NESTA PÁGINA
NAT para grupo VRF
Visão geral
Na rede SD-WAN, o NAT é usado quando você converte o IP privado em um pool ip global em um grupo VRF. Um dispositivo SRX pode ser configurado usando o seguinte GRUPO VRF NAT para traduzir os determinados IPs pertencentes a um determinado grupo VRF para diferentes IPs pertencentes a diferentes instâncias VRF:
NAT de destino de grupo VRF
NAT de origem do grupo VRF
NAT estático do grupo VRF
Exemplo: configurar o NAT de origem para converter o endereço IP privado de um Grupo VRF ao endereço IP privado de diferentes instâncias VRF
Este exemplo descreve como configurar um NAT de origem entre duas redes MPLS.
Requisitos
Entenda como os dispositivos da Série SRX funcionam em uma implantação de SD-WAN para NAT.
Entenda o grupo virtual em NAT, roteamento virtual e instâncias de encaminhamento. Veja instâncias de roteamento e encaminhamento virtuais em implantações de SD-WAN.
Visão geral
NAT de origem é a tradução do endereço IP de origem de um pacote que sai do dispositivo Juniper Networks. O NAT de origem é usado para permitir que hosts com endereços IP privados acessem uma rede pública.
Na Figura 1, o dispositivo da Série SRX está configurado com o grupo VRF vpn-A e vpn-B, que estão conectados às interfaces ge-0/0/1.0 e ge-0/0/1.1 no dispositivo da Série SRX. No dispositivo da Série SRX hub, o IP de origem aborda 192.168.1.200 e 192.168.1.201 do grupo VRF vpn-A e vpn-B são traduzidos para 203.0.113.200 e 203.0.113.201.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to interface ge-0/0/1.0 set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to interface ge-0/0/1.1 set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração.
Para configurar o mapeamento NAT de origem:
Nas VPNs de Camada 3 crie um grupo VRF vpn-A com instâncias VRF A1 e A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Crie outro grupo VRF vpn-B com instâncias VRF B1 e B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Crie um pool NAT de origem.
[edit security nat source pool] user@host#set vrf-a_p address 203.0.113.200 user@host#set vrf-b_p address 203.0.113.201
Crie um conjunto de regras de NAT de origem.
[edit security nat source] user@host#set rule-set vrf-a_rs from routing-group vpn-A user@host#set rule-set vrf-a_rs to interface ge-0/0/1.0 user@host#set rule-set vrf-b_rs from routing-group vpn-B user@host#set rule-set vrf-b_rs to interface ge-0/0/1.1
Configure uma regra que combine pacotes e traduz o endereço IP de origem para um endereço IP no pool NAT de origem.
[edit security nat source] user@host# set rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 user@host# set rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p user@host# set rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 user@host# set rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat source { pool vrf-a_p { address { 203.0.113.200/32; } } pool vrf-b_p { address { 203.0.113.201/32; } } rule-set vrf-a_rs { from routing-group vpn-A; to interface ge-0/0/1.0; rule rule1 { match { source-address 192.168.1.200/32; } then { source-nat { pool { vrf-a_p; } } } } } rule-set vrf-b_rs { from routing-group vpn-B; to interface ge-0/0/1.1; rule rule2 { match { source-address 192.168.1.201/32; } then { source-nat { pool { vrf-b_p; } } } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando o uso das regras do NAT de origem
Propósito
Verifique se há tráfego que corresponda à regra NAT de origem.
Ação
Do modo operacional, entre no show security nat source rule all
comando. No campo de tradução, verifique se há tráfego que corresponda à regra nat de origem.
user@host>show security nat source rule all Total rules: 2 Total referenced IPv4/IPv6 ip-prefixes: 2/0 rule: rule1 Rule-set: vrf-a_rs Rule-Id : 1 Rule position : 1 From routing-Group : vpn-A To interface : ge-0/0/1.0 Match Source addresses : 192.168.1.200 - 192.168.1.200 Action : vrf-a_p Persistent NAT type : N/A Persistent NAT mapping type : address-port-mapping Inactivity timeout : 0 Max session number : 0 Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0 rule: rule2 Rule-set: vrf-b_rs Rule-Id : 2 Rule position : 2 From routing-Group : vpn-B To interface : ge-0/0/1.1 Match Source addresses : 192.168.1.201 - 192.168.1.201 Action : vrf-b_p Persistent NAT type : N/A Persistent NAT mapping type : address-port-mapping Inactivity timeout : 0 Max session number : 0 Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0
Exemplo: configurar o NAT de destino para converter endereço IP público de um grupo VRF ao endereço IP privado de diferentes instâncias vrf
Este exemplo descreve como configurar o mapeamento NAT de destino de um endereço IP público de um grupo VRF para o endereço privado do único VRF para direcionar os pacotes para a instância VRF correta.
Requisitos
Entenda como os dispositivos da Série SRX funcionam em uma implantação de SD-WAN para NAT.
Entenda as instâncias de roteamento e encaminhamento virtual. Veja instâncias de roteamento e encaminhamento virtuais em implantações de SD-WAN.
Visão geral
O NAT de destino é a tradução do endereço IP de destino de um pacote que entra no dispositivo Juniper Networks. O NAT de destino é usado para redirecionar o tráfego destinado a um host virtual (identificado pelo endereço IP de destino original) para o host real (identificado pelo endereço IP de destino traduzido).
Na Figura 2, o dispositivo da Série SRX está configurado nat de destino para converter de IPs que pertencem a diferentes grupos VRF, para diferentes conjuntos de IPs com instâncias de roteamento apontando para DIFERENTES VRF. Após a pesquisa de regras do NAT de destino, o NAT atualiza a tabela de roteamento de destino para apontar para a instância VRF certa para que o fluxo faça a busca da rota de destino na tabela certa.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat destination pool vrf-a_p routing-instance VRF-a set security nat destination pool vrf-a_p address 192.168.1.200 set security nat destination rule-set rs from routing-group vpn-A set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200 set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p set security nat destination pool vrf-b_p routing-instance VRF-b set security nat destination pool vrf-b_p address 192.168.1.201 set security nat destination rule-set rs from routing-group vpn-B set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201 set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração.
Para configurar o mapeamento NAT de destino para um único VRF:
Nas VPNs de Camada 3 crie um grupo VRF vpn-A com instâncias VRF A1 e A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Crie outro grupo VRF vpn-B com instâncias VRF B1 e B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Especifique um pool de endereços IP NAT de destino.
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
Atribua a instância de roteamento ao pool de destino.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b
Crie um conjunto de regras de NAT de destino.
[edit security nat destination] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B
Configure uma regra que combine pacotes e traduz o endereço IP de destino para um endereço IP no pool de endereços IP NAT de destino.
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security nat destination { pool vrf-a_p { routing-instance { VRF-a; } address 192.168.1.200/32; } pool vrf-b_p { routing-instance { VRF-b; } address 192.168.1.201/32; } rule-set rs { from routing-group [ vpn-A vpn-B ]; rule vrf-a_r { match { destination-address 203.0.113.200/32; } then { destination-nat { pool { vrf-a_p; } } } } rule vrf-b_r { match { destination-address 203.0.113.201/32; } then { destination-nat { pool { vrf-b_p; } } } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando o uso das regras do NAT de destino
Propósito
Verifique se há tráfego que corresponda à regra NAT de destino.
Ação
Do modo operacional, entre no show security nat destination rule all
comando. No campo de tradução, verifique se há tráfego que corresponda à regra nat de destino.
user@host> show security nat destination rule all Total destination-nat rules: 2 Total referenced IPv4/IPv6 ip-prefixes: 2/0 Destination NAT rule: vrf-a_r Rule-set: rs Rule-Id : 1 Rule position : 1 From routing-group : vpn-A Destination addresses : 203.0.113.200 - 203.0.113.200 Action : vrf-a_p Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0 Destination NAT rule: vrf-b_r Rule-set: rs Rule-Id : 2 Rule position : 2 From routing-group : vpn-A Destination addresses : 203.0.113.201 - 203.0.113.201 Action : vrf-b_p Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0