NESTA PÁGINA
NAT para instância de roteamento VRF
Visão geral do NAT
A tradução de endereços de rede (NAT) é um método para modificar ou traduzir informações de endereços de rede em cabeçalhos de pacotes. O NAT foi descrito na RFC 1631 para resolver problemas de esgotamento de endereçoS IPv4. O NAT é uma ferramenta útil para firewalls, redirecionamento de tráfego, compartilhamento de carga e migrações de rede.
Em uma implantação de SD-WAN, os firewalls da Série SRX são implantados nos locais de hub e spoke. Diferentes sites estão conectados ao firewall da Série SRX. Os pacotes são enviados desses sites para servidores públicos de Internet ou sites remotos. No hub, após o processamento de segurança ser concluído, o pacote é analisado para determinar se o destino é um servidor de Internet público ou um dispositivo MPLS next-hop. Se o destino for um servidor de Internet público, o NAT converte o endereço IP privado de roteamento e encaminhamento virtual (VRF) em um endereço IP público e estabelece uma sessão. Da mesma forma, o NAT é necessário para que o tráfego de servidores públicos de Internet chegue a uma rede privada VRF.
Os seguintes tipos de NAT são suportados em dispositivos da Juniper Networks:
NAT estático
NAT de destino
NAT de origem
Exemplo: Configuração do NAT de origem para converter o endereço IP privado de uma instância VRF no endereço IP privado de outra instância VRF
Este exemplo descreve como configurar um NAT de origem entre duas redes MPLS.
Requisitos
Antes de começar
-
Entenda como os firewalls da Série SRX funcionam em uma implantação de SD-WAN para NAT. Veja a visão geral do NAT.
-
Entenda as instâncias de roteamento e encaminhamento virtual. Veja instâncias de roteamento e encaminhamento virtuais em implantações de SD-WAN.
Pré-requisitos de exemplo
-
Requisitos de software: Suportado apenas no Junos OS Release 15.1X49-D160.
-
Requisitos de hardware: dispositivos de firewall da Série SRX.
Visão geral
NAT de origem é a tradução do endereço IP de origem de um pacote que deixa o dispositivo da Juniper Networks. O NAT de origem é usado para permitir que hosts com endereços IP privados acessem uma rede pública.
Neste exemplo, o firewall da Série SRX conecta duas redes privadas MPLS para converter o endereço IP privado de um endereço IP privado de um VRF para o endereço IP privado de outro VRF. Na Figura 1, o firewall da Série SRX é configurado com instâncias de roteamento VRF-a e VRF-b, que estão conectadas ao firewall da Série SRX do hub. O site C e o site D estão conectados a outro firewall spoke da Série SRX. No firewall hub da Série SRX, o IP de origem aborda 192.168.1.200 e 192.168.1.201 de instâncias de roteamento VRF-a e VRF-b são traduzidos para 203.0.113.200 e 203.0.113.201.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 30:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 40:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set routing-instances VRF-a1 instance-type vrf set routing-instances VRF-a1 route-distinguisher 60:200 set routing-instances VRF-a1 vrf-target target:300:100 set routing-instances VRF-a1 vrf-table-label set routing-instances VRF-b1 instance-type vrf set routing-instances VRF-b1 route-distinguisher 50:200 set routing-instances VRF-b1 vrf-target target:400:100 set routing-instances VRF-b1 vrf-table-label set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-instance VRF-a set security nat source rule-set vrf-a_rs to routing-instance VRF-a1 set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-instance VRF-b set security nat source rule-set vrf-b_rs to routing-instance VRF-b1 set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração.
Para configurar o mapeamento NAT de origem:
As VPNs de camada 3 exigem uma tabela VRF para distribuir rotas dentro das redes. Crie uma instância VRF e especifique o valor vrf.
[edit routing-instances] user@host#set VRF-a instance-type vrf user@host#set VRF-b instance-type vrf user@host#set VRF-a1 instance-type vrf user@host#set VRF-b1 instance-type vrf
Atribua um diferencial de rota à instância de roteamento.
[edit routing-instances] user@host#set VRF-a route-distinguisher 30:200 user@host#set VRF-b route-distinguisher 40:200 user@host#set VRF-a1 route-distinguisher 60:200 user@host#set VRF-b1 route-distinguisher 50:200
Crie uma política de comunidade para importar ou exportar todas as rotas.
[edit routing-instances] user@host#set VRF-a vrf-target target:100:100 user@host#set VRF-b vrf-target target:200:100 user@host#set VRF-a1 vrf-target target:300:100 user@host#set VRF-b1 vrf-target target:400:100
Atribua um único rótulo de VPN para todas as rotas do VRF.
[edit routing-instances] user@host#set VRF-a vrf-table-label user@host#set VRF-a1 vrf-table-label user@host#set VRF-b vrf-table-label user@host#set VRF-b1 vrf-table-label
Crie um pool de NAT de origem.
[edit security nat source] user@host#set vrf-a_p address 203.0.113.200 user@host#set vrf-b_p address 203.0.113.201
Crie um conjunto de regras de NAT de origem.
[edit security nat source] user@host#set rule-set vrf-a_rs from routing-instance VRF-a user@host#set rule-set vrf-a_rs to routing-instance VRF-a1 user@host#set rule-set vrf-b_rs from routing-instance VRF-b user@host#set rule-set vrf-b_rs to routing-instance VRF-b1
Configure uma regra que combine pacotes e traduza o endereço IP de origem para um endereço IP no pool de NAT de origem.
[edit security nat source] user@host# set rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 user@host# set rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p user@host# set rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 user@host# set rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat
comandos e show routing-instances
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat source { pool vrf-a_p { address { 203.0.113.200/32; } } pool vrf-b_p { address { 203.0.113.201/32; } } rule-set vrf-a_rs { from routing-instance VRF-a; to routing-instance VRF-a1; rule rule1 { match { source-address 192.168.1.200/32; } then { source-nat { pool { vrf-a_p; } } } } } rule-set vrf-b_rs { from routing-instance VRF-b; to routing-instance VRF-b1; rule rule2 { match { source-address 192.168.1.201/32; } then { source-nat { pool { vrf-b_p; } } } } } }
[edit] user@host# show routing-instances VRF-a { instance-type vrf; route-distinguisher 30:200; vrf-target target:100:100; vrf-table-label; } VRF-a1 { instance-type vrf; route-distinguisher 60:200; vrf-target target:300:100; vrf-table-label; } VRF-b { instance-type vrf; route-distinguisher 40:200; vrf-target target:200:100; vrf-table-label; } VRF-b1 { instance-type vrf; route-distinguisher 50:200; vrf-target target:400:100; vrf-table-label; }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificação do uso de regras de NAT de origem
Propósito
Verifique se há tráfego que corresponda à regra NAT de origem.
Ação
A partir do modo operacional, entre no show security nat source rule all
comando. No campo de tradução, verifique se há tráfego que corresponda à regra de NAT de origem.
user@host>show security nat source rule all Total rules: 2 Total referenced IPv4/IPv6 ip-prefixes: 2/0 source NAT rule: rule1 Rule-set: vrf-a_rs Rule-Id : 1 Rule position : 1 From routing instance : VRF-a To routing instance : VRF-a1 Match Source addresses : 192.168.1.200 - 192.168.1.200 Action : vrf-a_p Persistent NAT type : N/A Persistent NAT mapping type : address-port-mapping Inactivity timeout : 0 Max session number : 0 Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0 source NAT rule: rule2 Rule-set: vrf-b_rs Rule-Id : 2 Rule position : 2 From routing instance : VRF-b To routing instance : VRF-b1 Match Source addresses : 192.168.1.201 - 192.168.1.201 Action : vrf-b_p Persistent NAT type : N/A Persistent NAT mapping type : address-port-mapping Inactivity timeout : 0 Max session number : 0 Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0
Exemplo: Configuração do NAT de destino para converter endereço IP público no endereço IP privado único da VRF de uma instância VRF
Este exemplo descreve como configurar o mapeamento NAT de destino de um endereço IP público para o endereço privado do VRF único para direcionar os pacotes para a instância VRF correta.
Requisitos
Entenda como os firewalls da Série SRX funcionam em uma implantação de SD-WAN para NAT. Veja a visão geral do NAT.
Entenda as instâncias de roteamento e encaminhamento virtual. Veja instâncias de roteamento e encaminhamento virtuais em implantações de SD-WAN.
Visão geral
NAT de destino é a tradução do endereço IP de destino de um pacote que entra no dispositivo da Juniper Networks. O NAT de destino é usado para redirecionar o tráfego destinado a um host virtual (identificado pelo endereço IP de destino original) para o host real (identificado pelo endereço IP de destino traduzido).
Neste exemplo, um firewall da Série SRX é configurado com NAT de destino para converter um endereço IP público no endereço IP privado VRF de uma instância VRF. O endereço IP público pode ser configurado por instância VRF. Na Figura 2, o firewall da Série SRX é configurado com duas instâncias VRF, VRF-a e VRF-b. O firewall da Série SRX encobriu o endereço IP público em endereço IP privado de uma instância VRF.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 30:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 40:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set security nat destination pool vrf-a_p routing-instance VRF-a set security nat destination pool vrf-a_p address 192.168.1.200 set security nat destination rule-set rs from interface ge-0/0/0 set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200 set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p set security nat destination pool vrf-b_p routing-instance VRF-b set security nat destination pool vrf-b_p address 192.168.1.201 set security nat destination rule-set rs from interface ge-0/0/1 set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201 set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração.
Para configurar o mapeamento NAT de destino para um único VRF:
As VPNs de camada 3 exigem uma tabela VRF para distribuir rotas dentro das redes. Crie uma instância VRF e especifique o valor vrf.
[edit routing-instances] user@host#set VRF-a instance-type vrf user@host#set VRF-b instance-type vrf
Atribua um diferencial de rota à instância de roteamento.
[edit routing-instances] user@host#set VRF-a route-distinguisher 30:200 user@host#set VRF-b route-distinguisher 40:200
Crie uma política de comunidade para importar ou exportar todas as rotas.
[edit routing-instances] user@host#set VRF-a vrf-target target:100:100 user@host#set VRF-b vrf-target target:200:100
Atribua um único rótulo de VPN para todas as rotas do VRF.
[edit routing-instances] user@host#set VRF-a vrf-table-label user@host#set VRF-b vrf-table-label
Especifique um pool de endereços IP NAT de destino.
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
Atribua a instância de roteamento ao pool de destino.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b
Crie um conjunto de regras de NAT de destino.
[edit security nat destination] user@host# set rule-set rs from interface ge-0/0/0 user@host# set rule-set rs from interface ge-0/0/1
Configure uma regra que combine pacotes e traduza o endereço IP de destino para um endereço IP no pool de endereços IP NAT de destino.
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat
comandos e show routing-instances
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat destination { pool vrf-a_p { routing-instance { VRF-a; } address 192.168.1.200/32; } pool vrf-b_p { routing-instance { VRF-b; } address 192.168.1.201/32; } rule-set rs { from interface [ ge-0/0/0.0 ge-0/0/1.0 ]; rule vrf-a_r { match { destination-address 203.0.113.200/32; } then { destination-nat { pool { vrf-a_p; } } } } rule vrf-b_r { match { destination-address 203.0.113.201/32; } then { destination-nat { pool { vrf-b_p; } } } } } }
[edit] user@host# show routing-instances VRF-a { instance-type vrf; route-distinguisher 30:200; vrf-target target:100:100; vrf-table-label; } VRF-b { instance-type vrf; route-distinguisher 40:200; vrf-target target:200:100; vrf-table-label; }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificação da utilização das regras de NAT de destino
Propósito
Verifique se há tráfego que corresponda à regra NAT de destino.
Ação
A partir do modo operacional, entre no show security nat destination rule all
comando. No campo de tradução, verifique se há tráfego que corresponda à regra de NAT de destino.
user@host> show security nat destination rule all Total destination-nat rules: 2 Total referenced IPv4/IPv6 ip-prefixes: 2/0 Destination NAT rule: vrf-a_r Rule-set: rs Rule-Id : 1 Rule position : 1 From interface : ge-0/0/0.0 : ge-0/0/1.0 Destination addresses : 203.0.113.200 - 203.0.113.200 Action : vrf-a_p Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0 Destination NAT rule: vrf-b_r Rule-set: rs Rule-Id : 2 Rule position : 2 From interface : ge-0/0/0.0 : ge-0/0/1.0 Destination addresses : 203.0.113.201 - 203.0.113.201 Action : vrf-b_p Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0
Exemplo: configuração de NAT estático para converter o endereço IP privado de uma instância VRF em endereço IP público
Este exemplo descreve como configurar um mapeamento NAT estático de endereço IP privado VRF em um endereço IP público.
Requisitos
Entenda como os firewalls da Série SRX funcionam em uma implantação de SD-WAN para NAT. Veja a visão geral do NAT.
Visão geral
Neste exemplo, um firewall da Série SRX é configurado com NAT estático para converter o endereço IP privado VRF de uma instância VRF em um endereço IP público de uma instância VRF. O NAT estático pode ser aplicado no NAT de origem e nat de destino. Na Figura 3, o firewall da Série SRX é configurado com duas instâncias VRF, VRF-a e VFR-b. O firewall da Série SRX converte o endereço IP privado de uma instância VRF em um endereço IP público.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 30:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 40:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set security nat static rule-set rs from interface ge-0/0/0 set security nat static rule-set rs rule vrf-a_r match static-address 203.0.113.200 set security nat static rule-set rs rule vrf-a_r then static-nat prefix 192.168.1.200 set security nat static rule-set rs rule vrf-a_r then static-nat prefix routing-instance VRF-a set security nat static rule-set rs from interface ge-0/0/1 set security nat static rule-set rs rule vrf-b_r match static-address 203.0.113.201 set security nat static rule-set rs rule vrf-b_r then static-nat prefix 192.168.1.201 set security nat static rule-set rs rule vrf-b_r then static-nat prefix routing-instance VRF-b
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração.
Para configurar o mapeamento NAT estático para o endereço IP de um único VRF:
As VPNs de camada 3 exigem uma tabela VRF para distribuir rotas dentro das redes. Crie uma instância VRF e especifique o valor vrf.
[edit routing-instances] user@host#set VRF-a instance-type vrf user@host#set VRF-b instance-type vrf
Atribua um diferencial de rota à instância de roteamento.
[edit routing-instances] user@host#set VRF-a route-distinguisher 30:200 user@host#set VRF-b route-distinguisher 40:200
Crie uma política de comunidade para importar ou exportar todas as rotas.
[edit routing-instances] user@host#set VRF-a vrf-target target:100:100 user@host#set VRF-b vrf-target target:200:100
Atribua um único rótulo de VPN para todas as rotas do VRF.
[edit routing-instances] user@host#set VRF-a vrf-table-label user@host#set VRF-b vrf-table-label
Crie um conjunto de regras de NAT estática.
[edit security nat static] user@host# set rule-set rs from interface ge-0/0/0 user@host# set rule-set rs from interface ge-0/0/1
Configure uma regra que combine pacotes e traduza o endereço de destino nos pacotes para um endereço IP privado.
[edit security nat static] user@host# set rule-set rs rule vrf-a_r match static-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then static-nat prefix 192.168.1.200 user@host# set rule-set rs rule vrf-a_r then static-nat prefix routing-instance VRF-a user@host# set rule-set rs rule vrf-b_r match static-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then static-nat prefix 192.168.1.201 user@host# set rule-set rs rule vrf-b_r then static-nat prefix routing-instance VRF-b
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security nat
comandos e show routing-instances
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat static { rule-set rs { from interface [ ge-0/0/0.0 ge-0/0/1.0 ]; rule vrf-a_r { match { destination-address 203.0.113.200/32; } then { static-nat { prefix { 192.168.1.200/32; routing-instance VRF-a; } } } } rule vrf-b_r { match { destination-address 203.0.113.201/32; } then { static-nat { prefix { 192.168.1.201/32; routing-instance VRF-b; } } } } } }
[edit] user@host# show routing-instances VRF-a { instance-type vrf; route-distinguisher 30:200; vrf-target target:100:100; vrf-table-label; } VRF-b { instance-type vrf; route-distinguisher 40:200; vrf-target target:200:100; vrf-table-label; }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificação do uso de regras de NAT estática
Propósito
Verifique se há tráfego que corresponda à regra de NAT estática.
Ação
A partir do modo operacional, entre no show security nat static rule
comando. No campo de tradução, verifique se há tráfego que corresponda à regra de NAT estática.
user@host> show security nat static rule all Total static-nat rules: 2 Total referenced IPv4/IPv6 ip-prefixes: 4/0 Static NAT rule: vrf-a_r Rule-set: rs Rule-Id : 1 Rule position : 1 From interface : ge-0/0/0.0 : ge-0/0/1.0 Destination addresses : 203.0.113.200 Host addresses : 192.168.1.200 Netmask : 32 Host routing-instance : VRF-a Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0 Static NAT rule: vrf-b_r Rule-set: rs Rule-Id : 2 Rule position : 2 From interface : ge-0/0/0.0 : ge-0/0/1.0 Destination addresses : 203.0.113.201 Host addresses : 192.168.1.201 Netmask : 32 Host routing-instance : VRF-b Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0