Statische Quellen-NAT
Konfiguration der statischen Quellübersetzung in IPv4-Netzwerken
Um den Übersetzungstyp als basic-nat44 zu konfigurieren, müssen Sie den NAT-Pool und die NAT-Regel, den Dienstsatz mit Dienstschnittstelle und die Ablaufverfolgungsoptionen konfigurieren. Dieses Thema umfasst die folgenden Aufgaben:
- Konfigurieren des NAT-Pools und der NAT-Regel
- Konfigurieren des Dienstsatzes für NAT
- Konfigurieren von Ablaufverfolgungsoptionen
- Beispielkonfiguration: Statische Quellen-NAT unter Verwendung eines statischen Pools mit einem Adresspräfix und einem Adressbereich
- Beispielkonfiguration: Statische Quell-NAT für die Eins-zu-Eins-Zuordnung zwischen einem privaten und einem öffentlichen Subnetz
Konfigurieren des NAT-Pools und der NAT-Regel
So konfigurieren Sie den NAT-Pool, die Regel und den Begriff:
Wenn Sie keine SFW-Regel (Stateful Firewall) für Ihren Datenverkehr konfigurieren, unterliegt jedes Paket der folgenden standardmäßigen Stateful-Firewall-Regel:
Lassen Sie alle gültigen Pakete von innen nach außen zu.
Erstellen Sie einen Vorwärts- und Rückfluss auf der Grundlage von Paketen mit 5 Tupeln.
Nur gültige Pakete zulassen, die mit Rückflüssen von außen nach innen übereinstimmen.
Die Gültigkeitsprüfungen der Stateful-Firewall für Pakete werden in der Übersicht über Anomalien bei der Stateful Firewall in Junos Network Secure beschrieben. Wenn ein Paket die Gültigkeitsprüfung der Stateful Firewall besteht, aber keine NAT-Regel enthält, werden sie nicht übersetzt und können weitergeleitet werden, wenn der NAT-Knoten über eine gültige Route zu den IP-Zieladressen der Pakete verfügt.
Wenn Sie einen Parameter in der from Anweisung (NAT-Regelbegriffsübereinstimmungsbedingung) auf Hierarchieebene [edit services service-set service-set-name nat-rules rule-name term term- name] hinzufügen oder löschen, löst diese Konfigurationsänderung ein Löschen und Hinzufügen der NAT-Richtlinie aus (was der Deaktivierung und Aktivierung eines Dienstsatzes entspricht), wodurch alle vorhandenen NAT-Zuordnungen gelöscht werden. Da die Sitzungen aufgrund der Änderung der NAT-Richtlinie nicht geschlossen werden, führt dieses Verhalten dazu, dass bei den Zuordnungen unmittelbar nach dem Schließen der Sitzungen eine Zeitüberschreitung auftritt. Dieses Verhalten wird erwartet und ist nur bei Junos OS Extension-Provider-Paketen anwendbar, die auf einem Gerät installiert sind. Wenn eine NAT-Richtlinie gelöscht und erneut hinzugefügt wird, werden nur EIM-Zuordnungen gelöscht. Durch diese NAT-Richtlinienänderung wird der Dienstsatz nicht deaktiviert und aktiviert. Wir empfehlen, den Servicesatz in solchen Szenarien in Junos OS Version 14.2 und früher zu deaktivieren und erneut zu aktivieren.
Konfigurieren des Dienstsatzes für NAT
So konfigurieren Sie den Dienstsatz für NAT:
Konfigurieren von Ablaufverfolgungsoptionen
So konfigurieren Sie die Ablaufverfolgungsoptionen:
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat44;
interface-service {
service-interface ms-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat44 {
match-direction input;
term t1 {
from {
source-address {
3.1.1.2/32;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Beispielkonfiguration: Statische Quellen-NAT unter Verwendung eines statischen Pools mit einem Adresspräfix und einem Adressbereich
[edit services nat]
pool p1 {
address 30.30.30.252/30;
address-range low 20.20.20.1 high 20.20.20.2;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.252/30;
}
}
then {
translated {
source-pool p1;
translation-type basic-nat44;
}
}
}
}
Beispielkonfiguration: Statische Quell-NAT für die Eins-zu-Eins-Zuordnung zwischen einem privaten und einem öffentlichen Subnetz
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat44;
interface-service {
service-interface ms-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat44 {
match-direction input;
term t1 {
from {
source-address {
3.1.1.2/32;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
[edit interfaces]
user@host# show
xe-1/1/0 {
unit 0 {
family inet {
service {
input {
service-set s1;
}
output {
service-set s1;
}
}
address 10.255.247.2/24;
}
}
}
Konfiguration der statischen Quellübersetzung in IPv6-Netzwerken
Um den Übersetzungstyp als basic-nat66zu konfigurieren, müssen Sie den NAT-Pool und die NAT-Regel, den Dienstsatz mit Dienstschnittstelle und die Ablaufverfolgungsoptionen konfigurieren. Der basic-nat66 Übersetzungstyp ist nicht verfügbar, wenn Sie MS-MPCs oder MS-MICs verwenden.
Dieses Thema umfasst die folgenden Aufgaben:
- Konfigurieren des NAT-Pools und der NAT-Regel
- Konfigurieren des Dienstsatzes für NAT
- Konfigurieren von Ablaufverfolgungsoptionen
Konfigurieren des NAT-Pools und der NAT-Regel
So konfigurieren Sie den NAT-Pool, die Regel und den Begriff:
Konfigurieren des Dienstsatzes für NAT
So konfigurieren Sie den Dienstsatz für NAT:
Konfigurieren von Ablaufverfolgungsoptionen
So konfigurieren Sie die Ablaufverfolgungsoptionen auf Hierarchieebene [edit services adaptive-services-pics] :
Im folgenden Beispiel wird der Übersetzungstyp als basic-nat66 konfiguriert.
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat66;
interface-service {
service-interface sp-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat66 {
match-direction input;
term t1 {
from {
source-address {
2001:db8:10::0/96/96;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Beispiel: Konfigurieren von Basic NAT44
In diesem Beispiel wird beschrieben, wie eine grundlegende NAT44-Konfiguration implementiert wird.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine universelle Routing-Plattform der MX-Serie mit einem Services DPC oder ein Multiservice Edge-Router der M Series mit einem Services PIC
Einen Domainnamenserver (DNS)
Junos OS Version 11.4 oder höher
Überblick
Dieses Beispiel zeigt eine vollständige CGN NAT44-Konfiguration und erweiterte Optionen.
Konfigurieren von Basic NAT44
Gehäusekonfiguration
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den Service-PIC (FPC 5 Steckplatz 0) mit dem Layer 3-Servicepaket:
Wechseln Sie zur Hierarchieebene [Chassis bearbeiten].
user@host# edit chassisKonfigurieren Sie das Layer 3-Servicepaket.
[edit chassis]user@host# set fpc 5 pic 0 adaptive-services service-package layer-3
Konfiguration von Schnittstellen
Schritt-für-Schritt-Anleitung
So konfigurieren Sie Schnittstellen zum privaten Netzwerk und zum öffentlichen Internet:
Definieren Sie die Schnittstelle zum privaten Netzwerk.
user@host# edit interfaces ge-1/3/5
[edit interfaces ge-1/3/5]user@host# set description “Private” user@host# edit unit 0 family inet[edit interfaces ge-1/3/5 unit 0 family inet]user@host# set service input service-set ss2 user@host# set service output service-set ss2 user@host# set address 9.0.0.1/24Definieren Sie die Schnittstelle zum öffentlichen Internet.
user@host# edit interfaces ge-1/3/6
[edit interfaces ge-1/3/6]user@host# set description “Public” user@host# set unit 0 family inet address 128.0.0.1/24Definieren Sie die Serviceschnittstelle für die NAT-Verarbeitung.
user@host# edit interfaces sp-5/0/0
[edit interfaces sp-5/0/0]user@host# set unit 0 family inet
Befund
user@host# show interfaces ge-1/3/5
description Private;
unit 0 {
family inet {
service {
input {
service-set sset2;
}
output {
service-set sset2;
}
}
address 9.0.0.1/24;
}
}
}
user@host# show interfaces ge-1/3/6
description Public:;
unit 0 {
family inet {
address 128.0.0.1/24;
}
}
user@host# show interfaces sp-5/0/0
unit 0 {
family inet;
}
Beispiel: Konfigurieren von NAT für Multicast-Datenverkehr
Abbildung 1 zeigt die Netzwerkeinrichtung für die folgende Konfiguration, die das Senden von IP-Multicast-Datenverkehr an das Multiservices-PIC ermöglicht.
Konfiguration des Rendezvous Point
Am Rendezvous Point (RP) wird der gesamte eingehende Datenverkehr von der Multicastquelle bei 192.168.254.0/27 an den statischen NAT-Pool mcast_pool gesendet, wo die Quelle in 20.20.20.0/27 übersetzt wird. Der Dienstsatz nat_ss ist ein Next-Hop-Dienstsatz, mit dem IP-Multicast Datenverkehr an den Multiservices-DPC oder Multiservices-PIC gesendet werden kann. Die interne Schnittstelle des PIC ist ms-1/1/0.1 und die externe Schnittstelle ist ms-1/1/0.2.
[edit services]
nat {
pool mcast_pool {
address 20.20.20.0/27;
}
rule nat_rule_1 {
match-direction input;
term 1 {
from {
source-address 192.168.254.0/27;
}
}
then {
translated {
source-pool mcast_pool;
translation-type basic-nat44;
}
syslog;
}
}
}
service-set nat_ss {
allow-multicast;
nat-rules nat_rule_1;
next-hop-service {
inside-service-interface ms-1/1/0.1;
outside-service-interface ms-1/1/0.2;
}
}
Die Gigabit-Ethernet-Schnittstelle ge-0/3/0 leitet den Datenverkehr aus dem RP zu Router 1. Die Multiservices-Schnittstelle ms-1/1/0 verfügt über zwei logische Schnittstellen: Einheit 1 ist die interne Schnittstelle für Next-Hop-Dienste und Einheit 2 ist die externe Schnittstelle für Next-Hop-Services. Multicast-Quelldatenverkehr wird über die Fast-Ethernet-Schnittstelle fe-1/2/1 empfangen, auf die der Firewall-Filter FBF auf eingehenden Datenverkehr angewendet wird.
[edit interfaces]
ge-0/3/0 {
unit 0 {
family inet {
address 10.10.1.1/30;
}
}
}
ms-1/1/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
fe-1/2/1 {
unit 0 {
family inet {
filter {
input fbf;
}
address 192.168.254.27/27;
}
}
}
Multicast-Pakete können nur mithilfe eines Next-Hop-Servicesatzes an den Multiservices-DPC oder den Multiservices-PIC weitergeleitet werden. Im Fall von NAT müssen Sie außerdem eine VPN-Routing- und Weiterleitungsinstanz (VRF) konfigurieren. Daher wird die Routinginstanzphase als "Dummy"-Weiterleitungsinstanz erstellt. Um eingehende Pakete an die Staging-Phase weiterzuleiten, konfigurieren Sie die filterbasierte Weiterleitung über einen Firewallfilter namens fbf, der auf die eingehende Schnittstelle fe-1/2/1 angewendet wird. Eine Suche wird in stage.inet.0 durchgeführt, die über eine statische Multicast-Route verfügt, die installiert wird, wobei der nächste Hop auf die interne Schnittstelle des PIC zeigt. Der gesamte Multicast-Datenverkehr, der dieser Route entspricht, wird an das PIC gesendet.
[edit firewall]
filter fbf {
term 1 {
then {
routing-instance stage;
}
}
}
Die Routing-Instanzphase leitet den IP-Multicast-Datenverkehr an die interne Schnittstelle ms-1/1/0.1 auf dem Multiservices-DPC oder Multiservices-PIC weiter:
[edit]
routing-instances stage {
instance-type forwarding;
routing-options {
static {
route 224.0.0.0/4 next-hop ms-1/1/0.1;
}
}
}
Sie aktivieren OSPF und Protocol Independent Multicast (PIM) auf den logischen Fast-Ethernet- und Gigabit-Ethernet-Schnittstellen, über die IP-Multicast-Datenverkehr in die RP ein- und ausgeht. Sie aktivieren PIM auch auf der externen Schnittstelle (ms-1/1/0.2) des Next-Hop-Servicesatzes.
[edit protocols]
ospf {
area 0.0.0.0 {
interface fe-1/2/1.0 {
passive;
}
interface lo0.0;
interface ge-0/3/0.0;
}
}
pim {
rp {
local {
address 10.255.14.160;
}
}
interface fe-1/2/1.0;
interface lo0.0;
interface ge-0/3/0.0;
interface ms-1/1/0.2;
}
Wie bei jeder filterbasierten Weiterleitungskonfiguration müssen Sie Routing-Tabelle Gruppen so konfigurieren, dass alle Schnittstellenrouten von inet.0 an den Routing-Tabelle in der Weiterleitungsinstanz kopiert werden, damit die statische Route in der Weiterleitungsinstanzphase über einen erreichbaren nächsten Hop verfügt. Sie konfigurieren die Routing-Tabellen inet.0 und stage.inet.0 als Mitglieder von fbf_rib_group, sodass alle Schnittstellenrouten in beide Tabellen importiert werden.
[edit routing-options]
interface-routes {
rib-group inet fbf_rib_group;
}
rib-groups fbf_rib_group {
import-rib [ inet.0 stage.inet.0 ];
}
multicast {
rpf-check-policy no_rpf;
}
Die RPF-Überprüfung (Reverse Path Forwarding) muss für die Multicastgruppe, auf die die Quell-NAT angewendet wird, deaktiviert sein. Sie können die RPF-Überprüfung für bestimmte Multicastgruppen deaktivieren, indem Sie eine Richtlinie konfigurieren, die der im folgenden Beispiel ähnelt. In diesem Fall deaktiviert die no_rpf-Richtlinie die RPF-Überprüfung für Multicastgruppen, die zu 224.0.0.0/4 gehören.
[edit policy-options]
policy-statement no_rpf {
term 1 {
from {
route-filter 224.0.0.0/4 orlonger;
}
then reject;
}
}
Konfiguration zu Router 1
Die IGMP-, OSPF- und PIM-Konfiguration (Internet Group Management Protocol), OSPF und PIM auf Router 1 lautet wie folgt. Aufgrund der Konfiguration statischer IGMP-Gruppen wird der Datenverkehr aus fe-3/0/0.0 an den Multicast-Empfänger weitergeleitet, ohne dass Mitgliedschaftsberichte von Hostmitgliedern empfangen werden.
[edit protocols]
igmp {
interface fe-3/0/0.0 {
}
}
ospf {
area 0.0.0.0 {
interface fe-3/0/0.0 {
passive;
}
interface lo0.0;
interface ge-7/2/0.0;
}
pim {
rp {
static {
address 10.255.14.160;
}
}
interface fe-3/0/0.0;
interface lo0.0;
interface ge-7/2/0.0;
}
}
Mit der Routingoption wird eine statische Route zum NAT-Pool (mcast_pool) auf der RP erstellt.
[edit routing-options]
static {
route 20.20.20.0/27 next-hop 10.10.1.1;
}
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.