NAT VRF 路由实例的路由实例
NAT概述
网络地址转换 (NAT) 是在数据包标头中修改或转换网络地址信息的方法。NAT RFC 1631 中介绍了解决 IPv4 地址枯竭问题的解决方案。NAT是防火墙、流量重定向、负载共享和网络迁移的有用工具。
在SD-WAN部署中,SRX 系列设备部署在中心位置和轮辐位置。不同站点会连接到分支 SRX 系列设备。数据包从这些站点发送至公共互联网服务器或远程站点。在中心,安全处理完成之后,将检查数据包,以确定目标是公共互联网服务器还是下一MPLS设备。如果目标是公共互联网服务器,NAT将虚拟路由和转发 (VRF) 专用 IP 地址转换为公共 IP 地址并建立会话。同样,NAT互联网服务器到达 VRF 专用网的流量同样需要安全保护。
这些设备上NAT以下瞻博网络类型:
静态NAT
目标NAT
源NAT
示例:配置源NAT将 VRF 实例的专用 IP 地址转换为另一个 VRF 实例的专用 IP 地址
此示例介绍如何在两个网络NAT一个MPLS源连接。
要求
了解 SRX 系列设备如何SD-WAN网络部署NAT。请参阅 NAT 概述。
了解虚拟路由和转发实例。请参阅 虚拟路由和转发实例(SD-WAN部署)。
概述
源NAT是离开源设备的数据包的源 IP 地址瞻博网络转换。源NAT用于允许具有专用 IP 地址的主机访问公共网络。
此示例中,SRX 系列设备将两个专用MPLS网络连接,将专用 IP 地址从一个 VRF 的专用 IP 地址转换为另一个 VRF 的专用 IP 地址。在 图 1中,辐式 SRX 系列设备配置了 VRF-a 和 VRF-b 路由实例,它们连接到中枢 SRX 系列设备。站点 C 和站点 D 连接到另一个分支 SRX 系列设备。在中枢 SRX 系列设备中,源 IP 地址从 VRF-a 和 VRF-b 路由实例中的 192.168.1.200 和 192.168.1.201 转换为 203.0.113.200 和 203.0.113.201。
图 1:源NAT转换
配置
程序
CLI快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 30:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 40:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set routing-instances VRF-a1 instance-type vrf set routing-instances VRF-a1 route-distinguisher 60:200 set routing-instances VRF-a1 vrf-target target:300:100 set routing-instances VRF-a1 vrf-table-label set routing-instances VRF-b1 instance-type vrf set routing-instances VRF-b1 route-distinguisher 50:200 set routing-instances VRF-b1 vrf-target target:400:100 set routing-instances VRF-b1 vrf-table-label set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-instance VRF-a set security nat source rule-set vrf-a_rs to routing-instance VRF-a1 set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-instance VRF-b set security nat source rule-set vrf-b_rs to routing-instance VRF-b1 set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
逐步过程
以下示例要求您在配置层次结构中导航各个级别。
要配置源NAT映射:
第 3 层 VPN 需要一个 VRF 表,用于在网络中分配路由。创建 VRF 实例并指定值 vrf 。
[edit routing-instances] user@host#set VRF-a instance-type vrf user@host#set VRF-b instance-type vrf user@host#set VRF-a1 instance-type vrf user@host#set VRF-b1 instance-type vrf
为路由实例分配路由识别器。
[edit routing-instances] user@host#set VRF-a route-distinguisher 30:200 user@host#set VRF-b route-distinguisher 40:200 user@host#set VRF-a1 route-distinguisher 60:200 user@host#set VRF-b1 route-distinguisher 50:200
创建导入或导出所有路由的社区策略。
[edit routing-instances] user@host#set VRF-a vrf-target target:100:100 user@host#set VRF-b vrf-target target:200:100 user@host#set VRF-a1 vrf-target target:300:100 user@host#set VRF-b1 vrf-target target:400:100
为 VRF 中所有路由分配一个 VPN 标签。
[edit routing-instances] user@host#set VRF-a vrf-table-label user@host#set VRF-a1 vrf-table-label user@host#set VRF-b vrf-table-label user@host#set VRF-b1 vrf-table-label
创建源NAT池。
[edit security nat source] user@host#set vrf-a_p address 203.0.113.200 user@host#set vrf-b_p address 203.0.113.201
创建一个NAT规则集。
[edit security nat source] user@host#set rule-set vrf-a_rs from routing-instance VRF-a user@host#set rule-set vrf-a_rs to routing-instance VRF-a1 user@host#set rule-set vrf-b_rs from routing-instance VRF-b user@host#set rule-set vrf-b_rs to routing-instance VRF-b1
配置匹配数据包的规则,将源 IP 地址转换至源 ip 地址NAT地址。
[edit security nat source] user@host# set rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 user@host# set rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p user@host# set rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 user@host# set rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
结果
在配置模式下,输入 和 命令以确认 show security nat 您的 show routing-instances 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-instance VRF-a;
to routing-instance VRF-a1;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
}
rule-set vrf-b_rs {
from routing-instance VRF-b;
to routing-instance VRF-b1;
rule rule2 {
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 30:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-a1 {
instance-type vrf;
route-distinguisher 60:200;
vrf-target target:300:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 40:200;
vrf-target target:200:100;
vrf-table-label;
}
VRF-b1 {
instance-type vrf;
route-distinguisher 50:200;
vrf-target target:400:100;
vrf-table-label;
}
如果完成设备配置,请从配置 commit 模式输入 。
验证
验证源NAT规则使用
目的
验证是否存在与源规则NAT信息流。
行动
在操作模式下,输入 show security nat source rule all 命令。在"转换命中"字段中,验证是否有与源规则匹配NAT规则。
user@host>show security nat source rule all
Total rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
source NAT rule: rule1 Rule-set: vrf-a_rs
Rule-Id : 1
Rule position : 1
From routing instance : VRF-a
To routing instance : VRF-a1
Match
Source addresses : 192.168.1.200 - 192.168.1.200
Action : vrf-a_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
source NAT rule: rule2 Rule-set: vrf-b_rs
Rule-Id : 2
Rule position : 2
From routing instance : VRF-b
To routing instance : VRF-b1
Match
Source addresses : 192.168.1.201 - 192.168.1.201
Action : vrf-b_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
示例:将目标NAT将公共 IP 地址转换为 VRF 实例的单个专用 IP 地址
此示例介绍如何将公共 IP 地址NAT映射到单个 VRF 的专用地址的目标地址,以将数据包引导至正确的 VRF 实例。
要求
了解 SRX 系列设备如何SD-WAN网络部署NAT。请参阅 NAT 概述。
了解虚拟路由和转发实例。请参阅 虚拟路由和转发实例(SD-WAN部署)。
概述
目标NAT是进入该路由器设备的数据包的目标 IP 地址瞻博网络转换。目标NAT用于将发往虚拟主机(由原始目标 IP 地址识别)的信息流重定向至真实主机(由转换目标 IP 地址识别)。
此示例会将 SRX 系列设备配置为目标 NAT以将公共 IP 地址转换为 VRF 实例的 VRF 专用 IP 地址。公共 IP 地址可按 VRF 实例配置。在 图 2中,SRX 系列设备配置了两个 VRF 实例(VRF-a 和 VRF-b)。SRX 系列设备将公共 IP 地址覆盖到 VRF 实例的专用 IP 地址。
图 2:目标NAT
配置
程序
CLI快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 30:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 40:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set security nat destination pool vrf-a_p routing-instance VRF-a set security nat destination pool vrf-a_p address 192.168.1.200 set security nat destination rule-set rs from interface ge-0/0/0 set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200 set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p set security nat destination pool vrf-b_p routing-instance VRF-b set security nat destination pool vrf-b_p address 192.168.1.201 set security nat destination rule-set rs from interface ge-0/0/1 set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201 set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
逐步过程
以下示例要求您在配置层次结构中导航各个级别。
要配置目标NAT单个 VRF 的映射:
第 3 层 VPN 需要一个 VRF 表,用于在网络中分配路由。创建 VRF 实例并指定值 vrf 。
[edit routing-instances] user@host#set VRF-a instance-type vrf user@host#set VRF-b instance-type vrf
为路由实例分配路由识别器。
[edit routing-instances] user@host#set VRF-a route-distinguisher 30:200 user@host#set VRF-b route-distinguisher 40:200
创建导入或导出所有路由的社区策略。
[edit routing-instances] user@host#set VRF-a vrf-target target:100:100 user@host#set VRF-b vrf-target target:200:100
为 VRF 中所有路由分配一个 VPN 标签。
[edit routing-instances] user@host#set VRF-a vrf-table-label user@host#set VRF-b vrf-table-label
指定目标地址NAT IP 地址池。
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
将路由实例分配给目标池。
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b
创建一个规则NAT集的目标。
[edit security nat destination] user@host# set rule-set rs from interface ge-0/0/0 user@host# set rule-set rs from interface ge-0/0/1
配置匹配数据包的规则,将目标 IP 地址转换为目标 IP 地址池中NAT IP 地址。
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
结果
在配置模式下,输入 和 命令以确认 show security nat 您的 show routing-instances 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show security nat
destination {
pool vrf-a_p {
routing-instance {
VRF-a;
}
address 192.168.1.200/32;
}
pool vrf-b_p {
routing-instance {
VRF-b;
}
address 192.168.1.201/32;
}
rule-set rs {
from interface [ ge-0/0/0.0 ge-0/0/1.0 ];
rule vrf-a_r {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 203.0.113.201/32;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 30:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 40:200;
vrf-target target:200:100;
vrf-table-label;
}
如果完成设备配置,请从配置 commit 模式输入 。
验证
验证目标NAT规则使用
目的
验证是否有与目标规则匹配NAT信息流。
行动
在操作模式下,输入 show security nat destination rule all 命令。在"转换命中"字段中,验证是否有与目标规则匹配NAT的信息流。
user@host> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: vrf-a_r Rule-set: rs
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/0.0
: ge-0/0/1.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Destination NAT rule: vrf-b_r Rule-set: rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/0.0
: ge-0/0/1.0
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
示例:配置静态NAT将 VRF 实例的专用 IP 地址转换为公共 IP 地址
此示例介绍如何将 VRF NAT专用 IP 地址映射至公共 IP 地址的静态配置。
要求
了解 SRX 系列设备如何SD-WAN网络部署NAT。请参阅 NAT 概述。
概述
此示例会将 SRX 系列设备配置为静态NAT将 VRF 实例的 VRF 专用 IP 地址转换为 VRF 实例的公共 IP 地址。静态NAT可应用于源路由NAT和目标NAT。在 图 3中,SRX 系列设备配置了两个 VRF 实例,即 VRF-a 和 VFR-b。SRX 系列设备会将 VRF 实例的专用 IP 地址转换为公共 IP 地址。
图 3:静态NAT
配置
程序
CLI快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 30:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 40:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set security nat static rule-set rs from interface ge-0/0/0 set security nat static rule-set rs rule vrf-a_r match static-address 203.0.113.200 set security nat static rule-set rs rule vrf-a_r then static-nat prefix 192.168.1.200 set security nat static rule-set rs rule vrf-a_r then static-nat prefix routing-instance VRF-a set security nat static rule-set rs from interface ge-0/0/1 set security nat static rule-set rs rule vrf-b_r match static-address 203.0.113.201 set security nat static rule-set rs rule vrf-b_r then static-nat prefix 192.168.1.201 set security nat static rule-set rs rule vrf-b_r then static-nat prefix routing-instance VRF-b
逐步过程
以下示例要求您在配置层次结构中导航各个级别。
要配置NAT单个 VRF 的 IP 地址的静态路由映射:
第 3 层 VPN 需要一个 VRF 表,用于在网络中分配路由。创建 VRF 实例并指定值 vrf 。
[edit routing-instances] user@host#set VRF-a instance-type vrf user@host#set VRF-b instance-type vrf
为路由实例分配路由识别器。
[edit routing-instances] user@host#set VRF-a route-distinguisher 30:200 user@host#set VRF-b route-distinguisher 40:200
创建导入或导出所有路由的社区策略。
[edit routing-instances] user@host#set VRF-a vrf-target target:100:100 user@host#set VRF-b vrf-target target:200:100
为 VRF 中所有路由分配一个 VPN 标签。
[edit routing-instances] user@host#set VRF-a vrf-table-label user@host#set VRF-b vrf-table-label
创建静态NAT规则集。
[edit security nat static] user@host# set rule-set rs from interface ge-0/0/0 user@host# set rule-set rs from interface ge-0/0/1
配置匹配数据包且将数据包中的目标地址转换为专用 IP 地址的规则。
[edit security nat static] user@host# set rule-set rs rule vrf-a_r match static-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then static-nat prefix 192.168.1.200 user@host# set rule-set rs rule vrf-a_r then static-nat prefix routing-instance VRF-a user@host# set rule-set rs rule vrf-b_r match static-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then static-nat prefix 192.168.1.201 user@host# set rule-set rs rule vrf-b_r then static-nat prefix routing-instance VRF-b
结果
在配置模式下,输入 和 命令以确认 show security nat show routing-instances 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show security nat
static {
rule-set rs {
from interface [ ge-0/0/0.0 ge-0/0/1.0 ];
rule vrf-a_r {
match {
destination-address 203.0.113.200/32;
}
then {
static-nat {
prefix {
192.168.1.200/32;
routing-instance VRF-a;
}
}
}
}
rule vrf-b_r {
match {
destination-address 203.0.113.201/32;
}
then {
static-nat {
prefix {
192.168.1.201/32;
routing-instance VRF-b;
}
}
}
}
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 30:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 40:200;
vrf-target target:200:100;
vrf-table-label;
}
如果完成设备配置,请从配置 commit 模式输入 。
验证
验证静态NAT规则使用
目的
验证是否有与静态路由规则NAT匹配。
行动
在操作模式下,输入 show security nat static rule 命令。在"转换命中"字段中,验证是否有与静态路由规则NAT匹配。
user@host> show security nat static rule all
Total static-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 4/0
Static NAT rule: vrf-a_r Rule-set: rs
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/0.0
: ge-0/0/1.0
Destination addresses : 203.0.113.200
Host addresses : 192.168.1.200
Netmask : 32
Host routing-instance : VRF-a
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Static NAT rule: vrf-b_r Rule-set: rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/0.0
: ge-0/0/1.0
Destination addresses : 203.0.113.201
Host addresses : 192.168.1.201
Netmask : 32
Host routing-instance : VRF-b
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0