Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

内联 NAT

内联网络地址转换概述

内联 NAT 使用 MPC 线卡的功能,无需为 NAT 提供服务卡。因此,您可以实现线速、低延迟的地址转换(每个插槽高达 120 Gbps)。目前的实施方案提供:

  • 1:1 静态地址映射。

  • 双向映射 - 出站流量的源 NAT 和入站流量的目标 NAT。

  • 对流量数量没有限制。

  • 支持源、目标和两次 NAT,如 图 1 所示。内联 NAT 支持转换类型 basic-nat44。从 Junos OS 15.1R1 版开始,内联 NAT 还支持 twice-basic-nat-44

  • 支持发夹。

图 1:支持的内联 NAT 类型 Illustration of Network Address Translation processes: Source NAT changes source IP to 20.1.1.2, Destination NAT changes destination IP to 192.168.1.2, and Twice NAT changes both source and destination IPs to 20.1.1.3 and 100.1.1.8 respectively.

要配置内联 NAT,请将服务接口定义为类型 si- (服务内联)接口。您还必须为内联接口预留足够的带宽。这样可以配置用于 NAT 的接口或下一跃点服务集。该 si- 接口用作“虚拟服务 PIC”。

注意:

  • 仅支持静态 NAT。不支持端口转换、动态 NAT 和 ALG。因此,需要对 NAT 进行高级处理的 SIP 或 FTP 活动模式等应用程序无法运行。对于任何状态防火墙处理、ALG 支持和动态端口转换,仍然需要 MS-MPC、MS-MIC、MS-DPC 或 MS-PIC。

  • 内联 NAT 不支持对数据包进行采样或记录。

内联 NAT 的优势

  • 不再需要服务卡

  • 支持比服务卡更多的 NAT 流

另见

示例:配置内联网络地址转换 - 基于接口的方法

此配置示例说明如何使用(服务内联)接口与接口样式服务集在 MX 系列设备 si- 上配置基于接口的内联网络地址转换 (NAT)。

本主题将介绍:

要求

此示例使用以下硬件和软件组件:

  • 带有模块化端口集中器 (MPC) 线卡的 MX 系列路由器

  • Junos OS 11.4R1 或更高版本

概述和拓扑

从 Junos OS 11.4R1 版开始,MPC 线卡可以执行某些服务,而无需专用服务卡(如 MS-MPC)。内联服务通常比使用服务卡提供更好的性能,但其功能往往更基本。例如,内联 NAT 仅支持静态 NAT。

在此示例中,带有 MPC 线卡的 MX 系列设备为两个终端主机之间的流量提供内联源 NAT 服务。此方案的拓扑如图 2 所示

图 2:使用具有 MPC 的 MX 系列设备的内联源 NAT Network communication process with NAT: A client with IP 10.1.1.2 sends a request to a server with IP 192.168.1.2. An MX device translates the client's IP to 192.0.2.2 for external communication and modifies the response IP back to 10.1.1.2.

如图所示,主机 H1 向服务器 S1 发送流量。MX 系列设备执行源 NAT作,将 H1 的源 IP 地址从 10.1.1.2 转换为 192.0.2.2。然后,服务器 S1 使用目标 IP 地址 192.0.2.2 向主机 H1 发送返回流量,MX 系列设备会将 H1 的 IP 地址恢复为 10.1.1.2。

此方案中使用了以下配置元素:

  • 内联服务接口 — 驻留在 MPC 数据包转发引擎上的虚拟接口。为了访问服务,流量流入和流出这些 si- (服务内联)接口。

  • 服务集 — 定义要执行的服务,并标识将哪些内联接口将流量馈入和馈出服务集。实现服务集的方法有两种:

    • 接口样式 — 一种基于接口的方法,其中到达接口的数据包通过内联服务进行转发。

    • 下一跳样式 — 一种基于路由的方法,其中静态路由用于通过内联服务转发发往特定目标的数据包。

    此示例使用接口样式的服务集。

  • NAT 规则 — 使用 if-then 结构(类似于防火墙过滤器)定义匹配条件,然后将地址转换应用于匹配流量。

  • NAT 池 — NAT 规则用于转换的用户定义的一组 IP 地址。

这些元素组合在一起,如图 3 所示

图 3:基于接口的内联源 NAT Diagram of MX Series Device with two MPCs; MPC 0 handles NAT for Src 10.1.1.0/24 to 192.0.2.0/24 via si-0/0/0.0; traffic flows from xe-0/0/0 to xe-1/0/0.

内联网络地址转换配置

要使用接口样式服务集配置内联 NAT,请执行以下任务:

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到 [编辑] 层次结构级别的 CLI 中。

启用内联服务并创建内联接口

分步过程

  1. 为相关 FPC 插槽和 PIC 插槽启用内联服务,并定义专用于内联服务的带宽量。

    此处的 FPC 和 PIC 设置将创建并映射到一个 si- 接口。

  2. 在接口上 si- ,指定需要 NAT 服务的协议家族。

    注意:

    此处的 FPC 和 PIC 设置必须与上面定义的设置匹配。

配置 NAT 规则和池

分步过程

  1. 配置一个 NAT 规则,该规则与从 H1 的子网 (10.1.1.0/24) 到达 MX 设备的流量进行匹配,使用基本 IPv4 NAT 进行转换,并使用池 p1中的 IP 地址。

  2. 配置 NAT 池。

配置(接口样式)服务集

分步过程

  1. 配置使用上面定义的内联 NAT 服务 (nat-rules) 和内联接口的服务集。 interface-service 使用参数指定这是一个接口样式的服务集。

    流量将流入和流出 si- 接口以访问内联 NAT 服务。

配置物理接口

分步过程

  1. 配置物理接口。

  2. 在“内部”接口上,指定将通过上述定义的服务集发送流量。

结果

验证

确认配置工作正常。

验证从主机 H1 到服务器 S1 的可访问性

目的

验证 H1 和 S1 之间的可访问性。

行动

在主机 H1 上,验证主机是否可以 ping 服务器 S1。

意义

H1 可以成功到达 S1。

验证地址转换

目的

验证地址转换是否工作正常。

行动

  1. 在 MX 设备上,验证是否已正确应用内联 NAT 配置详细信息。

  2. 在服务器 S1 上,验证服务器是否正在接收来自 H1 的 NAT 转换源 IP 地址 (192.0.2.2) 的 ping。

    发出以下命令,然后从 H1 再次发送 ping。

    注意:

    在此设置中,将使用另一台 MX 设备来表示服务器 S1,以便启用对入站流量的监控。
意义

上述步骤 1 确认内联 NAT 服务参数和接口样式服务集已正确实现。上述步骤 2 确认服务器 S1 从其 NAT 转换的源 IP 地址正确接收 H1 的 ping。

两次 NAT 配置

图 4:两次 NAT 配置 Twice NAT Configuration

要使用接口样式服务集配置 Twice NAT,请执行以下任务:

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到 [编辑] 层次结构级别的 CLI 中。

配置(接口样式)服务集

  1. 配置使用两次 NAT 服务 (nat-rules) 的服务集,a使用 interface-service 参数指定这是一个接口样式服务集。

配置物理接口

分步过程

  1. 配置物理接口。

  2. 在接口上,指定通过上述定义的服务集发送流量。

  3. 配置防火墙过滤器选项以将流量定向到 si 接口。

目标 NAT 配置

图 5:目标 NAT 配置 Destination NAT process; client request from IP 100.2.1.1 to 21.1.1.2, NAT MX changes to 192.168.1.2; server response reversed.

要使用接口样式服务集配置目标 NAT,请执行以下任务:

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到 [编辑] 层次结构级别的 CLI 中。

启用内联服务

  1. 为相关 FPC 插槽和 PIC 插槽启用内联服务。

    此处的 FPC 和 PIC 设置将创建并映射到一个 si- 接口。

配置(接口样式)服务集

  1. 配置使用目标 NAT 服务 (nat-rules) 的服务集,a使用 interface-service 参数指定这是一个接口样式服务集。

配置物理接口

  1. 配置物理接口。

  2. 在接口上,指定流量将通过之前定义的服务集发送。

  3. 配置防火墙过滤器选项以将流量定向到 si 接口。

  4. 配置静态路由选项。

另见

示例:配置内联网络地址转换 - 基于路由的方法

此配置示例说明如何使用(服务内联)接口和下一跃点样式服务集在 MX 系列设备 si- 上配置基于路由的内联网络地址转换 (NAT)。

本主题将介绍:

要求

此示例使用以下硬件和软件组件:

  • 带有模块化端口集中器 (MPC) 线卡的 MX 系列路由器

  • Junos OS 11.4R1 或更高版本

概述和拓扑

从 Junos OS 11.4R1 版开始,MPC 线卡可以执行某些服务,而无需专用服务卡(如 MS-MPC)。内联服务通常比使用服务卡提供更好的性能,但其功能往往更基本。例如,内联 NAT 仅支持静态 NAT。

在此示例中,带有 MPC 线卡的 MX 系列设备为两个终端主机之间的流量提供内联源 NAT 服务。此方案的拓扑如图 6 所示

图 6:使用具有 MPC 的 MX 系列设备的内联源 NAT Network communication process with NAT: A client with IP 10.1.1.2 sends a request to a server with IP 192.168.1.2. An MX device translates the client's IP to 192.0.2.2 for external communication and modifies the response IP back to 10.1.1.2.

如图所示,主机 H1 向服务器 S1 发送流量。MX 系列设备执行源 NAT作,将 H1 的源 IP 地址从 10.1.1.2 转换为 192.0.2.2。然后,服务器 S1 使用目标 IP 地址 192.0.2.2 向主机 H1 发送返回流量,MX 系列设备会将 H1 的 IP 地址恢复为 10.1.1.2。

此方案中使用了以下配置元素:

  • 内联服务接口 — 驻留在 MPC 数据包转发引擎上的虚拟接口。为了访问服务,流量流入和流出这些 si- (服务内联)接口。

  • 服务集 — 定义要执行的服务,并标识将哪些内联接口将流量馈入和馈出服务集。实现服务集的方法有两种:

    • 接口样式 — 一种基于接口的方法,其中到达接口的数据包通过内联服务进行转发。

    • 下一跳样式 — 一种基于路由的方法,其中静态路由用于通过内联服务转发发往特定目标的数据包。

    此示例使用下一跃点样式的服务集。

  • NAT 规则 — 使用 if-then 结构(类似于防火墙过滤器)定义匹配条件,然后将地址转换应用于匹配流量。

  • NAT 池 — NAT 规则用于转换的用户定义的一组 IP 地址。

  • 路由实例 - 路由表、接口和路由协议参数的集合,它们与主(默认)路由实例分开运行。

    基于路由的内联 NAT 通常用于涉及路由实例的场景。

这些元素组合在一起,如 图 7 所示。

图 7:基于路由的内联源 NAT Juniper MX Series router showing NAT configuration. Source IPs 10.1.1.0/24 translate to 192.0.2.0/24 pool. Traffic flows from RI-A via xe-0/0/0, processed by si-0/0/0.1 and si-0/0/0.2, exits through xe-1/0/0 in Default instance.

配置

要使用下一跃点样式的服务集配置内联 NAT,请执行以下任务:

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到 [编辑] 层次结构级别的 CLI 中。

配置物理接口

分步过程

  1. 配置物理接口。

启用内联服务并创建内联接口

分步过程

  1. 为相关 FPC 插槽和 PIC 插槽启用内联服务,并定义专用于内联服务的带宽量。

    此处的 FPC 和 PIC 设置将创建并映射到一个 si- 接口。

  2. 在接口上 si- ,创建两个逻辑单元。对于每个单元,指定需要 NAT 服务的协议家族,以及服务域的“内部”或“外部”接口。

    注意:

    此处的 FPC 和 PIC 设置必须与上面定义的设置匹配。

配置路由实例并识别要通过内联 NAT 服务发送的流量

分步过程

  1. 配置一个路由实例,其中包含“innside”物理接口和 si- 接口,以及一个静态路由,用于标识要通过 si- 接口转发到内联 NAT 服务的流量。

    为简单起见,此处使用的静态路由仅标识服务器 S1。

配置 NAT 规则和池

分步过程

  1. 配置一个 NAT 规则,该规则与从 H1 的子网 (10.1.1.0/24) 到达 MX 设备的流量进行匹配,使用基本 IPv4 NAT 进行转换,并使用池 p1中的 IP 地址。

  2. 配置 NAT 池。

配置(下一跳样式)服务集

分步过程

  1. 配置使用内联 NAT 服务 (nat-rules) 和上述定义的内联接口的服务集。 next-hop-service 使用参数指定这是下一跃点样式的服务集,并根据上述设置将 si- 接口分配为 'inside' 和 'outside'。

    流量将流入和流出 si- 接口以访问内联 NAT 服务。

结果

验证

确认配置工作正常。

验证从主机 H1 到服务器 S1 的可访问性

目的

验证 H1 和 S1 之间的可访问性。

行动

在主机 H1 上,验证主机是否可以 ping 服务器 S1。

意义

H1 可以成功到达 S1。

验证地址转换

目的

验证地址转换是否工作正常。

行动

  1. 在 MX 设备上,验证是否已正确应用内联 NAT 配置详细信息。

  2. 在服务器 S1 上,验证服务器是否正在接收来自 H1 的 NAT 转换源 IP 地址 (192.0.2.2) 的 ping。

    发出以下命令,然后从 H1 再次发送 ping。

    注意:

    在此设置中,将使用另一台 MX 设备来表示服务器 S1,以便启用对入站流量的监控。
意义

上述步骤 1 确认内联 NAT 服务参数和下一跳样式服务集已正确实现。上述步骤 2 确认服务器 S1 从其 NAT 转换的源 IP 地址正确接收 H1 的 ping。

另见

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
15.1R1
从 Junos OS 15.1R1 版开始,内联 NAT 还支持 twice-basic-nat-44