VRF グループの NAT
概要
SD-WANネットワークでは、VRFグループでプライベートIPをグローバルIPプールに変換するときにNATが使用されます。SRXシリーズファイアウォールは、以下のVRFグループNATを使用して設定し、特定のVRFグループに属する特定のIPを、異なるVRFインスタンスに属する異なるIPに変換できます。
-
VRF グループの宛先 NAT
-
VRFグループ送信元NAT
-
VRF グループ静的 NAT
例:VRF グループのプライベート IP アドレスを別の VRF インスタンスのプライベート IP アドレスに変換するための送信元 NAT の設定
この例では、2 つの MPLS ネットワーク間に送信元 NAT を設定する方法を説明します。
必要条件
-
NAT向けのSD-WAN導入でSRXシリーズファイアウォールがどのように機能するかを理解します。
-
NAT、仮想ルーティング、フォワーディングインスタンスの仮想グループについて理解します。 SD-WAN 展開における仮想ルーティングおよびフォワーディングインスタンスを参照してください。
概要
送信元NATとは、ジュニパーネットワークスデバイスから出るパケットの送信元IPアドレスを変換したものです。ソースNATは、プライベートIPアドレスを持つホストがパブリックネットワークにアクセスできるようにするために使用されます。
図1では、SRXシリーズファイアウォールは、VRFグループvpn-Aとvpn-Bで設定されており、これらはSRXシリーズファイアウォール上のインターフェイスge-0/0/1.0およびge-0/0/1.1に接続されています。ハブSRXシリーズファイアウォールでは、VRFグループvpn-Aおよびvpn-Bからの送信元IPアドレス192.168.1.200および192.168.1.201は、203.0.113.200および203.0.113.201に変換されます。
を使用したソース NAT
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security l3vpn vrf-group vpn-A vrf VRF-A1
set security l3vpn vrf-group vpn-A vrf VRF-A2
set security l3vpn vrf-group vpn-B vrf VRF-B1
set security l3vpn vrf-group vpn-B vrf VRF-B2
set security nat source pool vrf-a_p address 203.0.113.200
set security nat source rule-set vrf-a_rs from routing-group vpn-A
set security nat source rule-set vrf-a_rs to interface ge-0/0/1.0
set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200
set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p
set security nat source pool vrf-b_p address 203.0.113.201
set security nat source rule-set vrf-b_rs from routing-group vpn-B
set security nat source rule-set vrf-b_rs to interface ge-0/0/1.1
set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201
set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。
送信元NATマッピングを設定するには:
-
レイヤー 3 VPN で、VRF インスタンス A1 および A2 を持つ VRF グループ vpn-A を作成します。
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2 -
VRF インスタンス B1 および B2 を持つ別の VRF グループ vpn-B を作成します。
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2 -
送信元 NAT プールを作成します。
[edit security nat source pool] user@host#set vrf-a_p address 203.0.113.200 user@host#set vrf-b_p address 203.0.113.201 -
送信元 NAT ルール セットを作成します。
[edit security nat source] user@host#set rule-set vrf-a_rs from routing-group vpn-A user@host#set rule-set vrf-a_rs to interface ge-0/0/1.0 user@host#set rule-set vrf-b_rs from routing-group vpn-B user@host#set rule-set vrf-b_rs to interface ge-0/0/1.1 -
パケットを照合し、送信元IPアドレスを送信元NAT プール内のIPアドレスに変換するルールを設定します。
[edit security nat source] user@host# set rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 user@host# set rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p user@host# set rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 user@host# set rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
業績
設定モードから、 show security nat コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to interface ge-0/0/1.0;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to interface ge-0/0/1.1;
rule rule2 {
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
送信元NATルールの使用の確認
目的
送信元 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから show security nat source rule all コマンドを入力します。[Translation hits] フィールドで、ソース NAT ルールに一致するトラフィックがあるかどうかを確認します。
user@host>show security nat source rule all
Total rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
rule: rule1 Rule-set: vrf-a_rs
Rule-Id : 1
Rule position : 1
From routing-Group : vpn-A
To interface : ge-0/0/1.0
Match
Source addresses : 192.168.1.200 - 192.168.1.200
Action : vrf-a_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
rule: rule2 Rule-set: vrf-b_rs
Rule-Id : 2
Rule position : 2
From routing-Group : vpn-B
To interface : ge-0/0/1.1
Match
Source addresses : 192.168.1.201 - 192.168.1.201
Action : vrf-b_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
例:VRF グループのパブリック IP アドレスを別の VRF インスタンスのプライベート IP アドレスに変換する宛先 NAT の設定
この例では、パケットを正しい VRF インスタンスに誘導するために、VRF グループのパブリック IP アドレスから単一 VRF のプライベート アドレスへの宛先 NAT マッピングを設定する方法を説明します。
必要条件
-
NAT向けのSD-WAN導入でSRXシリーズファイアウォールがどのように機能するかを理解します。
-
仮想ルーティングと転送インスタンスを理解する。 SD-WAN 展開における仮想ルーティングおよびフォワーディングインスタンスを参照してください。
概要
宛先 NAT とは、ジュニパーネットワークスのデバイスに入るパケットの宛先 IP アドレスを変換したものです。宛先NATは、仮想ホスト(元のIP アドレスで識別)を宛先とするトラフィックを実際のホスト(変換後のIP アドレスで識別)にリダイレクトするために使用されます。
図 2 では、SRXシリーズ ファイアウォールは、異なる VRF グループに属する IP から、異なる VRF を指すルーティング インスタンスを持つ別の IP セットに変換するように宛先 NAT が設定されています。宛先 NAT ルール検索後、NAT は宛先ルーティングテーブルを更新して、フローが右側のテーブルで宛先ルート検索を実行するために、右側の VRF インスタンスを指すようにします。
を使用した宛先 NAT
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security l3vpn vrf-group vpn-A vrf VRF-A1
set security l3vpn vrf-group vpn-A vrf VRF-A2
set security l3vpn vrf-group vpn-B vrf VRF-B1
set security l3vpn vrf-group vpn-B vrf VRF-B2
set security nat destination pool vrf-a_p routing-instance VRF-a
set security nat destination pool vrf-a_p address 192.168.1.200
set security nat destination rule-set rs from routing-group vpn-A
set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200
set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p
set security nat destination pool vrf-b_p routing-instance VRF-b
set security nat destination pool vrf-b_p address 192.168.1.201
set security nat destination rule-set rs from routing-group vpn-B
set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201
set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。
単一の VRF の宛先 NAT マッピングを設定するには、次の手順を実行します。
-
レイヤー 3 VPN で、VRF インスタンス A1 および A2 を持つ VRF グループ vpn-A を作成します。
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2 -
VRF インスタンス B1 および B2 を持つ別の VRF グループ vpn-B を作成します。
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2 -
宛先 NAT IP アドレス プールを指定します。
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201 -
ルーティング インスタンスを宛先プールに割り当てます。
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b -
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B -
パケットを照合し、宛先 IP アドレスを宛先 NAT IP アドレス プール内の IP アドレスに変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
業績
設定モードから、 show security nat コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
destination {
pool vrf-a_p {
routing-instance {
VRF-a;
}
address 192.168.1.200/32;
}
pool vrf-b_p {
routing-instance {
VRF-b;
}
address 192.168.1.201/32;
}
rule-set rs {
from routing-group [ vpn-A vpn-B ];
rule vrf-a_r {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 203.0.113.201/32;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
宛先 NAT ルールの使用状況の確認
目的
宛先 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから show security nat destination rule all コマンドを入力します。[Translation hits] フィールドで、宛先 NAT ルールに一致するトラフィックがあるかどうかを確認します。
user@host> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: vrf-a_r Rule-set: rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Destination NAT rule: vrf-b_r Rule-set: rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0