NAT VRF 路由实例的路由实例
NAT概述
网络地址转换 (NAT) 是在数据包标头中修改或转换网络地址信息的方法。NAT RFC 1631 中介绍了解决 IPv4 地址枯竭问题的解决方案。NAT是防火墙、流量重定向、负载共享和网络迁移的有用工具。
在SD-WAN部署中,SRX 系列设备部署在中心位置和轮辐位置。不同站点会连接到分支 SRX 系列设备。数据包从这些站点发送至公共互联网服务器或远程站点。在中心,安全处理完成之后,将检查数据包,以确定目标是公共互联网服务器还是下一MPLS设备。如果目标是公共互联网服务器,NAT将虚拟路由和转发 (VRF) 专用 IP 地址转换为公共 IP 地址并建立会话。同样,NAT互联网服务器到达 VRF 专用网的流量同样需要安全保护。
这些设备上NAT以下瞻博网络类型:
静态NAT
目标NAT
源NAT
示例:配置源NAT将 VRF 实例的专用 IP 地址转换为另一个 VRF 实例的专用 IP 地址
此示例介绍如何在两个网络NAT一个MPLS源连接。
要求
了解 SRX 系列设备如何SD-WAN网络部署NAT。请参阅 NAT 概述。
了解虚拟路由和转发实例。请参阅 虚拟路由和转发实例(SD-WAN部署)。
概述
源NAT是离开源设备的数据包的源 IP 地址瞻博网络转换。源NAT用于允许具有专用 IP 地址的主机访问公共网络。
此示例中,SRX 系列设备将两个专用MPLS网络连接,将专用 IP 地址从一个 VRF 的专用 IP 地址转换为另一个 VRF 的专用 IP 地址。在 图 1中,辐式 SRX 系列设备配置了 VRF-a 和 VRF-b 路由实例,它们连接到中枢 SRX 系列设备。站点 C 和站点 D 连接到另一个分支 SRX 系列设备。在中枢 SRX 系列设备中,源 IP 地址从 VRF-a 和 VRF-b 路由实例中的 192.168.1.200 和 192.168.1.201 转换为 203.0.113.200 和 203.0.113.201。
配置
程序
CLI快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit]
commit
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 30:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 40:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set routing-instances VRF-a1 instance-type vrf set routing-instances VRF-a1 route-distinguisher 60:200 set routing-instances VRF-a1 vrf-target target:300:100 set routing-instances VRF-a1 vrf-table-label set routing-instances VRF-b1 instance-type vrf set routing-instances VRF-b1 route-distinguisher 50:200 set routing-instances VRF-b1 vrf-target target:400:100 set routing-instances VRF-b1 vrf-table-label set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-instance VRF-a set security nat source rule-set vrf-a_rs to routing-instance VRF-a1 set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-instance VRF-b set security nat source rule-set vrf-b_rs to routing-instance VRF-b1 set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
逐步过程
以下示例要求您在配置层次结构中导航各个级别。
要配置源NAT映射:
第 3 层 VPN 需要一个 VRF 表,用于在网络中分配路由。创建 VRF 实例并指定值 vrf 。
[edit routing-instances] user@host#set VRF-a instance-type vrf user@host#set VRF-b instance-type vrf user@host#set VRF-a1 instance-type vrf user@host#set VRF-b1 instance-type vrf
为路由实例分配路由识别器。
[edit routing-instances] user@host#set VRF-a route-distinguisher 30:200 user@host#set VRF-b route-distinguisher 40:200 user@host#set VRF-a1 route-distinguisher 60:200 user@host#set VRF-b1 route-distinguisher 50:200
创建导入或导出所有路由的社区策略。
[edit routing-instances] user@host#set VRF-a vrf-target target:100:100 user@host#set VRF-b vrf-target target:200:100 user@host#set VRF-a1 vrf-target target:300:100 user@host#set VRF-b1 vrf-target target:400:100
为 VRF 中所有路由分配一个 VPN 标签。
[edit routing-instances] user@host#set VRF-a vrf-table-label user@host#set VRF-a1 vrf-table-label user@host#set VRF-b vrf-table-label user@host#set VRF-b1 vrf-table-label
创建源NAT池。
[edit security nat source] user@host#set vrf-a_p address 203.0.113.200 user@host#set vrf-b_p address 203.0.113.201
创建一个NAT规则集。
[edit security nat source] user@host#set rule-set vrf-a_rs from routing-instance VRF-a user@host#set rule-set vrf-a_rs to routing-instance VRF-a1 user@host#set rule-set vrf-b_rs from routing-instance VRF-b user@host#set rule-set vrf-b_rs to routing-instance VRF-b1
配置匹配数据包的规则,将源 IP 地址转换至源 ip 地址NAT地址。
[edit security nat source] user@host# set rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 user@host# set rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p user@host# set rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 user@host# set rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
结果
在配置模式下,输入 和 命令以确认 show security nat
您的 show routing-instances
配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit] user@host# show security nat source { pool vrf-a_p { address { 203.0.113.200/32; } } pool vrf-b_p { address { 203.0.113.201/32; } } rule-set vrf-a_rs { from routing-instance VRF-a; to routing-instance VRF-a1; rule rule1 { match { source-address 192.168.1.200/32; } then { source-nat { pool { vrf-a_p; } } } } } rule-set vrf-b_rs { from routing-instance VRF-b; to routing-instance VRF-b1; rule rule2 { match { source-address 192.168.1.201/32; } then { source-nat { pool { vrf-b_p; } } } } } }
[edit] user@host# show routing-instances VRF-a { instance-type vrf; route-distinguisher 30:200; vrf-target target:100:100; vrf-table-label; } VRF-a1 { instance-type vrf; route-distinguisher 60:200; vrf-target target:300:100; vrf-table-label; } VRF-b { instance-type vrf; route-distinguisher 40:200; vrf-target target:200:100; vrf-table-label; } VRF-b1 { instance-type vrf; route-distinguisher 50:200; vrf-target target:400:100; vrf-table-label; }
如果完成设备配置,请从配置 commit
模式输入 。
验证
验证源NAT规则使用
目的
验证是否存在与源规则NAT信息流。
行动
在操作模式下,输入 show security nat source rule all
命令。在"转换命中"字段中,验证是否有与源规则匹配NAT规则。
user@host>show security nat source rule all Total rules: 2 Total referenced IPv4/IPv6 ip-prefixes: 2/0 source NAT rule: rule1 Rule-set: vrf-a_rs Rule-Id : 1 Rule position : 1 From routing instance : VRF-a To routing instance : VRF-a1 Match Source addresses : 192.168.1.200 - 192.168.1.200 Action : vrf-a_p Persistent NAT type : N/A Persistent NAT mapping type : address-port-mapping Inactivity timeout : 0 Max session number : 0 Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0 source NAT rule: rule2 Rule-set: vrf-b_rs Rule-Id : 2 Rule position : 2 From routing instance : VRF-b To routing instance : VRF-b1 Match Source addresses : 192.168.1.201 - 192.168.1.201 Action : vrf-b_p Persistent NAT type : N/A Persistent NAT mapping type : address-port-mapping Inactivity timeout : 0 Max session number : 0 Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0
示例:将目标NAT将公共 IP 地址转换为 VRF 实例的单个专用 IP 地址
此示例介绍如何将公共 IP 地址NAT映射到单个 VRF 的专用地址的目标地址,以将数据包引导至正确的 VRF 实例。
要求
了解 SRX 系列设备如何SD-WAN网络部署NAT。请参阅 NAT 概述。
了解虚拟路由和转发实例。请参阅 虚拟路由和转发实例(SD-WAN部署)。
概述
目标NAT是进入该路由器设备的数据包的目标 IP 地址瞻博网络转换。目标NAT用于将发往虚拟主机(由原始目标 IP 地址识别)的信息流重定向至真实主机(由转换目标 IP 地址识别)。
此示例会将 SRX 系列设备配置为目标 NAT以将公共 IP 地址转换为 VRF 实例的 VRF 专用 IP 地址。公共 IP 地址可按 VRF 实例配置。在 图 2中,SRX 系列设备配置了两个 VRF 实例(VRF-a 和 VRF-b)。SRX 系列设备将公共 IP 地址覆盖到 VRF 实例的专用 IP 地址。
配置
程序
CLI快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit]
commit
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 30:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 40:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set security nat destination pool vrf-a_p routing-instance VRF-a set security nat destination pool vrf-a_p address 192.168.1.200 set security nat destination rule-set rs from interface ge-0/0/0 set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200 set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p set security nat destination pool vrf-b_p routing-instance VRF-b set security nat destination pool vrf-b_p address 192.168.1.201 set security nat destination rule-set rs from interface ge-0/0/1 set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201 set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
逐步过程
以下示例要求您在配置层次结构中导航各个级别。
要配置目标NAT单个 VRF 的映射:
第 3 层 VPN 需要一个 VRF 表,用于在网络中分配路由。创建 VRF 实例并指定值 vrf 。
[edit routing-instances] user@host#set VRF-a instance-type vrf user@host#set VRF-b instance-type vrf
为路由实例分配路由识别器。
[edit routing-instances] user@host#set VRF-a route-distinguisher 30:200 user@host#set VRF-b route-distinguisher 40:200
创建导入或导出所有路由的社区策略。
[edit routing-instances] user@host#set VRF-a vrf-target target:100:100 user@host#set VRF-b vrf-target target:200:100
为 VRF 中所有路由分配一个 VPN 标签。
[edit routing-instances] user@host#set VRF-a vrf-table-label user@host#set VRF-b vrf-table-label
指定目标地址NAT IP 地址池。
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
将路由实例分配给目标池。
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b
创建一个规则NAT集的目标。
[edit security nat destination] user@host# set rule-set rs from interface ge-0/0/0 user@host# set rule-set rs from interface ge-0/0/1
配置匹配数据包的规则,将目标 IP 地址转换为目标 IP 地址池中NAT IP 地址。
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
结果
在配置模式下,输入 和 命令以确认 show security nat
您的 show routing-instances
配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit] user@host# show security nat destination { pool vrf-a_p { routing-instance { VRF-a; } address 192.168.1.200/32; } pool vrf-b_p { routing-instance { VRF-b; } address 192.168.1.201/32; } rule-set rs { from interface [ ge-0/0/0.0 ge-0/0/1.0 ]; rule vrf-a_r { match { destination-address 203.0.113.200/32; } then { destination-nat { pool { vrf-a_p; } } } } rule vrf-b_r { match { destination-address 203.0.113.201/32; } then { destination-nat { pool { vrf-b_p; } } } } } }
[edit] user@host# show routing-instances VRF-a { instance-type vrf; route-distinguisher 30:200; vrf-target target:100:100; vrf-table-label; } VRF-b { instance-type vrf; route-distinguisher 40:200; vrf-target target:200:100; vrf-table-label; }
如果完成设备配置,请从配置 commit
模式输入 。
验证
验证目标NAT规则使用
目的
验证是否有与目标规则匹配NAT信息流。
行动
在操作模式下,输入 show security nat destination rule all
命令。在"转换命中"字段中,验证是否有与目标规则匹配NAT的信息流。
user@host> show security nat destination rule all Total destination-nat rules: 2 Total referenced IPv4/IPv6 ip-prefixes: 2/0 Destination NAT rule: vrf-a_r Rule-set: rs Rule-Id : 1 Rule position : 1 From interface : ge-0/0/0.0 : ge-0/0/1.0 Destination addresses : 203.0.113.200 - 203.0.113.200 Action : vrf-a_p Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0 Destination NAT rule: vrf-b_r Rule-set: rs Rule-Id : 2 Rule position : 2 From interface : ge-0/0/0.0 : ge-0/0/1.0 Destination addresses : 203.0.113.201 - 203.0.113.201 Action : vrf-b_p Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0
示例:配置静态NAT将 VRF 实例的专用 IP 地址转换为公共 IP 地址
此示例介绍如何将 VRF NAT专用 IP 地址映射至公共 IP 地址的静态配置。
要求
了解 SRX 系列设备如何SD-WAN网络部署NAT。请参阅 NAT 概述。
概述
此示例会将 SRX 系列设备配置为静态NAT将 VRF 实例的 VRF 专用 IP 地址转换为 VRF 实例的公共 IP 地址。静态NAT可应用于源路由NAT和目标NAT。在 图 3中,SRX 系列设备配置了两个 VRF 实例,即 VRF-a 和 VFR-b。SRX 系列设备会将 VRF 实例的专用 IP 地址转换为公共 IP 地址。
配置
程序
CLI快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit]
commit
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 30:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 40:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set security nat static rule-set rs from interface ge-0/0/0 set security nat static rule-set rs rule vrf-a_r match static-address 203.0.113.200 set security nat static rule-set rs rule vrf-a_r then static-nat prefix 192.168.1.200 set security nat static rule-set rs rule vrf-a_r then static-nat prefix routing-instance VRF-a set security nat static rule-set rs from interface ge-0/0/1 set security nat static rule-set rs rule vrf-b_r match static-address 203.0.113.201 set security nat static rule-set rs rule vrf-b_r then static-nat prefix 192.168.1.201 set security nat static rule-set rs rule vrf-b_r then static-nat prefix routing-instance VRF-b
逐步过程
以下示例要求您在配置层次结构中导航各个级别。
要配置NAT单个 VRF 的 IP 地址的静态路由映射:
第 3 层 VPN 需要一个 VRF 表,用于在网络中分配路由。创建 VRF 实例并指定值 vrf 。
[edit routing-instances] user@host#set VRF-a instance-type vrf user@host#set VRF-b instance-type vrf
为路由实例分配路由识别器。
[edit routing-instances] user@host#set VRF-a route-distinguisher 30:200 user@host#set VRF-b route-distinguisher 40:200
创建导入或导出所有路由的社区策略。
[edit routing-instances] user@host#set VRF-a vrf-target target:100:100 user@host#set VRF-b vrf-target target:200:100
为 VRF 中所有路由分配一个 VPN 标签。
[edit routing-instances] user@host#set VRF-a vrf-table-label user@host#set VRF-b vrf-table-label
创建静态NAT规则集。
[edit security nat static] user@host# set rule-set rs from interface ge-0/0/0 user@host# set rule-set rs from interface ge-0/0/1
配置匹配数据包且将数据包中的目标地址转换为专用 IP 地址的规则。
[edit security nat static] user@host# set rule-set rs rule vrf-a_r match static-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then static-nat prefix 192.168.1.200 user@host# set rule-set rs rule vrf-a_r then static-nat prefix routing-instance VRF-a user@host# set rule-set rs rule vrf-b_r match static-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then static-nat prefix 192.168.1.201 user@host# set rule-set rs rule vrf-b_r then static-nat prefix routing-instance VRF-b
结果
在配置模式下,输入 和 命令以确认 show security nat
show routing-instances
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit] user@host# show security nat static { rule-set rs { from interface [ ge-0/0/0.0 ge-0/0/1.0 ]; rule vrf-a_r { match { destination-address 203.0.113.200/32; } then { static-nat { prefix { 192.168.1.200/32; routing-instance VRF-a; } } } } rule vrf-b_r { match { destination-address 203.0.113.201/32; } then { static-nat { prefix { 192.168.1.201/32; routing-instance VRF-b; } } } } } }
[edit] user@host# show routing-instances VRF-a { instance-type vrf; route-distinguisher 30:200; vrf-target target:100:100; vrf-table-label; } VRF-b { instance-type vrf; route-distinguisher 40:200; vrf-target target:200:100; vrf-table-label; }
如果完成设备配置,请从配置 commit
模式输入 。
验证
验证静态NAT规则使用
目的
验证是否有与静态路由规则NAT匹配。
行动
在操作模式下,输入 show security nat static rule
命令。在"转换命中"字段中,验证是否有与静态路由规则NAT匹配。
user@host> show security nat static rule all Total static-nat rules: 2 Total referenced IPv4/IPv6 ip-prefixes: 4/0 Static NAT rule: vrf-a_r Rule-set: rs Rule-Id : 1 Rule position : 1 From interface : ge-0/0/0.0 : ge-0/0/1.0 Destination addresses : 203.0.113.200 Host addresses : 192.168.1.200 Netmask : 32 Host routing-instance : VRF-a Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0 Static NAT rule: vrf-b_r Rule-set: rs Rule-Id : 2 Rule position : 2 From interface : ge-0/0/0.0 : ge-0/0/1.0 Destination addresses : 203.0.113.201 Host addresses : 192.168.1.201 Netmask : 32 Host routing-instance : VRF-b Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0