- VRF 그룹의 NAT
개요
SD-WAN 네트워크에서 NAT는 프라이빗 IP를 VRF 그룹의 글로벌 IP 풀로 변환할 때 사용됩니다. SRX 시리즈 방화벽은 다음 VRF 그룹 NAT를 사용하여 구성하여 해당 VRF 그룹에 속한 지정된 IP를 다른 VRF 인스턴스에 속한 다른 IP로 변환할 수 있습니다.
VRF 그룹 대상 NAT
VRF 그룹 소스 NAT
VRF 그룹 정적 NAT
예: VRF 그룹의 프라이빗 IP 주소를 다른 VRF 인스턴스의 프라이빗 IP 주소로 변환하도록 소스 네트워크 주소 변환(NAT) 구성
이 예에서는 두 MPLS 네트워크 간에 소스 NAT를 구성하는 방법을 설명합니다.
요구 사항
NAT용 SD-WAN 구축에서 SRX 시리즈 방화벽이 작동하는 방식을 이해합니다.
네트워크 주소 변환(NAT), 가상 라우팅 및 포워딩 인스턴스의 가상 그룹을 이해합니다. SD-WAN 배포의 가상 라우팅 및 포워딩 인스턴스의 내용을 참조하십시오.
개요
소스 NAT는 주니퍼 네트웍스 디바이스를 떠나는 패킷의 소스 IP 주소를 변환하는 것입니다. 소스 NAT는 사설 IP 주소를 가진 호스트가 공용 네트워크에 액세스할 수 있도록 허용하는 데 사용됩니다.
그림 1에서 SRX 시리즈 방화벽은 SRX 시리즈 방화벽의 인터페이스 ge-0/0/1.0 및 ge-0/0/1.1에 연결된 VRF 그룹 vpn-A 및 vpn-B로 구성됩니다. 허브 SRX 시리즈 방화벽에서 VRF 그룹 vpn-A 및 vpn-B의 소스 IP 주소 192.168.1.200 및 192.168.1.201은 203.0.113.200 및 203.0.113.201로 변환됩니다.
사용하는 소스 NAT
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to interface ge-0/0/1.0 set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to interface ge-0/0/1.1 set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다.
소스 네트워크 주소 변환(NAT) 매핑을 구성하려면 다음을 수행합니다.
레이어 3 VPN에서 VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
VRF 인스턴스 B1 및 B2를 사용하여 다른 VRF 그룹 vpn-B를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
소스 네트워크 주소 변환(NAT) 풀을 생성합니다.
[edit security nat source pool] user@host#set vrf-a_p address 203.0.113.200 user@host#set vrf-b_p address 203.0.113.201
소스 NAT 규칙 집합을 생성합니다.
[edit security nat source] user@host#set rule-set vrf-a_rs from routing-group vpn-A user@host#set rule-set vrf-a_rs to interface ge-0/0/1.0 user@host#set rule-set vrf-b_rs from routing-group vpn-B user@host#set rule-set vrf-b_rs to interface ge-0/0/1.1
패킷을 일치시키고 소스 IP 주소를 소스 네트워크 주소 변환(NAT) 풀의 IP 주소로 변환하는 규칙을 구성합니다.
[edit security nat source] user@host# set rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 user@host# set rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p user@host# set rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 user@host# set rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
결과
구성 모드에서 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to interface ge-0/0/1.0;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to interface ge-0/0/1.1;
rule rule2 {
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
소스 네트워크 주소 변환(NAT) 규칙 사용 확인
목적
소스 네트워크 주소 변환(NAT) 규칙과 일치하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat source rule all . Translation hits(변환 적중) 필드에서 소스 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
user@host>show security nat source rule all
Total rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
rule: rule1 Rule-set: vrf-a_rs
Rule-Id : 1
Rule position : 1
From routing-Group : vpn-A
To interface : ge-0/0/1.0
Match
Source addresses : 192.168.1.200 - 192.168.1.200
Action : vrf-a_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
rule: rule2 Rule-set: vrf-b_rs
Rule-Id : 2
Rule position : 2
From routing-Group : vpn-B
To interface : ge-0/0/1.1
Match
Source addresses : 192.168.1.201 - 192.168.1.201
Action : vrf-b_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
예: VRF 그룹의 퍼블릭 IP 주소를 다른 VRF 인스턴스의 프라이빗 IP 주소로 변환하도록 대상 네트워크 주소 변환(NAT) 구성
이 예에서는 패킷을 올바른 VRF 인스턴스로 전달하기 위해 VRF 그룹의 공용 IP 주소의 대상 네트워크 주소 변환(NAT) 매핑을 단일 VRF의 전용 주소로 구성하는 방법을 설명합니다.
요구 사항
NAT용 SD-WAN 구축에서 SRX 시리즈 방화벽이 작동하는 방식을 이해합니다.
가상 라우팅 및 포워딩 인스턴스에 대해 이해합니다. SD-WAN 배포의 가상 라우팅 및 포워딩 인스턴스의 내용을 참조하십시오.
개요
대상 NAT는 주니퍼 네트웍스 디바이스에 들어가는 패킷의 대상 IP 주소를 변환한 것입니다. 대상 NAT는 가상 호스트(원래 대상 IP 주소로 식별됨)로 향하는 트래픽을 실제 호스트(변환된 대상 IP 주소로 식별됨)로 리디렉션하는 데 사용됩니다.
그림 2에서 SRX 시리즈 방화벽은 다른 VRF 그룹에 속하는 IP에서 다른 VRF를 가리키는 라우팅 인스턴스가 있는 다른 IP 집합으로 변환하도록 대상 NAT를 구성합니다. 대상 네트워크 주소 변환(NAT) 규칙 검색 후 NAT는 플로우가 오른쪽 테이블에서 대상 경로를 조회할 수 있도록 오른쪽 VRF 인스턴스를 가리키도록 대상 라우팅 테이블을 업데이트합니다.
사용하는 대상 NAT
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat destination pool vrf-a_p routing-instance VRF-a set security nat destination pool vrf-a_p address 192.168.1.200 set security nat destination rule-set rs from routing-group vpn-A set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200 set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p set security nat destination pool vrf-b_p routing-instance VRF-b set security nat destination pool vrf-b_p address 192.168.1.201 set security nat destination rule-set rs from routing-group vpn-B set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201 set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다.
단일 VRF에 대한 대상 네트워크 주소 변환(NAT) 매핑을 구성하려면 다음을 수행합니다.
레이어 3 VPN에서 VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
VRF 인스턴스 B1 및 B2를 사용하여 다른 VRF 그룹 vpn-B를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
대상 NAT IP 주소 풀을 지정합니다.
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
라우팅 인스턴스를 대상 풀에 할당합니다.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b
대상 NAT 규칙 집합을 생성합니다.
[edit security nat destination] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B
패킷을 일치시키고 대상 IP 주소를 대상 NAT IP 주소 풀의 IP 주소로 변환하는 규칙을 구성합니다.
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
결과
구성 모드에서 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
destination {
pool vrf-a_p {
routing-instance {
VRF-a;
}
address 192.168.1.200/32;
}
pool vrf-b_p {
routing-instance {
VRF-b;
}
address 192.168.1.201/32;
}
rule-set rs {
from routing-group [ vpn-A vpn-B ];
rule vrf-a_r {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 203.0.113.201/32;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
확인
대상 NAT 규칙 사용 확인
목적
대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat destination rule all . Translation hits 필드에서 대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
user@host> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: vrf-a_r Rule-set: rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Destination NAT rule: vrf-b_r Rule-set: rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0