NAT de origem estática
Configuração da tradução de fonte estática em redes IPv4
Para configurar o tipo de tradução como básico-nat44, você deve configurar o pool e a regra do NAT, o conjunto de serviços com interface de serviço e as opções de rastreamento. Este tópico inclui as seguintes tarefas:
- Configuração do pool e da regra do NAT
- Configuração do conjunto de serviços para NAT
- Configuração de opções de rastreamento
- Configuração de amostra — NAT de origem estática usando um pool estático com um prefixo de endereço e uma faixa de endereço
- Configuração de amostra — Nat de origem estática para mapeamento de um a um entre uma sub-rede privada e uma sub-rede pública
Configuração do pool e da regra do NAT
Para configurar o pool de NAT, a regra e o termo:
Se você não configurar uma regra de firewall stateful (SFW) para o seu tráfego, cada pacote será submetido à seguinte regra padrão de firewall stateful:
Permita quaisquer pacotes válidos de dentro para fora.
Crie fluxo de encaminhamento e retorno com base em pacotes de 5 tuple.
Permita apenas pacotes válidos que correspondam a fluxos de retorno de fora para dentro.
As verificações de validade de pacotes do firewall stateful são descritas na verificação de anomalias de firewall stateful na visão geral segura da Junos Network. Quando um pacote passa pela verificação de validade de firewall stateful, mas não é compatível com uma regra NAT, eles não são traduzidos e podem ser encaminhados se o nó NAT tiver uma rota válida para os endereços IP de destino dos pacotes.
Quando você adiciona ou exclui um parâmetro na from
declaração (condição de correspondência do termo de regra nat) no [edit services service-set service-set-name nat-rules rule-name term term- name]
nível de hierarquia, essa mudança de configuração desencadeia uma exclusão e adição da política de NAT (que equivale à desativação e ativação de um conjunto de serviços) que faz com que todos os mapeamentos NAT existentes sejam excluídos. Como as sessões não estão fechadas devido à mudança na política de NAT, esse comportamento faz com que os mapeamentos sejam encerrados imediatamente após o fechamento das sessões. Esse comportamento é esperado e só é aplicável com pacotes de provedores de extensão Junos OS instalados em um dispositivo. Quando uma política de NAT é excluída e reposta, apenas mapeamentos EIM são excluídos. Essa mudança de política de NAT não desativa e ativa o conjunto de serviços. Recomendamos que você desativar e reativar o conjunto de serviços nesses cenários no Junos OS Release 14.2 e anterior.
Configuração do conjunto de serviços para NAT
Para configurar o conjunto de serviços para NAT:
Configuração de opções de rastreamento
Para configurar as opções de rastreamento:
[edit] user@host# show services service-set s1 { nat-rules rule-basic-nat44; interface-service { service-interface ms-1/2/0; } } nat { pool src_pool { address 10.10.10.2/32; } rule rule-basic-nat44 { match-direction input; term t1 { from { source-address { 3.1.1.2/32; } } then { translated { source-pool src_pool; translation-type { basic-nat44; } } } } } } adaptive-services-pics { traceoptions { flag all; } }
Configuração de amostra — NAT de origem estática usando um pool estático com um prefixo de endereço e uma faixa de endereço
[edit services nat] pool p1 { address 30.30.30.252/30; address-range low 20.20.20.1 high 20.20.20.2; } rule r1 { match-direction input; term t1 { from { source-address { 10.10.10.252/30; } } then { translated { source-pool p1; translation-type basic-nat44; } } } }
Configuração de amostra — Nat de origem estática para mapeamento de um a um entre uma sub-rede privada e uma sub-rede pública
[edit] user@host# show services service-set s1 { nat-rules rule-basic-nat44; interface-service { service-interface ms-1/2/0; } } nat { pool src_pool { address 10.10.10.2/32; } rule rule-basic-nat44 { match-direction input; term t1 { from { source-address { 3.1.1.2/32; } } then { translated { source-pool src_pool; translation-type { basic-nat44; } } } } } } adaptive-services-pics { traceoptions { flag all; } }
[edit interfaces] user@host# show xe-1/1/0 { unit 0 { family inet { service { input { service-set s1; } output { service-set s1; } } address 10.255.247.2/24; } } }
Configuração da tradução de fontes estáticas em redes IPv6
Para configurar o tipo de tradução como basic-nat66
, você deve configurar o pool e a regra do NAT, o conjunto de serviços com interface de serviço e as opções de rastreamento. O basic-nat66
tipo de tradução não está disponível se você estiver usando MS-MPCs ou MS-MICs.
Este tópico inclui as seguintes tarefas:
- Configuração do pool e da regra do NAT
- Configuração do conjunto de serviços para NAT
- Configuração de opções de rastreamento
Configuração do pool e da regra do NAT
Para configurar o pool de NAT, a regra e o termo:
Configuração do conjunto de serviços para NAT
Para configurar o conjunto de serviços para NAT:
Configuração de opções de rastreamento
Para configurar as opções de rastreamento no nível de [edit services adaptive-services-pics]
hierarquia:
O exemplo a seguir configura o tipo de tradução como basic-nat66.
[edit] user@host# show services service-set s1 { nat-rules rule-basic-nat66; interface-service { service-interface sp-1/2/0; } } nat { pool src_pool { address 10.10.10.2/32; } rule rule-basic-nat66 { match-direction input; term t1 { from { source-address { 2001:db8:10::0/96/96; } } then { translated { source-pool src_pool; translation-type { basic-nat66; } } } } } } adaptive-services-pics { traceoptions { flag all; } }
Exemplo: Configuração do NAT44 básico
Este exemplo descreve como implementar uma configuração básica de NAT44.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Uma plataforma de roteamento universal 5G da Série MX com um DPC de serviços ou um roteador de borda multisserviço da Série M com um PIC de serviços
Um servidor de nome de domínio (DNS)
Versão 11.4 ou superior do Junos OS
Visão geral
Este exemplo mostra uma configuração CGN NAT44 completa e opções avançadas.
Configuração do NAT44 básico
Configuração do chassi
Procedimento passo a passo
Para configurar o PIC de serviço (FPC 5 Slot 0) com o pacote de serviços de Camada 3:
Vá para o nível de hierarquia [editar chassi] .
user@host# edit chassis
Configure o pacote de serviços de Camada 3.
[edit chassis]
user@host# set fpc 5 pic 0 adaptive-services service-package layer-3
Configuração de interfaces
Procedimento passo a passo
Para configurar interfaces para a rede privada e a Internet pública:
Definir a interface para a rede privada.
user@host# edit interfaces ge-1/3/5
[edit interfaces ge-1/3/5]
user@host# set description “Private” user@host# edit unit 0 family inet[edit interfaces ge-1/3/5 unit 0 family inet]
user@host# set service input service-set ss2 user@host# set service output service-set ss2 user@host# set address 9.0.0.1/24Definir a interface para a Internet pública.
user@host# edit interfaces ge-1/3/6
[edit interfaces ge-1/3/6]
user@host# set description “Public” user@host# set unit 0 family inet address 128.0.0.1/24Defina a interface de serviço para processamento de NAT.
user@host# edit interfaces sp-5/0/0
[edit interfaces sp-5/0/0]
user@host# set unit 0 family inet
Resultados
user@host# show interfaces ge-1/3/5
description Private;
unit 0 {
family inet {
service {
input {
service-set sset2;
}
output {
service-set sset2;
}
}
address 9.0.0.1/24;
}
}
}
user@host# show interfaces ge-1/3/6
description Public:;
unit 0 {
family inet {
address 128.0.0.1/24;
}
}
user@host# show interfaces sp-5/0/0
unit 0 {
family inet;
}
Exemplo: Configuração de NAT para tráfego multicast
A Figura 1 ilustra a configuração da rede para a seguinte configuração, que permite que o tráfego ip multicast seja enviado para o PIC multisserviços.
Configuração de ponto de encontro
No ponto de encontro (RP), todo o tráfego de entrada da fonte multicast em 192.168.254.0/27 é enviado para o pool de NAT estático mcast_pool, onde sua fonte é traduzida para 20.20.20.0/27. O conjunto de serviços nat_ss é um conjunto de serviços de próximo salto que permite que o tráfego ip multicast seja enviado para o DPC multisserviços ou PIC multisserviços. A interface interna no PIC é ms-1/1/0.1 e a interface externa é ms-1/1/0,2.
[edit services] nat { pool mcast_pool { address 20.20.20.0/27; } rule nat_rule_1 { match-direction input; term 1 { from { source-address 192.168.254.0/27; } } then { translated { source-pool mcast_pool; translation-type basic-nat44; } syslog; } } } service-set nat_ss { allow-multicast; nat-rules nat_rule_1; next-hop-service { inside-service-interface ms-1/1/0.1; outside-service-interface ms-1/1/0.2; } }
A interface Gigabit Ethernet ge-0/3/0 transporta tráfego para fora do RP para o Roteador 1. A interface multisserviços ms-1/1/0 tem duas interfaces lógicas: a unidade 1 é a interface interna para serviços de próximo salto e a unidade 2 é a interface externa para serviços de next-hop. O tráfego de origem multicast entra na interface fast ethernet fe-1/2/1, que tem o filtro de firewall fbf aplicado ao tráfego de entrada.
[edit interfaces] ge-0/3/0 { unit 0 { family inet { address 10.10.1.1/30; } } } ms-1/1/0 { unit 0 { family inet; } unit 1 { family inet; service-domain inside; } unit 2 { family inet; service-domain outside; } } fe-1/2/1 { unit 0 { family inet { filter { input fbf; } address 192.168.254.27/27; } } }
Os pacotes multicast só podem ser direcionados ao DPC multisserviços ou ao PIC multisserviços usando um conjunto de serviços de próximo salto. No caso do NAT, você também deve configurar uma instância de roteamento e encaminhamento VPN (VRF). Portanto, a fase de instância de roteamento é criada como uma instância de encaminhamento "fictícia". Para direcionar os pacotes de entrada ao palco, você configura o encaminhamento baseado em filtro por meio de um filtro de firewall chamado fbf, que é aplicado à interface de entrada fe-1/2/1. Uma olhada é realizada no stage.inet.0, que tem uma rota estática multicast que é instalada com o próximo salto apontando para a interface interna do PIC. Todo o tráfego multicast correspondente a esta rota é enviado para o PIC.
[edit firewall] filter fbf { term 1 { then { routing-instance stage; } } }
A fase de instância de roteamento encaminha o tráfego multicast IP para a interface interna ms-1/1/0.1 no DPC de multisserviços ou Multisserviços PIC:
[edit] routing-instances stage { instance-type forwarding; routing-options { static { route 224.0.0.0/4 next-hop ms-1/1/0.1; } } }
Você habilita o OSPF e o Protocol Independent Multicast (PIM) nas interfaces lógicas de Ethernet e Gigabit Ethernet rápidas sobre as quais o tráfego ip multicast entra e deixa o RP. Você também habilita o PIM na interface externa (ms-1/1/0.2) do conjunto de serviços next-hop.
[edit protocols] ospf { area 0.0.0.0 { interface fe-1/2/1.0 { passive; } interface lo0.0; interface ge-0/3/0.0; } } pim { rp { local { address 10.255.14.160; } } interface fe-1/2/1.0; interface lo0.0; interface ge-0/3/0.0; interface ms-1/1/0.2; }
Como acontece com qualquer configuração de encaminhamento baseada em filtro, para que a rota estática na fase de instância de encaminhamento tenha um próximo salto acessível, você deve configurar grupos de tabela de roteamento para que todas as rotas de interface sejam copiadas do inet.0 para a tabela de roteamento na instância de encaminhamento. Você configura as tabelas de roteamento inet.0 e stage.inet.0 como membros da fbf_rib_group, para que todas as rotas de interface sejam importadas em ambas as tabelas.
[edit routing-options] interface-routes { rib-group inet fbf_rib_group; } rib-groups fbf_rib_group { import-rib [ inet.0 stage.inet.0 ]; } multicast { rpf-check-policy no_rpf; }
A verificação do encaminhamento de caminhos reversos (RPF) deve ser desativada para o grupo multicast no qual o NAT de origem é aplicado. Você pode desabilitar a verificação de RPF para grupos multicast específicos configurando uma política semelhante à do exemplo a seguir. Neste caso, a política de no_rpf desativa a verificação de RPF para grupos multicast pertencentes a 224.0.0.0/4.
[edit policy-options] policy-statement no_rpf { term 1 { from { route-filter 224.0.0.0/4 orlonger; } then reject; } }
Configuração do roteador 1
A configuração do Protocolo de Gerenciamento de Grupos de Internet (IGMP), OSPF e PIM no Roteador 1 é a seguinte. Devido à configuração estática do grupo IGMP, o tráfego é encaminhado para o receptor multicast sem receber relatórios de associação dos membros do host.
[edit protocols] igmp { interface fe-3/0/0.0 { } } ospf { area 0.0.0.0 { interface fe-3/0/0.0 { passive; } interface lo0.0; interface ge-7/2/0.0; } pim { rp { static { address 10.255.14.160; } } interface fe-3/0/0.0; interface lo0.0; interface ge-7/2/0.0; } }
A opção de roteamento cria uma rota estática para o pool de NAT, mcast_pool, no RP.
[edit routing-options] static { route 20.20.20.0/27 next-hop 10.10.1.1; }
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.