Juniper Networks ISG 2000 사용자 설명서
Chapitre 3 Configuration de l’unité
74
Manuel de l’utilisateur
M
ODES
DE
FONCTIONNEMENT
NetScreen-ISG 2000 prend en charge deux modes d’unité : le mode Transparent et le
mode Route. Le mode par défaut est « Route ».
mode Route. Le mode par défaut est « Route ».
Mode Transparent
En mode Transparent, NetScreen-ISG 2000 fonctionne en tant que pont au niveau de la
couche Liaison des données (couche 2). Étant donné que l’unité ne peut pas traduire les
adresses IP des paquets, elle ne peut pas exécuter les services NAT (Network Address
Translation - traduction d’adresse de réseau). Parconséquent, chacune des adresses IP
présentes sur vos réseaux (locaux) sécurisés doit être routable et accessible à partir des
réseaux (externes) non sécurisés.
couche Liaison des données (couche 2). Étant donné que l’unité ne peut pas traduire les
adresses IP des paquets, elle ne peut pas exécuter les services NAT (Network Address
Translation - traduction d’adresse de réseau). Parconséquent, chacune des adresses IP
présentes sur vos réseaux (locaux) sécurisés doit être routable et accessible à partir des
réseaux (externes) non sécurisés.
En mode Transparent, l’unité NetScreen n’est pas visible sur le réseau. Toutefois, l’unité
peut toujours exécuter des fonctions de pare-feu, de VPN et de gestion du trafic
conformément aux règles de sécurité configurées.
peut toujours exécuter des fonctions de pare-feu, de VPN et de gestion du trafic
conformément aux règles de sécurité configurées.
Mode Route
En mode Route, NetScreen-ISG 2000 fonctionne au niveau de la couche 3 (couche réseau).
Étant donné que vous pouvez configurer chaque interface à l’aide d’une adresse IP et d’un
masque de sous-réseau, vous pouvez configurer des interfaces individuelles pour exécuter
les services NAT.
Étant donné que vous pouvez configurer chaque interface à l’aide d’une adresse IP et d’un
masque de sous-réseau, vous pouvez configurer des interfaces individuelles pour exécuter
les services NAT.
•
Lorsque l’interface exécute des services NAT, l’unité traduit l'adresse IP source
de chaque paquet sortant en une adresse IP du port untrusted. Elle remplace
également le numéro du port source par une valeur générée de manière
aléatoire. Vous pouvez également procéder aux traductions à l’aide d’adresses IP
mappées (MIP) ou virtuelles (VIP).
de chaque paquet sortant en une adresse IP du port untrusted. Elle remplace
également le numéro du port source par une valeur générée de manière
aléatoire. Vous pouvez également procéder aux traductions à l’aide d’adresses IP
mappées (MIP) ou virtuelles (VIP).
•
Lorsque l’interface n’exécute pas des services NAT, l’adresse IP et le numéro de
port source restent tels quels dans chaque en-tête de paquet. Vos hôtes locaux
doivent donc disposer d’adresses IP publiques.
port source restent tels quels dans chaque en-tête de paquet. Vos hôtes locaux
doivent donc disposer d’adresses IP publiques.
Pour plus d’informations sur les services NAT, reportez-vous au manuel NetScreen
Concepts and Examples ScreenOS Reference Guide.
Concepts and Examples ScreenOS Reference Guide.
Remarque :
la fonctionnalité NAT étant activée lors de la configuration des interfaces et
de la création des politiques de sécurité, elle n’est pas considérée comme un mode d’unité.
Si vous souhaitez configurer votre unité pour la fonctionnalité NAT, le mode Route doit être
activé.
Si vous souhaitez configurer votre unité pour la fonctionnalité NAT, le mode Route doit être
activé.