Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

NAT de origem estática

Configuração da tradução de fonte estática em redes IPv4

Para configurar o tipo de tradução como básico-nat44, você deve configurar o pool e a regra do NAT, o conjunto de serviços com interface de serviço e as opções de rastreamento. Este tópico inclui as seguintes tarefas:

Configuração do pool e da regra do NAT

Para configurar o pool de NAT, a regra e o termo:

  1. No modo de configuração, vá para o nível de [edit services nat] hierarquia.
  2. Configure o pool de NAT com um endereço.

    No exemplo a seguir, o nome do pool é src_pool e o endereço é 10.10.10.2/32.

  3. Configure a regra de NAT e a direção da correspondência.

    No exemplo a seguir, o nome de regra NAT é rule-basic-nat44 e a direção de correspondência é a entrada.

  4. Configure o endereço de origem na from declaração.

    No exemplo a seguir, o termo nome é t1 e a condição de entrada é endereço de origem 3.1.1.2/32.

  5. Configure o termo nat ação e propriedades do tráfego traduzido.

    No exemplo a seguir, o termo ação é traduzido e a propriedade do tráfego traduzido é src_pool do pool de origem.

  6. Configure o tipo de tradução.

    No exemplo a seguir, o tipo de tradução é básico-nat44.

  7. Verifique a configuração usando o show comando no nível de [edit services nat] hierarquia.
Nota:

Se você não configurar uma regra de firewall stateful (SFW) para o seu tráfego, cada pacote será submetido à seguinte regra padrão de firewall stateful:

  • Permita quaisquer pacotes válidos de dentro para fora.

  • Crie fluxo de encaminhamento e retorno com base em pacotes de 5 tuple.

  • Permita apenas pacotes válidos que correspondam a fluxos de retorno de fora para dentro.

As verificações de validade de pacotes do firewall stateful são descritas na verificação de anomalias de firewall stateful na visão geral segura da Junos Network. Quando um pacote passa pela verificação de validade de firewall stateful, mas não é compatível com uma regra NAT, eles não são traduzidos e podem ser encaminhados se o nó NAT tiver uma rota válida para os endereços IP de destino dos pacotes.

Nota:

Quando você adiciona ou exclui um parâmetro na from declaração (condição de correspondência do termo de regra nat) no [edit services service-set service-set-name nat-rules rule-name term term- name] nível de hierarquia, essa mudança de configuração desencadeia uma exclusão e adição da política de NAT (que equivale à desativação e ativação de um conjunto de serviços) que faz com que todos os mapeamentos NAT existentes sejam excluídos. Como as sessões não estão fechadas devido à mudança na política de NAT, esse comportamento faz com que os mapeamentos sejam encerrados imediatamente após o fechamento das sessões. Esse comportamento é esperado e só é aplicável com pacotes de provedores de extensão Junos OS instalados em um dispositivo. Quando uma política de NAT é excluída e reposta, apenas mapeamentos EIM são excluídos. Essa mudança de política de NAT não desativa e ativa o conjunto de serviços. Recomendamos que você desativar e reativar o conjunto de serviços nesses cenários no Junos OS Release 14.2 e anterior.

Configuração do conjunto de serviços para NAT

Para configurar o conjunto de serviços para NAT:

  1. No modo de configuração, vá para o nível de [edit services] hierarquia.
  2. Configure o conjunto de serviços.

    No exemplo a seguir, o nome do conjunto de serviços é s1.

  3. Para o conjunto de serviços s1 , defina a referência às regras de NAT configuradas no nível de [edit services nat] hierarquia.

    No exemplo a seguir, o nome da regra é rule-basic-nat44.

  4. Configure a interface de serviço.

    No exemplo a seguir, o nome da interface de serviço é ms-1/2/0.

    Nota:

    Se você tiver uma placa de linha baseada em Trio, você pode configurar uma interface de serviços em linha nessa placa:

  5. Verifique a configuração usando o show comando no nível de [edit services] hierarquia.
  6. Associe o conjunto de serviços NAT com uma xe- interface:
  7. Verifique a configuração usando o show comando no nível de [edit interfaces] hierarquia.

Configuração de opções de rastreamento

Para configurar as opções de rastreamento:

  1. No modo de configuração, vá para o nível de [edit services adaptive-services-pics] hierarquia.
  2. Configure as opções de rastreamento.

    No exemplo a seguir, o parâmetro de rastreamento é todo.

  3. Verifique a configuração usando o show comando no nível de [edit services] hierarquia.

Configuração de amostra — NAT de origem estática usando um pool estático com um prefixo de endereço e uma faixa de endereço

Configuração de amostra — Nat de origem estática para mapeamento de um a um entre uma sub-rede privada e uma sub-rede pública

Configuração da tradução de fontes estáticas em redes IPv6

Para configurar o tipo de tradução como basic-nat66, você deve configurar o pool e a regra do NAT, o conjunto de serviços com interface de serviço e as opções de rastreamento. O basic-nat66 tipo de tradução não está disponível se você estiver usando MS-MPCs ou MS-MICs.

Este tópico inclui as seguintes tarefas:

Configuração do pool e da regra do NAT

Para configurar o pool de NAT, a regra e o termo:

  1. No modo de configuração, vá para o nível de [edit services nat] hierarquia.
  2. Configure o pool de NAT com um endereço.

    No exemplo a seguir, o nome do pool é src_pool e o endereço é 10.10.10.2/32.

  3. Configure a regra de NAT e a direção da correspondência.

    No exemplo a seguir, o nome da regra é rule-basic-nat66 e a direção de correspondência é a entrada.

  4. Configure o endereço de origem na from declaração.

    No seguinte, o termo nome é t1 e a condição de entrada é endereço-fonte 2001:db8:10:0/96.

  5. Configure o termo nat ação e propriedades do tráfego traduzido.

    No exemplo a seguir, o termo ação é traduzido e a propriedade do tráfego traduzido é src_pool do pool de origem.

  6. Configure o tipo de tradução.

    No exemplo a seguir, o tipo de tradução é básico-nat66.

  7. Verifique a configuração usando o show comando no nível de [edit services] hierarquia.

Configuração do conjunto de serviços para NAT

Para configurar o conjunto de serviços para NAT:

  1. No modo de configuração, vá para o nível de [edit services] hierarquia.
  2. Configure o conjunto de serviços.

    No exemplo a seguir, o nome do conjunto de serviços é s1.

  3. Para o conjunto de serviços s1 , defina a referência às regras de NAT configuradas no nível de [edit services nat] hierarquia.

    No exemplo a seguir, o nome da regra é rule-basic-nat66.

  4. Configure a interface de serviço.

    No exemplo a seguir, o nome da interface de serviço é sp-1/2/0.

  5. Verifique a configuração usando o show comando no nível de [edit services] hierarquia.

Configuração de opções de rastreamento

Para configurar as opções de rastreamento no nível de [edit services adaptive-services-pics] hierarquia:

  1. No modo de configuração, vá para o nível de [edit services adaptive-services-pics] hierarquia.
  2. Configure as opções de rastreamento.

    No exemplo a seguir, o parâmetro de rastreamento é todo.

  3. Verifique a configuração usando o show comando no nível de [edit services] hierarquia.

O exemplo a seguir configura o tipo de tradução como basic-nat66.

Exemplo: Configuração do NAT44 básico

Este exemplo descreve como implementar uma configuração básica de NAT44.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Uma plataforma de roteamento universal 5G da Série MX com um DPC de serviços ou um roteador de borda multisserviço da Série M com um PIC de serviços

  • Um servidor de nome de domínio (DNS)

  • Versão 11.4 ou superior do Junos OS

Visão geral

Este exemplo mostra uma configuração CGN NAT44 completa e opções avançadas.

Configuração do NAT44 básico

Configuração do chassi

Procedimento passo a passo

Para configurar o PIC de serviço (FPC 5 Slot 0) com o pacote de serviços de Camada 3:

  1. Vá para o nível de hierarquia [editar chassi] .

  2. Configure o pacote de serviços de Camada 3.

Configuração de interfaces

Procedimento passo a passo

Para configurar interfaces para a rede privada e a Internet pública:

  1. Definir a interface para a rede privada.

  2. Definir a interface para a Internet pública.

  3. Defina a interface de serviço para processamento de NAT.

Resultados

Exemplo: Configuração de NAT para tráfego multicast

A Figura 1 ilustra a configuração da rede para a seguinte configuração, que permite que o tráfego ip multicast seja enviado para o PIC multisserviços.

Figura 1: Configuração de NAT para tráfego Configuring NAT for Multicast Traffic multicast

Configuração de ponto de encontro

No ponto de encontro (RP), todo o tráfego de entrada da fonte multicast em 192.168.254.0/27 é enviado para o pool de NAT estático mcast_pool, onde sua fonte é traduzida para 20.20.20.0/27. O conjunto de serviços nat_ss é um conjunto de serviços de próximo salto que permite que o tráfego ip multicast seja enviado para o DPC multisserviços ou PIC multisserviços. A interface interna no PIC é ms-1/1/0.1 e a interface externa é ms-1/1/0,2.

A interface Gigabit Ethernet ge-0/3/0 transporta tráfego para fora do RP para o Roteador 1. A interface multisserviços ms-1/1/0 tem duas interfaces lógicas: a unidade 1 é a interface interna para serviços de próximo salto e a unidade 2 é a interface externa para serviços de next-hop. O tráfego de origem multicast entra na interface fast ethernet fe-1/2/1, que tem o filtro de firewall fbf aplicado ao tráfego de entrada.

Os pacotes multicast só podem ser direcionados ao DPC multisserviços ou ao PIC multisserviços usando um conjunto de serviços de próximo salto. No caso do NAT, você também deve configurar uma instância de roteamento e encaminhamento VPN (VRF). Portanto, a fase de instância de roteamento é criada como uma instância de encaminhamento "fictícia". Para direcionar os pacotes de entrada ao palco, você configura o encaminhamento baseado em filtro por meio de um filtro de firewall chamado fbf, que é aplicado à interface de entrada fe-1/2/1. Uma olhada é realizada no stage.inet.0, que tem uma rota estática multicast que é instalada com o próximo salto apontando para a interface interna do PIC. Todo o tráfego multicast correspondente a esta rota é enviado para o PIC.

A fase de instância de roteamento encaminha o tráfego multicast IP para a interface interna ms-1/1/0.1 no DPC de multisserviços ou Multisserviços PIC:

Você habilita o OSPF e o Protocol Independent Multicast (PIM) nas interfaces lógicas de Ethernet e Gigabit Ethernet rápidas sobre as quais o tráfego ip multicast entra e deixa o RP. Você também habilita o PIM na interface externa (ms-1/1/0.2) do conjunto de serviços next-hop.

Como acontece com qualquer configuração de encaminhamento baseada em filtro, para que a rota estática na fase de instância de encaminhamento tenha um próximo salto acessível, você deve configurar grupos de tabela de roteamento para que todas as rotas de interface sejam copiadas do inet.0 para a tabela de roteamento na instância de encaminhamento. Você configura as tabelas de roteamento inet.0 e stage.inet.0 como membros da fbf_rib_group, para que todas as rotas de interface sejam importadas em ambas as tabelas.

A verificação do encaminhamento de caminhos reversos (RPF) deve ser desativada para o grupo multicast no qual o NAT de origem é aplicado. Você pode desabilitar a verificação de RPF para grupos multicast específicos configurando uma política semelhante à do exemplo a seguir. Neste caso, a política de no_rpf desativa a verificação de RPF para grupos multicast pertencentes a 224.0.0.0/4.

Configuração do roteador 1

A configuração do Protocolo de Gerenciamento de Grupos de Internet (IGMP), OSPF e PIM no Roteador 1 é a seguinte. Devido à configuração estática do grupo IGMP, o tráfego é encaminhado para o receptor multicast sem receber relatórios de associação dos membros do host.

A opção de roteamento cria uma rota estática para o pool de NAT, mcast_pool, no RP.

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Lançamento
Descrição
14.2
Recomendamos que você desativar e reativar o conjunto de serviços nesses cenários no Junos OS Release 14.2 e anterior.