AUF DIESER SEITE
NAT für VRF Group
Überblick
In einem SD-WAN-Netzwerk wird NAT verwendet, wenn Sie die private IP in einen globalen IP-Pool in einer VRF-Gruppe konvertieren. Eine Firewall kann mit der folgenden VRF-Gruppen-NAT konfiguriert werden, um die angegebenen IPs, die zu einer bestimmten VRF-Gruppe gehören, in verschiedene IPs zu übersetzen, die zu verschiedenen VRF-Instanzen gehören:
VRF-Gruppenziel: NAT
VRF-Gruppenquelle NAT
Statische VRF-Gruppe NAT
Beispiel: Konfigurieren von Quell-NAT zum Konvertieren der privaten IP-Adresse einer VRF-Gruppe in die private IP-Adresse einer anderen VRF-Instanz
In diesem Beispiel wird beschrieben, wie eine Quell-NAT zwischen zwei MPLS-Netzwerken konfiguriert wird.
Anforderungen
Erfahren Sie, wie Firewalls in einer SD-WAN-Bereitstellung für NAT funktionieren.
Verstehen von virtuellen Gruppen in NAT-, virtuellen Routing- und Weiterleitungsinstanzen. Siehe Virtuelle Routing- und Weiterleitungsinstanzen in SD-WAN-Bereitstellungen.
Überblick
Quell-NAT ist die Übersetzung der Quell-IP-Adresse eines Pakets, das das Gerät von Juniper Networks verlässt. Quell-NAT wird verwendet, um Hosts mit privaten IP-Adressen den Zugriff auf ein öffentliches Netzwerk zu ermöglichen.
In Abbildung 1 ist die Firewall mit den VRF-Gruppen vpn-A und vpn-B konfiguriert, die mit den Schnittstellen ge-0/0/1.0 und ge-0/0/1.1 der Firewall verbunden sind. In der Hub-Firewall werden die Quell-IP-Adressen 192.168.1.200 und 192.168.1.201 der VRF-Gruppe vpn-A und vpn-B in 203.0.113.200 und 203.0.113.201 übersetzt.
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to interface ge-0/0/1.0 set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to interface ge-0/0/1.1 set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren.
So konfigurieren Sie die Quell-NAT-Zuordnung:
In Layer 3-VPNs erstellen Sie eine VRF-Gruppe vpn-A mit den VRF-Instanzen A1 und A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Erstellen Sie eine weitere VRF-Gruppe vpn-B mit den VRF-Instanzen B1 und B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Erstellen Sie einen Quell-NAT-Pool.
[edit security nat source pool] user@host#set vrf-a_p address 203.0.113.200 user@host#set vrf-b_p address 203.0.113.201
Erstellen Sie einen Quell-NAT-Regelsatz.
[edit security nat source] user@host#set rule-set vrf-a_rs from routing-group vpn-A user@host#set rule-set vrf-a_rs to interface ge-0/0/1.0 user@host#set rule-set vrf-b_rs from routing-group vpn-B user@host#set rule-set vrf-b_rs to interface ge-0/0/1.1
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Quell-IP-Adresse in eine IP-Adresse im Quell-NAT-Pool übersetzt.
[edit security nat source] user@host# set rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 user@host# set rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p user@host# set rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 user@host# set rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security nat Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to interface ge-0/0/1.0;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to interface ge-0/0/1.1;
rule rule2 {
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Überprüfen der Verwendung von Quell-NAT-Regeln
Zweck
Stellen Sie sicher, dass Datenverkehr mit der Quell-NAT-Regel übereinstimmt.
Aktion
Geben Sie im Betriebsmodus den show security nat source rule all Befehl ein. Überprüfen Sie im Feld Übersetzungstreffer, ob Datenverkehr vorhanden ist, der der Quell-NAT-Regel entspricht.
user@host>show security nat source rule all
Total rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
rule: rule1 Rule-set: vrf-a_rs
Rule-Id : 1
Rule position : 1
From routing-Group : vpn-A
To interface : ge-0/0/1.0
Match
Source addresses : 192.168.1.200 - 192.168.1.200
Action : vrf-a_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
rule: rule2 Rule-set: vrf-b_rs
Rule-Id : 2
Rule position : 2
From routing-Group : vpn-B
To interface : ge-0/0/1.1
Match
Source addresses : 192.168.1.201 - 192.168.1.201
Action : vrf-b_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Beispiel: Konfigurieren der Ziel-NAT zum Konvertieren der öffentlichen IP-Adresse einer VRF-Gruppe in die private IP-Adresse einer anderen VRF-Instanz
In diesem Beispiel wird beschrieben, wie die Ziel-NAT-Zuordnung einer öffentlichen IP-Adresse einer VRF-Gruppe zur privaten Adresse der einzelnen VRF konfiguriert wird, um die Pakete an die richtige VRF-Instanz weiterzuleiten.
Anforderungen
Erfahren Sie, wie Firewalls in einer SD-WAN-Bereitstellung für NAT funktionieren.
Lernen Sie virtuelle Routing- und Weiterleitungsinstanzen kennen. Siehe Virtuelle Routing- und Weiterleitungsinstanzen in SD-WAN-Bereitstellungen.
Überblick
Ziel-NAT ist die Übersetzung der Ziel-IP-Adresse eines Pakets, das auf dem Gerät von Juniper Networks eingeht. Ziel-NAT wird verwendet, um Datenverkehr, der für einen virtuellen Host (identifiziert durch die ursprüngliche Ziel-IP-Adresse) bestimmt ist, an den realen Host (identifiziert durch die übersetzte Ziel-IP-Adresse) umzuleiten.
In Abbildung 2 ist die Firewall als Ziel-NAT konfiguriert, um von IPs, die zu verschiedenen VRF-Gruppen gehören, in verschiedene IP-Adressen zu konvertieren, wobei die Routing-Instanz auf ein anderes VRF verweist. Nach der Suche nach Ziel-NAT-Regeln aktualisiert NAT die Ziel-Routing-Tabelle so, dass sie auf die rechte VRF-Instanz verweist, damit der Flow die Zielroutensuche in der rechten Tabelle durchführen kann.
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat destination pool vrf-a_p routing-instance VRF-a set security nat destination pool vrf-a_p address 192.168.1.200 set security nat destination rule-set rs from routing-group vpn-A set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200 set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p set security nat destination pool vrf-b_p routing-instance VRF-b set security nat destination pool vrf-b_p address 192.168.1.201 set security nat destination rule-set rs from routing-group vpn-B set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201 set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren.
So konfigurieren Sie die Ziel-NAT-Zuordnung für ein einzelnes VRF:
In Layer 3-VPNs erstellen Sie eine VRF-Gruppe vpn-A mit den VRF-Instanzen A1 und A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Erstellen Sie eine weitere VRF-Gruppe vpn-B mit den VRF-Instanzen B1 und B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Geben Sie einen Ziel-NAT-IP-Adresspool an.
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
Weisen Sie die Routing-Instanz dem Zielpool zu.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b
Erstellen Sie einen Ziel-NAT-Regelsatz.
[edit security nat destination] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B
Konfigurieren Sie eine Regel, die Pakete abgleicht und die Ziel-IP-Adresse in eine IP-Adresse im Ziel-NAT-IP-Adresspool übersetzt.
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe des show security nat Befehls. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
destination {
pool vrf-a_p {
routing-instance {
VRF-a;
}
address 192.168.1.200/32;
}
pool vrf-b_p {
routing-instance {
VRF-b;
}
address 192.168.1.201/32;
}
rule-set rs {
from routing-group [ vpn-A vpn-B ];
rule vrf-a_r {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 203.0.113.201/32;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Überprüfen der Verwendung von Ziel-NAT-Regeln
Zweck
Stellen Sie sicher, dass Datenverkehr vorhanden ist, der mit der Ziel-NAT-Regel übereinstimmt.
Aktion
Geben Sie im Betriebsmodus den show security nat destination rule all Befehl ein. Überprüfen Sie im Feld Übersetzungstreffer, ob Datenverkehr vorhanden ist, der der Ziel-NAT-Regel entspricht.
user@host> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: vrf-a_r Rule-set: rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Destination NAT rule: vrf-b_r Rule-set: rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0