NAT de origem estática
Configuração da tradução de origem estática em redes IPv4
Para configurar o tipo de tradução como basic-nat44, você deve configurar o pool e a regra NAT, o conjunto de serviços com a interface de serviço e as opções de rastreamento. Este tópico inclui as seguintes tarefas:
- Configurando o pool e a regra NAT
- Configurando o conjunto de serviços para NAT
- Configurando opções de rastreamento
- Configuração de exemplo - NAT de origem estática usando um pool estático com um prefixo de endereço e um intervalo de endereços
- Configuração de exemplo - NAT de origem estática para mapeamento um-para-um entre uma sub-rede privada e uma sub-rede pública
Configurando o pool e a regra NAT
Para configurar o pool, a regra e o termo NAT:
Se você não configurar uma regra de firewall stateful (SFW) para o tráfego, cada pacote estará sujeito à seguinte regra padrão de firewall stateful:
Permita todos os pacotes válidos de dentro para fora.
Crie um fluxo de encaminhamento e retorno com base em pacotes de 5 tuplas.
Permita apenas pacotes válidos que correspondam a fluxos de retorno de fora para dentro.
As verificações de validade de pacotes do firewall stateful são descritas na verificação de anomalias do Firewall com estado na visão geral do Junos Network Secure. Quando um pacote passa pela verificação de validade de firewall stateful, mas não é correspondido por uma regra NAT, eles não são convertidos e podem ser encaminhados se o nó NAT tiver uma rota válida para os endereços IP de destino dos pacotes.
Quando você adiciona ou exclui um parâmetro na from instrução (condição de correspondência de termo de regra NAT) no nível de [edit services service-set service-set-name nat-rules rule-name term term- name] hierarquia, essa alteração de configuração dispara uma exclusão e adição da política NAT (que é equivalente à desativação e ativação de um conjunto de serviços) que faz com que todos os mapeamentos NAT existentes sejam excluídos. Como as sessões não são fechadas devido à alteração na política de NAT, esse comportamento faz com que os mapeamentos atinjam o tempo limite imediatamente após o encerramento das sessões. Esse comportamento é esperado e é aplicável apenas com pacotes de provedores de extensão do Junos OS instalados em um dispositivo. Quando uma política NAT é excluída e adicionada novamente, somente os mapeamentos EIM são excluídos. Essa alteração de política de NAT não desativa e ativa o conjunto de serviços. Recomendamos que você desative e reative o conjunto de serviços em tais cenários no Junos OS versão 14.2 e anteriores.
Configurando o conjunto de serviços para NAT
Para configurar o conjunto de serviços para NAT:
Configurando opções de rastreamento
Para configurar as opções de rastreamento:
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat44;
interface-service {
service-interface ms-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat44 {
match-direction input;
term t1 {
from {
source-address {
3.1.1.2/32;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Configuração de exemplo - NAT de origem estática usando um pool estático com um prefixo de endereço e um intervalo de endereços
[edit services nat]
pool p1 {
address 30.30.30.252/30;
address-range low 20.20.20.1 high 20.20.20.2;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.252/30;
}
}
then {
translated {
source-pool p1;
translation-type basic-nat44;
}
}
}
}
Configuração de exemplo - NAT de origem estática para mapeamento um-para-um entre uma sub-rede privada e uma sub-rede pública
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat44;
interface-service {
service-interface ms-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat44 {
match-direction input;
term t1 {
from {
source-address {
3.1.1.2/32;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
[edit interfaces]
user@host# show
xe-1/1/0 {
unit 0 {
family inet {
service {
input {
service-set s1;
}
output {
service-set s1;
}
}
address 10.255.247.2/24;
}
}
}
Configuração da tradução de origem estática em redes IPv6
Para configurar o tipo de tradução como basic-nat66, você deve configurar o pool e a regra NAT, o conjunto de serviços com interface de serviço e as opções de rastreamento. O basic-nat66 tipo de tradução não estará disponível se você estiver usando MS-MPCs ou MS-MICs.
Este tópico inclui as seguintes tarefas:
- Configurando o pool e a regra NAT
- Configurando o conjunto de serviços para NAT
- Configurando opções de rastreamento
Configurando o pool e a regra NAT
Para configurar o pool, a regra e o termo NAT:
Configurando o conjunto de serviços para NAT
Para configurar o conjunto de serviços para NAT:
Configurando opções de rastreamento
Para configurar as opções de rastreamento no nível da [edit services adaptive-services-pics] hierarquia:
O exemplo a seguir configura o tipo de tradução como basic-nat66.
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat66;
interface-service {
service-interface sp-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat66 {
match-direction input;
term t1 {
from {
source-address {
2001:db8:10::0/96/96;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Exemplo: Configuração do NAT44 básico
Este exemplo descreve como implementar uma configuração NAT44 básica.
Requerimentos
Este exemplo usa os seguintes componentes de hardware e software:
Uma Plataforma de roteamento universal 5G da Série MX com um DPC de serviços ou um roteador de borda multisserviço da Série M com um PIC de serviços
Um servidor de nomes de domínio (DNS)
Junos OS versão 11.4 ou superior
Visão geral
Este exemplo mostra uma configuração completa do CGN NAT44 e opções avançadas.
Configurando o NAT44 básico
Configuração do chassi
Procedimento passo a passo
Para configurar o serviço PIC (FPC 5 Slot 0) com o pacote de serviços de Camada 3:
Vá para o nível de hierarquia [edit chassis].
user@host# edit chassisConfigure o pacote de serviços de Camada 3.
[edit chassis]user@host# set fpc 5 pic 0 adaptive-services service-package layer-3
Configuração de interfaces
Procedimento passo a passo
Para configurar interfaces para a rede privada e a Internet pública:
Defina a interface para a rede privada.
user@host# edit interfaces ge-1/3/5
[edit interfaces ge-1/3/5]user@host# set description “Private” user@host# edit unit 0 family inet[edit interfaces ge-1/3/5 unit 0 family inet]user@host# set service input service-set ss2 user@host# set service output service-set ss2 user@host# set address 9.0.0.1/24Defina a interface para a Internet pública.
user@host# edit interfaces ge-1/3/6
[edit interfaces ge-1/3/6]user@host# set description “Public” user@host# set unit 0 family inet address 128.0.0.1/24Defina a interface de serviço para processamento de NAT.
user@host# edit interfaces sp-5/0/0
[edit interfaces sp-5/0/0]user@host# set unit 0 family inet
Resultados
user@host# show interfaces ge-1/3/5
description Private;
unit 0 {
family inet {
service {
input {
service-set sset2;
}
output {
service-set sset2;
}
}
address 9.0.0.1/24;
}
}
}
user@host# show interfaces ge-1/3/6
description Public:;
unit 0 {
family inet {
address 128.0.0.1/24;
}
}
user@host# show interfaces sp-5/0/0
unit 0 {
family inet;
}
Exemplo: configuração de NAT para tráfego multicast
A Figura 1 ilustra a configuração de rede para a configuração a seguir, que permite que o tráfego IP multicast seja enviado para o PIC de multisserviços.
multicast
Configuração do ponto de encontro
No ponto de encontro (RP), todo o tráfego de entrada da origem multicast em 192.168.254.0/27 é enviado para o mcast_pool do pool de NAT estático, onde sua origem é convertida em 20.20.20.0/27. O conjunto de serviços nat_ss é um conjunto de serviços de próximo salto que permite que IP multicast tráfego seja enviado para a DPC Multisserviços ou PIC Multisserviços. A interface interna no PIC é ms-1/1/0.1 e a interface externa é ms-1/1/0.2.
[edit services]
nat {
pool mcast_pool {
address 20.20.20.0/27;
}
rule nat_rule_1 {
match-direction input;
term 1 {
from {
source-address 192.168.254.0/27;
}
}
then {
translated {
source-pool mcast_pool;
translation-type basic-nat44;
}
syslog;
}
}
}
service-set nat_ss {
allow-multicast;
nat-rules nat_rule_1;
next-hop-service {
inside-service-interface ms-1/1/0.1;
outside-service-interface ms-1/1/0.2;
}
}
A interface Gigabit Ethernet ge-0/3/0 transporta o tráfego do RP para o Roteador 1. A interface de multisserviços ms-1/1/0 tem duas interfaces lógicas: a unidade 1 é a interface interna para serviços de próximo salto e a unidade 2 é a interface externa para serviços de próximo salto. O tráfego de origem multicast chega na interface Fast Ethernet fe-1/2/1, que tem o filtro de firewall fbf aplicado ao tráfego de entrada.
[edit interfaces]
ge-0/3/0 {
unit 0 {
family inet {
address 10.10.1.1/30;
}
}
}
ms-1/1/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
fe-1/2/1 {
unit 0 {
family inet {
filter {
input fbf;
}
address 192.168.254.27/27;
}
}
}
Os pacotes multicast só podem ser direcionados ao Multiservices DPC ou ao Multiservices PIC usando um conjunto de serviços next-hop. No caso do NAT, você também deve configurar uma instância de roteamento e encaminhamento (VRF) de VPN. Portanto, o estágio da instância de roteamento é criado como uma instância de encaminhamento "fictícia". Para direcionar os pacotes de entrada para o estágio, você configura o encaminhamento baseado em filtro por meio de um filtro de firewall chamado fbf, que é aplicado à interface de entrada fe-1/2/1. Uma pesquisa é realizada em stage.inet.0, que tem uma rota estática multicast que é instalada com o próximo salto apontando para a interface interna do PIC. Todo o tráfego multicast correspondente a essa rota é enviado para o PIC.
[edit firewall]
filter fbf {
term 1 {
then {
routing-instance stage;
}
}
}
O estágio da instância de roteamento encaminha o tráfego multicast IP multicast para a interface interna ms-1/1/0.1 no DPC de multisserviços ou PIC de multisserviços:
[edit]
routing-instances stage {
instance-type forwarding;
routing-options {
static {
route 224.0.0.0/4 next-hop ms-1/1/0.1;
}
}
}
Você habilita o OSPF e o Protocol Independent Multicast (PIM) nas interfaces lógicas Fast Ethernet e Gigabit Ethernet nas quais o tráfego IP multicast entra e sai do RP. Você também habilita o PIM na interface externa (ms-1/1/0.2) do conjunto de serviços next-hop.
[edit protocols]
ospf {
area 0.0.0.0 {
interface fe-1/2/1.0 {
passive;
}
interface lo0.0;
interface ge-0/3/0.0;
}
}
pim {
rp {
local {
address 10.255.14.160;
}
}
interface fe-1/2/1.0;
interface lo0.0;
interface ge-0/3/0.0;
interface ms-1/1/0.2;
}
Como acontece com qualquer configuração de encaminhamento baseada em filtro, para que a rota estática no estágio da instância de encaminhamento tenha um próximo salto alcançável, você deve configurar grupos de tabela de roteamento para que todas as rotas de interface sejam copiadas de inet.0 para a tabela de roteamento na instância de encaminhamento. Você configura as tabelas de roteamento inet.0 e stage.inet.0 como membros de fbf_rib_group, de modo que todas as rotas de interface sejam importadas para ambas as tabelas.
[edit routing-options]
interface-routes {
rib-group inet fbf_rib_group;
}
rib-groups fbf_rib_group {
import-rib [ inet.0 stage.inet.0 ];
}
multicast {
rpf-check-policy no_rpf;
}
A verificação de encaminhamento reverso de caminho (RPF) deve ser desabilitada para o grupo multicast no qual o NAT de origem é aplicado. Você pode desabilitar a verificação de RPF para grupos multicast específicos configurando uma política semelhante à do exemplo a seguir. Nesse caso, a política de no_rpf desabilita a verificação de RPF para grupos multicast pertencentes a 224.0.0.0/4.
[edit policy-options]
policy-statement no_rpf {
term 1 {
from {
route-filter 224.0.0.0/4 orlonger;
}
then reject;
}
}
Configuração do roteador 1
A configuração do Internet Group Management Protocol (IGMP), OSPF e PIM no Roteador 1 é a seguinte. Devido à configuração do grupo estático IGMP, o tráfego é encaminhado fe-3/0/0.0 para o receptor multicast sem receber relatórios de associação dos membros do host.
[edit protocols]
igmp {
interface fe-3/0/0.0 {
}
}
ospf {
area 0.0.0.0 {
interface fe-3/0/0.0 {
passive;
}
interface lo0.0;
interface ge-7/2/0.0;
}
pim {
rp {
static {
address 10.255.14.160;
}
}
interface fe-3/0/0.0;
interface lo0.0;
interface ge-7/2/0.0;
}
}
A opção routing cria uma rota estática para o pool de NAT, mcast_pool, no RP.
[edit routing-options]
static {
route 20.20.20.0/27 next-hop 10.10.1.1;
}
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.