NESTA PÁGINA
NAT para VRF Group
Visão geral
Na rede SD-WAN, o NAT é usado quando você converte o IP privado em um pool de IP global em um grupo VRF. Um firewall da Série SRX pode ser configurado usando o NAT do grupo VRF a seguir para traduzir os IPs determinados pertencentes a um determinado grupo VRF a diferentes IPs pertencentes a diferentes instâncias VRF:
NAT de destino de grupo VRF
NAT de origem do grupo VRF
NAT estático do grupo VRF
Exemplo: Configuração do NAT de origem para converter o endereço IP privado de um Grupo VRF no endereço IP privado de diferentes instâncias VRF
Este exemplo descreve como configurar um NAT de origem entre duas redes MPLS.
Requisitos
Entenda como os firewalls da Série SRX funcionam em uma implantação de SD-WAN para NAT.
Entenda o grupo virtual em NAT, instâncias de roteamento virtual e encaminhamento. Veja instâncias de roteamento e encaminhamento virtuais em implantações de SD-WAN.
Visão geral
NAT de origem é a tradução do endereço IP de origem de um pacote que deixa o dispositivo da Juniper Networks. O NAT de origem é usado para permitir que hosts com endereços IP privados acessem uma rede pública.
Na Figura 1, o firewall da Série SRX está configurado com vpn-A e vpn-B do grupo VRF, que estão conectadas às interfaces ge-0/0/1.0 e ge-0/0/1.1 no firewall da Série SRX. No firewall hub da Série SRX, o IP de origem aborda 192.168.1.200 e 192.168.1.201 do grupo VRF vpn-A e vpn-B são traduzidos para 203.0.113.200 e 203.0.113.201.
VRF
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to interface ge-0/0/1.0 set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to interface ge-0/0/1.1 set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração.
Para configurar o mapeamento NAT de origem:
Nas VPNs de Camada 3, crie um grupo VRF vpn-A com instâncias VRF A1 e A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Crie outro grupo VRF vpn-B com instâncias VRF B1 e B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Crie um pool de NAT de origem.
[edit security nat source pool] user@host#set vrf-a_p address 203.0.113.200 user@host#set vrf-b_p address 203.0.113.201
Crie um conjunto de regras de NAT de origem.
[edit security nat source] user@host#set rule-set vrf-a_rs from routing-group vpn-A user@host#set rule-set vrf-a_rs to interface ge-0/0/1.0 user@host#set rule-set vrf-b_rs from routing-group vpn-B user@host#set rule-set vrf-b_rs to interface ge-0/0/1.1
Configure uma regra que combine pacotes e traduza o endereço IP de origem para um endereço IP no pool de NAT de origem.
[edit security nat source] user@host# set rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 user@host# set rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p user@host# set rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 user@host# set rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to interface ge-0/0/1.0;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to interface ge-0/0/1.1;
rule rule2 {
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Verificação do uso de regras de NAT de origem
Propósito
Verifique se há tráfego que corresponda à regra NAT de origem.
Ação
A partir do modo operacional, entre no show security nat source rule all comando. No campo de tradução, verifique se há tráfego que corresponda à regra de NAT de origem.
user@host>show security nat source rule all
Total rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
rule: rule1 Rule-set: vrf-a_rs
Rule-Id : 1
Rule position : 1
From routing-Group : vpn-A
To interface : ge-0/0/1.0
Match
Source addresses : 192.168.1.200 - 192.168.1.200
Action : vrf-a_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
rule: rule2 Rule-set: vrf-b_rs
Rule-Id : 2
Rule position : 2
From routing-Group : vpn-B
To interface : ge-0/0/1.1
Match
Source addresses : 192.168.1.201 - 192.168.1.201
Action : vrf-b_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Exemplo: Configuração do NAT de destino para converter endereço IP público de um grupo VRF ao endereço IP privado de diferentes instâncias VRF
Este exemplo descreve como configurar o mapeamento NAT de destino de um endereço IP público de um grupo VRF para o endereço privado do VRF único para direcionar os pacotes para a instância VRF correta.
Requisitos
Entenda como os firewalls da Série SRX funcionam em uma implantação de SD-WAN para NAT.
Entenda as instâncias de roteamento e encaminhamento virtual. Veja instâncias de roteamento e encaminhamento virtuais em implantações de SD-WAN.
Visão geral
NAT de destino é a tradução do endereço IP de destino de um pacote que entra no dispositivo da Juniper Networks. O NAT de destino é usado para redirecionar o tráfego destinado a um host virtual (identificado pelo endereço IP de destino original) para o host real (identificado pelo endereço IP de destino traduzido).
Na Figura 2, o firewall da Série SRX está configurado nat de destino para converter de IP's que pertencem a diferentes grupos VRF, para diferentes conjuntos de IP's com instância de roteamento apontando para diferentes VRF. Após a pesquisa de regras de NAT de destino, o NAT atualiza a tabela de roteamento de destino para apontar para a instância VRF certa para que o fluxo faça a pesquisa da rota de destino na tabela certa.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat destination pool vrf-a_p routing-instance VRF-a set security nat destination pool vrf-a_p address 192.168.1.200 set security nat destination rule-set rs from routing-group vpn-A set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200 set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p set security nat destination pool vrf-b_p routing-instance VRF-b set security nat destination pool vrf-b_p address 192.168.1.201 set security nat destination rule-set rs from routing-group vpn-B set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201 set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração.
Para configurar o mapeamento NAT de destino para um único VRF:
Nas VPNs de Camada 3, crie um grupo VRF vpn-A com instâncias VRF A1 e A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Crie outro grupo VRF vpn-B com instâncias VRF B1 e B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Especifique um pool de endereços IP NAT de destino.
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
Atribua a instância de roteamento ao pool de destino.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b
Crie um conjunto de regras de NAT de destino.
[edit security nat destination] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B
Configure uma regra que combine pacotes e traduza o endereço IP de destino para um endereço IP no pool de endereços IP NAT de destino.
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security nat comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show security nat
destination {
pool vrf-a_p {
routing-instance {
VRF-a;
}
address 192.168.1.200/32;
}
pool vrf-b_p {
routing-instance {
VRF-b;
}
address 192.168.1.201/32;
}
rule-set rs {
from routing-group [ vpn-A vpn-B ];
rule vrf-a_r {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 203.0.113.201/32;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Verificação da utilização das regras de NAT de destino
Propósito
Verifique se há tráfego que corresponda à regra NAT de destino.
Ação
A partir do modo operacional, entre no show security nat destination rule all comando. No campo de tradução, verifique se há tráfego que corresponda à regra de NAT de destino.
user@host> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: vrf-a_r Rule-set: rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Destination NAT rule: vrf-b_r Rule-set: rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0