Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Routing, Schnittstellen und NAT für logische Benutzersysteme

Das benutzerlogische System ermöglicht es Ihnen, Routing-Protokolle, Schnittstellen und NAT zu konfigurieren. Routing-Protokolle verarbeiten alle Routing-Nachrichten. NAT ist ein Mechanismus, um die IP-Adresse eines Computers oder einer Gruppe von Computern in eine einzige öffentliche Adresse zu übersetzen, wenn die Pakete ins Internet gesendet werden. Weitere Informationen finden Sie in den folgenden Themen:

Logische Systeme verstehen Network Address Translation

Network Address Translation (NAT) ist eine Methode zum Ändern oder Übersetzen von Netzwerkadressinformationen in Paket-Headern. Eine oder beide Quell- und Zieladressen in einem Paket können übersetzt werden. NAT kann die Übersetzung von Portnummern sowie IP-Adressen umfassen.

Jede Kombination aus statischer, Ziel- oder Quell-NAT kann im logischen Root- oder Benutzersystem konfiguriert werden. Die Konfiguration von NAT in einem logischen System ist identisch mit der Konfiguration von NAT in einem Stammsystem. Der primäre Administrator kann NAT sowohl im primären logischen System als auch in jedem logischen Benutzersystem konfigurieren und überwachen.

Ab Junos OS Version 18.2R1 wird die NAT-Funktionalität für logische Systeme auf SRX4100- und SRX4200-Geräten zusätzlich zur bestehenden Unterstützung auf SRX1500-, SRX5400-, SRX5600- und SRX5800-Geräten unterstützt.

Für jedes logische Benutzersystem kann der primäre Administrator die maximale und reservierte Anzahl für die folgenden NAT-Ressourcen konfigurieren:

  • Quell-NAT-Pools und Ziel-NAT-Pools

  • IP-Adressen in Quell-NAT-Pools mit und ohne Portadressübersetzung

  • Regeln für Quell-, Ziel- und statische NAT

  • Persistente NAT-Bindungen

  • IP-Adressen, die Portüberlastung unterstützen

In einem benutzerlogischen System kann der Administrator des benutzerlogischen Systems den Betriebsbefehl show system security-profile mit einer NAT-Option verwenden, um die Anzahl der NAT-Ressourcen anzuzeigen, die dem logischen Benutzersystem zugeordnet sind.

Hinweis:

Der primäre Administrator kann ein Sicherheitsprofil für das primäre logische System konfigurieren, das die maximale und reservierte Anzahl von NAT-Ressourcen angibt, die auf das primäre logische System angewendet werden. Die Anzahl der im primären logischen System konfigurierten Ressourcen wird auf die maximale Anzahl der auf dem Gerät verfügbaren NAT-Ressourcen angerechnet.

Von einem logischen Benutzersystem aus kann der Administrator des logischen Benutzersystems den show security nat Befehl verwenden, um die Informationen zu NAT für das logische Benutzersystem anzuzeigen. Vom primären logischen System aus kann der primäre Administrator denselben Befehl verwenden, um Informationen für das primäre logische System, ein bestimmtes logisches Benutzersystem oder alle logischen Systeme anzuzeigen.

Siehe auch

Beispiel: Konfigurieren von Network Address Translation für einen Benutzer Logische Systeme

Dieses Beispiel zeigt, wie statische NAT für ein logisches Benutzersystem konfiguriert wird.

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel wird das benutzerlogische System ls-product-design konfiguriert, das in Beispiel: Erstellen logischer Benutzersysteme, deren Administratoren, ihre Benutzer und ein logisches Interconnect-System gezeigt wird.

Geräte in der ls-product-design-untrust-Zone greifen über die Adresse 12.1.1.200/32 auf einen bestimmten Host in der ls-product-design-trust-Zone zu. Bei Paketen, die aus der Zone ls-product-design-untrusted mit der Ziel-IP-Adresse 12.1.1.200/32 in das logische System ls-product-design gelangen, wird die Ziel-IP-Adresse in die IP-Adresse 12.1.1.100/32 übersetzt. In diesem Beispiel wird die in Tabelle 1 beschriebene statische NAT konfiguriert.

Tabelle 1: Statische NAT-Konfiguration des benutzerlogischen Systems

Funktion

Bezeichnung

Konfigurationsparameter

Statischer NAT-Regelsatz

1 Rupien

  • Regel r1, um Pakete aus der ls-product-design-untrust-Zone mit der Zieladresse 12.1.1.200/32 abzugleichen.

  • Die Ziel-IP-Adresse in übereinstimmenden Paketen wird in 12.1.1.100/32 übersetzt.

Proxy-ARP

Adresse 12.1.1.200 auf Schnittstelle lt-0/0/0.3.

Konfiguration

Vorgehensweise

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.

So konfigurieren Sie NAT in einem logischen Benutzersystem:

  1. Melden Sie sich als Administrator des logischen Systems beim Benutzer an und wechseln Sie in den Konfigurationsmodus.

  2. Konfigurieren Sie einen statischen NAT-Regelsatz.

  3. Konfigurieren Sie eine Regel, die Pakete abgleicht und die Zieladresse in den Paketen übersetzt.

  4. Konfigurieren Sie das Proxy-ARP.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security nat Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfen der statischen NAT-Konfiguration

Zweck

Stellen Sie sicher, dass Datenverkehr vorhanden ist, der dem statischen NAT-Regelsatz entspricht.

Aktion

Geben Sie im Betriebsmodus den show security nat static rule Befehl ein. Zeigen Sie das Feld Übersetzungstreffer an, um nach Datenverkehr zu suchen, der der Regel entspricht.

Überprüfen der NAT-Anwendung im Datenverkehr

Zweck

Stellen Sie sicher, dass NAT auf den angegebenen Datenverkehr angewendet wird.

Aktion

Geben Sie im Betriebsmodus den show security flow session Befehl ein.

Siehe auch

Beispiel: Schnittstellen und Routing-Instanzen für ein Benutzerlogisches System konfigurieren

Dieses Beispiel zeigt, wie Schnittstellen und Routinginstanzen für ein Mandantensystem konfiguriert werden.

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel wird das benutzerlogische System ls-product-design konfiguriert, das in Beispiel: Erstellen logischer Benutzersysteme, deren Administratoren, ihre Benutzer und ein logisches Interconnect-System gezeigt wird.

In diesem Beispiel werden die in Tabelle 2 beschriebenen Schnittstellen und Routinginstanzen konfiguriert.

Tabelle 2: Konfiguration der benutzerlogischen Systemschnittstelle und der Routing-Instanz

Funktion

Bezeichnung

Konfigurationsparameter

Schnittstelle

GE-0/0/5.1

  • IP-Adresse: 12.1.1.1/24

  • VLAN-Kennung 700

Routing-Instanz

PD-VR1

  • Instanztyp: virtueller Router

  • Enthält die Schnittstellen ge-0/0/5.1 und lt-0/0/0.3

  • Statische Routen:

    • 13.1.1.0/24 Nächster Hop 10.0.1.3

    • 14.1.1.0/24 Nächster Hop 10.0.1.4

    • 12.12.1.0/24 Next-Hop 10.0.1.1

Konfiguration

Vorgehensweise

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.

So konfigurieren Sie eine Schnittstelle und eine Routing-Instanz in einem benutzerlogischen System:

  1. Melden Sie sich als Administrator des logischen Systems beim Benutzer an und wechseln Sie in den Konfigurationsmodus.

  2. Konfigurieren Sie die logische Schnittstelle für ein logisches Benutzersystem.

  3. Konfigurieren Sie die Routing-Instanz und weisen Sie Schnittstellen zu.

  4. Konfigurieren Sie statische Routen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfaces show routing-instances und-Befehle. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Hinweis:

Der primäre Administrator konfiguriert die lt-0/0/0.3-Schnittstelle. Daher erscheint die lt-0/0/0.3-Konfiguration in der show interfaces Ausgabe, obwohl Sie dieses Element nicht konfiguriert haben.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Siehe auch

Beispiel: Konfigurieren des OSPF-Routing-Protokolls für einen Benutzer Logische Systeme

In diesem Beispiel wird gezeigt, wie OSPF für ein logisches Benutzersystem konfiguriert wird.

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel konfigurieren Sie OSPF für das logische Benutzersystem ls-product-design, wie in Beispiel: Erstellen logischer Benutzersysteme, deren Administratoren, ihre Benutzer und ein logisches Interconnect-System gezeigt.

In diesem Beispiel wird das OSPF-Routing auf den Schnittstellen ge-0/0/5.1 und lt-0/0/0.3 im benutzerlogischen System ls-product-design aktiviert. Sie konfigurieren die folgenden Routing-Richtlinien, um Routen aus der Junos OS-Routing-Tabelle in OSPF in der pd-vr1-Routing-Instanz zu exportieren:

  • ospf-redist-direct: Routen, die von direkt verbundenen Schnittstellen gelernt werden.

  • ospf-redist-static – Statische Routen.

  • ospf-to-ospf: Routen, die von OSPF gelernt wurden.

Konfiguration

Vorgehensweise

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie OSPF für das logische Benutzersystem:

  1. Melden Sie sich beim logischen Benutzersystem als Administrator des logischen Benutzersystems an und wechseln Sie in den Konfigurationsmodus.

  2. Erstellen Sie Routing-Richtlinien, die Routen akzeptieren.

  3. Wenden Sie die Routing-Richtlinien auf Routen an, die aus der Junos OS-Routing-Tabelle in OSPF exportiert werden.

  4. Aktivieren Sie OSPF auf den logischen Schnittstellen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show policy-options show routing-instances und-Befehle. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Der Kürze halber enthält diese show Befehlsausgabe nur die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Auslassungspunkte ersetzt (...).

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen von OSPF-Schnittstellen

Zweck

Überprüfen Sie OSPF-fähige Schnittstellen.

Aktion

Geben Sie in der CLI den show ospf interface instance pd-vr1 Befehl ein.

Überprüfen von OSPF-Nachbarn

Zweck

Überprüfen Sie die OSPF-Nachbarn.

Aktion

Geben Sie in der CLI den show ospf neighbor instance pd-vr1 Befehl ein.

Überprüfen von OSPF-Routen

Zweck

Überprüfen Sie die OSPF-Routen.

Aktion

Geben Sie in der CLI den show ospf route instance pd-vr1 Befehl ein.

Siehe auch

Zugehörige Dokumentation