VRF 그룹에 대한 NAT
개요
SD-WAN 네트워크에서 프라이빗 IP를 VRF 그룹의 글로벌 IP 풀로 변환할 때 NAT가 사용됩니다. 방화벽은 다음 VRF 그룹 NAT를 사용하여 해당 VRF 그룹에 속한 지정된 IP를 다른 VRF 인스턴스에 속하는 다른 IP로 변환할 수 있습니다.
VRF 그룹 대상 NAT
VRF 그룹 소스 NAT
VRF 그룹 정적 NAT
예: VRF 그룹의 프라이빗 IP 주소를 다른 VRF 인스턴스의 프라이빗 IP 주소로 변환하도록 소스 NAT 구성
이 예에서는 두 MPLS 네트워크 간에 소스 NAT를 구성하는 방법을 설명합니다.
요구 사항
네트워크 주소 변환(NAT)을 위한 SD-WAN 구축에서 방화벽이 작동하는 방식을 이해합니다.
NAT, 가상 라우팅 및 포워딩 인스턴스의 가상 그룹을 이해합니다. SD-WAN 구축의 가상 라우팅 및 포워딩 인스턴스를 참조하십시오.
개요
소스 NAT는 주니퍼 네트웍스 디바이스를 떠나는 패킷의 소스 IP 주소의 변환입니다. 소스 NAT는 프라이빗 IP 주소를 가진 호스트가 공용 네트워크에 액세스할 수 있도록 허용하는 데 사용됩니다.
그림 1에서 방화벽은 방화벽의 인터페이스 ge-0/0/1.0 및 ge-0/0/1.1에 연결된 VRF 그룹 vpn-A 및 vpn-B로 구성됩니다. 허브 방화벽에서 VRF 그룹 vpn-A 및 vpn-B의 소스 IP 주소 192.168.1.200 및 192.168.1.201은 203.0.113.200 및 203.0.113.201로 변환됩니다.
사용하는 소스 NAT
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to interface ge-0/0/1.0 set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to interface ge-0/0/1.1 set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다.
소스 NAT 매핑을 구성하려면 다음을 수행합니다.
레이어 3 VPN에서 VRF 인스턴스 A1 및 A2를 포함하는 VRF 그룹 vpn-A를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
VRF 인스턴스 B1 및 B2를 사용하여 다른 VRF 그룹 vpn-B를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
소스 NAT 풀을 만듭니다.
[edit security nat source pool] user@host#set vrf-a_p address 203.0.113.200 user@host#set vrf-b_p address 203.0.113.201
소스 NAT 규칙 세트를 생성합니다.
[edit security nat source] user@host#set rule-set vrf-a_rs from routing-group vpn-A user@host#set rule-set vrf-a_rs to interface ge-0/0/1.0 user@host#set rule-set vrf-b_rs from routing-group vpn-B user@host#set rule-set vrf-b_rs to interface ge-0/0/1.1
패킷을 일치시키고 소스 IP 주소를 소스 NAT 풀의 IP 주소로 변환하는 규칙을 구성합니다.
[edit security nat source] user@host# set rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 user@host# set rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p user@host# set rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 user@host# set rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show security nat 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to interface ge-0/0/1.0;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to interface ge-0/0/1.1;
rule rule2 {
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
소스 NAT 규칙 사용 확인
목적
소스 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다. show security nat source rule all Translation hits 필드에서 소스 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
user@host>show security nat source rule all
Total rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
rule: rule1 Rule-set: vrf-a_rs
Rule-Id : 1
Rule position : 1
From routing-Group : vpn-A
To interface : ge-0/0/1.0
Match
Source addresses : 192.168.1.200 - 192.168.1.200
Action : vrf-a_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
rule: rule2 Rule-set: vrf-b_rs
Rule-Id : 2
Rule position : 2
From routing-Group : vpn-B
To interface : ge-0/0/1.1
Match
Source addresses : 192.168.1.201 - 192.168.1.201
Action : vrf-b_p
Persistent NAT type : N/A
Persistent NAT mapping type : address-port-mapping
Inactivity timeout : 0
Max session number : 0
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
예: VRF 그룹의 퍼블릭 IP 주소를 다른 VRF 인스턴스의 프라이빗 IP 주소로 변환하기 위한 대상 NAT 구성
이 예에서는 패킷을 올바른 VRF 인스턴스로 전달하기 위해 VRF 그룹의 공용 IP 주소를 단일 VRF의 프라이빗 주소로 연결하는 대상 NAT 매핑을 구성하는 방법을 설명합니다.
요구 사항
네트워크 주소 변환(NAT)을 위한 SD-WAN 구축에서 방화벽이 작동하는 방식을 이해합니다.
가상 라우팅 및 포워딩 인스턴스를 이해합니다. SD-WAN 구축의 가상 라우팅 및 포워딩 인스턴스를 참조하십시오.
개요
대상 NAT는 주니퍼 네트웍스 디바이스로 들어오는 패킷의 대상 IP 주소를 변환한 것입니다. 대상 NAT는 가상 호스트(원래 대상 IP 주소로 식별됨)로 향하는 트래픽을 실제 호스트(변환된 대상 IP 주소로 식별됨)로 리디렉션하는 데 사용됩니다.
그림 2에서 방화벽은 다른 VRF 그룹에 속하는 IP에서 다른 VRF를 가리키는 라우팅 인스턴스가 있는 다른 IP 집합으로 변환하도록 대상 NAT로 구성됩니다. 대상 NAT 규칙 검색 후, NAT는 플로우가 오른쪽 라우팅 테이블에서 목적지 경로 조회를 수행할 수 있도록 오른쪽 VRF 인스턴스를 가리키도록 대상 라우팅 테이블을 업데이트합니다.
사용하는 대상 NAT
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat destination pool vrf-a_p routing-instance VRF-a set security nat destination pool vrf-a_p address 192.168.1.200 set security nat destination rule-set rs from routing-group vpn-A set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200 set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p set security nat destination pool vrf-b_p routing-instance VRF-b set security nat destination pool vrf-b_p address 192.168.1.201 set security nat destination rule-set rs from routing-group vpn-B set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201 set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다.
단일 VRF에 대한 대상 NAT 매핑을 구성하려면 다음을 수행합니다.
레이어 3 VPN에서 VRF 인스턴스 A1 및 A2를 포함하는 VRF 그룹 vpn-A를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
VRF 인스턴스 B1 및 B2를 사용하여 다른 VRF 그룹 vpn-B를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
대상 네트워크 주소 변환(NAT) IP 주소 풀을 지정합니다.
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
라우팅 인스턴스를 대상 풀에 할당합니다.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b
대상 NAT 규칙 세트를 생성합니다.
[edit security nat destination] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B
패킷을 일치시키고 대상 IP 주소를 대상 네트워크 주소 변환(NAT) IP 주소 풀의 IP 주소로 변환하는 규칙을 구성합니다.
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show security nat 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
destination {
pool vrf-a_p {
routing-instance {
VRF-a;
}
address 192.168.1.200/32;
}
pool vrf-b_p {
routing-instance {
VRF-b;
}
address 192.168.1.201/32;
}
rule-set rs {
from routing-group [ vpn-A vpn-B ];
rule vrf-a_r {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 203.0.113.201/32;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
대상 NAT 규칙 사용 확인
목적
대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다. show security nat destination rule all Translation hits 필드에서 대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
user@host> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: vrf-a_r Rule-set: rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Destination NAT rule: vrf-b_r Rule-set: rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0