SUR CETTE PAGE
NAT pour VRF Group
Vue d’ensemble
Dans un réseau SD-WAN, le NAT est utilisé lorsque vous convertissez l’adresse IP privée en pool d’adresses IP globales dans un groupe VRF. Un pare-feu peut être configuré à l’aide des NAT de groupe VRF suivants pour convertir les adresses IP données appartenant à un groupe VRF donné en différentes adresses IP appartenant à différentes instances VRF :
NAT de destination de groupe VRF
NAT source de groupe VRF
Groupe VRF statique NAT
Exemple : Configuration du NAT source pour convertir l’adresse IP privée d’un groupe VRF en adresse IP privée d’une autre instance VRF
Cet exemple décrit comment configurer un NAT source entre deux réseaux MPLS.
Exigences
Comprendre comment les pare-feu fonctionnent dans un déploiement SD-WAN pour le NAT.
Comprenez les groupes virtuels dans les instances de NAT, de routage virtuel et de transfert. Voir Instances de routage et de transfert virtuels dans les déploiements SD-WAN.
Vue d’ensemble
Le NAT source est la traduction de l’adresse IP source d’un paquet quittant l’appareil Juniper Networks. Le NAT source est utilisé pour permettre aux hôtes avec des adresses IP privées d’accéder à un réseau public.
Sur la Figure 1, le pare-feu est configuré avec les groupes VRF vpn-A et vpn-B, qui sont connectés aux interfaces ge-0/0/1.0 et ge-0/0/1.1 sur le pare-feu. Dans le pare-feu hub, les adresses IP sources 192.168.1.200 et 192.168.1.201 des groupes VRF vpn-A et vpn-B sont traduites en 203.0.113.200 et 203.0.113.201.
VRF
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to interface ge-0/0/1.0 set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to interface ge-0/0/1.1 set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration.
Pour configurer le mappage NAT source :
Dans les VPN de couche 3, créez un groupe VRF vpn-A avec les instances VRF A1 et A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Créez un autre groupe VRF vpn-B avec les instances VRF B1 et B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Créez un pool NAT source.
[edit security nat source pool] user@host#set vrf-a_p address 203.0.113.200 user@host#set vrf-b_p address 203.0.113.201
Créez un ensemble de règles NAT source.
[edit security nat source] user@host#set rule-set vrf-a_rs from routing-group vpn-A user@host#set rule-set vrf-a_rs to interface ge-0/0/1.0 user@host#set rule-set vrf-b_rs from routing-group vpn-B user@host#set rule-set vrf-b_rs to interface ge-0/0/1.1
Configurez une règle qui correspond aux paquets et traduit l’adresse IP source en une adresse IP dans le pool NAT source.
[edit security nat source] user@host# set rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 user@host# set rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p user@host# set rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 user@host# set rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to interface ge-0/0/1.0;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to interface ge-0/0/1.1;
rule rule2 {
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Vérification de l’utilisation des règles NAT source
Objet
Vérifiez qu’il existe du trafic correspondant à la règle NAT source.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat source rule all commande. Dans le champ Accès à la traduction, vérifiez s’il existe un trafic qui correspond à la règle NAT source.
user@host>show security nat source rule all
Total rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
rule: rule1 Rule-set: vrf-a_rs
Rule-Id : 1
Rule position : 1
From routing-Group : vpn-A
To interface : ge-0/0/1.0
Match
Source addresses : 192.168.1.200 - 192.168.1.200
Action : vrf-a_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
rule: rule2 Rule-set: vrf-b_rs
Rule-Id : 2
Rule position : 2
From routing-Group : vpn-B
To interface : ge-0/0/1.1
Match
Source addresses : 192.168.1.201 - 192.168.1.201
Action : vrf-b_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Exemple : Configuration de la solution NAT de destination pour convertir l’adresse IP publique d’un groupe VRF en adresse IP privée d’une autre instance VRF
Cet exemple décrit comment configurer la destination NAT le mappage d’une adresse IP publique d’un groupe VRF à l’adresse privée du VRF unique pour diriger les paquets vers l’instance VRF appropriée.
Exigences
Comprendre comment les pare-feu fonctionnent dans un déploiement SD-WAN pour le NAT.
Comprendre les instances de routage et de transfert virtuelles. Voir Instances de routage et de transfert virtuels dans les déploiements SD-WAN.
Vue d’ensemble
Le NAT de destination est la traduction de l’adresse IP de destination d’un paquet entrant dans l’équipement Juniper Networks. Le NAT de destination est utilisé pour rediriger le trafic destiné à un hôte virtuel (identifié par l’adresse IP de destination d’origine) vers l’hôte réel (identifié par l’adresse IP de destination traduite).
Sur la Figure 2, le pare-feu est configuré en tant que NAT de destination pour convertir des adresses IP appartenant à différents groupes VRF en différents ensembles d’adresses IP avec des instances de routage pointant vers différents VRF. Après la recherche de règles NAT de destination, NAT met à jour la table de routage de destination pour qu’elle pointe vers la bonne instance VRF pour que le flux effectue une recherche de route de destination dans la bonne table.
VRF
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat destination pool vrf-a_p routing-instance VRF-a set security nat destination pool vrf-a_p address 192.168.1.200 set security nat destination rule-set rs from routing-group vpn-A set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200 set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p set security nat destination pool vrf-b_p routing-instance VRF-b set security nat destination pool vrf-b_p address 192.168.1.201 set security nat destination rule-set rs from routing-group vpn-B set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201 set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration.
Pour configurer le mappage NAT de destination pour un seul VRF :
Dans les VPN de couche 3, créez un groupe VRF vpn-A avec les instances VRF A1 et A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Créez un autre groupe VRF vpn-B avec les instances VRF B1 et B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Spécifiez un pool d’adresses IP NAT de destination.
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
Affectez l’instance de routage au pool de destination.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b
Créez un ensemble de règles NAT de destination.
[edit security nat destination] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B
Configurez une règle qui correspond aux paquets et traduit l’adresse IP de destination en une adresse IP dans le pool d’adresses IP NAT de destination.
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security nat commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
destination {
pool vrf-a_p {
routing-instance {
VRF-a;
}
address 192.168.1.200/32;
}
pool vrf-b_p {
routing-instance {
VRF-b;
}
address 192.168.1.201/32;
}
rule-set rs {
from routing-group [ vpn-A vpn-B ];
rule vrf-a_r {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 203.0.113.201/32;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Vérification de l’utilisation des règles NAT de destination
Objet
Vérifiez qu’il existe un trafic correspondant à la règle NAT de destination.
Mesures à prendre
À partir du mode opérationnel, entrez la show security nat destination rule all commande. Dans le champ Accès à la traduction, vérifiez s’il existe un trafic qui correspond à la règle NAT de destination.
user@host> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: vrf-a_r Rule-set: rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Destination NAT rule: vrf-b_r Rule-set: rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0