
Aperçu
Dans un déploiement de réseau NAT de classe opérateur (CGN), vous pouvez configurer l’adresse IP de l’interface en tant qu’adresse NAT pour effectuer une traduction d’adresses réseau persistante. De cette façon, l’hôte interne peut créer une relation de mappage NAT source par le trafic sortant initié de l’interne vers l’externe. Ensuite, l’hôte externe renvoie le trafic à cet hôte interne en envoyant le trafic à cette adresse NAT d’interface via la relation de mappage NAT partagé.
Dans cet exemple, vous configurez d’abord l’ensemble de règles NAT d’interface int1 pour qu’il fasse correspondre le trafic de l’interface ge-0/0/1 à l’interface ge-0/0/2, puis vous configurez la règle NAT in1 pour qu’elle corresponde aux adresses source et de destination spécifiques afin d’effectuer un NAT persistant. Vous configurez le type de NAT persistant lors de l’exécution any remote host du NAT d’interface.
Pour les paquets dont l’adresse source est 192.0.2.0/24 (téléphones internes) et l’adresse de destination 198.51.100.0/24 (y compris le serveur STUN , le serveur proxy SIP et les téléphones externes), vous configurez le NAT d’interface avec le any remote host type NAT persistant. Ensuite, vous désactivez la surcharge de ports pour le NAT d’interface.
Ensuite, vous configurez une stratégie de sécurité afin d’autoriser le trafic NAT persistant du réseau externe (zone externe) vers le réseau interne (zone interne) pour n’importe quel type de NAT persistant de l’hôte distant.
Topologie
La figure 3 illustre une topologie NAT persistante d’interface.
NAT persistante de l’interface
Le tableau 2 présente les paramètres configurés dans cet exemple.
Paramètre |
Description |
|---|---|
Zone externe |
Réseau externe |
Zone interne |
Réseau interne |
External_phones2 |
Adresse Phone2 du réseau externe |
Internal_phone1 |
Téléphone1 adresse du réseau interne |
SIP_proxy serveur |
Adresse du serveur proxy SIP du réseau externe |
serveur STUN |
Adresse du serveur STUN du réseau externe |
Sous-réseau 198.51.100.1/32 |
Adresse IP de destination |
Sous-réseau 192.0.2.2/32 |
Adresse IP source |
GE-0/0/1 et GE-0/0/2 |
Interfaces NAT pour la direction du trafic |
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat source rule-set int1 from interface ge-0/0/1.0 set security nat source rule-set int1 to interface ge-0/0/2.0 set security nat source rule-set int1 rule in1 match source-address 192.0.2.0/24 set security nat source rule-set int1 rule in1 match destination-address 198.51.100.0/24 set security nat source rule-set int1 rule in1 then source-nat interface persistent-nat permit any-remote-host set security nat source interface port-overloading off set security policies from-zone internal to-zone external policy stun_traffic match source-address internal_phones destination-address stun_server application junos-stun set security policies from-zone internal to-zone external policy sip_proxy_traffic match source-address internal_phones destination-address sip_proxy_server application junos-sip set security policies from-zone internal to-zone external policy sip_traffic match source-address internal_phones destination-address external_phones application junos-persistent-nat set security policies from-zone internal to-zone external policy sip_traffic then permit set security policies from-zone internal to-zone external policy stun_traffic then permit set security policies from-zone internal to-zone external policy sip_proxy_traffic then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer un ensemble de règles NAT d’interface :
Créez une règle NAT persistante pour un NAT d’interface.
[edit security nat source rule-set int1] user@host# set from interface ge-0/0/1.0 user@host# set to interface ge-0/0/2.0 user@host# set rule in1 match source-address 192.0.2.0/24 user@host# set rule in1 match destination-address 198.51.100.0/24 user@host# set rule in1 then source-nat interface persistent-nat permit any-remote-host
Désactivez la surcharge de ports pour le NAT d’interface.
[edit security] user@host# set nat source interface port-overloading off
Configurez une stratégie de sécurité pour autoriser le trafic STUN des téléphones SIP internes vers un serveur STUN externe.
[edit security policies] user@host# set from-zone internal to-zone external policy stun_traffic match source-address internal_phones destination-address stun_server application junos-stun
Configurez une stratégie de sécurité pour autoriser le trafic proxy SIP des téléphones SIP internes vers un serveur proxy SIP externe.
[edit security policies] user@host# set from-zone internal to-zone external policy sip_proxy_traffic match source-address internal_phones destination-address sip_proxy_server application junos-sip
Configurez une stratégie de sécurité pour autoriser le trafic SIP des téléphones SIP externes vers les téléphones SIP internes.
[edit security policies] user@host# set from-zone internal to-zone external policy sip_traffic match source-address internal_phones destination-address external_phones application junos-persistent-nat user@host# set from-zone internal to-zone external policy sip_traffic then permit user@host#set from-zone internal to-zone external policy stun_traffic then permit user@host#set from-zone internal to-zone external policy sip_proxy_traffic then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show security nat commandes and show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@host# show security nat
source {
interface {
port-overloading off;
}
rule-set int1 {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule in1 {
match {
source-address 192.0.2.0/24;
destination-address 198.51.100.0/24;
}
then {
source-nat {
interface {
persistent-nat {
permit any-remote-host;
}
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone internal to-zone external {
policy stun_traffic {
match {
source-address internal_phones;
destination-address stun_server;
application junos-stun;
}
then {
permit;
}
}
policy sip_proxy_traffic {
match {
source-address internal_phones;
destination-address sip_proxy_server;
application junos-sip;
}
then {
permit;
}
}
policy sip_traffic {
match {
source-address internal_phones;
destination-address external_phones;
application junos-persistent-nat;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de la correspondance et de l’utilisation des règles
- Vérification de l’établissement des sessions de trafic NAT
Vérification de la correspondance et de l’utilisation des règles
But
Vérifiez que toutes les règles correspondent et sont utilisées.
Action
À partir du mode opérationnel, entrez la show security nat source persistent-nat-table all commande.
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/Curr_Sess_Num/ Source
In_IP In_Port I_Proto Ref_IP Ref_Port R_Proto NAT Pool Conf_time Max_Sess_Num NAT Rule
192.0.2.12 17012 udp 198.51.100.1 28153 udp interface any-remote-host 3528/3600 -/- in1
192.0.2.12 7078 udp 198.51.100.1 6133 udp interface any-remote-host -/300 1/30 in1
Signification
La sortie affiche un résumé des informations NAT persistantes.
Vérification de l’établissement des sessions de trafic NAT
But
Vérifiez que les sessions sont établies sur l’équipement.
Action
À partir du mode opérationnel, entrez la show security flow session commande.
user@host>show security flow session Session ID: 6992, Policy name: sip_proxy_traffic/5, Timeout: 16, Valid In: 192.0.2.12/17012 --> 198.51.100.45/5060;udp, If: ge-0/0/1.0, Pkts: 4, Bytes: 1850 Out: 198.51.100.45/5060 --> 198.51.100.1/28153;udp, If: ge-0/0/2.0, Pkts: 5, Bytes: 2258 Session ID: 7382, Policy name: stun_traffic/4, Timeout: 16, Valid In: 192.0.2.12/7078 --> 198.51.100.49/3478;udp, If: ge-0/0/1.0, Pkts: 20, Bytes: 1040 Out: 198.51.100.49/3478 --> 198.51.100.1/6133;udp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0
Signification
La show security flow session commande affiche les sessions actives sur l’appareil et la stratégie de sécurité associée à chaque session. La sortie montre le trafic entrant dans l’appareil à l’aide de l’adresse source privée 192.0.2.12 destinée à un hôte public à l’adresse 198.51.100.45. Le trafic de retour de ce flux est acheminé vers l’adresse publique traduite 198.51.100.1.
Session ID: numéro identifiant la session. Utilisez cet ID pour obtenir plus d’informations sur la session, telles que le nom de la stratégie ou le nombre de paquets entrants et sortants.
sip_proxy_traffic— Nom de la stratégie autorisant le trafic SIP des téléphones SIP internes vers le serveur proxy SIP externe.
In—Flux entrant (adresses IP source et de destination avec leurs numéros de port source et de destination respectifs. La session est UDP et l’interface source de cette session est ge-0/0/1.0).
Out—Flux inverse (adresses IP source et de destination avec leurs numéros de port source et de destination respectifs. La session est UDP et l’interface de destination de cette session est ge-0/0/2.0).
stun_traffic: nom de la stratégie autorisant le trafic STUN des téléphones SIP internes vers le serveur STUN externe.
Exemple : configuration du filtrage dépendant de l’adresse pour les clients IPv6
Cet exemple montre comment configurer le filtrage dépendant de l’adresse pour les clients IPv6 à l’aide de NAT64.
Exigences
Avant de commencer :
Assurez-vous que IPv6 est activé sur l’équipement.
Assurez-vous que la règle NAT existante et la configuration du pool n’entrent pas en conflit avec les nouvelles.
Aperçu
Dans cet exemple, vous utilisez NAT64 pour envoyer des paquets de l’hôte interne IPv6 à l’hôte externe IPv4 et de l’hôte externe IPv4 à l’hôte interne IPv4.
Topologie
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::/128 set security nat static rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit target-host
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le filtrage dépendant de l’adresse pour les clients IPv6 :
Créez un ensemble de règles pour NAT64.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Respectez la règle.
[edit security nat static] user@host# set rule-set test_rs rule test_rule match destination-address 2001:db8::/128
Indiquez l’action à effectuer lorsque la règle correspond.
[edit security nat static] user@host# set rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32
Définissez un pool d’adresses source et ajoutez-le au pool.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2
Créez un autre ensemble de règles pour NAT64.
[edit security nat] user@host# set source rule-set myipv4_rs from interface ge-0/0/1
Faites correspondre la règle avec l’adresse source.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96
Faites correspondre la règle avec l’adresse de destination.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15
Indiquez l’action à effectuer lorsque les règles correspondent.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Configurez le NAT persistant.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit target-host
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show nat source commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit security]
user@host#show nat source
pool myipv4 {
address {
203.0.113.2/32;
}
}
rule-set test_rs {
rule test_rule {
match {
destination-address 2001:db8::/128;
}
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
persistent-nat {
permit target-host;
}
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement :
- Vérification de l’activation et du bon fonctionnement de la configuration
- Vérification de la correspondance et de l’utilisation des règles
Vérification de l’activation et du bon fonctionnement de la configuration
But
Vérifiez que la configuration est activée et qu’elle fonctionne.
Action
À partir du mode opérationnel, entrez les commandes suivantes :
show security nat static rule test_ruleshow security nat source rule ipv4_ruleshow security nat source pool myipv4
Exemple : configuration du filtrage indépendant du point de terminaison pour les clients IPv6
Cet exemple montre comment configurer le filtrage indépendant du point de terminaison pour les clients IPv6 à l’aide de NAT64.
Exigences
Avant de commencer :
Assurez-vous que IPv6 est activé sur l’appareil
Assurez-vous que les règles NAT existantes et la configuration du pool n’entrent pas en conflit avec les nouvelles.
Aperçu
Dans cet exemple, vous utilisez NAT64 pour envoyer des paquets de l’hôte interne IPv6 à l’hôte externe IPv4 et de l’hôte externe IPv4 à l’hôte interne IPv4.
Topologie
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::/128 set security nat static rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit any-remote-host
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer le filtrage indépendant du point de terminaison pour les clients IPv6 :
Créez un ensemble de règles pour NAT64.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Respectez la règle.
[edit security nat static] user@host# set rule-set test_rs rule test_rule match destination-address 2001:db8::/128
Indiquez l’action à effectuer lorsque la règle correspond.
[edit security nat static] user@host# set rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32
Définissez un pool d’adresses source et ajoutez-le au pool.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2
Créez un autre ensemble de règles pour NAT64.
[edit security nat] user@host# set source rule-set myipv4_rs from interface ge-0/0/1
Faites correspondre la règle avec l’adresse source.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96
Faites correspondre la règle avec l’adresse de destination.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15
Indiquez l’action à effectuer lorsque les règles correspondent.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Configurez le NAT persistant.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit any-remote-host
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit security]
user@host#show security nat
source {
pool myipv6_prefix {
address {
2001:db8::/64;
}
}
pool myipv4 {
address {
203.0.113.2/32;
}
}
rule-set myipv6_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv6_rule {
match {
source-address 10.1.1.0/30;
destination-address 2001:db8::2/96;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
persistent-nat {
permit target-host;
}
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::/128;
}
then {
static-nat {
prefix {
10.2.2.15/32;
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement :
- Vérification que la configuration est activée et fonctionne
- Vérification de la correspondance et de l’utilisation des règles
Vérification que la configuration est activée et fonctionne
But
Vérifiez que la configuration est activée et qu’elle fonctionne.
Action
À partir du mode opérationnel, entrez les commandes suivantes.
show security nat static rule test_ruleshow security nat source rule ipv4_ruleshow security nat source pool myipv4
Exemple : Définition du nombre maximal de liaisons NAT persistantes
Cet exemple montre comment augmenter la capacité NAT persistante.
Exigences
Avant de commencer, reportez-vous à la section Présentation du NAT persistant et de NAT64.
Aperçu
Dans cet exemple, vous activez l’option Maximiser la capacité NAT persistante. Cette option n’est prise en charge que sur les cartes de traitement des services (SPC) pour les équipements SRX1400 avec SRX1K-NPC-SPC-1-10-40, Gamme SRX3000 avec SRX3K-SPC-1-10-40 et les équipements Gamme SRX5000 avec SRX5K-SPC-2-10-40SPC et SRX5K-SPC3. Notez que pour les équipements de la gamme SRX5000 avec SRX5K-SPC-2-10-40SPC et SPC3, le nombre de liaison NAT persistant est maximisé au détriment de la réduction du nombre maximal de sessions.
Pour activer cette option, la capacité maximale de liaison du point central prise en charge peut être augmentée à environ 1/8 de la capacité de session du point central jusqu’à 2 M, et la capacité maximale de liaison SPU prise en charge peut être augmentée à environ 1/4 de la capacité de chaque session SPU. En conséquence, la capacité de session de flux diminuera de 1/4 à la fois sur le CP et sur chacun des SPU.
Par défaut, la capacité de liaison NAT persistante sur le point central et l’USP d’un périphérique SRX5400, SRX5600 ou SRX5800 est de 64 000. Dans cet exemple, vous activez la capacité de session à un maximum de 20 000 000 sur le point central et à un maximum de 1 100 000 sur chacune des SPU avec une configuration de session maximale. Si vous activez cette maximize-persistent-nat-capacity option, un périphérique SRX5400, SRX5600 ou SRX5800 doté de 4 Go de mémoire peut prendre en charge un maximum de 2 millions de liaisons NAT persistantes sur le point central et 275 000 liaisons sur chacun des SPU.
Configuration
Procédure
Procédure étape par étape
Pour augmenter la capacité NAT persistante :
Définissez l’option de maximiser la capacité NAT persistante.
[edit] user@host# set security forwarding-process application-services maximize-persistent-nat-capacity
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Redémarrez le système à partir du mode opérationnel.
[edit] user@host# request system reboot
Lorsque vous passez en mode de capacité NAT persistante ou que vous revenez en mode normal, vous devez redémarrer l’appareil.
Si vous souhaitez repasser l’appareil en mode normal, supprimez la configuration du mode de maximisation de la capacité NAT persistante.
[edit] user@host# delete security forwarding-process application-services maximize-persistent-nat-capacity
Présentation de l’épingle à cheveux NAT persistante
Lorsque le trafic est envoyé entre deux hôtes, l’hôte source du trafic ne peut connaître l’hôte de destination que par son adresse IP publique. En réalité, l’hôte de destination peut se trouver dans le même espace d’adressage privé que l’hôte source. L’épingle à cheveux consiste à renvoyer le trafic dans la direction d’où il provient afin de l’acheminer vers son hôte de destination dans un sous-réseau privé.
En règle générale, un hôte source dans un sous-réseau peut ne pas reconnaître que le trafic est destiné à un hôte de destination dans le même sous-réseau, car il identifie l’hôte de destination uniquement par son adresse IP publique. Le NAT analyse les paquets IP et les renvoie au bon hôte.
La prise en charge de l’épinglage à cheveux NAT est requise si deux hôtes du réseau interne souhaitent communiquer entre eux à l’aide d’une liaison sur le périphérique NAT. Dans ce cas, l’équipement NAT reçoit un paquet du réseau interne et le transmet au réseau interne. Si l’épingle à cheveux n’est pas prise en charge, le transfert du paquet échouera et il sera abandonné.
L’épingle à cheveux permet à deux points de terminaison (hôte 1 et hôte 2) du réseau privé de communiquer, même s’ils n’utilisent que les adresses IP et les ports externes de l’autre. Lorsque l’hôte 1 envoie du trafic à l’hôte 3, une liaison NAT entre l’adresse IP source interne et le port de l’hôte 1 est associée dans la table NAT à son adresse IP externe et à son port. La même chose se produit lorsque l’hôte 2 envoie du trafic à l’hôte 3. De cette façon, lorsque l’hôte 1 et l’hôte 2 veulent communiquer, ils peuvent identifier les adresses IP externes de l’autre.
Par exemple, si l’hôte 1 communique avec l’hôte 2, NAT (avec prise en charge de l’épingle à cheveux) est utilisé pour acheminer les paquets, qui contiennent l’adresse externe de l’hôte 2, vers l’adresse interne de l’hôte 2.
à cheveux NAT persistante
Sur la figure 4, les paramètres suivants sont utilisés :
Adresse IP de l’hôte 1 -
10.10.10.2/24Adresse IP de l’hôte 2 -
10.10.10.10/24Adresse IP intra-zone -
10.10.10.254/24Adresse IP de l’hôte 3 -
198.51.100.2/24Adresse IP interzone -
198.51.100.254/24L’hôte 1 et l’hôte 2 sont dans la zone
reht0z, et l’hôte 3 est dansreth1zla zone
Le Tableau 3 présente la table de liaison utilisée dans cet exemple.
Adresse IP source d’origine |
Adresse IP source traduite |
|---|---|
10.10.10.2/24 au 10.10.10.11/24 |
192.0.2.1/32 à 192.0.2.10/32 |
L’épingle à cheveux NAT persistante s’applique uniquement à tout type de NAT persistant d’hôte distant. Pour autoriser l’épingle à cheveux, vous devez configurer une stratégie de sécurité afin d’autoriser le trafic entre les points de terminaison de la même zone. En fait, les deux points de terminaison peuvent être situés dans deux zones différentes, à condition que l’un des deux hôtes ne puisse voir que l’adresse publique de l’homologue. Le comportement d’épingle à cheveux NAT n’est pas pris en charge par le NAT persistant de l’hôte cible et le NAT persistant du port de l’hôte cible. Seul le NAT persistant de l’hôte distant prend en charge le comportement d’épingle à cheveux.
Exemple : configuration de l’épinglage à cheveux NAT persistant avec le pool NAT source avec décalage d’adresse
Cet exemple montre comment configurer l’épingle à cheveux NAT persistante.
Exigences
Avant de commencer :
Configurez les interfaces réseau sur l’équipement. Reportez-vous au Guide de l’utilisateur des interfaces pour les équipements de sécurité.
Créez des zones de sécurité et attribuez-leur des interfaces. Reportez-vous à la section Présentation des zones de sécurité.
Aperçu
L’épingle à cheveux permet de traduire les paquets du réseau privé puis de les réinjecter dans le réseau privé plutôt que de les transmettre au réseau public. La fonction d’épingle à cheveux permet d’utiliser un enregistrement correspondant dans la table NAT pour reconnaître qu’un paquet est adressé à un hôte du réseau local. Ensuite, il traduit l’adresse IP de destination et renvoie le paquet au réseau local (ainsi qu’en cas de mappage de port). Cela garantit le bon fonctionnement du trafic entre les deux hôtes.
Topologie
L’épingle à cheveux permet à deux points de terminaison (hôte 1 et hôte 2) du réseau privé de communiquer, même s’ils n’utilisent que les adresses IP et les ports externes de l’autre. Ceci est expliqué à la Figure 5.
Lorsque l’hôte 1 envoie du trafic à l’hôte 3, une liaison NAT entre l’adresse IP source interne et le port de l’hôte 1 est associée dans la table NAT à son adresse IP externe et à son port. La même chose se produit lorsque l’hôte 2 envoie du trafic à l’hôte 3. De cette façon, lorsque l’hôte 1 et l’hôte 2 veulent communiquer, ils peuvent identifier les adresses IP externes de l’autre.
Par exemple, si l’hôte 1 communique avec l’hôte 2, NAT (avec prise en charge de l’épingle à cheveux) est utilisé pour acheminer les paquets, qui contiennent l’adresse externe de l’hôte 2, vers l’adresse interne de l’hôte 2.
à cheveux NAT persistante
Sur la figure 5, les paramètres suivants sont utilisés :
Adresse IP de l’hôte 1 -
10.10.10.2/24Adresse IP de l’hôte 2 -
10.10.10.10/24Adresse IP intra-zone -
10.10.10.254/24Adresse IP de l’hôte 3 -
198.51.100.2/24Adresse IP interzone -
198.51.100.254/24L’hôte 1 et l’hôte 2 sont dans la zone
reht0z, et l’hôte 3 est dansreth1zla zone
Le tableau 4 présente la table de liaison utilisée dans cet exemple.
Adresse IP source d’origine |
Adresse IP source traduite |
|---|---|
10.10.10.2/24 au 10.10.10.11/24 |
192.0.2.1/32 à 192.0.2.10/32 |
Configuration
Procédure
Procédure étape par étape
Pour configurer l’épingle à cheveux NAT persistante :
Configurez les interfaces.
[edit] user@host# set interfaces ge-11/0/0 unit 0 family inet address 10.10.10.254/24 user@host# set interfaces ge-11/0/1 unit 0 family inet address 198.51.100.254/24
Créez des zones (reth0z et reth1z).
[edit] user@host# set security zones security-zone reth0z host-inbound-traffic system-services all user@host# set security zones security-zone reth0z host-inbound-traffic protocols all user@host# set security zones security-zone reth0z interfaces ge-11/0/0.0 user@host# set security zones security-zone reth1z host-inbound-traffic system-services all user@host# set security zones security-zone reth1z host-inbound-traffic protocols all user@host# set security zones security-zone reth1z interfaces ge-11/0/1.0
Créez des politiques pour les zones reth0z et reth1z.
[edit] user@host# set security address-book global address subnet10 10.10.10.0/24 user@host# set security address-book global address subnet20 198.51.100.0/24 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match source-address subnet10 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match destination-address subnet20 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match application any user@host# set security policies from-zone reth0z to-zone reth1z policy p1 then permit user@host# set security policies default-policy deny-all
Ajout d’une stratégie de même zone pour effectuer une épingle à cheveux NAT persistante.
user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match source-address subnet10 user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match destination-address subnet10 user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match application any user@host# set security policies from-zone reth0z to-zone reth0z policy p2 then permit
Créez un pool NAT source pour l’hôte 1 et l’hôte 2 (src1).
[edit] user@host# set security nat source pool src1 address 192.0.2.1/32 to 192.0.2.10/32
Spécifiez le début de la plage d’adresses IP source d’origine pour l’hôte 1 et l’hôte 2 (src1).
[edit] user@host# set security nat source pool src1 host-address-base 10.10.10.2/24
Configurez l’ensemble de règles NAT source r1.
[edit] user@host# set security nat source rule-set r1 from zone reth0z user@host# set security nat source rule-set r1 to zone reth1z user@host# set security nat source rule-set r1 to zone reth0z user@host# set security nat source rule-set r1 rule rule1 match source-address 10.10.10.0/24 user@host# set security nat source rule-set r1 rule rule1 match destination-address 10.10.10.0/24 user@host# set security nat source rule-set r1 rule rule1 match destination-address 198.51.100.0/24 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool src1 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat permit any-remote-host user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat inactivity-timeout 900 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat max-session-number 20
Résultats
En mode configuration, entrez la show security nat commande pour confirmer votre configuration. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool src1 {
address {
192.0.2.1/32 to 192.0.2.10/32;
}
host-address-base 10.10.10.2/24;
}
rule-set r1 {
from zone reth0z;
to zone [ reth0z reth1z ];
rule rule1 {
match {
source-address 10.10.10.0/24;
destination-address [10.10.10.0/24 198.51.100.0/24];
}
then {
source-nat {
pool {
src1;
persistent-nat {
permit any-remote-host;
inactivity-timeout 900;
max-session-number 20;
}
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
- Trafic envoyé entre les hôtes Création de la liaison 1
- Trafic envoyé entre les hôtes Création de la liaison 2
- Trafic envoyé entre deux hôtes
Trafic envoyé entre les hôtes Création de la liaison 1
But
Vérifiez le trafic envoyé entre les hôtes (hôte 1 et hôte 3) en créant la liaison 1.
Action
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.2 -id 198.51.100.2 -p udp -us 69 -ud 69 198.51.100.2
Source-IP: 10.10.10.2
Source-port: 69
Dst-IP: 198.51.100.2
Dst-port: 69
Binding1 is below:
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source
In_IP In_Port Ref_IP Ref_Port NAT Pool Conf_time Max_Sess_Num NAT Rule
10.10.10.2 69 192.0.2.1 69 src1 any-remote-host -/900 1/20 rule1
Trafic envoyé entre les hôtes Création de la liaison 2
But
Vérifiez le trafic envoyé entre les hôtes (hôte 2 et hôte 3) en créant la liaison 2.
Action
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.10 -id 198.51.100.2 -p udp -us 69 -ud 69 198.51.100.2
Source-IP: 10.10.10.10
Source-port: 69
Dst-IP: 198.51.100.2
Dst-port: 69
Binding2 is below:
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source
In_IP In_Port Ref_IP Ref_Port NAT Pool Conf_time Max_Sess_Num NAT Rule
10.10.10.2 69 192.0.2.1 69 src1 any-remote-host -/900 1/20 rule1
10.10.10.10 69 192.0.2.9 69 src1 any-remote-host -/900 1/20 rule1
Trafic envoyé entre deux hôtes
But
Vérifiez le trafic envoyé de l’hôte 1 à l’hôte 2 :
Action
user@host>show security flow session
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.2 -id 192.0.2.9 -p udp -us 69 -ud 69 192.0.2.9
Session ID: 100007628, Policy name: default-policy/2, Timeout: 52, Valid
In: 10.10.10.2/69 --> 192.0.2.9/69;udp, If: ge-0/0/0.0, Pkts: 2, Bytes: 112
Out: 10.10.10.10/69 --> 192.0.2.1/69;udp, If: ge-0/0/0.0, Pkts: 0, Bytes: 0
Total sessions: 1
Comportement de prise en charge de la liaison NAT persistante spécifique à la plate-forme
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.
Utilisez le tableau suivant pour passer en revue les comportements spécifiques à votre plateforme :
| La différence de | la plate-forme |
|---|---|
| SRX Series |
|