用户逻辑系统的路由、接口和 NAT
您可以通过用户逻辑系统配置路由协议、接口和 NAT。 路由协议可处理所有路由消息。NAT 是一种在将数据包发送到互联网时将一台计算机或一组计算机的 IP 地址转换为单个公共地址的机制。有关更多信息,请参阅以下主题:
了解逻辑系统网络地址转换
网络地址转换 (NAT) 是一种在数据包标头中修改或转换网络地址信息的方法。可以转换数据包中的源地址和目标地址,或者同时转换。NAT 可以包括端口号和 IP 地址的转换。
静态、目标或源 NAT 的任意组合都可以在根逻辑系统或用户逻辑系统中配置。在逻辑系统中配置 NAT 与在根系统中配置 NAT 相同。主管理员可以在主逻辑系统以及任何用户逻辑系统中配置和监控 NAT。
从 Junos OS 18.2R1 版开始,除了对 SRX1500、SRX5400、SRX5600 和 SRX5800 设备的现有支持外,SRX4100 和 SRX4200 设备上的逻辑系统还支持 NAT 功能。
对于每个用户逻辑系统,主管理员可以为以下 NAT 资源配置最大数量和保留数量:
源 NAT 池和目标 NAT 池
源 NAT 池中的 IP 地址(带和不带端口地址转换)
源、目标和静态 NAT 规则
持久 NAT 绑定
支持端口过载的 IP 地址
在用户逻辑系统中,用户逻辑系统管理员可以使用带有 NAT 选项的作命令 show system security-profile 查看分配给用户逻辑系统的 NAT 资源数量。
主管理员可以为主逻辑系统配置安全配置文件,用于指定应用于主逻辑系统的 NAT 资源的最大数量和保留数量。在主逻辑系统中配置的资源数计入设备上可用的最大 NAT 资源数。
在用户逻辑系统中,用户逻辑系统管理员可以使用命令 show security nat 查看有关用户逻辑系统的 NAT 的信息。在主逻辑系统中,主管理员可以使用相同的命令查看主逻辑系统、特定用户逻辑系统或所有逻辑系统的信息。
也可以看看
示例:为用户逻辑系统配置网络地址转换
此示例说明了如何为用户逻辑系统配置静态 NAT。
要求
开始之前:
以逻辑系统管理员身份登录到用户逻辑系统。请参阅 用户逻辑系统配置概述。
使用此
show system security-profile nat-static-rule命令查看分配给逻辑系统的静态 NAT 资源。配置安全策略。请参阅 示例:在用户逻辑系统中配置安全性策略。
概述
此示例配置 ls-product-design 用户逻辑系统,如示例所示: 创建用户逻辑系统、其管理员、其用户和互连逻辑系统。
ls-product-design-untrust 区域中的设备通过地址 12.1.1.200/32 访问 ls-product-design-trust 区域中的特定主机。对于从 ls-product-design-untrust 区域进入 ls-product-design 逻辑系统且目标 IP 地址为 12.1.1.200/32 的数据包,目标 IP 地址将转换为 12.1.1.100/32。此示例配置了 表 1 中所述的静态 NAT。
功能 |
姓名 |
配置参数 |
|---|---|---|
静态 NAT 规则集 |
RS1 |
|
代理 ARP |
接口 lt-0/0/0.3 上的地址 12.1.1.200。 |
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security nat static rule-set rs1 from zone ls-product-design-untrust set security nat static rule-set rs1 rule r1 match destination-address 12.1.1.200/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 12.1.1.100/32 set security nat proxy-arp interface lt-0/0/0.3 address 12.1.1.200/32
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要在用户逻辑系统中配置 NAT,请执行以下作:
以逻辑系统管理员身份登录到用户逻辑系统,进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
配置静态 NAT 规则集。
[edit security nat static] lsdesignadmin1@host:ls-product-design# set rule-set rs1 from zone ls-product-design-untrust
配置匹配数据包并转换数据包中的目标地址的规则。
[edit security nat static] lsdesignadmin1@host:ls-product-design# set rule-set rs1 rule r1 match destination-address 12.1.1.200/32 lsdesignadmin1@host:ls-product-design# set rule-set rs1 rule r1 then static-nat prefix 12.1.1.100/32
配置代理 ARP。
[edit security nat] lsdesignadmin1@host:ls-product-design# set proxy-arp interface lt-0/0/0.3 address 12.1.1.200/32
结果
在配置模式下,输入 show security nat 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
lsdesignadmin1@host:ls-product-design# show security nat
static {
rule-set rs1 {
from zone ls-product-design-untrust;
rule r1 {
match {
destination-address 12.1.1.200/32;
}
then {
static-nat prefix 12.1.1.100/32;
}
}
}
}
proxy-arp {
interface lt-0/0/0.3 {
address {
12.1.1.200/32;
}
}
}
如果完成设备配置,请从配置模式进入。commit
验证
要确认配置工作正常,请执行以下任务:
验证静态 NAT 配置
目的
验证是否存在与静态 NAT 规则集匹配的流量。
行动
在作模式下,输入命令 show security nat static rule 。查看“翻译命中”字段,检查与规则匹配的流量。
示例:为用户逻辑系统配置接口和路由实例
此示例说明了如何为租户系统配置接口和路由实例。
要求
开始之前:
以用户逻辑系统管理员身份登录到用户逻辑系统。请参阅 用户逻辑系统配置概述。
确定主管理员将哪些逻辑接口以及哪些逻辑隧道接口(可选)分配给您的用户逻辑系统。主管理员配置逻辑隧道接口。请参阅 了解主逻辑系统和主管理员角色。
概述
此示例配置 ls-product-design 用户逻辑系统,如示例所示: 创建用户逻辑系统、其管理员、其用户和互连逻辑系统。
此示例配置了 表 2 中所述的接口和路由实例。
功能 |
姓名 |
配置参数 |
|---|---|---|
接口 |
ge-0/0/5.1 |
|
路由实例 |
PD-VR1 |
|
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set interfaces ge-0/0/5 unit 1 family inet address 12.1.1.1/24 set interfaces ge-0/0/5 unit 1 vlan-id 700 set routing-instances pd-vr1 instance-type virtual-router set routing-instances pd-vr1 interface ge-0/0/5.1 set routing-instances pd-vr1 interface lt-0/0/0.3 set routing-instances pd-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 set routing-instances pd-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 set routing-instances pd-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要在用户逻辑系统中配置接口和路由实例,请执行以下作:
以逻辑系统管理员身份登录到用户逻辑系统,进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
为用户逻辑系统配置逻辑接口。
[edit interfaces] lsdesignadmin1@host:ls-product-design# set ge-0/0/5 unit 1 family inet address 12.1.1.1/24 lsdesignadmin1@host:ls-product-design# set ge-0/0/5 unit 1 vlan-id 700
配置路由实例并分配接口。
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 instance-type virtual-router lsdesignadmin1@host:ls-product-design# set pd-vr1 interface ge-0/0/5.1 lsdesignadmin1@host:ls-product-design# set pd-vr1 interface lt-0/0/0.3
配置静态路由。
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 lsdesignadmin1@host:ls-product-design# set pd-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 lsdesignadmin1@host:ls-product-design# set pd-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
结果
在配置模式下,输入和show interfacesshow routing-instances命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
主管理员配置 lt-0/0/0.3 接口。因此,即使您未配置此项目,lt-0/0/0.3 配置也会显示在输出中 show interfaces 。
lsdesignadmin1@host:ls-product-design# show interfaces
ge-0/0/5 {
unit 1 {
vlan-id 700;
family inet {
address 12.1.1.1/24;
}
}
}
lt-0/0/0 {
unit 3 {
encapsulation ethernet;
peer-unit 2;
family inet {
address 10.0.1.2/24;
}
}
}
lsdesignadmin1@host:ls-product-design# show routing-instances
pd-vr1 {
instance-type virtual-router;
interface ge-0/0/5.1;
interface lt-0/0/0.3;
routing-options {
static {
route 13.1.1.0/24 next-hop 10.0.1.3;
route 14.1.1.0/24 next-hop 10.0.1.4;
route 12.12.1.0/24 next-hop 10.0.1.1;
}
}
}
如果完成设备配置,请从配置模式进入。commit
示例:为用户逻辑系统配置 OSPF 路由协议
此示例说明如何为用户逻辑系统配置 OSPF。
要求
开始之前:
以用户逻辑系统管理员身份登录到用户逻辑系统。请参阅 用户逻辑系统配置概述。
配置逻辑接口 ge-0/0/5.1。将 ge-0/0/5.1 和 lt-0/0/0.3 分配给 pd-vr1 路由实例。请参阅 示例:为用户逻辑系统配置接口和路由实例。
概述
在此示例中,您将为 ls-product-design 用户逻辑系统配置 OSPF,如 示例所示: 创建用户逻辑系统、其管理员、用户和互连逻辑系统。
此示例在 ls-product-design 用户逻辑系统中的 ge-0/0/5.1 和 lt-0/0/0.3 接口上启用 OSPF 路由。您可以配置以下路由策略,以便将路由从 Junos OS 路由表导出到 pd-vr1 路由实例中的 OSPF:
ospf-redist-direct — 从直接连接的接口获知的路由。
ospf-redist-static — 静态路由。
ospf-to-ospf — 从 OSPF 获知的路由。
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set policy-options policy-statement ospf-redist-direct from protocol direct set policy-options policy-statement ospf-redist-direct then accept set policy-options policy-statement ospf-redist-static from protocol static set policy-options policy-statement ospf-redist-static then accept set policy-options policy-statement ospf-to-ospf from protocol ospf set policy-options policy-statement ospf-to-ospf then accept set routing-instances pd-vr1 protocols ospf export ospf-redist-direct set routing-instances pd-vr1 protocols ospf export ospf-redist-static set routing-instances pd-vr1 protocols ospf export ospf-to-ospf set routing-instances pd-vr1 protocols ospf area 0.0.0.1 interface ge-0/0/5.1 set routing-instances pd-vr1 protocols ospf area 0.0.0.1 interface lt-0/0/0.3
分步程序
下面的示例要求您在各个配置层级中进行导航。有关如何执行此作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要为用户逻辑系统配置 OSPF:
以用户逻辑系统管理员身份登录到用户逻辑系统,进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
创建接受路由的路由策略。
[edit policy-options] lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-direct from protocol direct lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-direct then accept lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-static from protocol static lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-static then accept lsdesignadmin1@host:ls-product-design# set policy-statement ospf-to-ospf from protocol ospf lsdesignadmin1@host:ls-product-design# set policy-statement ospf-to-ospf then accept
将路由策略应用于从 Junos OS 路由表导出到 OSPF 的路由。
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf export ospf-redist-direct lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf export ospf-redist-static lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf export ospf-to-ospf
在逻辑接口上启用 OSPF。
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf area 0.0.0.1 interface ge-0/0/5.1 lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf area 0.0.0.1 interface lt-0/0/0.3
结果
在配置模式下,输入和show policy-optionsshow routing-instances命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
为简洁起见,此 show 命令输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为省略号 (...)。
[edit]
lsdesignadmin1@host:ls-product-design# show policy-options
policy-statement ospf-redist-direct {
from protocol direct;
then accept;
}
policy-statement ospf-redist-static {
from protocol static;
then accept;
}
policy-statement ospf-to-ospf {
from protocol ospf;
then accept;
}
[edit]
lsdesignadmin1@host:ls-product-design# show routing-instances
pd-vr1 {
...
protocols {
ospf {
export [ ospf-redist-direct ospf-to-ospf ospf-redist-static ];
area 0.0.0.1 {
interface lt-0/0/0.3;
interface ge-0/0/5.1;
}
}
}
}
如果完成设备配置,请从配置模式进入。commit
验证
确认配置工作正常。
验证 OSPF 接口
目的
验证启用了 OSPF 的接口。
行动
从 CLI 中输入命令 show ospf interface instance pd-vr1 。
lsdesignadmin1@host:ls-product-design> show ospf interface instance pd-vr1 Interface State Area DR ID BDR ID Nbrs lt-0/0/0.3 DR 0.0.0.0 10.0.1.2 0.0.0.0 0 ge-0/0/5.1 DR 0.0.0.1 10.0.1.2 0.0.0.0 0
验证 OSPF 邻接方
目的
验证 OSPF 邻接方。
行动
从 CLI 中输入命令 show ospf neighbor instance pd-vr1 。
lsdesignadmin1@host:ls-product-design> show ospf neighbor instance pd-vr1 Address Interface State ID Pri Dead 10.0.1.1 plt0.1 Full 0.0.0.0 128 39
验证 OSPF 路由
目的
验证 OSPF 路由。
行动
从 CLI 中输入命令 show ospf route instance pd-vr1 。
lsdesignadmin1@host:ls-product-design> show ospf route instance pd-vr1 Topology default Route Table: Prefix Path Route NH Metric NextHop Nexthop Type Type Type Interface Address/LSP 10.0.1.0/24 Intra Network IP 1 lt-0/0/0.3 12.12.1.0/24 Intra Network IP 1 ge-0/0/5.1