Statische Quelle NAT
Konfiguration der statischen Quellübersetzung in IPv4-Netzwerken
Um den Übersetzungstyp als basic-nat44 zu konfigurieren, müssen Sie den NAT-Pool und die Regel, den Servicesatz mit Serviceschnittstelle und die Trace-Optionen konfigurieren. Dieses Thema umfasst die folgenden Aufgaben:
- Konfigurieren des NAT-Pools und der -Regel
- Konfigurieren des Service-Sets für NAT
- Konfigurieren von Trace-Optionen
- Beispielkonfiguration – Statische Quell-NAT unter Verwendung eines statischen Pools mit einem Adresspräfix und einem Adressbereich
- Beispielkonfiguration: Statische Quell-NAT für die Eins-zu-Eins-Zuordnung zwischen einem privaten und einem öffentlichen Subnetz
Konfigurieren des NAT-Pools und der -Regel
So konfigurieren Sie den NAT-Pool, die Regel und den Begriff:
Wenn Sie keine Stateful Firewall (SFW)-Regel für Ihren Datenverkehr konfigurieren, unterliegt jedes Paket der folgenden standardmäßigen Stateful Firewall-Regel:
Lassen Sie alle gültigen Pakete von innen nach außen zu.
Erstellen Sie einen Vorwärts- und Rückfluss basierend auf Paketen mit 5 Tupeln.
Lassen Sie nur gültige Pakete zu, die mit den Rückflüssen von außen nach innen übereinstimmen.
Die Paketvalidierungsprüfungen der Stateful-Firewall werden in der Übersicht über die Anomalieprüfung der Stateful Firewall in Junos Network Secure beschrieben. Wenn ein Paket die Gültigkeitsprüfung der Stateful-Firewall besteht, aber nicht mit einer NAT-Regel übereinstimmt, werden sie nicht übersetzt und können weitergeleitet werden, wenn der NAT-Knoten über eine gültige Route zu den Ziel-IP-Adressen der Pakete verfügt.
Wenn Sie einen Parameter in der from Anweisung (Übereinstimmungsbedingung für NAT-Regelbegriffe) auf Hierarchieebene [edit services service-set service-set-name nat-rules rule-name term term- name] hinzufügen oder löschen, löst diese Konfigurationsänderung ein Löschen und Hinzufügen der NAT-Richtlinie aus (was der Deaktivierung und Aktivierung eines Servicesatzes entspricht), wodurch alle vorhandenen NAT-Zuordnungen gelöscht werden. Da die Sitzungen aufgrund der Änderung der NAT-Richtlinie nicht geschlossen werden, führt dieses Verhalten zu einer Zeitüberschreitung der Zuordnungen unmittelbar nach dem Schließen der Sitzungen. Dieses Verhalten ist nur bei Junos OS Extension-Provider-Paketen zu erwarten, die auf einem Gerät installiert sind. Wenn eine NAT-Richtlinie gelöscht und erneut hinzugefügt wird, werden nur EIM-Zuordnungen gelöscht. Durch diese Änderung der NAT-Richtlinie wird das Service-Set nicht deaktiviert und aktiviert. Es wird empfohlen, den in solchen Szenarien festgelegten Dienst in Junos OS Version 14.2 und früher zu deaktivieren und erneut zu aktivieren.
Konfigurieren des Service-Sets für NAT
So konfigurieren Sie das Service-Set für NAT:
Konfigurieren von Trace-Optionen
So konfigurieren Sie die Ablaufverfolgungsoptionen:
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat44;
interface-service {
service-interface ms-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat44 {
match-direction input;
term t1 {
from {
source-address {
3.1.1.2/32;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Beispielkonfiguration – Statische Quell-NAT unter Verwendung eines statischen Pools mit einem Adresspräfix und einem Adressbereich
[edit services nat]
pool p1 {
address 30.30.30.252/30;
address-range low 20.20.20.1 high 20.20.20.2;
}
rule r1 {
match-direction input;
term t1 {
from {
source-address {
10.10.10.252/30;
}
}
then {
translated {
source-pool p1;
translation-type basic-nat44;
}
}
}
}
Beispielkonfiguration: Statische Quell-NAT für die Eins-zu-Eins-Zuordnung zwischen einem privaten und einem öffentlichen Subnetz
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat44;
interface-service {
service-interface ms-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat44 {
match-direction input;
term t1 {
from {
source-address {
3.1.1.2/32;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat44;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
[edit interfaces]
user@host# show
xe-1/1/0 {
unit 0 {
family inet {
service {
input {
service-set s1;
}
output {
service-set s1;
}
}
address 10.255.247.2/24;
}
}
}
Konfiguration der Übersetzung statischer Quellen in IPv6-Netzwerken
Um den Übersetzungstyp als basic-nat66zu konfigurieren, müssen Sie den NAT-Pool und die -Regel, den Servicesatz mit Serviceschnittstelle und die Trace-Optionen konfigurieren. Die basic-nat66 Übersetzungsart ist nicht verfügbar, wenn Sie MS-MPCs oder MS-MIC verwenden.
Dieses Thema umfasst die folgenden Aufgaben:
- Konfigurieren des NAT-Pools und der -Regel
- Konfigurieren des Service-Sets für NAT
- Konfigurieren von Trace-Optionen
Konfigurieren des NAT-Pools und der -Regel
So konfigurieren Sie den NAT-Pool, die Regel und den Begriff:
Konfigurieren des Service-Sets für NAT
So konfigurieren Sie das Service-Set für NAT:
Konfigurieren von Trace-Optionen
So konfigurieren Sie die Ablaufverfolgungsoptionen auf Hierarchieebene [edit services adaptive-services-pics] :
Im folgenden Beispiel wird der Übersetzungstyp als basic-nat66 konfiguriert.
[edit]
user@host# show services
service-set s1 {
nat-rules rule-basic-nat66;
interface-service {
service-interface sp-1/2/0;
}
}
nat {
pool src_pool {
address 10.10.10.2/32;
}
rule rule-basic-nat66 {
match-direction input;
term t1 {
from {
source-address {
2001:db8:10::0/96/96;
}
}
then {
translated {
source-pool src_pool;
translation-type {
basic-nat66;
}
}
}
}
}
}
adaptive-services-pics {
traceoptions {
flag all;
}
}
Beispiel: Konfiguration von Basic NAT44
In diesem Beispiel wird beschrieben, wie eine grundlegende NAT44-Konfiguration implementiert wird.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine universelle 5G-Routing-Plattform der MX-Serie mit einem Services-DPC oder ein Multiservice-Edge-Router der M Series mit einem Service-PIC
Ein Domain-Name-Server (DNS)
Junos OS Version 11.4 oder höher
Überblick
Dieses Beispiel zeigt eine vollständige CGN NAT44-Konfiguration und erweiterte Optionen.
Konfiguration von Basic NAT44
Chassis-Konfiguration
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den Service-PIC (FPC 5 Slot 0) mit dem Layer 3-Servicepaket:
Rufen Sie die Hierarchieebene [edit chassis] auf.
user@host# edit chassisKonfigurieren Sie das Layer-3-Servicepaket.
[edit chassis]user@host# set fpc 5 pic 0 adaptive-services service-package layer-3
Schnittstellen-Konfiguration
Schritt-für-Schritt-Anleitung
So konfigurieren Sie Schnittstellen zum privaten Netzwerk und zum öffentlichen Internet:
Definieren Sie die Schnittstelle zum privaten Netzwerk.
user@host# edit interfaces ge-1/3/5
[edit interfaces ge-1/3/5]user@host# set description “Private” user@host# edit unit 0 family inet[edit interfaces ge-1/3/5 unit 0 family inet]user@host# set service input service-set ss2 user@host# set service output service-set ss2 user@host# set address 9.0.0.1/24Definieren Sie die Schnittstelle zum öffentlichen Internet.
user@host# edit interfaces ge-1/3/6
[edit interfaces ge-1/3/6]user@host# set description “Public” user@host# set unit 0 family inet address 128.0.0.1/24Definieren Sie die Serviceschnittstelle für die NAT-Verarbeitung.
user@host# edit interfaces sp-5/0/0
[edit interfaces sp-5/0/0]user@host# set unit 0 family inet
Ergebnisse
user@host# show interfaces ge-1/3/5
description Private;
unit 0 {
family inet {
service {
input {
service-set sset2;
}
output {
service-set sset2;
}
}
address 9.0.0.1/24;
}
}
}
user@host# show interfaces ge-1/3/6
description Public:;
unit 0 {
family inet {
address 128.0.0.1/24;
}
}
user@host# show interfaces sp-5/0/0
unit 0 {
family inet;
}
Beispiel: Konfigurieren von NAT für Multicast-Datenverkehr
Abbildung 1 veranschaulicht die Netzwerkeinrichtung für die folgende Konfiguration, mit der IP-Multicast-Datenverkehr an das Multiservices PIC gesendet werden kann.
Rendezvouspunkt-Konfiguration
Am Rendezvous Point (RP) wird der gesamte eingehende Datenverkehr von der Multicast Quelle bei 192.168.254.0/27 an die statische NAT-Pool-mcast_pool gesendet, wo die Quelle in 20.20.20.0/27 übersetzt wird. Der Service Set nat_ss ist ein Next-Hop-Service-Set, mit dem IP-Multicast Datenverkehr an das Multiservices DPC oder Multiservices PIC gesendet werden kann. Die interne Schnittstelle des PIC ist ms-1/1/0.1 und die äußere Schnittstelle ms-1/1/0.2.
[edit services]
nat {
pool mcast_pool {
address 20.20.20.0/27;
}
rule nat_rule_1 {
match-direction input;
term 1 {
from {
source-address 192.168.254.0/27;
}
}
then {
translated {
source-pool mcast_pool;
translation-type basic-nat44;
}
syslog;
}
}
}
service-set nat_ss {
allow-multicast;
nat-rules nat_rule_1;
next-hop-service {
inside-service-interface ms-1/1/0.1;
outside-service-interface ms-1/1/0.2;
}
}
Die Gigabit-Ethernet-Schnittstelle ge-0/3/0 leitet den Datenverkehr aus dem RP zu Router 1. Die Multiservices-Schnittstelle ms-1/1/0 verfügt über zwei logische Schnittstellen: Einheit 1 ist die interne Schnittstelle für Next-Hop-Dienste und Einheit 2 ist die externe Schnittstelle für Next-Hop-Dienste. Multicast-Quelldatenverkehr kommt über die Fast-Ethernet-Schnittstelle fe-1/2/1 an, auf die der Firewall-Filter fbf auf eingehenden Datenverkehr angewendet wird.
[edit interfaces]
ge-0/3/0 {
unit 0 {
family inet {
address 10.10.1.1/30;
}
}
}
ms-1/1/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
fe-1/2/1 {
unit 0 {
family inet {
filter {
input fbf;
}
address 192.168.254.27/27;
}
}
}
Multicast-Pakete können nur über einen Next-Hop-Servicesatz an den Multiservices DPC oder den Multiservices PIC weitergeleitet werden. Im Fall von NAT müssen Sie auch eine VPN-Routing- und Weiterleitungsinstanz (VRF) konfigurieren. Daher wird die Routing-Instanz-Phase als "Dummy"-Weiterleitungsinstanz erstellt. Um eingehende Pakete in die Phase zu leiten, konfigurieren Sie die filterbasierte Weiterleitung über einen Firewall-Filter namens fbf, der auf die eingehende Schnittstelle fe-1/2/1 angewendet wird. Eine Suche wird in stage.inet.0 durchgeführt, die über eine statische Multicast-Route verfügt, die installiert ist, wobei der nächste Hop auf die interne Schnittstelle des PIC verweist. Der gesamte Multicast-Datenverkehr, der mit dieser Route übereinstimmt, wird an das PIC gesendet.
[edit firewall]
filter fbf {
term 1 {
then {
routing-instance stage;
}
}
}
Die Routing-Instanzstufe leitet den IP-Multicast-Datenverkehr an die interne Schnittstelle ms-1/1/0.1 auf dem Multiservices DPC oder Multiservices PIC weiter:
[edit]
routing-instances stage {
instance-type forwarding;
routing-options {
static {
route 224.0.0.0/4 next-hop ms-1/1/0.1;
}
}
}
Sie aktivieren OSPF und protokollunabhängiges Multicast (PIM) auf den logischen Schnittstellen Fast Ethernet und Gigabit Ethernet, über die der IP-Multicast-Datenverkehr in den RP ein- und ausgeht. Sie aktivieren PIM auch auf der externen Schnittstelle (ms-1/1/0.2) des Next Hop-Service-Sets.
[edit protocols]
ospf {
area 0.0.0.0 {
interface fe-1/2/1.0 {
passive;
}
interface lo0.0;
interface ge-0/3/0.0;
}
}
pim {
rp {
local {
address 10.255.14.160;
}
}
interface fe-1/2/1.0;
interface lo0.0;
interface ge-0/3/0.0;
interface ms-1/1/0.2;
}
Wie bei jeder filterbasierten Weiterleitungskonfiguration müssen Sie die Routing-Tabellengruppen so konfigurieren, dass alle Schnittstellenrouten von inet.0 in die Routing-Tabelle in der Weiterleitungsinstanz kopiert werden, damit die statische Route in der Weiterleitungsinstanzphase einen erreichbaren nächsten Hop hat. Sie konfigurieren die Routing-Tabellen inet.0 und stage.inet.0 als Mitglieder von fbf_rib_group, sodass alle Schnittstellenrouten in beide Tabellen importiert werden.
[edit routing-options]
interface-routes {
rib-group inet fbf_rib_group;
}
rib-groups fbf_rib_group {
import-rib [ inet.0 stage.inet.0 ];
}
multicast {
rpf-check-policy no_rpf;
}
Die RPF-Prüfung (Reverse Path Forwarding) muss für die Multicast-Gruppe deaktiviert sein, auf die Quell-NAT angewendet wird. Sie können die RPF-Überprüfung für bestimmte Multicast-Gruppen deaktivieren, indem Sie eine Richtlinie ähnlich der im folgenden Beispiel konfigurieren. In diesem Fall deaktiviert die no_rpf-Richtlinie die RPF-Prüfung für Multicast Gruppen, die zu 224.0.0.0/4 gehören.
[edit policy-options]
policy-statement no_rpf {
term 1 {
from {
route-filter 224.0.0.0/4 orlonger;
}
then reject;
}
}
Router 1 Konfiguration
Die IGMP-, OSPF- und PIM-Konfiguration (Internet Group Management Protocol) auf Router 1 lautet wie folgt. Aufgrund der statischen IGMP-Gruppenkonfiguration wird der Datenverkehr fe-3/0/0.0 an den Multicast-Empfänger weitergeleitet, ohne Mitgliedschaftsberichte von Hostmitgliedern zu erhalten.
[edit protocols]
igmp {
interface fe-3/0/0.0 {
}
}
ospf {
area 0.0.0.0 {
interface fe-3/0/0.0 {
passive;
}
interface lo0.0;
interface ge-7/2/0.0;
}
pim {
rp {
static {
address 10.255.14.160;
}
}
interface fe-3/0/0.0;
interface lo0.0;
interface ge-7/2/0.0;
}
}
Die Routingoption erstellt eine statische Route zum NAT-Pool mcast_pool auf dem RP.
[edit routing-options]
static {
route 20.20.20.0/27 next-hop 10.10.1.1;
}
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.