Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

内联 NAT

内联网络地址转换概述

内联 NAT 使用 MPC 线卡的功能,无需 NAT 服务卡。因此,您可以实现线速、低延迟地址转换(每个插槽高达 120 Gbps)。当前实施提供:

  • 1:1 静态地址映射。

  • 双向映射 - 出站流量的源 NAT 和入站流量的目标 NAT。

  • 流量数量没有限制。

  • 支持源、目标和两次 NAT,如 图 1 所示。内联 NAT 支持转换类型 basic-nat44。从 Junos OS 15.1R1 版开始,内联 NAT 还支持 twice-basic-nat-44

  • 支持发夹。

图 1:支持的内联 NAT 类型 Illustration of Network Address Translation processes: Source NAT changes source IP to 20.1.1.2, Destination NAT changes destination IP to 192.168.1.2, and Twice NAT changes both source and destination IPs to 20.1.1.3 and 100.1.1.8 respectively.

要配置内联 NAT,请将服务接口定义为类型 si- (服务内联)接口。您还必须为内联接口预留足够的带宽。这样,您就可以配置用于 NAT 的接口或下一跃点服务集。该 si- 接口充当“虚拟服务 PIC”。

注意:

  • 仅支持静态 NAT。不支持端口转换、动态 NAT 和 ALG。因此,需要对 NAT 进行高级处理的 SIP 或 FTP 活动模式等应用程序无法运行。任何状态防火墙处理、ALG 支持和动态端口转换仍需要 MS-MPC、MS-MIC、MS-DPC 或 MS-PIC。

  • 内联 NAT 不支持对数据包进行采样或日志记录。

内联 NAT 的优势

  • 无需服务卡

  • 支持比服务卡更多的 NAT 流

也可以看看

示例:配置内联网络地址转换 — 基于接口的方法

此配置示例说明如何使用(服务内联)接口和接口样式服务集在 si- MX 系列设备上配置基于接口的内联网络地址转换 (NAT)。

本主题涵盖:

要求

此示例使用以下硬件和软件组件:

  • 配备模块化端口集中器 (MPC) 线卡的 MX 系列路由器

  • Junos OS 11.4R1 或更高版本

概述和拓扑

从 Junos OS 11.4R1 版开始,MPC 线卡可以执行某些服务,而无需专用服务卡,如 MS-MPC。内联服务通常比使用服务卡提供更好的性能,但其功能往往更基本。例如,内联 NAT 仅支持静态 NAT。

在此示例中,带有 MPC 线卡的 MX 系列设备为两个终端主机之间的流量提供内联源 NAT 服务。图 2 显示了此方案的拓扑

图 2:使用带有 MPC 的 MX 系列设备进行内联源 NAT Network communication process with NAT: A client with IP 10.1.1.2 sends a request to a server with IP 192.168.1.2. An MX device translates the client's IP to 192.0.2.2 for external communication and modifies the response IP back to 10.1.1.2.

如图所示,主机 H1 向服务器 S1 发送流量。MX 系列设备执行源 NAT,将 H1 的源 IP 地址从 10.1.1.2 转换为 192.0.2.2。然后,服务器 S1 使用目标 IP 地址 192.0.2.2 向主机 H1 发送返回流量,MX 系列设备将 H1 的 IP 地址恢复为 10.1.1.2。

在此方案中使用以下配置元素:

  • 内联服务接口 — 驻留在 MPC 数据包转发引擎上的虚拟接口。要访问服务,流量会在这些 si- (服务内联)接口中进出。

  • 服务集 — 定义要执行的服务,并标识哪些内联接口将流量馈入和馈出服务集。实现服务集有两种方法:

    • 接口样式 — 一种基于接口的方法,到达接口的数据包通过内联服务进行转发。

    • 下一跳样式 — 一种基于路由的方法,其中静态路由用于通过内联服务转发发往特定目标的数据包。

    此示例使用接口样式的服务集。

  • NAT 规则 — 使用 if-then 结构(类似于防火墙过滤器)来定义匹配条件,然后将地址转换应用于匹配的流量。

  • NAT 池 — 一组用户定义的 IP 地址,供 NAT 规则用于转换。

这些元素组合在一起,如图 3 所示

图 3:基于接口的内联源 NAT Diagram of MX Series Device with two MPCs; MPC 0 handles NAT for Src 10.1.1.0/24 to 192.0.2.0/24 via si-0/0/0.0; traffic flows from xe-0/0/0 to xe-1/0/0.

内联网络地址转换配置

要使用接口样式服务集配置内联 NAT,请执行以下作:

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制粘贴到 [edit] 层级的 CLI 中。

启用内联服务并创建内联接口

分步程序

  1. 为相关 FPC 插槽和 PIC 插槽启用内联服务,并定义专用于内联服务的带宽量。

    此处的 FPC 和 PIC 设置将创建接口并映射到接口 si-

  2. 在接口 si- 上,指定需要 NAT 服务的协议家族。

    注意:

    此处的 FPC 和 PIC 设置必须与上面定义的设置匹配。

配置 NAT 规则和池

分步程序

  1. 配置一个 NAT 规则,该规则与从 H1 子网 (10.1.1.0/24) 到达 MX 设备的流量进行匹配,使用基本 IPv4 NAT 对其进行转换,并使用来自池 p1的 IP 地址。

  2. 配置 NAT 池。

配置(接口样式)服务集

分步程序

  1. 配置使用内联 NAT 服务 (nat-rules) 和上面定义的内联接口的服务集。使用此 interface-service 参数指定这是接口样式的服务集。

    流量将流入和流出 si- 接口以访问内联 NAT 服务。

配置物理接口

分步程序

  1. 配置物理接口。

  2. 在“内部”接口上,指定流量将通过上面定义的服务集发送。

结果

验证

确认配置工作正常。

验证从主机 H1 到服务器 S1 的可访问性

目的

验证 H1 和 S1 之间的可访问性。

行动

在主机 H1 上,验证主机是否可以 ping 服务器 S1。

意义

H1可以成功到达S1。

验证地址转换

目的

验证地址转换是否工作正常。

行动

  1. 在 MX 设备上,验证是否已正确应用内联 NAT 配置详细信息。

  2. 在服务器 S1 上,验证服务器是否正在接收来自 H1 的 NAT 转换源 IP 地址 (192.0.2.2) 的 ping。

    发出以下命令,然后从 H1 再次发送 ping。

    注意:

    在此设置中,另一个 MX 设备用于表示服务器 S1,以启用对入站流量的监控。
意义

上述步骤 1 确认内联 NAT 服务参数和接口样式服务集已正确实施。上述步骤 2 确认服务器 S1 正确地从其 NAT 转换的源 IP 地址接收 H1 的 ping。

两次 NAT 配置

图 4:两次 NAT 配置 Twice NAT process showing IP translation: Client's IP 10.1.1.3 to 20.1.3, and destination IP 120.1.1.1 to 100.1.1.8, with reverse translation for server response.

要使用接口样式服务集配置两次 NAT,请执行以下任务:

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制粘贴到 [edit] 层级的 CLI 中。

配置(接口样式)服务集

  1. 配置使用两次 NAT 服务 (nat-rules) 的服务集,a使用该 interface-service 参数指定这是接口样式的服务集。

配置物理接口

分步程序

  1. 配置物理接口。

  2. 在接口上,指定流量将通过上面定义的服务集进行发送。

  3. 配置防火墙过滤器选项以将流量定向到 si 接口。

目标 NAT 配置

图 5:目标 NAT 配置 Destination NAT process; client request from IP 100.2.1.1 to 21.1.1.2, NAT MX changes to 192.168.1.2; server response reversed.

要使用接口样式服务集配置目标 NAT,请执行以下作:

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制粘贴到 [edit] 层级的 CLI 中。

启用内联服务

  1. 为相关 FPC 插槽和 PIC 插槽启用内联服务。

    此处的 FPC 和 PIC 设置将创建接口并映射到接口 si-

配置(接口样式)服务集

  1. 配置使用目标 NAT 服务 (nat-rules), a使用该 interface-service 参数指定这是接口样式的服务集。

配置物理接口

  1. 配置物理接口。

  2. 在接口上,指定流量将通过之前定义的服务集进行发送。

  3. 配置防火墙过滤器选项以将流量定向到 si 接口。

  4. 配置静态路由选项。

也可以看看

示例:配置内联网络地址转换 — 基于路由的方法

此配置示例说明如何使用(服务内联)接口和下一跳样式服务集在 MX 系列设备上 si- 配置基于路由的内联网络地址转换 (NAT)。

本主题涵盖:

要求

此示例使用以下硬件和软件组件:

  • 配备模块化端口集中器 (MPC) 线卡的 MX 系列路由器

  • Junos OS 11.4R1 或更高版本

概述和拓扑

从 Junos OS 11.4R1 版开始,MPC 线卡可以执行某些服务,而无需专用服务卡,如 MS-MPC。内联服务通常比使用服务卡提供更好的性能,但其功能往往更基本。例如,内联 NAT 仅支持静态 NAT。

在此示例中,带有 MPC 线卡的 MX 系列设备为两个终端主机之间的流量提供内联源 NAT 服务。图 6 显示了此方案的拓扑

图 6:使用带有 MPC 的 MX 系列设备实现内联源 NAT Network communication process with NAT: A client with IP 10.1.1.2 sends a request to a server with IP 192.168.1.2. An MX device translates the client's IP to 192.0.2.2 for external communication and modifies the response IP back to 10.1.1.2.

如图所示,主机 H1 向服务器 S1 发送流量。MX 系列设备执行源 NAT,将 H1 的源 IP 地址从 10.1.1.2 转换为 192.0.2.2。然后,服务器 S1 使用目标 IP 地址 192.0.2.2 向主机 H1 发送返回流量,MX 系列设备将 H1 的 IP 地址恢复为 10.1.1.2。

在此方案中使用以下配置元素:

  • 内联服务接口 — 驻留在 MPC 数据包转发引擎上的虚拟接口。要访问服务,流量会在这些 si- (服务内联)接口中进出。

  • 服务集 — 定义要执行的服务,并标识哪些内联接口将流量馈入和馈出服务集。实现服务集有两种方法:

    • 接口样式 — 一种基于接口的方法,到达接口的数据包通过内联服务进行转发。

    • 下一跳样式 — 一种基于路由的方法,其中静态路由用于通过内联服务转发发往特定目标的数据包。

    此示例使用下一跳样式服务集。

  • NAT 规则 — 使用 if-then 结构(类似于防火墙过滤器)来定义匹配条件,然后将地址转换应用于匹配的流量。

  • NAT 池 — 一组用户定义的 IP 地址,供 NAT 规则用于转换。

  • 路由实例 — 路由表、接口和路由协议参数的集合,与主(默认)路由实例分开运行。

    基于路由的内联 NAT 通常用于涉及路由实例的场景。

这些元素组合在一起,如 图 7 所示。

图 7:基于路由的内联源 NAT Juniper MX Series router showing NAT configuration. Source IPs 10.1.1.0/24 translate to 192.0.2.0/24 pool. Traffic flows from RI-A via xe-0/0/0, processed by si-0/0/0.1 and si-0/0/0.2, exits through xe-1/0/0 in Default instance.

配置

要使用下一跃点样式服务集配置内联 NAT,请执行以下作:

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制粘贴到 [edit] 层级的 CLI 中。

配置物理接口

分步程序

  1. 配置物理接口。

启用内联服务并创建内联接口

分步程序

  1. 为相关 FPC 插槽和 PIC 插槽启用内联服务,并定义专用于内联服务的带宽量。

    此处的 FPC 和 PIC 设置将创建接口并映射到接口 si-

  2. 在接口上 si- 创建两个逻辑单元。对于每个单元,指定需要 NAT 服务的协议家族,以及服务域的“内部”或“外部”接口。

    注意:

    此处的 FPC 和 PIC 设置必须与上面定义的设置匹配。

配置路由实例并识别要通过内联 NAT 服务发送的流量

分步程序

  1. 配置一个路由实例,其中包括“ínside”物理和 si- 接口,以及一个静态路由,用于识别要通过 si- 接口转发到内联 NAT 服务的流量。

    为简单起见,此处使用的静态路由仅标识服务器 S1。

配置 NAT 规则和池

分步程序

  1. 配置一个 NAT 规则,该规则与从 H1 子网 (10.1.1.0/24) 到达 MX 设备的流量进行匹配,使用基本 IPv4 NAT 对其进行转换,并使用来自池 p1的 IP 地址。

  2. 配置 NAT 池。

配置(下一跳样式)服务集

分步程序

  1. 配置使用内联 NAT 服务 (nat-rules) 和上面定义的内联接口的服务集。使用该 next-hop-service 参数指定这是下一跳样式的服务集,并根据上述设置将接口分配 si- 为“内部”和“外部”。

    流量将流入和流出 si- 接口以访问内联 NAT 服务。

结果

验证

确认配置工作正常。

验证从主机 H1 到服务器 S1 的可访问性

目的

验证 H1 和 S1 之间的可访问性。

行动

在主机 H1 上,验证主机是否可以 ping 服务器 S1。

意义

H1可以成功到达S1。

验证地址转换

目的

验证地址转换是否工作正常。

行动

  1. 在 MX 设备上,验证是否已正确应用内联 NAT 配置详细信息。

  2. 在服务器 S1 上,验证服务器是否正在接收来自 H1 的 NAT 转换源 IP 地址 (192.0.2.2) 的 ping。

    发出以下命令,然后从 H1 再次发送 ping。

    注意:

    在此设置中,另一个 MX 设备用于表示服务器 S1,以启用对入站流量的监控。
意义

上述步骤 1 确认内联 NAT 服务参数和下一跳样式服务集已正确实施。上述步骤 2 确认服务器 S1 正确地从其 NAT 转换的源 IP 地址接收 H1 的 ping。

也可以看看

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。

发布
描述
15.1R1
从 Junos OS 15.1R1 版开始,内联 NAT 还支持 twice-basic-nat-44