用户逻辑系统的路由、接口和 NAT
用户逻辑系统允许您配置路由协议、接口和 NAT。路由协议处理所有路由消息。当数据包发送到互联网时,NAT 是一种将计算机或计算机组的 IP 地址转换为单个公共地址的机制。有关更多信息,请参阅以下主题:
了解逻辑系统网络地址转换
网络地址转换 (NAT) 是一种修改或转换数据包标头中的网络地址信息的方法。可以转换数据包中的一个或两个源地址和目标地址。NAT 可以包括端口号和 IP 地址的转换。
可以在根或用户逻辑系统中配置静态、目标或源 NAT 的任意组合。在逻辑系统中配置 NAT 与在根系统中配置 NAT 相同。主管理员可以配置和监控主逻辑系统以及任何用户逻辑系统中的 NAT。
从 Junos OS 18.2R1 版开始,除了SRX1500、SRX5400、SRX5600和SRX5800设备上的现有支持外,SRX4100和SRX4200设备上的逻辑系统还支持 NAT 功能。
对于每个用户逻辑系统,主管理员可以为以下 NAT 资源配置最大和保留编号:
源 NAT 池和目标 NAT 池
源 NAT 池中的 IP 地址,带和不带端口地址转换
源、目标和静态 NAT 的规则
永久 NAT 绑定
支持端口过载的 IP 地址
用户逻辑系统管理员可以在用户逻辑系统中通过 NAT 选项使用操作命令 show system security-profile 查看分配给用户逻辑系统的 NAT 资源数。
主管理员可以为主逻辑系统配置安全配置文件,以指定应用于主逻辑系统的 NAT 资源的最大和保留数量。在主逻辑系统中配置的资源数计入设备上可用的最大 NAT 资源数。
用户逻辑系统管理员可以在用户逻辑系统中使用 show security nat 命令查看有关用户逻辑系统的 NAT 的信息。在主逻辑系统中,主管理员可以使用相同的命令查看主逻辑系统、特定用户逻辑系统或所有逻辑系统的信息。
另请参阅
示例:为用户逻辑系统配置网络地址转换
此示例说明如何为用户逻辑系统配置静态 NAT。
要求
开始之前:
以逻辑系统管理员身份登录到用户逻辑系统。请参阅 用户逻辑系统配置概述。
show system security-profile nat-static-rule使用命令查看分配给逻辑系统的静态 NAT 资源。配置安全策略。请参阅 示例:在用户逻辑系统中配置安全策略。
概述
此示例配置 示例:创建用户逻辑系统、管理员、用户和互连逻辑系统中显示的 ls-product 设计用户逻辑系统。
ls-product-design-untrust 区域的设备通过地址 12.1.1.200/32 访问 ls-product-design-trust 区域的特定主机。对于从 ls-product-design-untrust 区域(目标 IP 地址为 12.1.1.200/32)进入 ls-product-design 逻辑系统的数据包,目标 IP 地址将转换为 12.1.1.100/32。此示例配置 表 1 中描述的静态 NAT。
特征 |
名字 |
配置参数 |
|---|---|---|
静态 NAT 规则集 |
rs1 |
|
代理 ARP |
|
接口 lt-0/0/0.3 上的地址 12.1.1.200。 |
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set security nat static rule-set rs1 from zone ls-product-design-untrust set security nat static rule-set rs1 rule r1 match destination-address 12.1.1.200/32 set security nat static rule-set rs1 rule r1 then static-nat prefix 12.1.1.100/32 set security nat proxy-arp interface lt-0/0/0.3 address 12.1.1.200/32
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
在用户逻辑系统中配置 NAT:
以逻辑系统管理员身份登录用户逻辑系统并进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
配置静态 NAT 规则集。
[edit security nat static] lsdesignadmin1@host:ls-product-design# set rule-set rs1 from zone ls-product-design-untrust
配置与数据包匹配的规则,并转换数据包中的目标地址。
[edit security nat static] lsdesignadmin1@host:ls-product-design# set rule-set rs1 rule r1 match destination-address 12.1.1.200/32 lsdesignadmin1@host:ls-product-design# set rule-set rs1 rule r1 then static-nat prefix 12.1.1.100/32
配置代理 ARP。
[edit security nat] lsdesignadmin1@host:ls-product-design# set proxy-arp interface lt-0/0/0.3 address 12.1.1.200/32
结果
在配置模式下,输入命令以确认 show security nat 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
lsdesignadmin1@host:ls-product-design# show security nat
static {
rule-set rs1 {
from zone ls-product-design-untrust;
rule r1 {
match {
destination-address 12.1.1.200/32;
}
then {
static-nat prefix 12.1.1.100/32;
}
}
}
}
proxy-arp {
interface lt-0/0/0.3 {
address {
12.1.1.200/32;
}
}
}
完成设备配置后,请从配置模式进入 commit 。
验证
要确认配置工作正常,请执行以下任务:
验证静态 NAT 配置
目的
验证是否存在与静态 NAT 规则集匹配的流量。
行动
在操作模式下,输入 show security nat static rule 命令。查看“转换命中数”字段,检查是否与规则匹配的流量。
示例:为用户逻辑系统配置接口和路由实例
此示例说明如何为租户系统配置接口和路由实例。
要求
开始之前:
以用户逻辑系统管理员身份登录用户逻辑系统。请参阅 用户逻辑系统配置概述。
确定主管理员将哪些逻辑接口以及哪些逻辑隧道接口分配给您的用户逻辑系统(可选)。主管理员配置逻辑隧道接口。请参阅 了解主要逻辑系统和主要管理员角色。
概述
此示例配置 示例:创建用户逻辑系统、管理员、用户和互连逻辑系统中显示的 ls-product 设计用户逻辑系统。
此示例配置 表 2 中描述的接口和路由实例。
特征 |
名字 |
配置参数 |
|---|---|---|
接口 |
ge-0/0/5.1 |
|
路由实例 |
pd-vr1 |
|
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set interfaces ge-0/0/5 unit 1 family inet address 12.1.1.1/24 set interfaces ge-0/0/5 unit 1 vlan-id 700 set routing-instances pd-vr1 instance-type virtual-router set routing-instances pd-vr1 interface ge-0/0/5.1 set routing-instances pd-vr1 interface lt-0/0/0.3 set routing-instances pd-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 set routing-instances pd-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 set routing-instances pd-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
要配置用户逻辑系统中的接口和路由实例,
以逻辑系统管理员身份登录用户逻辑系统并进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
为用户逻辑系统配置逻辑接口。
[edit interfaces] lsdesignadmin1@host:ls-product-design# set ge-0/0/5 unit 1 family inet address 12.1.1.1/24 lsdesignadmin1@host:ls-product-design# set ge-0/0/5 unit 1 vlan-id 700
配置路由实例并分配接口。
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 instance-type virtual-router lsdesignadmin1@host:ls-product-design# set pd-vr1 interface ge-0/0/5.1 lsdesignadmin1@host:ls-product-design# set pd-vr1 interface lt-0/0/0.3
配置静态路由。
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 routing-options static route 13.1.1.0/24 next-hop 10.0.1.3 lsdesignadmin1@host:ls-product-design# set pd-vr1 routing-options static route 14.1.1.0/24 next-hop 10.0.1.4 lsdesignadmin1@host:ls-product-design# set pd-vr1 routing-options static route 12.12.1.0/24 next-hop 10.0.1.1
结果
在配置模式下,输入和 show routing-instances 命令以确认show interfaces您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
主管理员配置 lt-0/0/0.3 接口。因此,即使您没有配置此项目,lt-0/0/0.3 配置也会显示在输出中 show interfaces 。
lsdesignadmin1@host:ls-product-design# show interfaces
ge-0/0/5 {
unit 1 {
vlan-id 700;
family inet {
address 12.1.1.1/24;
}
}
}
lt-0/0/0 {
unit 3 {
encapsulation ethernet;
peer-unit 2;
family inet {
address 10.0.1.2/24;
}
}
}
lsdesignadmin1@host:ls-product-design# show routing-instances
pd-vr1 {
instance-type virtual-router;
interface ge-0/0/5.1;
interface lt-0/0/0.3;
routing-options {
static {
route 13.1.1.0/24 next-hop 10.0.1.3;
route 14.1.1.0/24 next-hop 10.0.1.4;
route 12.12.1.0/24 next-hop 10.0.1.1;
}
}
}
完成设备配置后,请从配置模式进入 commit 。
示例:为用户逻辑系统配置 OSPF 路由协议
此示例说明如何为用户逻辑系统配置 OSPF。
要求
开始之前:
以用户逻辑系统管理员身份登录用户逻辑系统。请参阅 用户逻辑系统配置概述。
配置逻辑接口 ge-0/0/5.1。将 ge-0/0/5.1 和 lt-0/0/0.3 分配给 pd-vr1 路由实例。请参阅 示例:为用户逻辑系统配置接口和路由实例。
概述
在此示例中,您可以为 ls-product-design 用户逻辑系统配置 OSPF,如 示例:创建用户逻辑系统、其管理员、用户和互连逻辑系统。
此示例在 ls-product-design 用户逻辑系统中的 ge-0/0/5.1 和 lt-0/0/0.3 接口上启用 OSPF 路由。您可以配置以下路由策略,以将路由从 Junos OS 路由表导出到 pd-vr1 路由实例中的 OSPF:
ospf-redist-direct - 从直接连接的接口学习的路由。
ospf-redist-static - 静态路由。
ospf-to-ospf — 从 OSPF 学习的路由。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set policy-options policy-statement ospf-redist-direct from protocol direct set policy-options policy-statement ospf-redist-direct then accept set policy-options policy-statement ospf-redist-static from protocol static set policy-options policy-statement ospf-redist-static then accept set policy-options policy-statement ospf-to-ospf from protocol ospf set policy-options policy-statement ospf-to-ospf then accept set routing-instances pd-vr1 protocols ospf export ospf-redist-direct set routing-instances pd-vr1 protocols ospf export ospf-redist-static set routing-instances pd-vr1 protocols ospf export ospf-to-ospf set routing-instances pd-vr1 protocols ospf area 0.0.0.1 interface ge-0/0/5.1 set routing-instances pd-vr1 protocols ospf area 0.0.0.1 interface lt-0/0/0.3
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要为用户逻辑系统配置 OSPF:
以用户逻辑系统管理员身份登录用户逻辑系统并进入配置模式。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
创建接受路由的路由策略。
[edit policy-options] lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-direct from protocol direct lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-direct then accept lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-static from protocol static lsdesignadmin1@host:ls-product-design# set policy-statement ospf-redist-static then accept lsdesignadmin1@host:ls-product-design# set policy-statement ospf-to-ospf from protocol ospf lsdesignadmin1@host:ls-product-design# set policy-statement ospf-to-ospf then accept
将路由策略应用于从 Junos OS 路由表导出到 OSPF 的路由。
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf export ospf-redist-direct lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf export ospf-redist-static lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf export ospf-to-ospf
在逻辑接口上启用 OSPF。
[edit routing-instances] lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf area 0.0.0.1 interface ge-0/0/5.1 lsdesignadmin1@host:ls-product-design# set pd-vr1 protocols ospf area 0.0.0.1 interface lt-0/0/0.3
结果
在配置模式下,输入和 show routing-instances 命令以确认show policy-options您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
为简洁起想,此命令 show 输出仅包含与此示例相关的配置。系统上的任何其他配置都已替换为椭圆 (...)。
[edit]
lsdesignadmin1@host:ls-product-design# show policy-options
policy-statement ospf-redist-direct {
from protocol direct;
then accept;
}
policy-statement ospf-redist-static {
from protocol static;
then accept;
}
policy-statement ospf-to-ospf {
from protocol ospf;
then accept;
}
[edit]
lsdesignadmin1@host:ls-product-design# show routing-instances
pd-vr1 {
...
protocols {
ospf {
export [ ospf-redist-direct ospf-to-ospf ospf-redist-static ];
area 0.0.0.1 {
interface lt-0/0/0.3;
interface ge-0/0/5.1;
}
}
}
}
完成设备配置后,请从配置模式进入 commit 。
验证
确认配置工作正常。
验证 OSPF 接口
目的
验证支持 OSPF 的接口。
行动
从 CLI 中输入 show ospf interface instance pd-vr1 命令。
lsdesignadmin1@host:ls-product-design> show ospf interface instance pd-vr1 Interface State Area DR ID BDR ID Nbrs lt-0/0/0.3 DR 0.0.0.0 10.0.1.2 0.0.0.0 0 ge-0/0/5.1 DR 0.0.0.1 10.0.1.2 0.0.0.0 0
验证 OSPF 邻接方
目的
验证 OSPF 邻接方。
行动
从 CLI 中输入 show ospf neighbor instance pd-vr1 命令。
lsdesignadmin1@host:ls-product-design> show ospf neighbor instance pd-vr1 Address Interface State ID Pri Dead 10.0.1.1 plt0.1 Full 0.0.0.0 128 39
验证 OSPF 路由
目的
验证 OSPF 路由。
行动
从 CLI 中输入 show ospf route instance pd-vr1 命令。
lsdesignadmin1@host:ls-product-design> show ospf route instance pd-vr1 Topology default Route Table: Prefix Path Route NH Metric NextHop Nexthop Type Type Type Interface Address/LSP 10.0.1.0/24 Intra Network IP 1 lt-0/0/0.3 12.12.1.0/24 Intra Network IP 1 ge-0/0/5.1