SUR CETTE PAGE
Comprendre le protocole Session Traversal Services publics for NAT (STUN)
Comprendre le préfixe NAT64 IPv6 en traduction persistante d’adresse IPv4
Exemple : Configuration de pools NAT64 permanents d’adresses
Exemple : configuration du filtrage dépendant des adresses pour les clients IPv6
Exemple : configuration du filtrage indépendant du point de terminaison pour les clients IPv6
Comportement de prise en charge de la liaison NAT persistante spécifique à la plate-forme
NAT persistant et NAT64
Les traducteurs d’adresses réseau (NAT) sont bien connus pour causer des problèmes très importants avec les applications qui transportent des adresses IP dans la charge utile. Les applications qui souffrent de ce problème incluent la VoIP et le multimédia sur IP. La NAT persistante améliore le comportement des NAT et définit un ensemble de comportements d’exigence NAT qui sont utiles pour le fonctionnement des applications VOIP. NAT64 est un mécanisme de traduction utilisé pour traduire des paquets IPv6 en paquets IPv4 et vice versa en traduisant les en-têtes de paquets selon l’algorithme de traduction IP/ICMP.
Comprendre les NAT persistants et NAT64
Le NAT persistant permet aux applications d’utiliser le protocole STUN (Session Traversal Services publics for NAT) lorsqu’elles passent par des pare-feu NAT. La NAT persistante garantit que toutes les requêtes provenant de la même adresse de transport interne (adresse IP et port internes) sont mappées à la même adresse de transport réflexive (l’adresse IP publique et le port créés par l’appareil NAT le plus proche du serveur STUN).
NAT64 est un mécanisme de traduction de paquets IPv6 en paquets IPv4 et vice versa qui permet aux clients IPv6 de contacter des serveurs IPv4 à l’aide d’UDP, TCP ou ICMP unicast. Il s’agit d’une amélioration de la traduction des adresses réseau (NAT-PT).
NAT64 prend en charge les éléments suivants :
-
Mappages indépendants des points de terminaison
-
Filtrage indépendant du point de terminaison et filtrage dépendant des adresses
Les comportements de mappage et de filtrage du NAT64 et du NAT persistant sont identiques.
Les types de NAT persistants suivants peuvent être configurés sur le périphérique Juniper Networks :
-
Any remote host : toutes les requêtes provenant d’une adresse IP et d’un port internes spécifiques sont mappées à la même adresse de transport réflexive. N’importe quel hôte externe peut envoyer un paquet à l’hôte interne en envoyant le paquet à l’adresse de transport réflexive.
-
Hôte cible : toutes les demandes provenant d’une adresse IP et d’un port internes spécifiques sont mappées à la même adresse de transport réflexe. Un hôte externe peut envoyer un paquet à un hôte interne en envoyant le paquet à l’adresse de transport réflexe. L’hôte interne doit avoir précédemment envoyé un paquet à l’adresse IP de l’hôte externe.
-
Port hôte cible : toutes les requêtes provenant d’une adresse IP interne et d’un port spécifiques sont mappées à la même adresse de transport réflexive. Un hôte externe peut envoyer un paquet à un hôte interne en envoyant le paquet à l’adresse de transport réflexe. L’hôte interne doit avoir précédemment envoyé un paquet à l’adresse IP et au port de l’hôte externe.
La configuration hôte-cible n’est pas prise en charge pour NAT64 lorsqu’il est configuré avec une adresse IPv6.
Vous pouvez configurer l’un des types de NAT persistants avec des règles de NAT source. L’action de la règle NAT source peut utiliser un pool de NAT source (avec ou sans translation de ports) ou une interface de sortie. Le NAT persistant ne s’applique pas au NAT de destination, car les liaisons NAT persistantes sont basées sur les sessions sortantes de l’interne vers l’externe.
La surcharge de ports est utilisée dans Junos OS uniquement pour le trafic NAT normal des interfaces. Le NAT persistant ne prend pas en charge la surcharge de ports et vous devez le désactiver explicitement à l’aide de l’une des options suivantes au niveau de la hiérarchie [edit security nat source] :
-
surcharge de ports désactivée
-
facteur de surcharge de ports 1
Pour configurer des stratégies de sécurité afin d’autoriser ou de refuser le trafic NAT persistant, vous pouvez utiliser deux nouveaux servicesjunos-stun prédéfinis : junos-persistent-nat.
Le NAT persistant est différent de la fonctionnalité d’adresse persistante (voir Présentation des adresses persistantes pour les pools NAT source). La fonctionnalité d’adresse persistante s’applique aux mappages d’adresses pour les pools NAT sources configurés sur l’appareil. La fonctionnalité de NAT persistante s’applique aux mappages d’adresses sur un périphérique NAT externe et est configurée pour un pool NAT source ou une interface de sortie spécifique. De plus, le NAT persistant est destiné à être utilisé avec les applications client/serveur STUN.
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques.
Consultez la section Comportement de prise en charge de la liaison NAT persistante spécifique à la plate-forme pour les notes relatives à votre plate-forme.
Comprendre le protocole Session Traversal Services publics for NAT (STUN)
De nombreuses applications vidéo et vocales ne fonctionnent pas correctement dans un environnement NAT. Par exemple, le protocole SIP (Session Initiation Protocol), utilisé avec la VoIP, code les adresses IP et les numéros de port dans les données d’application. Si un pare-feu NAT existe entre le demandeur et le destinataire, la traduction de l’adresse IP et du numéro de port dans les données invalide les informations.
De plus, un pare-feu NAT ne maintient pas de sténopé pour les messages SIP entrants. Cela oblige l’application SIP à actualiser constamment le sténopé avec les messages SIP ou à utiliser un ALG pour suivre l’enregistrement, une fonction qui peut ou non être prise en charge par le périphérique de passerelle.
Le protocole STUN (Session Traversal Services publics for NAT), défini pour la première fois dans la RFC 3489, Simple Traversal of User Datagram Protocol (UDP) through Network Address Translators (NATs), puis plus tard dans RFC 5389, Session Traversal Services publics for NAT, est un protocole client/serveur simple. Un client STUN envoie des requêtes à un serveur STUN, qui renvoie des réponses au client. Un client STUN fait généralement partie d’une application qui nécessite une adresse IP et/ou un port public. Les clients STUN peuvent résider dans un système final tel qu’un PC ou dans un serveur réseau, tandis que les serveurs STUN sont généralement connectés à l’Internet public.
Le client STUN et le serveur STUN doivent être fournis par l’application. Juniper Networks ne fournit ni client ni serveur STUN.
Le protocole STUN permet à un client de :
Découvrez si l’application se trouve derrière un pare-feu NAT.
Déterminez le type de liaison NAT utilisé.
Apprenez l’adresse de transport réflexive, qui est l’adresse IP et la liaison de port attribuées par le périphérique NAT le plus proche du serveur STUN. (Il peut y avoir plusieurs niveaux de NAT entre le client STUN et le serveur STUN.)
L’application cliente peut utiliser les informations de liaison d’adresse IP dans des protocoles tels que SIP et H.323.
Comprendre le préfixe NAT64 IPv6 en traduction persistante d’adresse IPv4
Le mécanisme NAT64 permet aux clients IPv6 de contacter les serveurs IPv4 en traduisant les adresses IPv6 en adresses IPv4 (et vice versa). Cependant, certaines applications et services IPv4 ne peuvent pas fonctionner correctement sur des réseaux IPv6 uniquement avec NAT64 standard dans un scénario de double traduction, tels que 464XLAT. Dans ces scénarios, une traduction d’adresse persistante est requise.
La figure 1 illustre l’architecture 464XLAT, dans laquelle les paquets IPv4 sont traduits en paquets IPv6 sur le traducteur côté client (CLAT), puis traversent le réseau IPv6 uniquement et sont reconvertis en paquets IPv4 sur le traducteur côté fournisseur (PLAT) pour accéder au contenu IPv4 global dans le réseau central. Cette architecture utilise une combinaison de traduction sans état sur le CLAT et de traduction avec état sur le PLAT.
464XLAT
Lorsqu’un équipement fonctionne comme un PLAT, il est chargé de conserver la relation de mappage rémanent entre un préfixe IPv6 spécifique et une adresse IPv4 traduite. L’appareil traite le préfixe IPv6 comme un utilisateur unique. Pour ce faire, configurez la longueur du préfixe IPv6 spécifique dans un pool de NAT source IPv4 à l’aide de cette address-persistent fonctionnalité.
La figure 2 illustre une règle NAT configurée dans le CLAT, qui traduit une adresse IPv4 en une adresse IPv6 avec un préfixe d’adresse persistant. Avec la traduction NAT46 sans état sur le CLAT et la traduction NAT64 avec état sur le PLAT, le trafic de l’hôte IPv4 192.168.1.2 atteint le serveur global 198.51.100.1 sur un réseau compatible IPv6 uniquement.
Le Tableau 1 répertorie les autres fonctionnalités NAT et leur compatibilité avec la fonctionnalité d’adresse persistante.
| Fonctionnalité |
Compatibilité |
||
|---|---|---|---|
| Pools PAT |
IPv4 |
NAT IPv4 à IPv6 |
Non |
| NAT IPv6 à IPv4 |
Oui |
||
| IPv6 |
NAT IPv4 à IPv6 |
Non |
|
| NAT IPv6 à IPv4 |
Non |
||
| Pools sans PAT |
Non |
||
| Surcharge de ports |
Oui |
||
| NAT persistante dans le pool PAT |
Oui |
||
| Attribution du bloc de ports |
Oui |
||
| NAT déterministe |
Non |
||
| Regroupement d’adresses apparié |
Non |
||
| ALG (Traductions ALG NAT existantes, telles que FTP/PPTP/RTSP/DNS/SIP à partir de clients IPv6 natifs.) |
Oui |
||
Présentation de la configuration NAT64 et NAT persistante
Pour configurer un NAT persistant, spécifiez les options suivantes avec l’action de règle NAT source (pour un pool NAT source ou une interface de sortie) :
Type de NAT persistant : l’un des éléments suivants : tout hôte distant, hôte cible ou port hôte cible.
(Facultatif) Mappage d’adresses : cette option permet de mapper les demandes d’une adresse IP interne spécifique à la même adresse IP réflexive ; Les ports internes et réflexifs peuvent être n’importe quel port. Un hôte externe utilisant n’importe quel port peut envoyer un paquet à l’hôte interne en envoyant le paquet à l’adresse IP réflexive (avec une stratégie entrante configurée qui autorise le trafic externe à interne). Si cette option n’est pas configurée, la liaison NAT persistante concerne des adresses de transport internes et réflexives spécifiques.
Vous ne pouvez spécifier l’option
address-mappingque lorsque le type de NAT persistant est un hôte distant et que l’action de la règle NAT source est l’une des actions suivantes :Pool de NAT source avec décalage d’adresse IP
Pool de NAT source sans translation de port ni pool de débordement
(Facultatif) Délai d’inactivité : durée, en secondes, pendant laquelle la liaison NAT persistante reste dans la mémoire du périphérique lorsque toutes les sessions de l’entrée de liaison ont expiré. Lorsque le délai d’expiration configuré est atteint, la liaison est supprimée de la mémoire. La valeur par défaut est de 300 secondes. Configurez une valeur de 60 à 7200 secondes.
Lorsque toutes les sessions d’une liaison NAT persistante ont expiré, la liaison reste à l’état de requête dans la mémoire de l’appareil pendant la période d’inactivité spécifiée. La liaison de requête est automatiquement supprimée de la mémoire à l’expiration du délai d’inactivité (la valeur par défaut est de 300 secondes). Vous pouvez supprimer explicitement toutes les liaisons de requêtes NAT persistantes ou certaines d’entre elles à l’aide de la
clear security nat source persistent-nat-tablecommande.(Facultatif) Nombre maximal de sessions : nombre maximal de sessions auxquelles une liaison NAT persistante peut être associée. La valeur par défaut est de 30 sessions. Configurez une valeur comprise entre 8 et 100.
Pour le NAT d’interface, vous devez désactiver explicitement la surcharge de ports à l’aide de l’une des options suivantes au niveau de la hiérarchie [edit security nat source] :
surcharge de ports désactivée
facteur de surcharge de ports 1
Enfin, vous pouvez utiliser deux services prédéfinis dans les stratégies de sécurité pour autoriser ou refuser le trafic STUN et NAT persistant :
junos-stun: trafic du protocole STUN.junos-persistent-nat: trafic NAT persistant.
junos-persistent-nat à la fin de votre séquence de stratégies de sécurité. Vous pouvez également vérifier qu’aucune stratégie ultérieure ne correspond au trafic NAT persistant en dessous de la
junos-persistent-nat stratégie.
Pour tout type de NAT persistante d’hôte distant, d’hôte cible ou de port hôte cible, la direction de la stratégie de sécurité est interne vers externe.
Exemple : Configuration de pools NAT64 permanents d’adresses
Cet exemple montre comment configurer des pools NAT64 persistants d’adresses pour garantir une relation de mappage persistante entre un préfixe IPv6 spécifique, calculé par la longueur du préfixe IPv6 configuré, et une adresse IPv4 traduite.
Exigences
Avant de commencer, assurez-vous que les règles NAT existantes et la configuration du pool n’entrent pas en conflit avec la nouvelle.
Vue d’ensemble
Dans cet exemple, vous configurez une longueur de préfixe IPv6 /64 dans un pool de NAT source IPv4 pour NAT des conversions IPv6 en IPv4. Le trafic correspondant à la règle NAT et au pool NAT effectue une traduction persistante d’adresse entre le préfixe IPv6 et l’adresse IPv4 traduite. Cette configuration peut être utilisée sur le traducteur côté fournisseur (PLAT) dans un scénario à double traduction, 464XLAT, pour permettre aux services IPv4 de fonctionner sur des réseaux IPv6 uniquement.
La configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security nat source pool NAT64 address 198.51.100.240/32 to 198.51.100.254/32 set security nat source pool NAT64 address-persistent subscriber ipv6-prefix-length 64 set security nat source rule-set RS1 from zone trust set security nat source rule-set RS1 to zone untrust set security nat source rule-set RS1 rule R1 match source-address 2001:db8::/32 set security nat source rule-set RS1 rule R1 match destination-address 198.51.100.198/32 set security nat source rule-set RS1 rule R1 then source-nat pool NAT64
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à travers différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Créez un pool NAT source.
[edit security nat source] user@host# set pool NAT64 address 198.51.100.240/32 to 198.51.100.254/32
Spécifiez la longueur du préfixe IPv6 pour le pool NAT source.
[edit security nat source] user@host# set pool NAT64 address-persistent subscriber ipv6-prefix-length 64
Créez un ensemble de règles.
[edit security nat source] user@host# set rule-set RS1 from zone trust user@host# set rule-set RS1 to zone untrust
Respectez la règle.
[edit security nat source] user@host# set rule-set RS1 rule R1 match source-address 2001:db8::/32 user@host# set rule-set RS1 rule R1 match destination-address 198.51.100.198/32
Indiquez l’action à effectuer lorsque la règle correspond.
[edit security nat source] user@host# set security nat source rule-set RS1 rule R1 then source-nat pool NAT64
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool NAT64 {
address {
198.51.100.240/32 to 198.51.100.254/32;
}
address-persistent subscriber ipv6-prefix-length 64;
}
rule-set RS1 {
from zone trust;
to zone untrust;
rule R1 {
match {
source-address 2001:db8::/32;
destination-address 198.51.100.198/32;
}
then {
source-nat {
pool {
NAT64;
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Vérification de l’application NAT pour le trafic
Objet
Vérifiez que le même préfixe IPv6 est traduit en adresse IPv4 persistante.
Mesures à prendre
À partir du mode opérationnel, entrez la show security flow session commande.
Exemple : Prise en charge de la configuration du réseau en configurant des NAT persistants avec des NAT d’interface
Vous pouvez configurer n’importe quel type de NAT persistant avec des règles de NAT source. Cet exemple illustre comment appliquer des NAT persistantes avec une adresse IP d’interface et comment utiliser une adresse IP d’interface comme adresse IP NAT pour effectuer des NAT persistantes pour un hôte interne spécifique. Il montre également comment conserver un comportement de mappage de port d’adresse persistant et un comportement de filtre NAT persistant pour l’hôte. Vous devez désactiver la surcharge de ports pour le NAT d’interface.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
1 pare-feu
4 PC
Avant de commencer :
Comprendre les concepts de la NAT persistante. Voir Vue d’ensemble de la configuration NAT persistante et NAT64.
Vue d’ensemble
Dans un déploiement de réseau Carrier Grade NAT (CGN), vous pouvez configurer l’adresse IP de l’interface en tant qu’adresse NAT pour effectuer une traduction d’adresse réseau persistante. De cette façon, l’hôte interne peut créer une relation de mappage NAT source par le trafic sortant initié de l’interne vers l’externe. Ensuite, l’hôte externe renvoie le trafic à cet hôte interne en renvoyant le trafic à cette adresse NAT d’interface via la relation de mappage NAT partagée.
Dans cet exemple, vous configurez d’abord l’interface NAT l’ensemble de règles int1 pour qu’il corresponde au trafic de l’interface ge-0/0/1 à l’interface ge-0/0/2, puis vous configurez la règle NAT in1 pour qu’elle corresponde aux adresses source et de destination spécifiques afin d’effectuer une NAT persistante. Vous configurez le type de NAT persistant lors de l’NAT any remote host de l’interface.
Pour les paquets avec l’adresse source 192.0.2.0/24 (téléphones internes) et l’adresse de destination 198.51.100.0/24 (y compris le serveur STUN , le serveur proxy SIP et les téléphones externes), vous configurez les NAT d’interface avec le any remote host type de NAT persistant. Ensuite, vous désactivez la surcharge de ports pour le NAT d’interface.
Ensuite, vous configurez une stratégie de sécurité pour autoriser le trafic NAT persistant du réseau externe (zone externe) vers le réseau interne (zone interne) pour tous les types de NAT persistants de l’hôte distant.
Topologie
La figure 3 montre une topologie NAT persistante d’interface.
NAT persistante de l’interface
Le Tableau 2 présente les paramètres configurés dans cet exemple.
Paramètre |
Descriptif |
|---|---|
Zone externe |
Réseau externe |
Zone interne |
Réseau interne |
External_phones2 |
Adresse de téléphone2 du réseau externe |
Internal_phone1 |
Adresse de téléphone1 du réseau interne |
SIP_proxy serveur |
Adresse du serveur proxy SIP du réseau externe |
Serveur STUN |
Adresse du serveur STUN du réseau externe |
Sous-réseau 198.51.100.1/32 |
Adresse IP de destination |
Sous-réseau 192.0.2.2/32 |
Adresse IP source |
GE-0/0/1 et GE-0/0/2 |
Interfaces NAT pour le sens du trafic |
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security nat source rule-set int1 from interface ge-0/0/1.0 set security nat source rule-set int1 to interface ge-0/0/2.0 set security nat source rule-set int1 rule in1 match source-address 192.0.2.0/24 set security nat source rule-set int1 rule in1 match destination-address 198.51.100.0/24 set security nat source rule-set int1 rule in1 then source-nat interface persistent-nat permit any-remote-host set security nat source interface port-overloading off set security policies from-zone internal to-zone external policy stun_traffic match source-address internal_phones destination-address stun_server application junos-stun set security policies from-zone internal to-zone external policy sip_proxy_traffic match source-address internal_phones destination-address sip_proxy_server application junos-sip set security policies from-zone internal to-zone external policy sip_traffic match source-address internal_phones destination-address external_phones application junos-persistent-nat set security policies from-zone internal to-zone external policy sip_traffic then permit set security policies from-zone internal to-zone external policy stun_traffic then permit set security policies from-zone internal to-zone external policy sip_proxy_traffic then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode Configuration dans le Guide de l’utilisateur de la CLI.
Pour configurer un ensemble de règles NAT d’interface :
Créez une règle NAT persistante pour une interface NAT.
[edit security nat source rule-set int1] user@host# set from interface ge-0/0/1.0 user@host# set to interface ge-0/0/2.0 user@host# set rule in1 match source-address 192.0.2.0/24 user@host# set rule in1 match destination-address 198.51.100.0/24 user@host# set rule in1 then source-nat interface persistent-nat permit any-remote-host
Désactivez la surcharge de ports pour le NAT d’interface.
[edit security] user@host# set nat source interface port-overloading off
Configurez une stratégie de sécurité pour autoriser le trafic STUN des téléphones SIP internes vers un serveur STUN externe.
[edit security policies] user@host# set from-zone internal to-zone external policy stun_traffic match source-address internal_phones destination-address stun_server application junos-stun
Configurez une stratégie de sécurité pour autoriser le trafic proxy SIP des téléphones SIP internes vers un serveur proxy SIP externe.
[edit security policies] user@host# set from-zone internal to-zone external policy sip_proxy_traffic match source-address internal_phones destination-address sip_proxy_server application junos-sip
Configurez une stratégie de sécurité pour autoriser le trafic SIP des téléphones SIP externes vers les téléphones SIP internes.
[edit security policies] user@host# set from-zone internal to-zone external policy sip_traffic match source-address internal_phones destination-address external_phones application junos-persistent-nat user@host# set from-zone internal to-zone external policy sip_traffic then permit user@host#set from-zone internal to-zone external policy stun_traffic then permit user@host#set from-zone internal to-zone external policy sip_proxy_traffic then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show security nat commandes and show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@host# show security nat
source {
interface {
port-overloading off;
}
rule-set int1 {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule in1 {
match {
source-address 192.0.2.0/24;
destination-address 198.51.100.0/24;
}
then {
source-nat {
interface {
persistent-nat {
permit any-remote-host;
}
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone internal to-zone external {
policy stun_traffic {
match {
source-address internal_phones;
destination-address stun_server;
application junos-stun;
}
then {
permit;
}
}
policy sip_proxy_traffic {
match {
source-address internal_phones;
destination-address sip_proxy_server;
application junos-sip;
}
then {
permit;
}
}
policy sip_traffic {
match {
source-address internal_phones;
destination-address external_phones;
application junos-persistent-nat;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de la mise en correspondance et de l’utilisation des règles
- Vérification de l’établissement des sessions de trafic NAT
Vérification de la mise en correspondance et de l’utilisation des règles
Objet
Vérifiez que toutes les règles sont mises en correspondance et utilisées.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat source persistent-nat-table all commande.
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/Curr_Sess_Num/ Source
In_IP In_Port I_Proto Ref_IP Ref_Port R_Proto NAT Pool Conf_time Max_Sess_Num NAT Rule
192.0.2.12 17012 udp 198.51.100.1 28153 udp interface any-remote-host 3528/3600 -/- in1
192.0.2.12 7078 udp 198.51.100.1 6133 udp interface any-remote-host -/300 1/30 in1
Signification
La sortie affiche un résumé des informations NAT persistantes.
Vérification de l’établissement des sessions de trafic NAT
Objet
Vérifiez que les sessions sont établies sur l’appareil.
Mesures à prendre
À partir du mode opérationnel, entrez la show security flow session commande.
user@host>show security flow session Session ID: 6992, Policy name: sip_proxy_traffic/5, Timeout: 16, Valid In: 192.0.2.12/17012 --> 198.51.100.45/5060;udp, If: ge-0/0/1.0, Pkts: 4, Bytes: 1850 Out: 198.51.100.45/5060 --> 198.51.100.1/28153;udp, If: ge-0/0/2.0, Pkts: 5, Bytes: 2258 Session ID: 7382, Policy name: stun_traffic/4, Timeout: 16, Valid In: 192.0.2.12/7078 --> 198.51.100.49/3478;udp, If: ge-0/0/1.0, Pkts: 20, Bytes: 1040 Out: 198.51.100.49/3478 --> 198.51.100.1/6133;udp, If: ge-0/0/2.0, Pkts: 0, Bytes: 0
Signification
La show security flow session commande affiche les sessions actives sur l’appareil et la stratégie de sécurité associée à chaque session. La sortie montre le trafic entrant dans l’appareil à l’aide de l’adresse source privée 192.0.2.12 destiné à un hôte public à 198.51.100.45. Le trafic de retour de ce flux est acheminé vers l’adresse publique traduite 198.51.100.1.
Session ID: numéro identifiant la session. Utilisez cet ID pour obtenir plus d’informations sur la session, comme le nom de la stratégie ou le nombre de paquets entrants et sortants.
sip_proxy_traffic— Nom de la stratégie qui autorisait le trafic SIP des téléphones SIP internes vers le serveur proxy SIP externe.
In: flux entrant (adresses IP source et de destination avec leurs numéros de port source et de destination respectifs. La session est UDP, et l’interface source de cette session est ge-0/0/1.0).
Out: flux inverse (adresses IP source et de destination avec leurs numéros de port source et de destination respectifs. La session est UDP et l’interface de destination de cette session est ge-0/0/2.0).
stun_traffic: nom de stratégie qui autorisait le trafic STUN des téléphones SIP internes vers le serveur STUN externe.
Exemple : configuration du filtrage dépendant des adresses pour les clients IPv6
Cet exemple montre comment configurer le filtrage dépendant de l’adresse pour les clients IPv6 à l’aide de NAT64.
Exigences
Avant de commencer :
Assurez-vous qu’IPv6 est activé sur l’appareil.
Assurez-vous que la règle NAT existante et la configuration du pool n’entrent pas en conflit avec les nouvelles.
Vue d’ensemble
Dans cet exemple, vous utilisez NAT64 pour envoyer des paquets de l’hôte interne IPv6 à l’hôte externe IPv4 et de l’hôte externe IPv4 à l’hôte interne IPv4.
Topologie
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::/128 set security nat static rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit target-host
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Pour configurer le filtrage dépendant des adresses pour les clients IPv6 :
Créez un ensemble de règles pour NAT64.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Respectez la règle.
[edit security nat static] user@host# set rule-set test_rs rule test_rule match destination-address 2001:db8::/128
Indiquez l’action à effectuer lorsque la règle correspond.
[edit security nat static] user@host# set rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32
Définissez un pool d’adresses source et ajoutez-le au pool.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2
Créez un autre ensemble de règles pour NAT64.
[edit security nat] user@host# set source rule-set myipv4_rs from interface ge-0/0/1
Faites correspondre la règle avec l’adresse source.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96
Faites correspondre la règle avec l’adresse de destination.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15
Indiquez l’action à effectuer lorsque les règles correspondent.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Configurez la NAT persistante.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit target-host
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show nat source commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit security]
user@host#show nat source
pool myipv4 {
address {
203.0.113.2/32;
}
}
rule-set test_rs {
rule test_rule {
match {
destination-address 2001:db8::/128;
}
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
persistent-nat {
permit target-host;
}
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Confirmez que la configuration fonctionne correctement :
- Vérifier que la configuration est activée et fonctionne
- Vérification de la mise en correspondance et de l’utilisation des règles
Vérifier que la configuration est activée et fonctionne
Objet
Vérifiez que la configuration est activée et fonctionne.
Mesures à prendre
À partir du mode opérationnel, entrez les commandes suivantes :
show security nat static rule test_ruleshow security nat source rule ipv4_ruleshow security nat source pool myipv4
Vérification de la mise en correspondance et de l’utilisation des règles
Objet
Vérifiez que toutes les règles sont mises en correspondance et utilisées.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat source persistent-nat-table all commande.
Exemple : configuration du filtrage indépendant du point de terminaison pour les clients IPv6
Cet exemple montre comment configurer le filtrage indépendant du point de terminaison pour les clients IPv6 à l’aide de NAT64.
Exigences
Avant de commencer :
Assurez-vous qu’IPv6 est activé sur l’appareil
Assurez-vous que les règles NAT existantes et la configuration du pool n’entrent pas en conflit avec les nouvelles.
Vue d’ensemble
Dans cet exemple, vous utilisez NAT64 pour envoyer des paquets de l’hôte interne IPv6 à l’hôte externe IPv4 et de l’hôte externe IPv4 à l’hôte interne IPv4.
Topologie
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security nat static rule-set test_rs from interface ge-0/0/1 set security nat static rule-set test_rs rule test_rule match destination-address 2001:db8::/128 set security nat static rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32 set security nat source pool myipv4 address 203.0.113.2 set security nat source rule-set myipv4_rs from interface ge-0/0/1 set security nat source rule-set myipv4_rs to interface ge-0/0/2 set security nat source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96 set security nat source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4 set security nat source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit any-remote-host
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
Pour configurer le filtrage indépendant du point de terminaison pour les clients IPv6 :
Créez un ensemble de règles pour NAT64.
[edit security nat static] user@host# set rule-set test_rs from interface ge-0/0/1
Respectez la règle.
[edit security nat static] user@host# set rule-set test_rs rule test_rule match destination-address 2001:db8::/128
Indiquez l’action à effectuer lorsque la règle correspond.
[edit security nat static] user@host# set rule-set test_rs rule test_rule then static-nat prefix 10.2.2.15/32
Définissez un pool d’adresses source et ajoutez-le au pool.
[edit security nat] user@host# set source pool myipv4 address 203.0.113.2
Créez un autre ensemble de règles pour NAT64.
[edit security nat] user@host# set source rule-set myipv4_rs from interface ge-0/0/1
Faites correspondre la règle avec l’adresse source.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match source-address 2001:db8::/96
Faites correspondre la règle avec l’adresse de destination.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule match destination-address 10.2.2.15
Indiquez l’action à effectuer lorsque les règles correspondent.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool myipv4
Configurez la NAT persistante.
[edit security nat] user@host# set source rule-set myipv4_rs rule ipv4_rule then source-nat pool persistent-nat permit any-remote-host
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit security]
user@host#show security nat
source {
pool myipv6_prefix {
address {
2001:db8::/64;
}
}
pool myipv4 {
address {
203.0.113.2/32;
}
}
rule-set myipv6_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv6_rule {
match {
source-address 10.1.1.0/30;
destination-address 2001:db8::2/96;
}
then {
source-nat {
pool {
myipv6_prefix;
}
}
}
}
}
rule-set myipv4_rs {
from interface ge-0/0/1.0;
to interface ge-0/0/2.0;
rule ipv4_rule {
match {
source-address 2001:db8::/96;
destination-address 10.2.2.15/32;
}
then {
source-nat {
pool {
myipv4;
persistent-nat {
permit target-host;
}
}
}
}
}
}
}
static {
rule-set test_rs {
from interface ge-0/0/1.0;
rule test_rule {
match {
destination-address 2001:db8::/128;
}
then {
static-nat {
prefix {
10.2.2.15/32;
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Confirmez que la configuration fonctionne correctement :
- Vérifier que la configuration est activée et fonctionne
- Vérification de la mise en correspondance et de l’utilisation des règles
Vérifier que la configuration est activée et fonctionne
Objet
Vérifiez que la configuration est activée et fonctionne.
Mesures à prendre
À partir du mode opérationnel, entrez les commandes suivantes.
show security nat static rule test_ruleshow security nat source rule ipv4_ruleshow security nat source pool myipv4
Vérification de la mise en correspondance et de l’utilisation des règles
Objet
Vérifiez que toutes les règles sont mises en correspondance et utilisées.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat source persistent-nat-table all commande.
Exemple : définition de liaisons NAT persistantes maximales
Cet exemple montre comment augmenter la capacité de NAT persistante.
Exigences
Avant de commencer, reportez-vous à la section Présentation des NAT persistants et NAT64.
Vue d’ensemble
Dans cet exemple, vous activez l’option Maximiser la capacité NAT persistante. Pour activer cette option, la capacité de liaison maximale du point central prise en charge peut être augmentée approximativement à 1/8 de la capacité de session du point central jusqu’à 2 M et la capacité de liaison maximale du SPU prise en charge peut être augmentée approximativement à 1/4 de la capacité de chaque session SPU. En conséquence, la capacité de session de flux diminuera d'1/4 à la fois sur le CP et sur chacun des SPU.
Dans cet exemple, vous activez la capacité de session à 20 000 000 maximum sur le point central et à 1 100 000 maximum sur chacune des SPU avec une configuration de session maximale. Utilisez la maximize-persistent-nat-capacity commande.
La configuration
Procédure
Procédure étape par étape
Pour augmenter la capacité de NAT persistante :
Définir l’option maximiser la capacité NAT persistante.
[edit] user@host# set security forwarding-process application-services maximize-persistent-nat-capacity
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Redémarrez le système à partir du mode opérationnel.
[edit] user@host# request system reboot
Lorsque vous passez au mode de capacité NAT persistante maximale ou au mode normal, vous devez redémarrer l’appareil.
Si vous souhaitez remettre l’appareil en mode normal, supprimez la configuration du mode maximiser la capacité persistante NAT.
[edit] user@host# delete security forwarding-process application-services maximize-persistent-nat-capacity
Vérification
Vérification de l’augmentation de la capacité NAT persistante
Objet
Vérifiez que vous avez augmenté la capacité de NAT persistante.
Mesures à prendre
À partir du mode opérationnel, entrez la show security forwarding-process application-services commande.
Présentation de l’épinglage à cheveux NAT persistant
Lorsque le trafic est envoyé entre deux hôtes, l’hôte source du trafic peut seulement connaître l’hôte de destination par son adresse IP publique. En réalité, l’hôte de destination peut se trouver dans le même espace d’adressage privé que l’hôte source. L’épinglage à cheveux est le processus de renvoi du trafic dans la direction d’où il vient afin de l’acheminer vers son hôte de destination dans un sous-réseau privé.
En règle générale, un hôte source dans un sous-réseau peut ne pas reconnaître que le trafic est destiné à un hôte de destination au sein du même sous-réseau, car il identifie l’hôte de destination uniquement par son adresse IP publique. Le NAT analyse les paquets IP et les renvoie vers le bon hôte.
La prise en charge de l’épinglage à cheveux NAT est nécessaire si deux hôtes du réseau interne souhaitent communiquer entre eux à l’aide d’une liaison sur le périphérique NAT. Dans ce cas, le périphérique NAT reçoit un paquet du réseau interne et le renvoie au réseau interne. Si l’épinglage à cheveux n’est pas pris en charge, le transfert du paquet échouera et il sera abandonné.
L’épinglage permet à deux points de terminaison (hôte 1 et hôte 2) sur le réseau privé de communiquer même s’ils n’utilisent que les adresses IP et les ports externes de l’autre. Lorsque l’hôte 1 envoie du trafic à l’hôte 3, une liaison NAT entre l’adresse IP source interne de l’hôte 1 et le port est associée dans la table NAT à son adresse IP et à son port externes. La même chose se produit lorsque l’hôte 2 envoie du trafic à l’hôte 3. De cette façon, lorsque l’hôte 1 et l’hôte 2 veulent communiquer, ils peuvent identifier les adresses IP externes de l’autre.
Par exemple, si l’hôte 1 communique avec l’hôte 2, la commande NAT (avec prise en charge de l’épingle à cheveux) est utilisée pour acheminer les paquets contenant l’adresse externe de l’hôte 2 vers l’adresse interne de l’hôte 2.
à cheveux NAT persistant
Dans la figure 4, les paramètres suivants sont utilisés :
Adresse IP de l’hôte 1 -
10.10.10.2/24Adresse IP de l’hôte 2 -
10.10.10.10/24Adresse IP intra-zone -
10.10.10.254/24Adresse IP de l’hôte 3 -
198.51.100.2/24Adresse IP interzone -
198.51.100.254/24L’hôte 1 et l’hôte 2 sont dans la zone
reht0z, et l’hôte 3 est dans lareth1zzone
Le Tableau 3 présente la table de liaison utilisée dans cet exemple.
Adresse IP source d’origine |
Adresse IP source traduite |
|---|---|
10.10.10.2/24 à 10.10.10.11/24 |
192.0.2.1/32 à 192.0.2.10/32 |
L’épinglage persistant NAT s’applique uniquement à tout type de NAT persistant d’hôte distant. Pour autoriser l’épinglage à cheveux, vous devez configurer une stratégie de sécurité pour autoriser le trafic entre les points de terminaison d’une même zone. En fait, les deux points de terminaison peuvent être situés dans deux zones différentes, tant que l’un des deux hôtes ne peut voir que l’adresse publique de l’homologue. NAT comportement d’épingle à cheveux n’est pas pris en charge par les NAT persistantes de l’hôte cible et les NAT persistantes du port de l’hôte cible. Seul un hôte distant persistant NAT prend en charge le comportement d’épingle à cheveux.
Exemple : Configuration de l’épinglage à cheveux NAT persistant avec pool NAT source avec décalage d’adresse
Cet exemple montre comment configurer l’épinglage à cheveux NAT persistant.
Exigences
Avant de commencer :
Configurez les interfaces réseau de l’appareil. Voir Guide de l’utilisateur des interfaces pour les équipements de sécurité.
Créez des zones de sécurité et attribuez-leur des interfaces. Voir Présentation des zones de sécurité.
Vue d’ensemble
L’épinglage à cheveux permet de traduire les paquets du réseau privé puis de les boucler vers le réseau privé plutôt que de les transmettre au réseau public. La fonction d’épinglage permet d’utiliser un enregistrement correspondant dans la table NAT pour reconnaître qu’un paquet est adressé à un hôte du réseau local. Ensuite, il traduit l’adresse IP de destination et renvoie le paquet au réseau local (ainsi qu’en cas de mappage de port). Cela garantit le bon fonctionnement du trafic entre les deux hôtes.
Topologie
L’épinglage permet à deux points de terminaison (hôte 1 et hôte 2) sur le réseau privé de communiquer même s’ils n’utilisent que les adresses IP et les ports externes de l’autre. Ceci est expliqué à la figure 5.
Lorsque l’hôte 1 envoie du trafic à l’hôte 3, une liaison NAT entre l’adresse IP source interne de l’hôte 1 et le port est associée dans la table NAT à son adresse IP et à son port externes. La même chose se produit lorsque l’hôte 2 envoie du trafic à l’hôte 3. De cette façon, lorsque l’hôte 1 et l’hôte 2 veulent communiquer, ils peuvent identifier les adresses IP externes de l’autre.
Par exemple, si l’hôte 1 communique avec l’hôte 2, la commande NAT (avec prise en charge de l’épingle à cheveux) est utilisée pour acheminer les paquets contenant l’adresse externe de l’hôte 2 vers l’adresse interne de l’hôte 2.
à cheveux NAT persistant
Sur la Figure 5, les paramètres suivants sont utilisés :
Adresse IP de l’hôte 1 -
10.10.10.2/24Adresse IP de l’hôte 2 -
10.10.10.10/24Adresse IP intra-zone -
10.10.10.254/24Adresse IP de l’hôte 3 -
198.51.100.2/24Adresse IP interzone -
198.51.100.254/24L’hôte 1 et l’hôte 2 sont dans la zone
reht0z, et l’hôte 3 est dans lareth1zzone
Le Tableau 4 présente la table de liaison utilisée dans cet exemple.
Adresse IP source d’origine |
Adresse IP source traduite |
|---|---|
10.10.10.2/24 à 10.10.10.11/24 |
192.0.2.1/32 à 192.0.2.10/32 |
La configuration
Procédure
Procédure étape par étape
Pour configurer l’épinglage à cheveux NAT persistant :
Configurez les interfaces.
[edit] user@host# set interfaces ge-11/0/0 unit 0 family inet address 10.10.10.254/24 user@host# set interfaces ge-11/0/1 unit 0 family inet address 198.51.100.254/24
Créez des zones (reth0z et reth1z).
[edit] user@host# set security zones security-zone reth0z host-inbound-traffic system-services all user@host# set security zones security-zone reth0z host-inbound-traffic protocols all user@host# set security zones security-zone reth0z interfaces ge-11/0/0.0 user@host# set security zones security-zone reth1z host-inbound-traffic system-services all user@host# set security zones security-zone reth1z host-inbound-traffic protocols all user@host# set security zones security-zone reth1z interfaces ge-11/0/1.0
Créez des stratégies pour les zones reth0z et reth1z.
[edit] user@host# set security address-book global address subnet10 10.10.10.0/24 user@host# set security address-book global address subnet20 198.51.100.0/24 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match source-address subnet10 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match destination-address subnet20 user@host# set security policies from-zone reth0z to-zone reth1z policy p1 match application any user@host# set security policies from-zone reth0z to-zone reth1z policy p1 then permit user@host# set security policies default-policy deny-all
Ajoutez la même stratégie de zone pour effectuer une épingle à cheveux NAT persistante.
user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match source-address subnet10 user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match destination-address subnet10 user@host# set security policies from-zone reth0z to-zone reth0z policy p2 match application any user@host# set security policies from-zone reth0z to-zone reth0z policy p2 then permit
Créez un pool NAT source pour l’hôte 1 et l’hôte 2 (src1).
[edit] user@host# set security nat source pool src1 address 192.0.2.1/32 to 192.0.2.10/32
Spécifiez le début de la plage d’adresses IP source d’origine pour l’hôte 1 et l’hôte 2 (src1).
[edit] user@host# set security nat source pool src1 host-address-base 10.10.10.2/24
Configurez l’ensemble de règles NAT source r1.
[edit] user@host# set security nat source rule-set r1 from zone reth0z user@host# set security nat source rule-set r1 to zone reth1z user@host# set security nat source rule-set r1 to zone reth0z user@host# set security nat source rule-set r1 rule rule1 match source-address 10.10.10.0/24 user@host# set security nat source rule-set r1 rule rule1 match destination-address 10.10.10.0/24 user@host# set security nat source rule-set r1 rule rule1 match destination-address 198.51.100.0/24 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool src1 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat permit any-remote-host user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat inactivity-timeout 900 user@host# set security nat source rule-set r1 rule rule1 then source-nat pool persistent-nat max-session-number 20
Résultats
À partir du mode configuration, entrez la show security nat commande pour confirmer votre configuration. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool src1 {
address {
192.0.2.1/32 to 192.0.2.10/32;
}
host-address-base 10.10.10.2/24;
}
rule-set r1 {
from zone reth0z;
to zone [ reth0z reth1z ];
rule rule1 {
match {
source-address 10.10.10.0/24;
destination-address [10.10.10.0/24 198.51.100.0/24];
}
then {
source-nat {
pool {
src1;
persistent-nat {
permit any-remote-host;
inactivity-timeout 900;
max-session-number 20;
}
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
- Trafic envoyé entre les hôtes créant une liaison 1
- Trafic envoyé entre les hôtes créant une liaison 2
- Trafic envoyé entre deux hôtes
Trafic envoyé entre les hôtes créant une liaison 1
Objet
Vérifiez le trafic envoyé entre les hôtes (hôte 1 et hôte 3) en créant la liaison 1.
Mesures à prendre
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.2 -id 198.51.100.2 -p udp -us 69 -ud 69 198.51.100.2
Source-IP: 10.10.10.2
Source-port: 69
Dst-IP: 198.51.100.2
Dst-port: 69
Binding1 is below:
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source
In_IP In_Port Ref_IP Ref_Port NAT Pool Conf_time Max_Sess_Num NAT Rule
10.10.10.2 69 192.0.2.1 69 src1 any-remote-host -/900 1/20 rule1
Trafic envoyé entre les hôtes créant une liaison 2
Objet
Vérifiez le trafic envoyé entre les hôtes (hôte 2 et hôte 3) créant la liaison 2.
Mesures à prendre
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.10 -id 198.51.100.2 -p udp -us 69 -ud 69 198.51.100.2
Source-IP: 10.10.10.10
Source-port: 69
Dst-IP: 198.51.100.2
Dst-port: 69
Binding2 is below:
user@host>show security nat source persistent-nat-table all
Internal Reflective Source Type Left_time/ Curr_Sess_Num/ Source
In_IP In_Port Ref_IP Ref_Port NAT Pool Conf_time Max_Sess_Num NAT Rule
10.10.10.2 69 192.0.2.1 69 src1 any-remote-host -/900 1/20 rule1
10.10.10.10 69 192.0.2.9 69 src1 any-remote-host -/900 1/20 rule1
Trafic envoyé entre deux hôtes
Objet
Vérifiez le trafic envoyé de l’hôte 1 à l’hôte 2 :
Mesures à prendre
user@host>show security flow session
sendip -d r28 -p ipv4 -iv 4 -is 10.10.10.2 -id 192.0.2.9 -p udp -us 69 -ud 69 192.0.2.9
Session ID: 100007628, Policy name: default-policy/2, Timeout: 52, Valid
In: 10.10.10.2/69 --> 192.0.2.9/69;udp, If: ge-0/0/0.0, Pkts: 2, Bytes: 112
Out: 10.10.10.10/69 --> 192.0.2.1/69;udp, If: ge-0/0/0.0, Pkts: 0, Bytes: 0
Total sessions: 1
Comportement de prise en charge de la liaison NAT persistante spécifique à la plate-forme
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques.
Utilisez le tableau suivant pour passer en revue les comportements spécifiques à votre plateforme :
| Différence de plate-forme | |
|---|---|
| SRX Series |
|