NAT de origen estático
Configuración de la traducción de origen estático en redes IPv4
Para configurar el tipo de traducción como basic-nat44, debe configurar el grupo NAT y la regla, el conjunto de servicios con interfaz de servicio y las opciones de seguimiento. En este tema se incluyen las siguientes tareas:
- Configuración del grupo NAT y la regla
- Configuración del conjunto de servicios para NAT
- Configuración de opciones de seguimiento
- Configuración de ejemplo: TDR de origen estático mediante un grupo estático con un prefijo de direcciones y un intervalo de direcciones
- Configuración de ejemplo: NAT de origen estático para la asignación uno a uno entre una subred privada y una subred pública
Configuración del grupo NAT y la regla
Para configurar el grupo, la regla y el término de NAT:
Si no configura una regla de firewall con estado (SFW) para su tráfico, cada paquete estará sujeto a la siguiente regla de firewall con estado predeterminada:
Permita cualquier paquete válido de adentro hacia afuera.
Cree un flujo de avance y retorno basado en paquetes de 5 tuplas.
Solo permita paquetes válidos que coincidan con los flujos de retorno de afuera hacia adentro.
Las comprobaciones de validez de paquetes del firewall con estado se describen en la comprobación de anomalías del firewall con estado en Junos Network Secure Overview. Cuando los paquetes pasan la comprobación de validez del firewall de estado pero no coinciden con una regla NAT, no se traducen y pueden reenviarse si el nodo NAT tiene una ruta válida a las direcciones IP de destino de los paquetes.
Cuando se agrega o elimina un parámetro de la instrucción (condición de coincidencia de término de regla NAT) en el [edit services service-set service-set-name nat-rules rule-name term term- name]
nivel de jerarquía, este cambio de configuración desencadena una eliminación y adición de la directiva NAT (que es equivalente a la from
desactivación y activación de un conjunto de servicios) que hace que se eliminen todas las asignaciones NAT existentes. Dado que las sesiones no se cierran debido al cambio en la directiva NAT, este comportamiento hace que se agote el tiempo de espera de las asignaciones inmediatamente después de que se cierren las sesiones. Este comportamiento es esperado y solo se aplica con paquetes de proveedor de extensiones de Junos OS instalados en un dispositivo. Cuando se elimina y se vuelve a agregar una política NAT, solo se eliminan las asignaciones de EIM. Este cambio de directiva NAT no desactiva ni activa el conjunto de servicios. Le recomendamos que desactive y reactive el conjunto de servicios en tales escenarios en Junos OS versión 14.2 y anteriores.
Configuración del conjunto de servicios para NAT
Para configurar el conjunto de servicios para NAT:
Configuración de opciones de seguimiento
Para configurar las opciones de seguimiento:
[edit] user@host# show services service-set s1 { nat-rules rule-basic-nat44; interface-service { service-interface ms-1/2/0; } } nat { pool src_pool { address 10.10.10.2/32; } rule rule-basic-nat44 { match-direction input; term t1 { from { source-address { 3.1.1.2/32; } } then { translated { source-pool src_pool; translation-type { basic-nat44; } } } } } } adaptive-services-pics { traceoptions { flag all; } }
Configuración de ejemplo: TDR de origen estático mediante un grupo estático con un prefijo de direcciones y un intervalo de direcciones
[edit services nat] pool p1 { address 30.30.30.252/30; address-range low 20.20.20.1 high 20.20.20.2; } rule r1 { match-direction input; term t1 { from { source-address { 10.10.10.252/30; } } then { translated { source-pool p1; translation-type basic-nat44; } } } }
Configuración de ejemplo: NAT de origen estático para la asignación uno a uno entre una subred privada y una subred pública
[edit] user@host# show services service-set s1 { nat-rules rule-basic-nat44; interface-service { service-interface ms-1/2/0; } } nat { pool src_pool { address 10.10.10.2/32; } rule rule-basic-nat44 { match-direction input; term t1 { from { source-address { 3.1.1.2/32; } } then { translated { source-pool src_pool; translation-type { basic-nat44; } } } } } } adaptive-services-pics { traceoptions { flag all; } }
[edit interfaces] user@host# show xe-1/1/0 { unit 0 { family inet { service { input { service-set s1; } output { service-set s1; } } address 10.255.247.2/24; } } }
Configuración de la traducción de origen estático en redes IPv6
Para configurar el tipo de traducción como basic-nat66
, debe configurar el grupo y la regla de NAT, el conjunto de servicios con interfaz de servicio y las opciones de seguimiento. El basic-nat66
tipo de traducción no está disponible si utiliza MS-MPC o MS-MIC.
En este tema se incluyen las siguientes tareas:
- Configuración del grupo NAT y la regla
- Configuración del conjunto de servicios para NAT
- Configuración de opciones de seguimiento
Configuración del grupo NAT y la regla
Para configurar el grupo, la regla y el término de NAT:
Configuración del conjunto de servicios para NAT
Para configurar el conjunto de servicios para NAT:
Configuración de opciones de seguimiento
Para configurar las opciones de seguimiento en el nivel jerárquico [edit services adaptive-services-pics]
:
En el ejemplo siguiente se configura el tipo de traducción como basic-nat66.
[edit] user@host# show services service-set s1 { nat-rules rule-basic-nat66; interface-service { service-interface sp-1/2/0; } } nat { pool src_pool { address 10.10.10.2/32; } rule rule-basic-nat66 { match-direction input; term t1 { from { source-address { 2001:db8:10::0/96/96; } } then { translated { source-pool src_pool; translation-type { basic-nat66; } } } } } } adaptive-services-pics { traceoptions { flag all; } }
Ejemplo: Configuración de NAT44 básico
En este ejemplo se describe cómo implementar una configuración NAT44 básica.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Una plataforma de enrutamiento universal 5G serie MX con un DPC de servicios o un enrutador perimetral multiservicio serie M con una PIC de servicios
Un servidor de nombres de dominio (DNS)
Junos OS versión 11.4 o superior
Visión general
En este ejemplo se muestra una configuración completa de CGN NAT44 y opciones avanzadas.
Configuración de NAT44 básico
Configuración del chasis
Procedimiento paso a paso
Para configurar el PIC de servicio (FPC 5 ranura 0) con el paquete de servicio de capa 3:
Vaya al nivel de jerarquía [edit chassis].
user@host# edit chassis
Configure el paquete de servicios de capa 3.
[edit chassis]
user@host# set fpc 5 pic 0 adaptive-services service-package layer-3
Configuración de interfaces
Procedimiento paso a paso
Para configurar interfaces para la red privada y la Internet pública:
Defina la interfaz con la red privada.
user@host# edit interfaces ge-1/3/5
[edit interfaces ge-1/3/5]
user@host# set description “Private” user@host# edit unit 0 family inet[edit interfaces ge-1/3/5 unit 0 family inet]
user@host# set service input service-set ss2 user@host# set service output service-set ss2 user@host# set address 9.0.0.1/24Defina la interfaz con la Internet pública.
user@host# edit interfaces ge-1/3/6
[edit interfaces ge-1/3/6]
user@host# set description “Public” user@host# set unit 0 family inet address 128.0.0.1/24Defina la interfaz de servicio para el procesamiento de NAT.
user@host# edit interfaces sp-5/0/0
[edit interfaces sp-5/0/0]
user@host# set unit 0 family inet
Resultados
user@host# show interfaces ge-1/3/5
description Private;
unit 0 {
family inet {
service {
input {
service-set sset2;
}
output {
service-set sset2;
}
}
address 9.0.0.1/24;
}
}
}
user@host# show interfaces ge-1/3/6
description Public:;
unit 0 {
family inet {
address 128.0.0.1/24;
}
}
user@host# show interfaces sp-5/0/0
unit 0 {
family inet;
}
Ejemplo: configuración de NAT para tráfico de multidifusión
La figura 1 ilustra la configuración de red para la siguiente configuración, que permite enviar tráfico de multidifusión IP a la PIC multiservicios.
Configuración de puntos de encuentro
En el punto de encuentro (RP), todo el tráfico entrante del origen de multidifusión en 192.168.254.0/27 se envía al mcast_pool estático del grupo NAT, donde su origen se traduce a 20.20.20.0/27. El conjunto de servicios nat_ss es un conjunto de servicios del siguiente salto que permite enviar tráfico de multidifusión IP al DPC de multiservicios o a la PIC de multiservicios. La interfaz interna en el PIC es ms-1/1/0.1 y la interfaz externa es ms-1/1/0.2.
[edit services] nat { pool mcast_pool { address 20.20.20.0/27; } rule nat_rule_1 { match-direction input; term 1 { from { source-address 192.168.254.0/27; } } then { translated { source-pool mcast_pool; translation-type basic-nat44; } syslog; } } } service-set nat_ss { allow-multicast; nat-rules nat_rule_1; next-hop-service { inside-service-interface ms-1/1/0.1; outside-service-interface ms-1/1/0.2; } }
La interfaz Gigabit Ethernet ge-0/3/0 lleva el tráfico del RP al enrutador 1. La interfaz multiservicios ms-1/1/0 tiene dos interfaces lógicas: la unidad 1 es la interfaz interna para los servicios del próximo salto y la unidad 2 es la interfaz externa para los servicios del salto siguiente. El tráfico de origen de multidifusión llega a la interfaz Fast Ethernet fe-1/2/1, que tiene el filtro de firewall fbf aplicado al tráfico entrante.
[edit interfaces] ge-0/3/0 { unit 0 { family inet { address 10.10.1.1/30; } } } ms-1/1/0 { unit 0 { family inet; } unit 1 { family inet; service-domain inside; } unit 2 { family inet; service-domain outside; } } fe-1/2/1 { unit 0 { family inet { filter { input fbf; } address 192.168.254.27/27; } } }
Los paquetes de multidifusión sólo se pueden dirigir al DPC de multiservicios o a la PIC de multiservicios mediante un conjunto de servicios del salto siguiente. En el caso de NAT, también debe configurar una instancia de enrutamiento y reenvío VPN (VRF). Por lo tanto, la etapa de la instancia de enrutamiento se crea como una instancia de reenvío "ficticia". Para dirigir los paquetes entrantes al escenario, configure el reenvío basado en filtros a través de un filtro de firewall denominado fbf, que se aplica a la interfaz entrante fe-1/2/1. Se realiza una búsqueda en stage.inet.0, que tiene una ruta estática de multidifusión que se instala con el siguiente salto apuntando a la interfaz interna de la PIC. Todo el tráfico de multidifusión que coincida con esta ruta se envía a la PIC.
[edit firewall] filter fbf { term 1 { then { routing-instance stage; } } }
La etapa de la instancia de enrutamiento reenvía el tráfico de multidifusión IP a la interfaz interna ms-1/1/0.1 en el DPC multiservicios o PIC multiservicios:
[edit] routing-instances stage { instance-type forwarding; routing-options { static { route 224.0.0.0/4 next-hop ms-1/1/0.1; } } }
Habilitar OSPF y multidifusión independiente de protocolo (PIM) en las interfaces lógicas Fast Ethernet y Gigabit Ethernet a través de las cuales el tráfico de multidifusión IP entra y sale del RP. PIM también se habilita en la interfaz externa (ms-1/1/0.2) del conjunto de servicios del salto siguiente.
[edit protocols] ospf { area 0.0.0.0 { interface fe-1/2/1.0 { passive; } interface lo0.0; interface ge-0/3/0.0; } } pim { rp { local { address 10.255.14.160; } } interface fe-1/2/1.0; interface lo0.0; interface ge-0/3/0.0; interface ms-1/1/0.2; }
Al igual que con cualquier configuración de reenvío basada en filtros, para que la ruta estática en la etapa de instancia de reenvío tenga un próximo salto accesible, debe configurar grupos de tablas de enrutamiento para que todas las rutas de interfaz se copien desde inet.0 a la tabla de enrutamiento en la instancia de reenvío. Las tablas de enrutamiento inet.0 y stage.inet.0 se configuran como miembros de fbf_rib_group, de modo que todas las rutas de interfaz se importan en ambas tablas.
[edit routing-options] interface-routes { rib-group inet fbf_rib_group; } rib-groups fbf_rib_group { import-rib [ inet.0 stage.inet.0 ]; } multicast { rpf-check-policy no_rpf; }
La comprobación del reenvío de ruta inversa (RPF) debe estar deshabilitada para el grupo de multidifusión en el que se aplica la TDR de origen. Puede deshabilitar la comprobación de RPF para grupos de multidifusión específicos configurando una directiva similar a la del ejemplo siguiente. En este caso, la política no_rpf deshabilita la comprobación RPF de grupos de multidifusión que pertenecen a 224.0.0.0/4.
[edit policy-options] policy-statement no_rpf { term 1 { from { route-filter 224.0.0.0/4 orlonger; } then reject; } }
Configuración del enrutador 1
La configuración del Protocolo de administración de grupos de Internet (IGMP), OSPF y PIM en el enrutador 1 es la siguiente. Debido a la configuración del grupo estático IGMP, el tráfico se reenvía fe-3/0/0.0 al receptor de multidifusión sin recibir informes de membresía de los miembros del host.
[edit protocols] igmp { interface fe-3/0/0.0 { } } ospf { area 0.0.0.0 { interface fe-3/0/0.0 { passive; } interface lo0.0; interface ge-7/2/0.0; } pim { rp { static { address 10.255.14.160; } } interface fe-3/0/0.0; interface lo0.0; interface ge-7/2/0.0; } }
La opción de enrutamiento crea una ruta estática al grupo de NAT, mcast_pool, en el RP.
[edit routing-options] static { route 20.20.20.0/27 next-hop 10.10.1.1; }
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.