Junos Space 网络管理平台的 NAT 配置概述
要管理设备,Junos Space 网络管理平台支持由设备或 Junos Space 平台发起的连接。如果通过设备发起的连接来管理设备,Junos Space 平台将推送 Junos Space 的设备管理 IP 地址,并在发现设备或修改设备管理 IP 地址时在设备上配置出站 SSH 节。在设备发现和重新连接到设备期间,设备会启动到 Junos Space 平台的出站 SSH 连接。如果通过 Junos Space 发起的连接来管理设备,则会从 Junos Space 平台启动到该设备的 SSH 连接。
在 Junos Space 设置上启用 NAT 将允许放置在 Junos Space 设置之外的设备连接到 Junos Space 平台和 Junos Space 应用程序。在 Junos Space 设置上启用 NAT 服务器会使用通过 NAT 转换的 IP 地址作为出站 SSH 配置来连接设备,并捕获通过 NAT 转换的 IP 地址以发送陷阱,而不是实际的设备管理和陷阱 IP 地址。在配置 NAT 之后或更新 NAT 配置时,这些转换后的 IP 地址将更新并发送到使用 NAT 服务器管理的设备。
您可以从“管理”工作区在正在运行的 Junos Space 设置上配置并启用网络地址转换 (NAT) 服务器。在初始部署期间创建 Junos Space 安装程序时,也可以使用 Junos Space CLI 配置和启用 NAT。如果配置 NAT 服务器,则必须在 NAT 服务器上设置转发规则,以启用 Junos Space 交换矩阵与通过 NAT 服务器管理的设备之间的通信。有关在将 Junos Space 设备 (JA2500) 或 Junos Space 虚拟设备配置为 Junos Space 节点或故障监控和性能监控 (FMPM) 节点时启用 NAT 的详细信息,请参阅以下内容之一:
要在配置 Junos Space 虚拟设备时配置 NAT,请参阅《Junos Space 虚拟设备安装和配置指南》中的将 Junos Space 虚拟设备配置为 Junos Space 节点、将 Junos Space 虚拟设备配置为独立或主 FMPM 节点以及更改 Junos Space 虚拟设备的网络和系统设置主题。
要在配置 JA2500 Junos Space 设备时配置 NAT,请参阅 JA2500 Junos Space 设备硬件指南中的将 Junos Space 设备配置为 Junos Space 节点、将 Junos Space 设备配置为独立或主 FMPM 节点以及更改 Junos Space 设备的网络和系统设置主题
您可以配置灾难恢复功能,并在 Junos Space 设置上启用 NAT 配置的情况下实时允许数据库复制。
在 Junos Space 设置上启用 NAT 对在 Junos Space 平台中发现和管理设备具有以下影响:
首次配置 NAT 时,默认情况下,在 Junos Space 平台上管理的设备不会使用通过 NAT 转换的 Junos Space 交换矩阵的 IP 地址进行更新。
在设备发现过程中,您可以选择是否使用 NAT 服务器将设备启动的连接路由到 Junos Space 平台,并通过 NAT 服务器进行管理。有关详细信息,请参阅 设备发现配置文件概述。
使用模型设备功能添加设备时,如果选择使用 NAT 配置,则通过 NAT 转换的 Junos Space 交换矩阵的 IP 地址将在从建模实例生成的 configlet 中提供。
对于通过 NAT 服务器路由的受管理设备,Junos Space 平台功能(如对设备的 SSH 访问、启动设备的 WebUI 以及从 Junos Space UI 重新激活 RMA 设备)将使用通过 NAT 转换的 Junos Space 交换矩阵的 IP 地址。
仅通过 CLI 修改 Junos Space 交换矩阵的网络配置中的 NAT 地址不会触发重新启动。Junos Space Platform 会创建一个作业来更新通过 NAT 服务器管理的所有设备上的 NAT 配置。
如果同时从 CLI 修改 NAT 配置和其他网络设置,则会放弃 NAT 配置更改,并显示一个对话框,其中包含以下消息:“对 NAT 的更改将在系统需要重新启动时被放弃。
以下部分介绍当使用 Junos Space 节点的不同接口部署 Junos Space 交换矩阵时,设备上更新的 NAT 配置:
在没有专用网络监控节点的情况下使用 eth0 进行设备管理
如果使用 eth0 接口与设备通信,则交换矩阵中每个节点的 eth0 IP 地址将在设备上的出站 SSH 配置中进行配置。Junos Space 设置的虚拟 IP 地址 (VIP) 设置为从设备接收 SNMP 陷阱的陷阱目标。
Junos Space 平台会自动填充 Junos Space 节点的 IP 地址和 NAT 配置页面上的 VIP 地址。作为出站 SSH 连接推送的 NAT 配置以及设备必须向其发送陷阱的陷阱目标生成如下:
如果设备位于内部网络中:
出站 SSH
<configuration ...> <system> <services> <outbound-ssh> <client> <name>cluster_CLUSTERNAME</name> <device-id>9A1E0</device-id> ... <services>netconf</services> <servers> <name>$NODE1_ETH0_IP</name> <port>7804</port> </servers> <servers> <name>$NODE2_ETH0_IP</name> <port>7804</port> </servers> ... </client> </outbound-ssh> </services> </system> </configuration>
陷阱目标
<configuration> <snmp> <v3> <target-address> <name>TA_SPACE</name> <address>$SPACE_ETH0_VIP</address> </target-address> </v3> </snmp> </configuration>
如果设备位于外部(到 NAT 服务器)网络中:
出站 SSH
<configuration ...> <system> <services> <outbound-ssh> <client> <name>cluster_CLUSTERNAME</name> <device-id>E9A1E0</device-id> ... <services>netconf</services> <servers> <name>$NODE1_NAT_SSH_IP</name> <port>$NODE1_NAT_SSH_PORT</port> </servers> <servers> <name>$NODE2_NAT_SSH_IP</name> <port>$NODE2_NAT_SSH_PORT</port> </servers> ... </client> </outbound-ssh> </services> </system> </configuration>
陷阱目标
<configuration> <snmp> <v3> <target-address> <name>TA_SPACE</name> <address>$SPACE_NAT_VIP</address> <port>$SPACE_NAT_TRAP_PORT</port> </target-address> </v3> </snmp> </configuration
应为 NAT 服务器配置一条规则,以将设备启动的连接转发到 和转发到 $NODEx_NAT_SSH_IP
$NODEx_NAT_SSH_PORT
$NODEx_ETH0_IP:7804
。同样,陷阱$SPACE_NAT_VIP
$SPACE_NAT_TRAP_PORT
也注定要转发到 $SPACE_ETH0_VIP:162
。
使用 eth3 进行设备管理,无需专用网络监控节点
如果使用 eth3 接口与设备通信,则交换矩阵中每个节点的 eth3 IP 地址将在设备上的出站 SSH 配置中进行配置。活动节点(当前用作网络监控节点)的 eth3 IP 地址设置为陷阱目标,以便从设备接收 SNMP 陷阱。
Junos Space 平台会自动在 NAT 配置页面上填充 Junos Space 节点的 IP 地址和网络监控节点的地址。作为出站 SSH 连接推送的 NAT 配置以及设备必须向其发送陷阱的陷阱目标生成如下:
如果设备位于内部网络中:
出站 SSH
<configuration ...> <system> <services> <outbound-ssh> <client> <name>cluster_CLUSTERNAME</name> <device-id>9A1E0</device-id> ... <services>netconf</services> <servers> <name>$NODE1_ETH3_IP</name> <port>7804</port> </servers> <servers> <name>$NODE2_ETH3_IP</name> <port>7804</port> </servers> ... </client> </outbound-ssh> </services> </system> </configuration>
陷阱目标
<configuration> <snmp> <v3> <target-address> <name>TA_SPACE</name> <address>$NODEopennms_ETH3_IP</address> </target-address> </v3> </snmp> </configuration>
如果设备位于外部(到 NAT 服务器)网络中:
出站 SSH
<configuration ...> <system> <services> <outbound-ssh> <client> <name>cluster_CLUSTERNAME</name> <device-id>E9A1E0</device-id> ... <services>netconf</services> <servers> <name>$NODE1_NAT_SSH_IP</name> <port>$NODE1_NAT_SSH_PORT</port> </servers> <servers> <name>$NODE2_NAT_SSH_IP</name> <port>$NODE2_NAT_SSH_PORT</port> </servers> ... </client> </outbound-ssh> </services> </system> </configuration>
陷阱目标
<configuration> <snmp> <v3> <target-address> <name>TA_SPACE</name> <address>$NODEopennms_NAT_TRAP_IP</address> <port>$NODEopennms_NAT_TRAP_PORT</port> </target-address> </v3> </snmp> </configuration
应为 NAT 服务器配置一条规则,以将发往 $NODEx_NAT_SSH_IP
和 $NODEx_NAT_SSH_PORT
的设备启动的连接转发到 $NODEx_ETH3_IP:7804
。同样,陷阱$NODEopennms_NAT_TRAP_IP
$NODEopennms_NAT_TRAP_PORT
也注定要转发到 $NODEopennms_ETH3_IP:162
。
使用 eth0 或 eth3 通过专用网络监控节点进行设备管理
如果使用 eth3 接口与设备通信,则每个节点的 eth3 IP 地址将在设备上的出站 SSH 配置中配置。同样,如果使用 eth0 接口与设备通信,则会在设备上的出站 SSH 配置中配置每个节点的 eth0 IP 地址。专用网络监控节点的 VIP 地址配置为陷阱目标,以便从设备发送 SNMP 陷阱。
Junos Space 平台会自动填充 Junos Space 节点的 IP 地址和 NAT 配置页面上的 VIP 地址。作为出站 SSH 连接推送的 NAT 配置以及设备必须向其发送陷阱的陷阱目标生成如下:
如果设备位于内部网络中:
出站 SSH
<configuration ...> <system> <services> <outbound-ssh> <client> <name>cluster_CLUSTERNAME</name> <device-id>9A1E0</device-id> ... <services>netconf</services> <servers> <name>$NODE1_ETH0_IP</name> <port>7804</port> </servers> <servers> <name>$NODE2_ETH0_IP</name> <port>7804</port> </servers> ... </client> </outbound-ssh> </services> </system> </configuration>
陷阱目标
<configuration> <snmp> <v3> <target-address> <name>TA_SPACE</name> <address>$OPENNMSNODE_ETH0_VIP</address> </target-address> </v3> </snmp> </configuration>
如果设备位于外部(到 NAT 服务器)网络中:
出站 SSH
<configuration ...> <system> <services> <outbound-ssh> <client> <name>cluster_CLUSTERNAME</name> <device-id>E9A1E0</device-id> ... <services>netconf</services> <servers> <name>$NODE1_NAT_SSH_IP</name> <port>$NODE1_NAT_SSH_PORT</port> </servers> <servers> <name>$NODE2_NAT_SSH_IP</name> <port>$NODE2_NAT_SSH_PORT</port> </servers> ... </client> </outbound-ssh> </services> </system> </configuration>
陷阱目标
<configuration> <snmp> <v3> <target-address> <name>TA_SPACE</name> <address>$OPENNMSNODE_NAT_VIP</address> <port>$OPENNMSNODE_NAT_TRAP_PORT</port> </target-address> </v3> </snmp> </configuration
应为 NAT 服务器配置一条规则,以将发往 $NODEx_NAT_SSH_IP
和 $NODEx_NAT_SSH_PORT
的设备启动的连接转发到 $NODEx_ETH0_IP:7804
。同样,陷阱$OPENNMSNODE_NAT_VIP
$OPENNMSNODE_NAT_TRAP_PORT
也注定要转发到 $OPENNMSNODE_ETH0_VIP:162
。