Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

NAT para instância de roteamento VRF

Visão geral do NAT

A tradução de endereços de rede (NAT) é um método para modificar ou traduzir informações de endereços de rede em cabeçalhos de pacotes. O NAT foi descrito na RFC 1631 para resolver problemas de esgotamento de endereçoS IPv4. O NAT é uma ferramenta útil para firewalls, redirecionamento de tráfego, compartilhamento de carga e migrações de rede.

Em uma implantação de SD-WAN, os firewalls da Série SRX são implantados nos locais de hub e spoke. Diferentes sites estão conectados ao firewall da Série SRX. Os pacotes são enviados desses sites para servidores públicos de Internet ou sites remotos. No hub, após o processamento de segurança ser concluído, o pacote é analisado para determinar se o destino é um servidor de Internet público ou um dispositivo MPLS next-hop. Se o destino for um servidor de Internet público, o NAT converte o endereço IP privado de roteamento e encaminhamento virtual (VRF) em um endereço IP público e estabelece uma sessão. Da mesma forma, o NAT é necessário para que o tráfego de servidores públicos de Internet chegue a uma rede privada VRF.

Os seguintes tipos de NAT são suportados em dispositivos da Juniper Networks:

  • NAT estático

  • NAT de destino

  • NAT de origem

Exemplo: Configuração do NAT de origem para converter o endereço IP privado de uma instância VRF no endereço IP privado de outra instância VRF

Este exemplo descreve como configurar um NAT de origem entre duas redes MPLS.

Requisitos

Antes de começar

Pré-requisitos de exemplo

  • Requisitos de software: Suportado apenas no Junos OS Release 15.1X49-D160.

  • Requisitos de hardware: dispositivos de firewall da Série SRX.

Visão geral

NAT de origem é a tradução do endereço IP de origem de um pacote que deixa o dispositivo da Juniper Networks. O NAT de origem é usado para permitir que hosts com endereços IP privados acessem uma rede pública.

Neste exemplo, o firewall da Série SRX conecta duas redes privadas MPLS para converter o endereço IP privado de um endereço IP privado de um VRF para o endereço IP privado de outro VRF. Na Figura 1, o firewall da Série SRX é configurado com instâncias de roteamento VRF-a e VRF-b, que estão conectadas ao firewall da Série SRX do hub. O site C e o site D estão conectados a outro firewall spoke da Série SRX. No firewall hub da Série SRX, o IP de origem aborda 192.168.1.200 e 192.168.1.201 de instâncias de roteamento VRF-a e VRF-b são traduzidos para 203.0.113.200 e 203.0.113.201.

Figura 1: Conversão Source NAT conversion de NAT de origem

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração.

Para configurar o mapeamento NAT de origem:

  1. As VPNs de camada 3 exigem uma tabela VRF para distribuir rotas dentro das redes. Crie uma instância VRF e especifique o valor vrf.

  2. Atribua um diferencial de rota à instância de roteamento.

  3. Crie uma política de comunidade para importar ou exportar todas as rotas.

  4. Atribua um único rótulo de VPN para todas as rotas do VRF.

  5. Crie um pool de NAT de origem.

  6. Crie um conjunto de regras de NAT de origem.

  7. Configure uma regra que combine pacotes e traduza o endereço IP de origem para um endereço IP no pool de NAT de origem.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security nat comandos e show routing-instances os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificação do uso de regras de NAT de origem
Propósito

Verifique se há tráfego que corresponda à regra NAT de origem.

Ação

A partir do modo operacional, entre no show security nat source rule all comando. No campo de tradução, verifique se há tráfego que corresponda à regra de NAT de origem.

Exemplo: Configuração do NAT de destino para converter endereço IP público no endereço IP privado único da VRF de uma instância VRF

Este exemplo descreve como configurar o mapeamento NAT de destino de um endereço IP público para o endereço privado do VRF único para direcionar os pacotes para a instância VRF correta.

Requisitos

Visão geral

NAT de destino é a tradução do endereço IP de destino de um pacote que entra no dispositivo da Juniper Networks. O NAT de destino é usado para redirecionar o tráfego destinado a um host virtual (identificado pelo endereço IP de destino original) para o host real (identificado pelo endereço IP de destino traduzido).

Neste exemplo, um firewall da Série SRX é configurado com NAT de destino para converter um endereço IP público no endereço IP privado VRF de uma instância VRF. O endereço IP público pode ser configurado por instância VRF. Na Figura 2, o firewall da Série SRX é configurado com duas instâncias VRF, VRF-a e VRF-b. O firewall da Série SRX encobriu o endereço IP público em endereço IP privado de uma instância VRF.

Figura 2: NAT Destination NAT de destino

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração.

Para configurar o mapeamento NAT de destino para um único VRF:

  1. As VPNs de camada 3 exigem uma tabela VRF para distribuir rotas dentro das redes. Crie uma instância VRF e especifique o valor vrf.

  2. Atribua um diferencial de rota à instância de roteamento.

  3. Crie uma política de comunidade para importar ou exportar todas as rotas.

  4. Atribua um único rótulo de VPN para todas as rotas do VRF.

  5. Especifique um pool de endereços IP NAT de destino.

  6. Atribua a instância de roteamento ao pool de destino.

  7. Crie um conjunto de regras de NAT de destino.

  8. Configure uma regra que combine pacotes e traduza o endereço IP de destino para um endereço IP no pool de endereços IP NAT de destino.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security nat comandos e show routing-instances os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificação da utilização das regras de NAT de destino

Propósito

Verifique se há tráfego que corresponda à regra NAT de destino.

Ação

A partir do modo operacional, entre no show security nat destination rule all comando. No campo de tradução, verifique se há tráfego que corresponda à regra de NAT de destino.

Exemplo: configuração de NAT estático para converter o endereço IP privado de uma instância VRF em endereço IP público

Este exemplo descreve como configurar um mapeamento NAT estático de endereço IP privado VRF em um endereço IP público.

Requisitos

Entenda como os firewalls da Série SRX funcionam em uma implantação de SD-WAN para NAT. Veja a visão geral do NAT.

Visão geral

Neste exemplo, um firewall da Série SRX é configurado com NAT estático para converter o endereço IP privado VRF de uma instância VRF em um endereço IP público de uma instância VRF. O NAT estático pode ser aplicado no NAT de origem e nat de destino. Na Figura 3, o firewall da Série SRX é configurado com duas instâncias VRF, VRF-a e VFR-b. O firewall da Série SRX converte o endereço IP privado de uma instância VRF em um endereço IP público.

Figura 3: NAT Static NAT estático

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração.

Para configurar o mapeamento NAT estático para o endereço IP de um único VRF:

  1. As VPNs de camada 3 exigem uma tabela VRF para distribuir rotas dentro das redes. Crie uma instância VRF e especifique o valor vrf.

  2. Atribua um diferencial de rota à instância de roteamento.

  3. Crie uma política de comunidade para importar ou exportar todas as rotas.

  4. Atribua um único rótulo de VPN para todas as rotas do VRF.

  5. Crie um conjunto de regras de NAT estática.

  6. Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço IP privado.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show security nat comandos e show routing-instances os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Verificação do uso de regras de NAT estática

Propósito

Verifique se há tráfego que corresponda à regra de NAT estática.

Ação

A partir do modo operacional, entre no show security nat static rule comando. No campo de tradução, verifique se há tráfego que corresponda à regra de NAT estática.