SUR CETTE PAGE
NAT pour VRF Group
Aperçu
Dans un réseau SD-WAN, le NAT est utilisé lorsque vous convertissez l’adresse IP privée en pool d’adresses IP globales dans un groupe VRF. Un pare-feu SRX Series peut être configuré à l’aide du NAT de groupe VRF suivant pour traduire les adresses IP données appartenant à un groupe VRF donné en différentes adresses IP appartenant à différentes instances VRF :
NAT de destination de groupe VRF
NAT source du groupe VRF
NAT statique de groupe VRF
Exemple : Configuration du NAT source pour convertir l’adresse IP privée d’un groupe VRF en adresse IP privée d’une autre instance VRF
Cet exemple décrit comment configurer un NAT source entre deux réseaux MPLS.
Exigences
Découvrez le fonctionnement des pare-feu SRX Series dans un déploiement SD-WAN pour NAT.
Comprendre le groupe virtuel dans les instances NAT, de routage virtuel et de transfert. Reportez-vous à la section Instances de routage et de transfert virtuels dans les déploiements SD-WAN.
Aperçu
Le NAT source est la traduction de l’adresse IP source d’un paquet quittant l’équipement Juniper Networks. Le NAT source est utilisé pour permettre aux hôtes disposant d’adresses IP privées d’accéder à un réseau public.
Sur la Figure 1, le pare-feu SRX Series est configuré avec les groupes VRF vpn-A et vpn-B, qui sont connectés aux interfaces ge-0/0/1.0 et ge-0/0/1.1 du pare-feu SRX Series. Dans le pare-feu hub SRX Series, les adresses IP sources 192.168.1.200 et 192.168.1.201 du groupe VRF vpn-A et vpn-B sont traduites en 203.0.113.200 et 203.0.113.201.
VRF
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to interface ge-0/0/1.0 set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to interface ge-0/0/1.1 set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration.
Pour configurer le mappage NAT source :
Dans les VPN de couche 3, créez un groupe VRF vpn-A avec les instances VRF A1 et A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Créez un autre groupe VRF vpn-B avec les instances VRF B1 et B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Créez un pool NAT source.
[edit security nat source pool] user@host#set vrf-a_p address 203.0.113.200 user@host#set vrf-b_p address 203.0.113.201
Créez un ensemble de règles NAT source.
[edit security nat source] user@host#set rule-set vrf-a_rs from routing-group vpn-A user@host#set rule-set vrf-a_rs to interface ge-0/0/1.0 user@host#set rule-set vrf-b_rs from routing-group vpn-B user@host#set rule-set vrf-b_rs to interface ge-0/0/1.1
Configurez une règle qui met en correspondance les paquets et traduit l’adresse IP source en adresse IP dans le pool NAT source.
[edit security nat source] user@host# set rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 user@host# set rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p user@host# set rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 user@host# set rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to interface ge-0/0/1.0;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to interface ge-0/0/1.1;
rule rule2 {
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de l’utilisation de la règle NAT source
But
Vérifiez qu’il existe du trafic correspondant à la règle NAT source.
Action
À partir du mode opérationnel, entrez la show security nat source rule all commande. Dans le champ Accès à la traduction, vérifiez s’il existe du trafic qui correspond à la règle NAT source.
user@host>show security nat source rule all
Total rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
rule: rule1 Rule-set: vrf-a_rs
Rule-Id : 1
Rule position : 1
From routing-Group : vpn-A
To interface : ge-0/0/1.0
Match
Source addresses : 192.168.1.200 - 192.168.1.200
Action : vrf-a_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
rule: rule2 Rule-set: vrf-b_rs
Rule-Id : 2
Rule position : 2
From routing-Group : vpn-B
To interface : ge-0/0/1.1
Match
Source addresses : 192.168.1.201 - 192.168.1.201
Action : vrf-b_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Exemple : configuration du NAT de destination pour convertir l’adresse IP publique d’un groupe VRF en adresse IP privée d’une autre instance VRF
Cet exemple décrit comment configurer le mappage NAT de destination d’une adresse IP publique d’un groupe VRF à l’adresse privée du VRF unique pour diriger les paquets vers l’instance VRF appropriée.
Exigences
Découvrez le fonctionnement des pare-feu SRX Series dans un déploiement SD-WAN pour NAT.
Comprendre les instances de routage et de transfert virtuels. Reportez-vous à la section Instances de routage et de transfert virtuels dans les déploiements SD-WAN.
Aperçu
Le NAT de destination est la traduction de l’adresse IP de destination d’un paquet entrant dans l’équipement Juniper Networks. Le NAT de destination est utilisé pour rediriger le trafic destiné à un hôte virtuel (identifié par l’adresse IP de destination d’origine) vers l’hôte réel (identifié par l’adresse IP de destination traduite).
Sur la figure 2, le pare-feu SRX Series est configuré NAT de destination pour convertir des adresses IP appartenant à différents groupes VRF vers différents ensembles d’adresses IP avec une instance de routage pointant vers différents VRF. Après la recherche de la règle NAT de destination, NAT met à jour la table de routage de destination pour qu’elle pointe vers l’instance VRF droite pour que le flux recherche la route de destination dans la table de droite.
VRF
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat destination pool vrf-a_p routing-instance VRF-a set security nat destination pool vrf-a_p address 192.168.1.200 set security nat destination rule-set rs from routing-group vpn-A set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200 set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p set security nat destination pool vrf-b_p routing-instance VRF-b set security nat destination pool vrf-b_p address 192.168.1.201 set security nat destination rule-set rs from routing-group vpn-B set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201 set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration.
Pour configurer le mappage NAT de destination pour un seul VRF :
Dans les VPN de couche 3, créez un groupe VRF vpn-A avec les instances VRF A1 et A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Créez un autre groupe VRF vpn-B avec les instances VRF B1 et B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Spécifiez un pool d’adresses IP NAT de destination.
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
Affectez l’instance de routage au pool de destination.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b
Créez un ensemble de règles NAT de destination.
[edit security nat destination] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B
Configurez une règle qui met en correspondance les paquets et convertit l’adresse IP de destination en adresse IP dans le pool d’adresses IP NAT de destination.
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
destination {
pool vrf-a_p {
routing-instance {
VRF-a;
}
address 192.168.1.200/32;
}
pool vrf-b_p {
routing-instance {
VRF-b;
}
address 192.168.1.201/32;
}
rule-set rs {
from routing-group [ vpn-A vpn-B ];
rule vrf-a_r {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 203.0.113.201/32;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de l’utilisation de la règle NAT de destination
But
Vérifiez qu’il existe du trafic correspondant à la règle NAT de destination.
Action
À partir du mode opérationnel, entrez la show security nat destination rule all commande. Dans le champ Correspondances de traduction, vérifiez s’il existe du trafic qui correspond à la règle NAT de destination.
user@host> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: vrf-a_r Rule-set: rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Destination NAT rule: vrf-b_r Rule-set: rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0