AUF DIESER SEITE
NAT für VRF Group
Überblick
In einem SD-WAN-Netzwerk wird NAT verwendet, wenn Sie die private IP-Adresse in einen globalen IP-Pool in einer VRF-Gruppe konvertieren. Eine Firewall der SRX-Serie kann mit der folgenden VRF-Gruppen-NAT konfiguriert werden, um die angegebenen IPs, die zu einer bestimmten VRF-Gruppe gehören, in verschiedene IPs zu übersetzen, die zu verschiedenen VRF-Instanzen gehören:
VRF-Gruppenziel-NAT
VRF-Gruppenquelle NAT
Statische NAT der VRF-Gruppe
Beispiel: Konfigurieren der Quell-NAT zum Konvertieren der privaten IP-Adresse einer VRF-Gruppe in die private IP-Adresse einer anderen VRF-Instanz
In diesem Beispiel wird beschrieben, wie eine Quell-NAT zwischen zwei MPLS-Netzwerken konfiguriert wird.
Anforderungen
Erfahren Sie, wie die Firewalls der SRX-Serie in einer SD-WAN-Bereitstellung für NAT funktionieren.
Verstehen von virtuellen Gruppen in NAT-, virtuellen Routing- und Weiterleitungsinstanzen. Weitere Informationen finden Sie unter Virtuelle Routing- und Weiterleitungsinstanzen in SD-WAN-Bereitstellungen.
Überblick
Quell-NAT ist die Übersetzung der Quell-IP-Adresse eines Pakets, das das Gerät von Juniper Networks verlässt. Quell-NAT wird verwendet, um Hosts mit privaten IP-Adressen den Zugriff auf ein öffentliches Netzwerk zu ermöglichen.
In Abbildung 1 ist die Firewall der SRX-Serie mit den VRF-Gruppen vpn-A und vpn-B konfiguriert, die mit den Schnittstellen ge-0/0/1.0 und ge-0/0/1.1 der Firewall der SRX-Serie verbunden sind. In der Firewall der SRX-Serie des Hubs werden die Quell-IP-Adressen 192.168.1.200 und 192.168.1.201 der VRF-Gruppe vpn-A und vpn-B in 203.0.113.200 und 203.0.113.201 übersetzt.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to interface ge-0/0/1.0 set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to interface ge-0/0/1.1 set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren.
So konfigurieren Sie die Quellen-NAT-Zuordnung:
Erstellen Sie in Layer 3-VPNs eine VRF-Gruppe vpn-A mit den VRF-Instanzen A1 und A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Erstellen Sie eine weitere VRF-Gruppe vpn-B mit den VRF-Instanzen B1 und B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Erstellen Sie einen Quell-NAT-Pool.
[edit security nat source pool] user@host#set vrf-a_p address 203.0.113.200 user@host#set vrf-b_p address 203.0.113.201
Erstellen Sie einen Quell-NAT-Regelsatz.
[edit security nat source] user@host#set rule-set vrf-a_rs from routing-group vpn-A user@host#set rule-set vrf-a_rs to interface ge-0/0/1.0 user@host#set rule-set vrf-b_rs from routing-group vpn-B user@host#set rule-set vrf-b_rs to interface ge-0/0/1.1
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Quell-IP-Adresse in eine IP-Adresse im Quell-NAT-Pool übersetzt.
[edit security nat source] user@host# set rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 user@host# set rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p user@host# set rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 user@host# set rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security nat Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to interface ge-0/0/1.0;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to interface ge-0/0/1.1;
rule rule2 {
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Überprüfen der Verwendung von Quell-NAT-Regeln
Zweck
Vergewissern Sie sich, dass Datenverkehr vorhanden ist, der der Quell-NAT-Regel entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat source rule all Befehl ein. Überprüfen Sie im Feld Übersetzungstreffer, ob Datenverkehr vorhanden ist, der der Quell-NAT-Regel entspricht.
user@host>show security nat source rule all
Total rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
rule: rule1 Rule-set: vrf-a_rs
Rule-Id : 1
Rule position : 1
From routing-Group : vpn-A
To interface : ge-0/0/1.0
Match
Source addresses : 192.168.1.200 - 192.168.1.200
Action : vrf-a_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
rule: rule2 Rule-set: vrf-b_rs
Rule-Id : 2
Rule position : 2
From routing-Group : vpn-B
To interface : ge-0/0/1.1
Match
Source addresses : 192.168.1.201 - 192.168.1.201
Action : vrf-b_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Beispiel: Konfigurieren der Ziel-NAT zum Konvertieren der öffentlichen IP-Adresse einer VRF-Gruppe in die private IP-Adresse einer anderen VRF-Instanz
In diesem Beispiel wird beschrieben, wie die Ziel-NAT-Zuordnung einer öffentlichen IP-Adresse einer VRF-Gruppe zur privaten Adresse des einzelnen VRF konfiguriert wird, um die Pakete an die richtige VRF-Instanz weiterzuleiten.
Anforderungen
Erfahren Sie, wie die Firewalls der SRX-Serie in einer SD-WAN-Bereitstellung für NAT funktionieren.
Grundlegendes zu virtuellen Routing- und Weiterleitungsinstanzen. Weitere Informationen finden Sie unter Virtuelle Routing- und Weiterleitungsinstanzen in SD-WAN-Bereitstellungen.
Überblick
Ziel-NAT ist die Übersetzung der Ziel-IP-Adresse eines Pakets, das in das Gerät von Juniper Networks eingeht. Die Ziel-NAT wird verwendet, um Datenverkehr, der für einen virtuellen Host (identifiziert durch die ursprüngliche Ziel-IP-Adresse) bestimmt ist, an den tatsächlichen Host (identifiziert durch die übersetzte Ziel-IP-Adresse) umzuleiten.
In Abbildung 2 ist die Firewall der SRX-Serie für die Konvertierung von IP-Adressen, die zu verschiedenen VRF-Gruppen gehören, in verschiedene IP-Adressen, wobei die Routing-Instanz auf ein anderes VRF verweist, für die Ziel-NAT konfiguriert. Nach der Suche nach der Ziel-NAT-Regel aktualisiert NAT die Ziel-Routing-Tabelle so, dass sie auf die rechte VRF-Instanz für den Datenstrom verweist, um die Zielroutensuche in der rechten Tabelle durchzuführen.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat destination pool vrf-a_p routing-instance VRF-a set security nat destination pool vrf-a_p address 192.168.1.200 set security nat destination rule-set rs from routing-group vpn-A set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200 set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p set security nat destination pool vrf-b_p routing-instance VRF-b set security nat destination pool vrf-b_p address 192.168.1.201 set security nat destination rule-set rs from routing-group vpn-B set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201 set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren.
So konfigurieren Sie die Ziel-NAT-Zuordnung für ein einzelnes VRF:
Erstellen Sie in Layer 3-VPNs eine VRF-Gruppe vpn-A mit den VRF-Instanzen A1 und A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Erstellen Sie eine weitere VRF-Gruppe vpn-B mit den VRF-Instanzen B1 und B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Geben Sie einen Ziel-NAT-IP-Adresspool an.
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
Weisen Sie die Routinginstanz dem Zielpool zu.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b
Erstellen Sie einen Ziel-NAT-Regelsatz.
[edit security nat destination] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Ziel-IP-Adresse in eine IP-Adresse im Ziel-NAT-IP-Adresspool übersetzt.
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security nat Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
destination {
pool vrf-a_p {
routing-instance {
VRF-a;
}
address 192.168.1.200/32;
}
pool vrf-b_p {
routing-instance {
VRF-b;
}
address 192.168.1.201/32;
}
rule-set rs {
from routing-group [ vpn-A vpn-B ];
rule vrf-a_r {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 203.0.113.201/32;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Überprüfen der Verwendung von Ziel-NAT-Regeln
Zweck
Vergewissern Sie sich, dass Datenverkehr vorhanden ist, der der Ziel-NAT-Regel entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat destination rule all Befehl ein. Überprüfen Sie im Feld Übersetzungstreffer, ob Datenverkehr vorhanden ist, der der Ziel-NAT-Regel entspricht.
user@host> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: vrf-a_r Rule-set: rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Destination NAT rule: vrf-b_r Rule-set: rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0